從理論到實踐 一文看懂數安行的數據運營安全

數據運營安全(DataSecOps),是由北京數安行科技有限公司在國內首先提出的一種全新的數據安全防護理念,基於這套理念,數安行打造了數安行零信任數據運營安全平臺這樣一個產品,可以為客戶提供高效的、對業務無影響的數據安全防護。

對於這個新冒出來的名詞,很多小夥伴表示一臉茫然,也經常與數據安全運營等概念混淆。接下來,一篇文章為您解答關於數據運營安全的種種疑問,帶您了解數安行的創新防護巧思。

1、什麼是數據運營安全?

數據運營安全(DataSecOps)是一種新的數據安全防護理念。數安行站在數據運營的角度,重新理解當前數據安全風險發生的根本原因,並提出了應對思路。

其核心是在數據運營中內嵌數據安全屬性,解決數據運營過程中的數據安全問題,最終落地以一個產品或平臺的方式運行。本質即是對數據運營的全流程進行安全防護服務,所有的安全防護都圍繞數據運營展開,既覆蓋數據業務全流程,又與數據業務流程獨立運行互不影響。

其目標是在不影響數據業務流程正常運行的情況下,更有效地保護組織內的敏感數據資產,對敏感數據的擴散及濫用風險進行快速響應,將數據安全防護策略傳遞至參與數據運營的所有人員。

2、數據運營安全理念產生的背景

說完以上概念,那大家就會問了,到底什麼是數據運營,當前面臨的風險是怎麼樣的,為什麼需要運用一套新的思路來解決看似老生常談的數據安全問題?

首先,數據成為新的生產要素。

2020年4月,中共中央、國務院發布《關於構建更加完善的要素市場化配置體制機制的意見》,明確地表示數據成為生產要素。這是中央發布的第一份關於要素市場化配置的文件,表明數據將會是未來社會數位化、信息化發展的重要基礎。

在大數據時代,誰能夠讓我們描述「看不見的世界」,誰就能夠代表未來。針對數據的收集、分析、挖掘及共享能力,決定了企業的競爭力和創新力。也因此,大部分企業已經或者正在進行主動或被動的數位化轉型。

其次,數據運營環境和風險發生變化。

在數位化轉型過程中,企業面臨最顯著的變化就是業務主要由數據驅動,數據呈爆發式的增長,業務流程複雜,跨部門、跨角色的協作共享越來越多,大部分人都會參與到數據運營的過程中,包括數據的生產、存儲、傳遞、接收、分析、共享等等環節。

這意味著,數據不再存在於單一的使用環境中,除了資料庫,還會存在於業務系統中、各類雲應用中、大數據平臺中以及每一臺終端,甚至每一個參與過數據運營的人員手中。數據的格式、種類也極其豐富,數據存儲、流轉及使用已構成一個複雜的數據生態。

這種變化提升了企業的數據利用效率,但是敏感數據也面臨更複雜的暴露風險和擴散濫用風險。企業管理者可能並不完全知道敏感數據資產都有哪些、都存在哪裡,內部高速又繁雜的數據流轉容易導致敏感數據的無序擴散和違規濫用,更不用說惡意的主動洩密及攻擊竊取等危險行為。這些容易產生風險的環節大部分發生在組織內部,各種計算側環境中,而不是以往我們緊盯著的系統或網絡的邊界處。

再者,傳統的邊界防護逐漸式微。

正因為數據的運營環境和風險發生了轉變,因此傳統的防護手段開始顯得力不從心。在IT時代,企業的信息化建設是以系統和網絡為中心的,對應的安全防護也是以系統和網絡邊界的防護為重心,更多關注邊界處的數據洩露和外部攻擊。只要攔住了,就沒事了。

但是對於上面提到的風險特點,風險是在內部積聚的,內部敏感數據的存儲、擴散風險到了失控的狀態時,邊界的防護壓力就會非常大,防護效果顯著降低。而且這種敏感數據違規濫用的情況本身就不是發生在邊界處,因此大部分產品對於這種風險既無檢測感知能力,也沒有響應保護能力。

傳統安全防護的產品邏輯已經決定了,其本身就不具備敏感數據資產的識別能力,也不具備數據運營全流程下敏感數據資產識別及跟蹤能力,拿不到高質量的信息源,也就不能準確識別這些風險,更無法對這些風險進行快速響應處置,即使進行產品升級也於事無補。

因此,數據運營安全是應對新時代數據安全問題的一個更好的解題思路。

既然安全風險產生於數據運營的各個環節,那防護就不應該再盯著各個系統和網絡,而是回到問題的本質,以數據為核心,圍繞數據運營的全流程來展開防護。

同時數安行認為,安全應該是業務的推手而不是阻礙,不能讓安全妨礙業務的開展,數據一定要流動起來才能產生價值,因此防護不是「一刀切」,不是「能攔就攔」,而是不影響業務流程的正常運行,去進行有效又無感的防護。

3、數安行是怎麼做到「有效防護數據安全又不影響業務運行」的?

數安行目前已經建立了零信任數據運營安全平臺,將數據運營安全的思維產品化,以人工智慧為核心驅動,通過數據運營安全切面的方式,在不改變網絡架構、不改造業務的情況下,從數據本體防護角度出發,提升數據運營過程中數據自身的安全性,保證數據運營過程中數據的安全。

·全類型多源敏感數據資產發現及全景展示

數據運營安全理念的真實落地,首先要具備的就是對敏感數據資產的全類型識別及準確分類能力。數安行零信任數據運營安全平臺內置了幾百種開箱即用的數據分類模型,支持上萬種數據格式識別,支持各類型文檔內容深度解析,可以快速梳理出企業的敏感資產分布。

同時藉助基於小樣本機器學習的數據精細分類智能模型,可以對各個行業、各類法律合規對應的數據資產進行快速準確的分類分級。通過對業務系統、數據中心以及計算側等多源敏感數據資產進行智能梳理,構建敏感數據資產全景視圖,摸底組織內敏感數據暴露風險,並支持敏感信息的關聯分析及快速檢索。

高質量、高效率的敏感數據分類,是數據運營安全的基礎。

·全流程敏感數據流動及擴散風險感知

理清了敏感數據,就需要掌握敏感數據的動向,以便及時捕捉、追溯並處置風險行為。數安行零信任數據運營安全平臺建立了敏感數據與主體的映射關係,對敏感數據進行全流程自動標註跟蹤,對用戶使用敏感數據也進行標註跟蹤,對異常應用敏感數據探測回傳監控,使得敏感數據的狀態變化及流轉軌跡可以追溯,以便實時感知敏感數據的擴散及違規濫用風險。

對於違規濫用行為及時響應處理,通過數據全鏈路跟蹤分析對於一些惡意的數據變形洩露以及一些APT攻擊竊取、勒索病毒加密破壞等都可以進行準確的識別以及及時的響應處置,促進數據有序流轉及安全協作共享。

對敏感數據進行全流程的標註跟蹤,以及流轉軌跡的智能聚合追溯,是數據運營安全的核心。

·輕量化微隔離自適應精準防護

數據運營過程中各個環節、各種數據角色操作的數據特點和重要程度有很大差異,這也要求對於不同環境、數據角色及風險用戶要採取不同的防護措施,這樣才能防止因為防護過重或者不靈活導致的業務流程中斷等風險。

數安行零信任數據運營安全平臺內置豐富的防護工具箱,包括零信任的安全沙箱、動態的存儲隔離、流動數據的微隔離防護、敏感內容感知加密等等,藉助分布式智能風險評估模型,可以很智能地實現基於用戶角色和風險變化的自適應防護策略。

能夠根據個性化的用戶情況實現自適應的精準防護,是數據運營安全的保障。

4、數安行零信任數據運營安全平臺為什麼不會影響業務的運行?

前面多次提到,數據運營安全理念堅持的是既要覆蓋數據業務全流程,又與數據業務流程獨立運行。不會阻礙業務施展的防護才是好防護,否則只會被關停棄用。

這就不得不提數安行產品的安全切面邏輯。

在真實的數據運營環境中,涉及到數據、人、流程等要素,從業務的角度來看,有個人隱私信息、運維數據、商業機密等不同的數據,訪問數據的是不同權限、不同身份角色的人員、接口和設備,環境中會進行數據收集、數據處理、數據分析、數據協作等多種操作流程。

對敏感數據資產從存儲到流轉、共享等各個環節進行映射,那安全防護會涉及到身份鑑別、環境感知、數據發現、行為檢測、風險評估、標註跟蹤、精準防護等等方面。數安行零信任數據運營安全平臺這種基於安全切面的設計邏輯,可以完整、真實、實時地覆蓋到業務的全流程,同時又與業務互不幹擾、互不影響。

5、數安行是如何將數據運營安全與零信任進行有機整合的?

零信任的本質是「持續驗證,永不信任」,對身份的驗證和對環境以及用戶的風險評估是零信任的基礎,也是數據運營安全的基礎之一,兩者具備有機整合的底層邏輯基礎。

數安行對敏感數據內容及使用環境進行持續的檢測分析,對於使用數據的主體用戶也會進行身份角色驗證和持續的風險評估,數安行零信任數據運營安全平臺本身具有用戶身份及授權設備的管理和雙重驗證能力。

有了對敏感數據和用戶身份及風險的檢測識別能力,就可以準確地識別內部的擴散風險和違規濫用風險。默認所有的人和環境都是不可信的,而且信任狀態也是持續變化的,基於這種持續的、動態的風險評估,才能真正實現自適應的安全防護。數安行在對重要業務的訪問保護以及重要數據的隔離防護上都使用了零信任的安全架構,實現敏感數據的主客體準確識別及風險動態評估,以及對各種風險的及時響應處置。

6、數據運營安全與數據安全運營有什麼區別?

因為名稱相近,也因為後者更早出現,許多用戶會認為數安行也是做數據安全運營的。

數據運營是對於數據從存儲到流轉及使用一系列複雜流程的總稱,這其中除了人員,也涉及到多種多樣的工具、接口、產品和系統的使用。為了防範數據安全風險,企業或多或少都部署了各種防護產品。隨著系統與業務的擴大,防護產品也堆疊得越來越多。這過程中也產生了諸多的日誌、預警等數據,安全運維人員需要關聯不同產品的數據和日誌來進行綜合分析評估,以便做出更正確的響應決策。數據安全運營便是這樣一套針對諸多安全產品的運維思路,通過科學的流程、人員、工具的配合,讓運維人員更好地發現、掌握數據運營過程中的風險,做出更高效的安全處置。

7、數安行的未來願景

數據一定是在流動中才能產生更多的價值,這不僅體現在我們所要保護的客戶業務數據中,也體現在安全防護自身當中。因此數安行一直秉持著開放共享合作的心態,意在建立全場景數據運營安生態。

也基於此,產品平臺在一開始的設計上就考慮了這種生態的建立,藉助數安行零信任數據運營安全平臺,可以對外輸出敏感數據資產的識別及分類能力、敏感數據的全流程標註跟蹤能力、擴散風險的態勢感知報告、以及自適應工具箱的防護能力。這樣高價值的輸出,既能和其他品類的安全產品和應用系統實現能力共享和擴展延伸,促進安全能力的有機快速流轉;也能激活用戶的存量系統和產品能力,重新賦能、發揮這些產品在數據運營中的防護效用。

最終,建設真正實現數據運營安全的生態體系,為客戶提供全場景的數據運營安全防護解決方案,讓數據安全地創造價值。

聲明：本站轉載此文目的在於傳遞更多信息，並不代表贊同其觀點和對其真實性負責。如涉及作品內容、版權和其它問題，請在30日內與本網聯繫，我們將在第一時間刪除內容,本網站對此聲明具有最終解釋權。