背景
随着大数据、人工智能、物联网等技术飞速发展以及企业数字化转型的深入,业务数据化、数据业务化正在改变企业的商业模式。企业在获得数据价值增值带来的经济收益和生产力提升的同时,数据的多态性、易复制性和越来越高的价值属性使得数据面临很大的风险。同时随着《数据安全法》和《个人信息保护法》的颁布施行,数据安全与隐私保护问题越来越引起国家、社会以及企业的重视。未来企业既要关注知识产权等企业商业数据的扩散泄露风险,同时也要保证合法合规的使用个人信息等敏感数据。
数据安全的定义
数据是信息、知识以及智慧的载体,如果从数据中抽取不出任何信息,这样的数据没有任何价值,也没有保护的必要。数据作为信息、知识和智慧的载体,本身就有了价值,保护数据实际是保护数据本身承载的价值。
随着数字技术的发展,人类从数据中提取信息的能力不断增强,数据承载的价值越来越高,各种攻击手段、攻击技术的目的都是为了获取数据的价值,近些年勒索病毒肆虐、勒索事件不断增长,而且攻击越来越呈现出组织化特点,都是因为数据的价值越来越高,犯罪动机越来越强。
图一DIKW模型对数据本质的定义
国家、企业以及个人都意识到数据的重要性,数据已经和土地、劳动力、资本以及技术并列,成为五大重要生产要素之一。国家加强数据相关立法一方面是保护国家资源、国家利益,通过法律来保护国家之间的数据合作与竞争,另外一方面规范市场,既然数据已经是重要的生产要素,就要像保护其他要素一样来保护数据。
数据多态性、易复制性等特点又导致数据和其他要素相比识别和保护更复杂,从法规、政策以及技术手段都表现出独特性。狭义的数据安全就是保证数据不发生泄露、不被篡改破坏、做好访问控制。广义的数据安全是数据价值的保护、保证数据使用的合规,在数字时代数据安全与业务不再是割裂的、独立建设的状态,安全与业务是伴生的,通过采取必要措施,确保数据在采集、存储、处理、传输、共享以及销毁的数据全生命周期中处于有效保护和合法利用的状态,以及保障数据处于持续安全状态的能力,实现数据开发利用与数据安全的有效平衡。
数据安全的发展现状
在IDC的分析报告中,2020年全球创造了59ZB的数据,其中一半以上(50.4%)的数据需要一定程度的保护,近四分之一的数据被认为是私人的或通常不向公众提供的数据,安全级别很高,但却缺乏保护。另外关键的是,与消费者相比,企业要保护的数据更多,占需要保护数据总量的85.6%。
《数据安全法》和《个人信息保护法》的发布实施使得政策引导监管的趋势增强,也进一步激发了数据安全市场需求。
市场需求增长和政策合规双重驱动导致数据安全行业也受到了资本的极大关注和青睐,数据安全行业的投融资数量和金额增长迅速,资本的加持将加速数据安全行业的技术创新。
图二 Ermetic和IDC2020年数据泄露调研分析图三 数说安全2021年网络安全融资赛道热度分析
随着数据的爆炸式增长,企业数据协同管理活动不断增加,数据处理自动化水平越来越高,然而数据暴露面不断增加,数据风险敞口越来越多,大部分数据未采取有效跟踪和安全防护手段,这使得一方面风险很难预知,另一方面数据一旦发生泄露又很难快速响应和追溯。2020年数据泄露数量超出过去15年的总和。虽然企业中进行了一些数据安全能力建设,但是总体上,目前数据安全现状中仍存在以下的问题和特点:
(一)被保护对象不明确
在企业的业务流程中,既有结构化的数据也有非结构化的数据,数据既存在数据库中,也会散落在各个终端电脑中。传统的防护是以网络和系统为中心,更多关注的是数据的存储位置以及所在的业务系统。从数据的角度来说保护对象比较粗,无法从数据价值、数据类型以及业务关系的角度对数据资产进行梳理,无法根据数据的重要程度和泄露影响采取不同的管控措施,导致数据安全保护没有有效的抓手,安全收益很难量化。
(二)数据风险敞口监测保护不全
传统的数据防护手段更多关注数据边界的防护,主要关注网络和终端边界。而随着新的数字技术的发展,数据使用场景的增加以及数据上云,数据生命周期中涉及的节点数量变多,数据形态多样,数据除了在边界处会发生泄露风险,内部数据在流动过程中的扩散泄露以及被攻击窃取的风险也在不断增加,只进行边界防护会存在很大的数据防护盲区。
(三)流动数据保护手段缺失
对于流动数据的保护,传统的解决方案主要是使用DLP技术,这种方案的不足在于,它仅在数据离开端点或网络边界时才对数据进行检测,根据提前设置好的规则进行阻止或加密等响应动作。而攻击者或内部恶意用户很清楚目前边界防护的一些弱点,例如恶意软件和勒索软件会对数据进行加密篡改,恶意用户使用数据隐写等隐蔽的方式泄露数据,这些新兴的攻击窃取手段都暴露出了传统技术手段对流动数据保护不足的弱点。
(四)缺乏自动化合规评估手段
随着国家立法和行业监管标准的不断完善,监管越来越严,未来数据安全合规监管将会是常态化的工作,以查促建、以查促防,而企业也应该建立自动化的、持续的合规评估流程和技术体系来应对监管。
目前企业中针对重要数据资产报备,敏感数据暴露面检测,存储、业务、用户等多维度数据安全风险评估等主要还是以人工或半人工的方式进行,缺乏自动化的技术手段,随着数据不断增长、业务流程越来越复杂,靠人工的方式很难应对日常的监管考核。
另外在个人隐私合规方面,《个人信息保护法》中强调保障数据主体对于其个人数据的控制能力,从而保障其合法权益不被侵害。每一位个人用户都有可能提出差异化的权利主张,包括要求数据处理者删除个人数据,不要再对其进行营销等等。企业必须要保证每一位个人用户应享有的权利,有能力从海量数据中准确地找出某一位用户的全部个人数据以履行客户的数据权利,这些工作必须依赖于自动化的系统工具才能完成。
数据安全未来发展趋势
未来数据安全是原生性的数据安全防护与数据安全监管合规评估双轮驱动,从过去单点、边界式的防护向数据安全治理发展。整个数据安全体系建设涉及制度建设、组织和管理框架优化以及平台架构和技术体系的迭代更新。随着监管法规的完善、具体审查办法的出台以及新兴数字化技术的发展,数据安全技术的发展及安全价值与业务将形成一种伴生关系,没有安全支撑的数据业务场景将是无本之木,很难健康持续发展。
(一)数据安全左移趋势
面对数据处理分析趋势以及随之而来的安全挑战,我们需要新的防护理念和安全架构,使数据在存储、应用以及终端中都能保证数据被安全地存储、使用和流转,既要满足合规要求又要做到风险可控,这需要将数据防护措施从边界延展到数据运营全流程。
因此新兴的数据安全产品架构也将向安全左移的趋势发展,覆盖数据处理、使用以及流转的全过程,侧重持续化的数据跟踪和风险监测。数据安全左移不只是数据的防护回撤到后端业务侧,而是横贯数据处理流转的主要环节,不再只守着边界,这是数字时代以数据为中心的安全发展的必然趋势。数据的共享不只有网络和终端,还有越来越多的API接口,不再只有结构化数据,还有大量的非结构化数据以及终端中存储的各种暗数据,同一份数据不再只有一种形态,可能是一张表,也可能是一份excel文件,也可能是隐藏到图片中的数据。
Gartner在2018年数据管理技术成熟度曲线中将DataOps定义为“一种协同式的数据管理活动,侧重于提升整个组织中数据管理者和数据使用者之间围绕数据流的沟通、集成和自动化水平。”
而通过在DataOps中内嵌安全属性的方式,可以实现数据安全左移的技术落地,DataSecOps基于DevSecOps的理念发展而来,同时结合DataOps的特点,基本思想就是将安全属性内嵌到DataOps中,是一种自动化的安全,是数据安全左移的必然产物,从而实现了数据安全能力的延展,覆盖各个数据处理流程。
DataOps关注的是数据处理的效率,DataSecOps的目标是保证数据安全的处理使用。通过在DataOps中内嵌安全属性一方面实现数据全流程的防护,一方面实现数据开发利用与数据安全的有效平衡。通过DataSecOps的防护理念可以更全面地识别数据,更有效地保护重要数据,更早地识别风险,打破业务、IT以及数据安全团队的沟通界限,从而整体上降低数据安全建设成本,提升数据安全建设收益。重点围绕数据识别与数据流映射、保护自动化、风险的持续监控、数据安全合规评估等四个方面进行数据安全体系建设。
(二)数据识别与数据流映射
数据安全威胁是多种多样的,边界阻拦或数据加密只能对非常明确的保护对象和场景有效,在不清楚组织有什么类型的数据,不了解数据的应用场景及流转环节的情况下很难成体系地进行数据安全能力建设。对于敏感数据资产,不仅仅要考虑数据的重要程度、存储位置,更要关注数据的主要风险敞口,摸清家底或脆弱点,应对合规监管及数据泄露风险防护。因此数据分类分级、数据处理流程的自动梳理将成为数据安全建设的重要抓手。
(三)持续的数据安全风险监测
我们不可能创建一劳永逸的数据安全防护体系,针对高价值数据的攻击窃取将是常态化的。因此我们不能把数据安全体系的建设目标定为将数据放在笼子里永远不会丢失,而是让数据在充分流动的情况下同时关注数据风险的变化,进而采取及时的响应措施。因此数据安全的防御方案要在假设出现了新的窃取风险的前提下如何快速识别风险而进行设计,对于风险的持续监测能力也变得非常重要,我们可以提前对已知风险敞口进行防御,同时我们还需要考虑对未知风险和漏洞的防御,我们站在数据未知风险的角度做好风险的抵御,根据数据重要程度以及风险发生的概率考虑最佳的安全建设投入。
(四)数据安全风险合规评估
数据安全合规评估类似于人体的健康体检,阶段性的数据安全评估,可以指导客户去做业务和安全整改,基于评估报告内容指导客户下一步该怎么去做,针对评估报告中具体的中高风险业务系统、终端用户,做到风险的持续收敛,通过多次循环的评估检查过程最终实现数据安全的快速合规。《数据安全法》和《个人信息保护法》出台之后会加速各个行业数据安全监管和考核标准的快速出台,针对各个行业的不同特点,有针对性地对行业客户进行数据安全合规评估,最终实现行业、企业合法合规的使用数据。
结论
随着数据安全相关技术标准及审查办法的细化出台,未来数据安全与网络安全会出现平行发展的态势。结合各方面力量从法律法规体系成熟化、行业及技术标准完备性、产品架构及技术持续创新以及数据安全人才梯队的培养等方向共同努力,数据安全将逐渐往精细化、合规驱动方向发展,通过各方的共同努力去打造一个成熟的数据安全生态,打造合法、安全的数据开发利用环境。