【“ZiDongHua”科技觀察:《數(shù)據(jù)安全治理自動(dòng)化技術(shù)框架》白皮書(shū)】北京天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司創(chuàng)始人、CEO劉霖,對(duì)數(shù)據(jù)安全治理自動(dòng)化體系(DSAG)進(jìn)行了詳細(xì)的解讀。DSAG的亮點(diǎn)可以概況為“六化一管”,分別是數(shù)據(jù)分類分級(jí)自動(dòng)化、數(shù)據(jù)安全處理自動(dòng)化、行為分析智能化、數(shù)據(jù)脫敏全面化、API數(shù)據(jù)內(nèi)容分析細(xì)?;?、DSAG編程管理可視化、一把手?jǐn)?shù)據(jù)安全管理“一支筆”。

 

 

《數(shù)據(jù)安全治理自動(dòng)化技術(shù)框架》白皮書(shū)正式發(fā)布

 



?  9月6日,2022數(shù)據(jù)安全技術(shù)大會(huì)隆重舉辦,由中國(guó)信息協(xié)會(huì)信息安全專委會(huì)數(shù)據(jù)安全技術(shù)工作部指導(dǎo),組長(zhǎng)單位北京天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司主編,成員單位深圳昂楷科技有限公司、神州數(shù)碼(中國(guó))有限公司、北京芯盾時(shí)代科技有限公司、廣州市溢信科技股份有限公司、上海安言信息技術(shù)有限公司、上海鴻翼軟件技術(shù)股份有限公司、上海市大數(shù)據(jù)股份有限公司、深圳永安在線科技有限公司共同參與的數(shù)據(jù)安全治理自動(dòng)化技術(shù)框架(DSAG)白皮書(shū)在大會(huì)上正式發(fā)布。( 文末下載《數(shù)據(jù)安全治理自動(dòng)化技術(shù)框架》白皮書(shū))

 



《數(shù)據(jù)安全治理自動(dòng)化技術(shù)框架》白皮書(shū)正式發(fā)布

2022.09.06
 

 

 

隨著《數(shù)據(jù)安全法》的發(fā)布,數(shù)據(jù)安全重新站到了聚光燈下,成為了整個(gè)信息安全行業(yè)關(guān)注的焦點(diǎn)。

 

特別是在疫情期間,數(shù)字化政府的建設(shè)進(jìn)入到加速模式。比如,我們熟悉的 “健康碼”、“行程碼”等數(shù)字化應(yīng)用就是數(shù)字化建設(shè)的典型。但是,在數(shù)字化加速發(fā)展的進(jìn)程中,也帶來(lái)了數(shù)據(jù)大規(guī)模泄露的隱患。無(wú)論是國(guó)內(nèi),還是國(guó)際,對(duì)數(shù)據(jù)安全的重視都到了空前的程度。

 

因此做好數(shù)據(jù)安全,進(jìn)行數(shù)據(jù)安全治理,將成為數(shù)字經(jīng)濟(jì)發(fā)展的首要工作。

在本次會(huì)議上,北京天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司創(chuàng)始人、CEO劉霖,對(duì)數(shù)據(jù)安全治理自動(dòng)化體系(DSAG)進(jìn)行了詳細(xì)的解讀。


《數(shù)據(jù)安全治理自動(dòng)化技術(shù)框架》白皮書(shū)

 

 



研發(fā)數(shù)據(jù)安全治理自動(dòng)化體系(DSAG)的初衷

 

 

 

數(shù)據(jù)安全在中國(guó)起步比較晚,數(shù)據(jù)安全的技術(shù)工具和標(biāo)準(zhǔn)成熟度也較晚。關(guān)于數(shù)據(jù)安全的技術(shù)標(biāo)準(zhǔn)和措施我們可以參考一下國(guó)外的做法,比如美國(guó)的持續(xù)診斷和緩解計(jì)劃(CDM)。

美國(guó)持續(xù)診斷與緩解 (CDM)項(xiàng)目,是國(guó)土安全部(DHS)國(guó)家網(wǎng)絡(luò)空間安全保護(hù)系統(tǒng)(NCPS)計(jì)劃三大項(xiàng)目之一,早在2012年美國(guó)國(guó)土安全局就提出了這個(gè)概念。CDM提供了一套一致的、政府范圍的連續(xù)診斷解決方案,以增強(qiáng)政府識(shí)別和緩解新出現(xiàn)的網(wǎng)絡(luò)威脅影響的能力。CDM系統(tǒng)有兩個(gè)特點(diǎn),一是系統(tǒng)本質(zhì)上是美國(guó)國(guó)家的數(shù)據(jù)安全防護(hù)能力提升的一套系統(tǒng);二是不再?gòu)?qiáng)調(diào)某一種安全標(biāo)準(zhǔn)或者某一種規(guī)范,更多強(qiáng)調(diào)的是數(shù)據(jù)安全防護(hù)系統(tǒng)的能力,能力的核心是數(shù)據(jù)安全防護(hù)。

CDM能夠提升識(shí)別和減輕新興網(wǎng)絡(luò)威脅影響的能力,以減少網(wǎng)絡(luò)威脅面,提高對(duì)安全態(tài)勢(shì)的可見(jiàn)性,提升安全響應(yīng)能力等。

CDM跟我們的數(shù)據(jù)安全治理自動(dòng)化體系(DSAG)的理念非常類似。我們?cè)谥袊?guó)接觸到的美國(guó)網(wǎng)絡(luò)安全公司,主要是數(shù)據(jù)安全公司,都參與了CDM這個(gè)系統(tǒng)的建設(shè),包括美國(guó)很多咨詢機(jī)構(gòu)。因此,我們希望借鑒CDM項(xiàng)目的先進(jìn)做法,參考其中標(biāo)準(zhǔn),建立我國(guó)的“CDM項(xiàng)目”-數(shù)據(jù)安全治理自動(dòng)化(DSAG)。


數(shù)據(jù)安全治理自動(dòng)化(DSAG)與數(shù)據(jù)安全治理(DSG)的區(qū)別

   

Gartner在2018年的下半年,發(fā)布了數(shù)據(jù)安全治理框架(DSG)。DSG的理念是數(shù)據(jù)安全治理是從決策層到技術(shù)層,從管理制度到工具支撐,自上而下貫穿整個(gè)組織架構(gòu)的完整鏈條。組織內(nèi)的各個(gè)層級(jí)之間需要對(duì)數(shù)據(jù)安全治理的目標(biāo)和宗旨取得共識(shí),確保采取合理和適當(dāng)?shù)拇胧宰钣行У姆绞奖Wo(hù)信息資源。CDM和DSG這兩個(gè)系統(tǒng)都強(qiáng)調(diào)圍繞業(yè)務(wù)做數(shù)據(jù)安全能力的提升,這兩個(gè)框架之間有很強(qiáng)的關(guān)聯(lián)性,可以簡(jiǎn)單的認(rèn)為DSG是CDM系統(tǒng)的精簡(jiǎn)版。DSG的最大亮點(diǎn)是提出了“數(shù)據(jù)安全的建設(shè)要和業(yè)務(wù)緊密結(jié)合,而不是用某一個(gè)標(biāo)準(zhǔn)”。但是DSG的弱點(diǎn)也顯而易見(jiàn),比如效率偏低、周期長(zhǎng),成本高。最主要的是DSG的智能化能力偏弱,其中強(qiáng)調(diào)的技術(shù),UEBA、CASB,以及一些針對(duì)結(jié)構(gòu)化數(shù)據(jù)和非機(jī)構(gòu)化數(shù)據(jù)識(shí)別的技術(shù),并沒(méi)有提供給中國(guó),以致于在中國(guó)只有體系,沒(méi)有技術(shù),數(shù)據(jù)安全治理根本無(wú)法落地,也不能給企業(yè)帶來(lái)價(jià)值。

最近幾年,國(guó)際上在數(shù)據(jù)安全方面的自動(dòng)化和智能化新技術(shù)層出不窮,但是這些技術(shù)在中國(guó)并沒(méi)有被使用,甚至沒(méi)有被了解,因?yàn)闅W美企業(yè)不提供這樣的技術(shù)給中國(guó)用戶。

 

因此,近幾年,在中國(guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)的領(lǐng)導(dǎo)下,天空衛(wèi)士在數(shù)據(jù)安全治理技術(shù)上加大了投入力度,針對(duì)DSG的缺陷進(jìn)行了提升,彌補(bǔ)了技術(shù)的缺失,要真正解決數(shù)據(jù)安全核心技術(shù)受制于人的局面。

 

 

 

數(shù)據(jù)安全治理自動(dòng)化體系(DSAG)的特點(diǎn)

 

 

     數(shù)據(jù)安全治理自動(dòng)化(DSAG)通過(guò)自動(dòng)化技術(shù),識(shí)別結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù),從企業(yè)內(nèi)數(shù)據(jù)資源發(fā)現(xiàn),到對(duì)數(shù)據(jù)進(jìn)行分類分級(jí),并以數(shù)據(jù)分類分級(jí)對(duì)象為核心,用戶行為分析為增強(qiáng)手段,進(jìn)行數(shù)據(jù)安全策略的配置和執(zhí)行,全方位地覆蓋數(shù)據(jù)安全治理周期的每一個(gè)環(huán)節(jié)。DSAG最大化的實(shí)現(xiàn)自動(dòng)化,令人工干預(yù)降至最少,在必要的人工環(huán)節(jié)使用智能輔助,減少人為錯(cuò)誤,更有效率及有效性地提高了數(shù)據(jù)工作的安全性。

 

DSAG的亮點(diǎn)可以概況為“六化一管”,分別是數(shù)據(jù)分類分級(jí)自動(dòng)化、數(shù)據(jù)安全處理自動(dòng)化、行為分析智能化、數(shù)據(jù)脫敏全面化、API數(shù)據(jù)內(nèi)容分析細(xì)?;?、DSAG編程管理可視化、一把手?jǐn)?shù)據(jù)安全管理“一支筆”。

1 ? 數(shù)據(jù)分類分級(jí)自動(dòng)化

DSAG通過(guò)自然語(yǔ)言處理、自動(dòng)聚類技術(shù)、以及深度學(xué)習(xí)等技術(shù)對(duì)海量的數(shù)據(jù)進(jìn)行自動(dòng)的分類分級(jí)。DSAG對(duì)海量數(shù)據(jù)經(jīng)過(guò)初步的分類分級(jí)后,再根據(jù)用戶所在的行業(yè)和業(yè)務(wù)進(jìn)行模板配置和處理。目前的DSAG體系里涉及到的數(shù)據(jù)模板有上千種,未來(lái)我們會(huì)把數(shù)據(jù)模板擴(kuò)充到上萬(wàn)種,可以針對(duì)各個(gè)行業(yè)、不同規(guī)模的用戶做模板配置,進(jìn)一步的分解、緩解壓力,降低人工成本。

DSAG通過(guò)聚類分類技術(shù)以及模板技術(shù)對(duì)數(shù)據(jù)進(jìn)行初步的處理后,還可以進(jìn)一步根據(jù)數(shù)據(jù)不同的類型和級(jí)別對(duì)數(shù)據(jù)做進(jìn)一步操作管控,比如加密、脫敏、打標(biāo)簽、添加水印等,這些技術(shù)由我們的合作伙伴提供,昂楷、鴻翼、IPGuard、永安在線、芯盾時(shí)代等廠商都可以接入DSAG平臺(tái)進(jìn)行業(yè)務(wù)聯(lián)動(dòng)。

2 ?數(shù)據(jù)安全處理自動(dòng)化

DSAG對(duì)數(shù)據(jù)安全的處理最大化使用自動(dòng)化,包括對(duì)數(shù)據(jù)分類分級(jí)、對(duì)數(shù)據(jù)的使用行為進(jìn)行管控、對(duì)于人的行為進(jìn)行分析,對(duì)于API里傳輸?shù)膬?nèi)容進(jìn)行管理,對(duì)于數(shù)據(jù)輸出進(jìn)行管理等。DSAG將人工干預(yù)降到最少,并在需要人工介入的環(huán)節(jié)通過(guò)工具和界面做到智能輔助。同時(shí)在數(shù)據(jù)安全治理自動(dòng)化系統(tǒng)中,還針對(duì)數(shù)據(jù)安全治理步驟的不同環(huán)節(jié),根據(jù)參與人員的全局視野、技術(shù)能力、專業(yè)特長(zhǎng)的區(qū)別,為企業(yè)設(shè)計(jì)了不同的數(shù)據(jù)安全參與角色。

3 ?數(shù)據(jù)脫敏全面化

我們現(xiàn)在在市場(chǎng)上接觸到的數(shù)據(jù)脫敏技術(shù),絕大多數(shù)是結(jié)構(gòu)化數(shù)據(jù)脫敏。實(shí)際上業(yè)務(wù)系統(tǒng)里的數(shù)據(jù),90%以上都是非結(jié)構(gòu)化數(shù)據(jù),比如Word文檔、電子表格、圖片等等。而基于數(shù)據(jù)庫(kù)的脫敏技術(shù)無(wú)法覆蓋這些非結(jié)構(gòu)化數(shù)據(jù)。數(shù)據(jù)是流通的,當(dāng)這些結(jié)構(gòu)化數(shù)據(jù)離開(kāi)了數(shù)據(jù)庫(kù)以后,就失去了保護(hù)。DSAG的脫敏可以針對(duì)所有類型的數(shù)據(jù)進(jìn)行脫敏,無(wú)論是結(jié)構(gòu)化數(shù)據(jù)還是非結(jié)構(gòu)化數(shù)據(jù)。

4 ?API數(shù)據(jù)內(nèi)容分析細(xì)?;?/p>

 

傳統(tǒng)的API防護(hù),更多強(qiáng)調(diào)API里的病毒防護(hù)、漏洞、補(bǔ)丁,但是并不檢測(cè)其中的數(shù)據(jù)內(nèi)容。如果通過(guò)API傳輸了違規(guī)內(nèi)容和機(jī)密信息,傳統(tǒng)的API防護(hù)根本無(wú)法察覺(jué)。

 

DSAG是國(guó)內(nèi)首個(gè)可以提供API內(nèi)容分析細(xì)?;漠a(chǎn)品。我們可以把API的檢測(cè)原理理解為機(jī)場(chǎng)安檢儀,在不影響旅行的前提下,快速把有害數(shù)據(jù)攔截住,保障有用的數(shù)據(jù)正常的流通。

5 ? 行為分析智能化

 

傳統(tǒng)的數(shù)據(jù)防泄露技術(shù),可能會(huì)產(chǎn)生大量的事件,給信息安全部門的人員帶來(lái)很大的壓力。如果檢測(cè)的顆粒度太細(xì),會(huì)產(chǎn)生大量誤報(bào),如果檢查的顆粒度太粗,會(huì)有大量的漏報(bào),這是一個(gè)很難平衡的問(wèn)題。而DSAG使用人工智能分析技術(shù),把使用數(shù)據(jù)人的行為和使用數(shù)據(jù)的種類及內(nèi)容進(jìn)行更精準(zhǔn)的比對(duì),降低了人力成本,提高了效能。

6 ?DSAG編程管理可視化

傳統(tǒng)的可視化系統(tǒng)都是固定表格固定使用,用戶很難根據(jù)自己的需要定制頁(yè)面。在DSAG系統(tǒng)里,有一個(gè)非常靈活的模塊,叫“天空之眼”,是可編程化可模塊化的大屏,可以實(shí)現(xiàn)“千人千面”,用戶可以根據(jù)需要靈活搭建自己的可視化系統(tǒng),全面滿足用戶差異化需求。

7 ?一把手?jǐn)?shù)據(jù)安全管理“一支筆”

管理層或者一把手非常了解業(yè)務(wù),了解企業(yè)最核心數(shù)據(jù)是什么,哪些數(shù)據(jù)不能出去,哪些數(shù)據(jù)需要加強(qiáng)保護(hù)。但是并不了解數(shù)據(jù)安全技術(shù),所以很難下“命令”。DSAG跟傳統(tǒng)的數(shù)據(jù)安全平臺(tái)有很大區(qū)別的地方是將業(yè)務(wù)和數(shù)據(jù)安全相結(jié)合,管理層可以隨時(shí)的下命令,一支筆直接批示,直接處理,哪些數(shù)據(jù)需要他親自抓,哪些數(shù)據(jù)需要他親自要過(guò)問(wèn),甚至沒(méi)有他的批準(zhǔn),哪些數(shù)據(jù)是不能被使用的,簡(jiǎn)單明了。

 

 

 

數(shù)據(jù)安全治理自動(dòng)化體需要多廠商參與

 

 

數(shù)據(jù)安全治理能力建設(shè)并非單一產(chǎn)品或平臺(tái)的構(gòu)建,而是需要從數(shù)據(jù)全生命周期入手,從決策到技術(shù),從制度到工具,從組織架構(gòu)到安全技術(shù)通盤考慮,構(gòu)建全場(chǎng)景的數(shù)據(jù)安全體系。

 

數(shù)據(jù)安全治理,需要以人為中心,自上而下的建立數(shù)據(jù)安全治理體系。數(shù)據(jù)安全治理的落地涉及到多種技術(shù),比如加解密、DCAP、DLP、CASB、IAM、UEBA等。每個(gè)技術(shù)賽道都需要術(shù)業(yè)有專攻,在不同的技術(shù)領(lǐng)域,會(huì)有不同的優(yōu)秀代表廠商為大家服務(wù),不同廠商提供的安全技術(shù)如下:

 


作為中國(guó)數(shù)據(jù)安全技術(shù)的引領(lǐng)者,天空衛(wèi)士致力于發(fā)展以人為中心的新一代數(shù)據(jù)安全技術(shù)。通過(guò)《數(shù)據(jù)安全治理自動(dòng)化技術(shù)框架(DSAG)》的編寫(xiě)與發(fā)布,旨在為企業(yè)提供全面的數(shù)據(jù)安全治理平臺(tái)化產(chǎn)品。DSAG通過(guò)加入自動(dòng)化數(shù)據(jù)分類分級(jí)流程和數(shù)據(jù)分類分級(jí)保護(hù)API模塊,幫助企業(yè)降低數(shù)據(jù)安全治理的成本,提高企業(yè)數(shù)據(jù)安全防護(hù)能力。



     未來(lái),我們希望攜手國(guó)內(nèi)數(shù)據(jù)安全領(lǐng)域優(yōu)秀廠商實(shí)現(xiàn)對(duì)國(guó)際先進(jìn)數(shù)據(jù)安全技術(shù)的趕超,縮短中國(guó)數(shù)據(jù)安全技術(shù)與歐美國(guó)家之間的差距。打造中國(guó)本土的數(shù)據(jù)安全治理體系,共同推動(dòng)中國(guó)數(shù)據(jù)安全技術(shù)的發(fā)展,將關(guān)鍵技術(shù)牢牢掌握在自己手里。