【“ZiDongHua”科技觀察:《數(shù)據(jù)安全治理自動化技術框架》白皮書】北京天空衛(wèi)士網(wǎng)絡安全技術有限公司創(chuàng)始人、CEO劉霖,對數(shù)據(jù)安全治理自動化體系(DSAG)進行了詳細的解讀。DSAG的亮點可以概況為“六化一管”,分別是數(shù)據(jù)分類分級自動化、數(shù)據(jù)安全處理自動化、行為分析智能化、數(shù)據(jù)脫敏全面化、API數(shù)據(jù)內(nèi)容分析細粒化、DSAG編程管理可視化、一把手數(shù)據(jù)安全管理“一支筆”。

 

 

《數(shù)據(jù)安全治理自動化技術框架》白皮書正式發(fā)布

 



?  9月6日,2022數(shù)據(jù)安全技術大會隆重舉辦,由中國信息協(xié)會信息安全專委會數(shù)據(jù)安全技術工作部指導,組長單位北京天空衛(wèi)士網(wǎng)絡安全技術有限公司主編,成員單位深圳昂楷科技有限公司、神州數(shù)碼(中國)有限公司、北京芯盾時代科技有限公司、廣州市溢信科技股份有限公司、上海安言信息技術有限公司、上海鴻翼軟件技術股份有限公司、上海市大數(shù)據(jù)股份有限公司、深圳永安在線科技有限公司共同參與的數(shù)據(jù)安全治理自動化技術框架(DSAG)白皮書在大會上正式發(fā)布。( 文末下載《數(shù)據(jù)安全治理自動化技術框架》白皮書)

 



《數(shù)據(jù)安全治理自動化技術框架》白皮書正式發(fā)布

2022.09.06
 

 

 

隨著《數(shù)據(jù)安全法》的發(fā)布,數(shù)據(jù)安全重新站到了聚光燈下,成為了整個信息安全行業(yè)關注的焦點。

 

特別是在疫情期間,數(shù)字化政府的建設進入到加速模式。比如,我們熟悉的 “健康碼”、“行程碼”等數(shù)字化應用就是數(shù)字化建設的典型。但是,在數(shù)字化加速發(fā)展的進程中,也帶來了數(shù)據(jù)大規(guī)模泄露的隱患。無論是國內(nèi),還是國際,對數(shù)據(jù)安全的重視都到了空前的程度。

 

因此做好數(shù)據(jù)安全,進行數(shù)據(jù)安全治理,將成為數(shù)字經(jīng)濟發(fā)展的首要工作。

在本次會議上,北京天空衛(wèi)士網(wǎng)絡安全技術有限公司創(chuàng)始人、CEO劉霖,對數(shù)據(jù)安全治理自動化體系(DSAG)進行了詳細的解讀。


《數(shù)據(jù)安全治理自動化技術框架》白皮書

 

 



研發(fā)數(shù)據(jù)安全治理自動化體系(DSAG)的初衷

 

 

 

數(shù)據(jù)安全在中國起步比較晚,數(shù)據(jù)安全的技術工具和標準成熟度也較晚。關于數(shù)據(jù)安全的技術標準和措施我們可以參考一下國外的做法,比如美國的持續(xù)診斷和緩解計劃(CDM)。

美國持續(xù)診斷與緩解 (CDM)項目,是國土安全部(DHS)國家網(wǎng)絡空間安全保護系統(tǒng)(NCPS)計劃三大項目之一,早在2012年美國國土安全局就提出了這個概念。CDM提供了一套一致的、政府范圍的連續(xù)診斷解決方案,以增強政府識別和緩解新出現(xiàn)的網(wǎng)絡威脅影響的能力。CDM系統(tǒng)有兩個特點,一是系統(tǒng)本質(zhì)上是美國國家的數(shù)據(jù)安全防護能力提升的一套系統(tǒng);二是不再強調(diào)某一種安全標準或者某一種規(guī)范,更多強調(diào)的是數(shù)據(jù)安全防護系統(tǒng)的能力,能力的核心是數(shù)據(jù)安全防護。

CDM能夠提升識別和減輕新興網(wǎng)絡威脅影響的能力,以減少網(wǎng)絡威脅面,提高對安全態(tài)勢的可見性,提升安全響應能力等。

CDM跟我們的數(shù)據(jù)安全治理自動化體系(DSAG)的理念非常類似。我們在中國接觸到的美國網(wǎng)絡安全公司,主要是數(shù)據(jù)安全公司,都參與了CDM這個系統(tǒng)的建設,包括美國很多咨詢機構。因此,我們希望借鑒CDM項目的先進做法,參考其中標準,建立我國的“CDM項目”-數(shù)據(jù)安全治理自動化(DSAG)。


數(shù)據(jù)安全治理自動化(DSAG)與數(shù)據(jù)安全治理(DSG)的區(qū)別

   

Gartner在2018年的下半年,發(fā)布了數(shù)據(jù)安全治理框架(DSG)。DSG的理念是數(shù)據(jù)安全治理是從決策層到技術層,從管理制度到工具支撐,自上而下貫穿整個組織架構的完整鏈條。組織內(nèi)的各個層級之間需要對數(shù)據(jù)安全治理的目標和宗旨取得共識,確保采取合理和適當?shù)拇胧?,以最有效的方式保護信息資源。CDM和DSG這兩個系統(tǒng)都強調(diào)圍繞業(yè)務做數(shù)據(jù)安全能力的提升,這兩個框架之間有很強的關聯(lián)性,可以簡單的認為DSG是CDM系統(tǒng)的精簡版。DSG的最大亮點是提出了“數(shù)據(jù)安全的建設要和業(yè)務緊密結合,而不是用某一個標準”。但是DSG的弱點也顯而易見,比如效率偏低、周期長,成本高。最主要的是DSG的智能化能力偏弱,其中強調(diào)的技術,UEBA、CASB,以及一些針對結構化數(shù)據(jù)和非機構化數(shù)據(jù)識別的技術,并沒有提供給中國,以致于在中國只有體系,沒有技術,數(shù)據(jù)安全治理根本無法落地,也不能給企業(yè)帶來價值。

最近幾年,國際上在數(shù)據(jù)安全方面的自動化和智能化新技術層出不窮,但是這些技術在中國并沒有被使用,甚至沒有被了解,因為歐美企業(yè)不提供這樣的技術給中國用戶。

 

因此,近幾年,在中國信息協(xié)會信息安全專業(yè)委員會的領導下,天空衛(wèi)士在數(shù)據(jù)安全治理技術上加大了投入力度,針對DSG的缺陷進行了提升,彌補了技術的缺失,要真正解決數(shù)據(jù)安全核心技術受制于人的局面。

 

 

 

數(shù)據(jù)安全治理自動化體系(DSAG)的特點

 

 

     數(shù)據(jù)安全治理自動化(DSAG)通過自動化技術,識別結構化和非結構化數(shù)據(jù),從企業(yè)內(nèi)數(shù)據(jù)資源發(fā)現(xiàn),到對數(shù)據(jù)進行分類分級,并以數(shù)據(jù)分類分級對象為核心,用戶行為分析為增強手段,進行數(shù)據(jù)安全策略的配置和執(zhí)行,全方位地覆蓋數(shù)據(jù)安全治理周期的每一個環(huán)節(jié)。DSAG最大化的實現(xiàn)自動化,令人工干預降至最少,在必要的人工環(huán)節(jié)使用智能輔助,減少人為錯誤,更有效率及有效性地提高了數(shù)據(jù)工作的安全性。

 

DSAG的亮點可以概況為“六化一管”,分別是數(shù)據(jù)分類分級自動化、數(shù)據(jù)安全處理自動化、行為分析智能化、數(shù)據(jù)脫敏全面化、API數(shù)據(jù)內(nèi)容分析細?;?、DSAG編程管理可視化、一把手數(shù)據(jù)安全管理“一支筆”。

1 ? 數(shù)據(jù)分類分級自動化

DSAG通過自然語言處理、自動聚類技術、以及深度學習等技術對海量的數(shù)據(jù)進行自動的分類分級。DSAG對海量數(shù)據(jù)經(jīng)過初步的分類分級后,再根據(jù)用戶所在的行業(yè)和業(yè)務進行模板配置和處理。目前的DSAG體系里涉及到的數(shù)據(jù)模板有上千種,未來我們會把數(shù)據(jù)模板擴充到上萬種,可以針對各個行業(yè)、不同規(guī)模的用戶做模板配置,進一步的分解、緩解壓力,降低人工成本。

DSAG通過聚類分類技術以及模板技術對數(shù)據(jù)進行初步的處理后,還可以進一步根據(jù)數(shù)據(jù)不同的類型和級別對數(shù)據(jù)做進一步操作管控,比如加密、脫敏、打標簽、添加水印等,這些技術由我們的合作伙伴提供,昂楷、鴻翼、IPGuard、永安在線、芯盾時代等廠商都可以接入DSAG平臺進行業(yè)務聯(lián)動。

2 ?數(shù)據(jù)安全處理自動化

DSAG對數(shù)據(jù)安全的處理最大化使用自動化,包括對數(shù)據(jù)分類分級、對數(shù)據(jù)的使用行為進行管控、對于人的行為進行分析,對于API里傳輸?shù)膬?nèi)容進行管理,對于數(shù)據(jù)輸出進行管理等。DSAG將人工干預降到最少,并在需要人工介入的環(huán)節(jié)通過工具和界面做到智能輔助。同時在數(shù)據(jù)安全治理自動化系統(tǒng)中,還針對數(shù)據(jù)安全治理步驟的不同環(huán)節(jié),根據(jù)參與人員的全局視野、技術能力、專業(yè)特長的區(qū)別,為企業(yè)設計了不同的數(shù)據(jù)安全參與角色。

3 ?數(shù)據(jù)脫敏全面化

我們現(xiàn)在在市場上接觸到的數(shù)據(jù)脫敏技術,絕大多數(shù)是結構化數(shù)據(jù)脫敏。實際上業(yè)務系統(tǒng)里的數(shù)據(jù),90%以上都是非結構化數(shù)據(jù),比如Word文檔、電子表格、圖片等等。而基于數(shù)據(jù)庫的脫敏技術無法覆蓋這些非結構化數(shù)據(jù)。數(shù)據(jù)是流通的,當這些結構化數(shù)據(jù)離開了數(shù)據(jù)庫以后,就失去了保護。DSAG的脫敏可以針對所有類型的數(shù)據(jù)進行脫敏,無論是結構化數(shù)據(jù)還是非結構化數(shù)據(jù)。

4 ?API數(shù)據(jù)內(nèi)容分析細?;?/p>

 

傳統(tǒng)的API防護,更多強調(diào)API里的病毒防護、漏洞、補丁,但是并不檢測其中的數(shù)據(jù)內(nèi)容。如果通過API傳輸了違規(guī)內(nèi)容和機密信息,傳統(tǒng)的API防護根本無法察覺。

 

DSAG是國內(nèi)首個可以提供API內(nèi)容分析細?;漠a(chǎn)品。我們可以把API的檢測原理理解為機場安檢儀,在不影響旅行的前提下,快速把有害數(shù)據(jù)攔截住,保障有用的數(shù)據(jù)正常的流通。

5 ? 行為分析智能化

 

傳統(tǒng)的數(shù)據(jù)防泄露技術,可能會產(chǎn)生大量的事件,給信息安全部門的人員帶來很大的壓力。如果檢測的顆粒度太細,會產(chǎn)生大量誤報,如果檢查的顆粒度太粗,會有大量的漏報,這是一個很難平衡的問題。而DSAG使用人工智能分析技術,把使用數(shù)據(jù)人的行為和使用數(shù)據(jù)的種類及內(nèi)容進行更精準的比對,降低了人力成本,提高了效能。

6 ?DSAG編程管理可視化

傳統(tǒng)的可視化系統(tǒng)都是固定表格固定使用,用戶很難根據(jù)自己的需要定制頁面。在DSAG系統(tǒng)里,有一個非常靈活的模塊,叫“天空之眼”,是可編程化可模塊化的大屏,可以實現(xiàn)“千人千面”,用戶可以根據(jù)需要靈活搭建自己的可視化系統(tǒng),全面滿足用戶差異化需求。

7 ?一把手數(shù)據(jù)安全管理“一支筆”

管理層或者一把手非常了解業(yè)務,了解企業(yè)最核心數(shù)據(jù)是什么,哪些數(shù)據(jù)不能出去,哪些數(shù)據(jù)需要加強保護。但是并不了解數(shù)據(jù)安全技術,所以很難下“命令”。DSAG跟傳統(tǒng)的數(shù)據(jù)安全平臺有很大區(qū)別的地方是將業(yè)務和數(shù)據(jù)安全相結合,管理層可以隨時的下命令,一支筆直接批示,直接處理,哪些數(shù)據(jù)需要他親自抓,哪些數(shù)據(jù)需要他親自要過問,甚至沒有他的批準,哪些數(shù)據(jù)是不能被使用的,簡單明了。

 

 

 

數(shù)據(jù)安全治理自動化體需要多廠商參與

 

 

數(shù)據(jù)安全治理能力建設并非單一產(chǎn)品或平臺的構建,而是需要從數(shù)據(jù)全生命周期入手,從決策到技術,從制度到工具,從組織架構到安全技術通盤考慮,構建全場景的數(shù)據(jù)安全體系。

 

數(shù)據(jù)安全治理,需要以人為中心,自上而下的建立數(shù)據(jù)安全治理體系。數(shù)據(jù)安全治理的落地涉及到多種技術,比如加解密、DCAP、DLP、CASB、IAM、UEBA等。每個技術賽道都需要術業(yè)有專攻,在不同的技術領域,會有不同的優(yōu)秀代表廠商為大家服務,不同廠商提供的安全技術如下:

 


作為中國數(shù)據(jù)安全技術的引領者,天空衛(wèi)士致力于發(fā)展以人為中心的新一代數(shù)據(jù)安全技術。通過《數(shù)據(jù)安全治理自動化技術框架(DSAG)》的編寫與發(fā)布,旨在為企業(yè)提供全面的數(shù)據(jù)安全治理平臺化產(chǎn)品。DSAG通過加入自動化數(shù)據(jù)分類分級流程和數(shù)據(jù)分類分級保護API模塊,幫助企業(yè)降低數(shù)據(jù)安全治理的成本,提高企業(yè)數(shù)據(jù)安全防護能力。



     未來,我們希望攜手國內(nèi)數(shù)據(jù)安全領域優(yōu)秀廠商實現(xiàn)對國際先進數(shù)據(jù)安全技術的趕超,縮短中國數(shù)據(jù)安全技術與歐美國家之間的差距。打造中國本土的數(shù)據(jù)安全治理體系,共同推動中國數(shù)據(jù)安全技術的發(fā)展,將關鍵技術牢牢掌握在自己手里。