炼石白小勇:从业务视角重塑数据安全

news2024/12/25 23:46:37

2023年6月27日,由中国信息通信研究院、中国通信标准化协会主办,中国通信标准化协会大数据技术标准推进委员会承办,数据安全推进计划支持的2023年大数据产业发展大会-数据安全高质量发展论坛在北京成功召开。

本次论坛由中国信通院云计算与大数据研究所大数据与区块链部副主任李雪妮主持,邀请金融、电信、汽车、互联网、安全厂商等行业专家出席会议,旨在加强数据安全生态交流,探讨数据安全发展趋势。炼石网络创始人、CEO白小勇受邀出席,并发表《从业务视角重塑数据安全》主题演讲。

关注gongzhonghao:炼石就是数据安全057 ,即可打包下载《从业务视角重塑数据安全》主题演讲PDF版高清文件。

为了共同推动数据安全产业发展,欢迎行业同仁加入“[炼石]数据安全技术圈”微信群,探讨数据安全领域的技术经验和法规动态等。

今天,各行业普遍开展数据安全建设,但数据安全涉及范围面非常广泛,一千个人眼中,会看到一千种数据安全。我们选择从业务角度去探索,是考虑到数据安全是始于业务又终于业务,这也更能接近数据安全建设的本质。

据安全始于业务终于业务

内在风险与外部合规双轮驱动。当前,我国数字经济发展正迈入高速发展阶段,确保数据要素处于有效保护和高效利用的状态,以及具备保障持续安全状态的能力,是高质量推进数字经济的关键环节。数据安全需求来源,一是内在的风险驱动,二是外部的合规驱动,两者辩证统一。数据在收集、存储、使用、加工、传输、提供等处理活动中,均面临来自内部风险人员、商业间谍、黑灰产乃至境外势力等内外部不同威胁。而数据泄露等安全事件本身具备经济学的外部效应特征,即消费方与受益方不一致,就个人信息保护来说,如果没有外部的合规要求,个人信息泄露最直接的受害者就是广泛个人用户,而对企业等个人信息处理者的自身利益没有实质损害。这就容易导致一种现象,数据安全建设被企业置于“次要地位”,主要表现为安全投入比例不足,安全建设滞后于业务建设,信息化系统安全威胁严峻等,需要通过合规强力引导企业实施数据安全建设。近年来,在国家“十四五”规划、二十大报告战略指引下,《网络安全法》《密码法》《数据安全法》《个人信息保护法》“四法”相继施行,《网络安全等级保护条例(征求意见稿)》《关键信息基础设施安全保护条例》《网络数据安全管理条例(征求意见稿)》,以及最近全面修订并审议通过的《商用密码管理条例》等“四例四规”和配套规章细化到省部级、技术标准细化到场景级,数据安全合规要求提升到新高度。内在风险汇聚了数据安全建设的强大势能,而外部合规将这种势能转化为动能,共同驱动数据安全建设蓬勃发展。

从业务视角重新思考数据安全。数据这种新型生产要素,是实现业务价值的主要载体,数据只有在流动中才能体现价值,而流动的数据必然伴随风险且风险无处不在。传统认为,安全和业务是关联的,有时候对立。但换个角度,安全其实也是一种业务需求,“传统业务需求”侧重于“希望发生什么”,而“安全需求”则侧重于“不希望发生什么”,从而确保“发生什么”。数据安全需求重点是机密性(防止被偷窃)、完整性(防止被篡改)和原真性。其中,原真性涉及数据原始的真实性问题,在生成式人工智能出现后更为突出。结合到企业或机构的信息系统中,数据安全则来自于业务处理中的风险映射。落地数据安全,必须将数据安全能力融入复杂的业务流程中。时间维度上,数据在收集、存储、使用、加工、传输、提供和公开等处理活动中都会有相应的安全需求;空间维度上,数据在基础设施层、平台层以及应用层之间流转,不同层次又意味着不同颗粒度的防护需求。进一步地,静态数据本身就有多种安全需求,例如企业内部通讯录,本身就具有信息类别、公开程度、人员属性等。当数据在共享流转开发利用的时候,动态数据其实提出了更丰富的安全需求。可以发现,凡是有数据流转的业务场景,都会有数据安全的需求产生。由于数据安全需求源自业务处理的风险映射,安全边界也就取决于业务边界,而今天的数据复杂处理场景几乎没有边界,使得数据安全需求也很难有边界且极为复杂。

用改造成本抵消安全增益

从艰难防守者的视角审视数据安全增益。从攻防对抗的角度来看,一如游戏中最高级别的BOSS,最终都难逃被玩家打败的命运,道高一尺,魔高一丈,如果攻击者投入足够多的资源,理论上最终总能窃取到目标数据。甚至退一步看,假定技术上做到了无懈可击,但重金之下必有勇夫,数据也可以被人为社工泄露。因此,艰难的防守者或许永远无法构建出“绝对安全的防线”。但是,攻防对抗就像战争,其实本身就是双方消耗资源,好的防护手段是“十则围之、五则攻之”,创造局部优势以获得更好的战损比。防守方则需要评估技术手段、排序优先,用更少成本、消耗攻击者更多成本。进而,基于现实重新去思考其数据防护的价值所在,虽然无法杜绝数据泄露,但是可以积极采取技术防护手段,使攻击者对数据的窃取成本高于数据获利,从而让攻击者失去意义,这就是“有效的数据保护”。

承载数据的业务载体在持续演进升级。十多年前,承载数据的业务载体是以网络终端为主,面向文档文件,数据安全建设的重点也是围绕着网络和终端去侧重展开。而今天信息化蓬勃发展,数据共享流转带来价值,业务载体也逐步演进为以应用系统为主,应用系统也会在企业信息化整体建设中占据最大比例预算。企业应用一般分为两类,一类是以安全为主导的“重安全应用需要不惜一切代价力保安全,可以仅仅为了安全需求而进行高成本重构;另一类是以业务为主导的“普通应用,这类应用占比90%以上,安全需求是融合于常规业务应用中,和大量业务流程扭结缠绕,比如石油管网坐标信息,很敏感却又难以定密。当面向以业务为主导的普通应用开展数据安全建设,不论是加密脱敏、检测响应还是审计追溯,本质属于面向应用的功能性安全需求,需要在应用中融合实现,然而实际部署时会发现,数据安全的覆盖面和整个数据处理流程交织在一起,而通过改造应用以增强数据安全的成本极高,无法落地。尤其是对庞大复杂的存量应用系统进行改造,犹如给高速行驶的汽车更换轮胎,面临风险大、成本高、周期长、以及运行中断的巨大挑战。

建设思路转向聚焦以数据为中心的安全。以网络攻防对抗为中心的安全,正在转向为“侧重以数据为中心的安全”,与之匹配的安全技术也从“外挂式”演进为“内嵌式”。美国《国防部云战略》白皮书中提出,历史上信息安全一直聚焦在边界防御,即限制网络边界访问,但因为今天数据被充分共享,传统的边界被打破了,所以美国国防部将安全从边界防御,转向聚焦保护数据和服务。在建设路径上,回顾经典网络安全攻击模型MITRE.ATT&CK,全称是对抗性的战术、技术和通用知识,以网络攻防为视角,通过防漏洞、堵漏洞的应对方式保护数据。但是今天网络漏洞在所难免,因此直接对数据本身的保护是更有效率的机制。对标ATT&CK框架,炼石尝试从“以数据为中心”的角度提出DTTACK(以数据为中心的战术、技术和通用知识)技术框架,不是网络、服务器或应用程序安全性的模型,更强调数据本身的安全性,并从对数据的“应对式”防护,向“主动式”防护转变,重视从业务风险映射视角列举数据保护需求,可以为信息化建设、企业业务架构设计提供数据安全能力参考。DTTACK选取六大战术作为基本结构:IDENTIFY(识别)、PROTECT(防护)、DETECT(检测)、RESPOND(响应)、RECOVER(恢复)、COUNTER(反制),以及治理作为补充手段。两大框架相互关联、依赖、叠加演进,形成“网络与数据并重的新安全建设”,这也成为当下企业安全建设的主流思路。

应用改造成本抵消安全增益陷入两难困境。在数字化转型及数字经济产业发展中,不仅是CPU、操作系统、数据库等基础软件的升级,涉及广泛行业应用软件亟待升级替换是更大的市场空间,比如制造业的PLM/MES/ERP软件、医疗行业HIS软件、金融行业应用软件、能源行业应用软件、交通行业应用软件等等。这些巨大存量的应用软件普遍缺失内建密码安全机制,缺乏有效手段增强密码安全能力,因为无法破解开发改造模式成本极高、影响业务连续性,还有源代码维护等技术可行性挑战。这也意味着,应用改造带来的高难度、高风险、长周期,再叠加复杂的数据安全能力,使得企业投入成本在一定程度上抵消了安全带来的增益,企业数据安全建设面临“不改有风险、强改会要命”的两难困境。

面数据安全重塑攻防形势

面向切面技术实现安全与业务技术解耦、能力融合。针对数据安全落地时的应用改造难点,炼石打造AOE面向切面数据安全技术,在数据流动的切面上重建安全规则,部署安全控制点,避免大规模改造代码,降低成本,实现安全与业务在技术上解耦,但又在能力上融合。免改造应用数据安全方案,在旁路上会部署数据安全管理平台,主路上在数据流转控制点上对结构化和非结构化数据进行精准控制识别和保护。针对结构化数据,免改造应用可实现面向运维侧防范应用外数据威胁,存储加密防范内部DBA、外包、黑客;面向用户侧防范应用内数据访问威胁,事前动态脱敏防范业务人员越权访问,事中风险监测预警业务人员风险操作,事后审计追溯业务人员数据泄露,形成密码安全一体化的防护体系。针对非结构化数据,可将安全控制点部署到内核态或用户态,通过逐文件逐密钥的文件透明加密,掌握对于文件读写的控制权,实现落盘加密、读盘解密、访问审计等。

创新免改造的数据保护能力矩阵。炼石积极探索数据安全纵深防御理念和实践,坚持原创自研和持续迭代,打造“一平台:数据安全主平台,多模块:识别、防护、检测/响应、恢复、审计/追溯等安全能力模块”的数据安全产品矩阵,覆盖数据在不同处理环节的免改造控制点,实现横向可覆盖广泛应用,纵向可叠加多阶安全能力。创新免改造的数据保护能力矩阵,能够在数据控制点上,施加防绕过动态保护,致力于成为用户提升实战能力的重要支撑。一方面可实现面向用户重建安全规则,只有符合权限的用户,才能访问到其应该使用的数据;结合业务场景的风险监测;可定责到人的高置信审计。另一方面,面向运维重构数据边界,没有任何人能从应用后台获取敏感数据明文信息。如此,攻击者既无法直接从运维侧获取敏感数据,也无法从用户侧获取未授权的敏感数据,让数据流转与安全防护兼得。目前,炼石已构建了成熟标准化产品与交付体系,能够满足个人信息保护、商业秘密保护、数据安全合规改造、国密合规改造等业务场景需求。

炼石免改造方案交付快、兼容广、防护全、管控准。交付快,通过免改造应用增强数据安全保护能力,实现敏捷交付。兼容广,适应广泛应用架构,如JAVA、C等主流开发语言、兼容开放协议的关系型数据库和非关系型数据库、兼容Linux/信创OS/Windows等。防护全,密码安全一体化,炼石免改造数据安全产品面向应用系统,在应用层以数据为抓手实现数据安全保护,达到“密码安全一体化”的实战防护。管控准,灵活适应业务数据流向,炼石免改造数据安全产品可以打造以应用为单元的细粒度保护;炼石数据安全控制点模块,可根据业务数据流向,灵活配置加密、解密、脱敏等安全规则,在OLAP等复杂数据分析场景下可提供精细的数据流转权限控制;进一步的,产品模块可以获取到当前应用内访问者的身份信息,从而实现“主体到人、客体到字段”的细粒度访问控制。

为了共同推动数据安全产业发展,欢迎行业同仁加入“[炼石]数据安全技术圈”微信群,探讨数据安全领域的技术经验和法规动态等。

关注gongzhonghao:炼石网络CipherGateway,并后台回复关键词炼石就是数据安全057 ,即可打包下载《从业务视角重塑数据安全》主题演讲PDF版高清文件。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/716776.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

maven 环境配置踩坑

今晚在跟着视频学习spring的时候,创建maven工程,一直提示Sync 下载异常。搞了一晚上终于搞定了环境。下面给出一下今晚的总结。 1、确保maven安装并配置好环境变量。 下载并安装maven后,还需要在电脑上配置maven的环境变量。这部分参考网络教…

关于windows本机开放端口后,同一个网络下的其他电脑telnet不通的解决办法

前提:电脑A与电脑B均在同一个wifi下。 本地电脑A 启动了一个kong网关(不管是什么应用,只要开启了一个监听端口就行),并且将docker里面的8000端口映射到本机的8000端口, 此时在电脑A上的命令行运行&#xf…

2023 IJCAI YES 青年精英学术大会正式开幕:群贤毕至,开启为期三天的智慧盛宴

内容一览: 2019 年,艾伦人工智能研究所发布《中国在人工智能研究领域超越美国》研究报告。这份报告反映了中国人工智能领域从「数」到「质」的飞跃,这不仅得益于国家政策的推动,更因为众多国内高校的不懈探索。 当前,人…

HTML和CSS配合制作一个简单的登录界面

HTML和CSS配合制作一个简单的登录界面 界面HTMLCSS解释语法 界面 HTML <!DOCTYPE html> <html lang"en"> <head><title>篮球世界</title><meta charset"UTF-8"><link type"text/css" rel"styleshe…

关注电动汽车(EV)能效水平 提高电动汽车续航能力

电动汽车&#xff08;EV&#xff09;近些年发展迅猛&#xff0c;已被汽车业内普遍认为是未来汽车发展的新方向&#xff0c;但现如今电动汽车仍然存在一些短板&#xff0c;导致其还无法替代传统燃油车。对此&#xff0c;首先想到的肯定就是电动车的续航问题。其实解决电动车续航…

揭秘Vue 2中的$nextTick:等待DOM更新的神奇时刻!

文章目录 1. 队列机制2. 异步执行3. 标记更新4. 下一次 DOM 更新循环5. 触发回调函数 在 Vue 2 中&#xff0c;$nextTick 是一个异步方法&#xff0c;用于在下次 DOM 更新循环结束后执行回调函数。 它的原理可以解析如下&#xff1a; 1. 队列机制 Vue 2 维护了一个队列&…

最火的 CI/CD 平台 Jenkins 详细搭建教程(for Linux)

在正式学习Jenkins之前我们需要对两个名词有一定了解&#xff0c;其一是DevOps&#xff0c;另外一个就是CI/CD。 何为DevOps&#xff1f; 来自wiki百科介绍 DevOps是一系列软件开发实践&#xff0c;强调开发人员&#xff08;Dev&#xff09;和测试人员&#xff08;QA&#xf…

【零基础入门学习Python---Python中数据分析与可视化之快速入门实践】

&#x1f680; 零基础入门学习Python&#x1f680; &#x1f332; 算法刷题专栏 | 面试必备算法 | 面试高频算法 &#x1f340; &#x1f332; 越难的东西,越要努力坚持&#xff0c;因为它具有很高的价值&#xff0c;算法就是这样✨ &#x1f332; 作者简介&#xff1a;硕风和炜…

css基础知识十六:如何实现单行/多行文本溢出的省略样式?

一、前言 在日常开发展示页面&#xff0c;如果一段文本的数量过长&#xff0c;受制于元素宽度的因素&#xff0c;有可能不能完全显示&#xff0c;为了提高用户的使用体验&#xff0c;这个时候就需要我们把溢出的文本显示成省略号 对于文本的溢出&#xff0c;我们可以分成两种…

学习之路不可或缺的软件宝藏,一起分享吧

在当今数字化时代&#xff0c;学习变得更加便利和多样化。为了助力你的学习之路&#xff0c;我将分享一些不可或缺的学习必备软件&#xff0c;让你事半功倍。 分享一&#xff1a;小睡眠 小睡眠是一款睡眠神器&#xff0c;专为那些每天晚上压力过大、思虑过多而难以入睡的人设…

【已解决】使用pyaudio内录声卡声音及相关问题

使用pyaudio内录声卡声音及相关问题解决 目录 使用pyaudio内录声卡声音及相关问题解决1 实现代码1.1 Recorder类&#xff1a;1.2 调用方法 2 问题一&#xff1a;选择设备实现内录/外录&#xff08;解决报错&#xff1a;OSError: [Errno -9999] Unanticipated host error&#x…

Vue Vite Manual

create project 初始化项目 $ npm create vitelatest导入vs code 方便操作 初始化的目录如下 安装依赖库 生成node_modules依赖库 和 package-lock.json. 其中package-lock.json用于锁定模块的版本号。 npm install启动项目 npm run dev项目配置 增加路由器 路由器 n…

骑行,究竟该不该佩戴护膝?应该怎么佩戴护膝才有效果?

骑行作为一项受欢迎的运动方式&#xff0c;在现代社会中越来越受到关注和热爱。随着骑行爱好者的增多&#xff0c;对于个人保护意识的重视也在逐渐提高。在这个话题中&#xff0c;一个备受关注的问题就是骑行时是否有必要戴护膝&#xff0c;以及如何正确佩戴护膝。 对于骑行爱好…

SAP生产版本和工艺路线由于批量不一致导致的报错问题解决实例

近期接到工艺用户问题&#xff0c;在维护生产版本时报错&#xff0c;状态异常&#xff0c;寻求支持。 在详细的提示信息中有一个生产版本不一致的提示&#xff0c;但不知这里的不一致具体指向什么&#xff0c;从逻辑上来推&#xff0c;这里只有一个可能&#xff0c;就是工艺路线…

windows 和华为手机使用charles抓包记录

1.下载charles 建议安装使用最新版&#xff0c;官方下载地址 https://www.charlesproxy.com/download help->Register->把上面的生成注册码放进去就行了&#xff08;在charles注册地址里面注册一下&#xff0c;charles注册地址&#xff09; 2.Proxy-> 勾选window…

网络安全(黑客)技术学习路线

谈起黑客&#xff0c;可能各位都会想到&#xff1a;盗号&#xff0c;其实不尽然&#xff1b;黑客是一群喜爱研究技术的群体&#xff0c;在黑客圈中&#xff0c;一般分为三大圈&#xff1a;娱乐圈 技术圈 职业圈。 娱乐圈&#xff1a;主要是初中生和高中生较多&#xff0c;玩网恋…

npm 安装私库包报错:请求地址错误 | 请求包错误

npm 安装私库包报错&#xff1a;请求地址错误 | 请求包错误 错误信息试错过程解决办法 在一次创建完 npm 私库之后&#xff0c;上传 npm 包没问题&#xff0c;但是下载一直出错。 老是请求一个旧的地址下载某个库&#xff0c;而那个地址已经停用了&#xff0c;因此请求很多次之…

在Layout里面创建封装如何快速切换单位

公制亦称“米制”、“米突制”。1858年《中法通商章程》签定后传入中国的一种国际度量衡制度。创始于法国。在PCB中单位为MM&#xff08;毫米&#xff09; 英制&#xff1a;英国、美国等英语国家使用的一种度量制。长度主单位为英尺&#xff0c;重量主单位为磅&#xff0c;容积…

Spring学习(三)(类注解和方法注解)

目录 1. 存储Bean对象 1.1 配置扫描路径 1.2 添加注解存储Bean对象 1.2.1 Controller(控制器存储) 1.2.2 Service&#xff08;服务存储&#xff09; 1.3 这么多注解&#xff1f;&#xff1f;&#xff1f;为什么&#xff1f;&#xff1f; 1.3.1 类注解时间的关系 1.4 方法…

leetcode:种花问题

种花问题 假设有一个很长的花坛&#xff0c;一部分地块种植了花&#xff0c;另一部分却没有。可是&#xff0c;花不能种植在相邻的地块上&#xff0c;它们会争夺水源&#xff0c;两者都会死去。 给你一个整数数组 flowerbed 表示花坛&#xff0c;由若干 0 和 1 组成&#xff0c…