首先,展開數據安全話題之前,我們先有一個逃避不了的概念,就是黑客,不管我們在之前的比如像網絡安全也好,或者應用安全也好的領域,還是說到現在我們說針對個人數據安全和個人的信息安全的討論也好,都回避不了這樣一個角色,就是黑客。我們其實可以把黑客從我們早期到現在的發展,其實可以拉一個橫軸去看的話,其實就是從最早期的一些,比如只會用一些像工具類的或者說像一些掃描類的工具,然后去進行一些嗅探,進行一些漏掃,進行一些探測。然后到慢慢的,出現了初級和中級的黑客,可以通過一些工具和自己寫的POS的腳本,在不同的場景去針對一些漏洞進行利用。然后再到高級的,比如我們自己去挖掘的系統漏洞,或者wep層面的漏洞,去進行利用。再到后期可能說會更高級的,比如說技術也好,或者說手段也好。但是不管從我們初期的腳本小子,還是高級的黑客,其實核心是在于對數據的控制權。這是我的一個總結。
這句話里面有兩個關鍵點,第一個是不法者;第二個是數據控制權。因為不法者不僅僅是指外部的黑客,也是像下午其他嘉賓也講到,我們內部的一些家賊,或者內部人員這樣一個竊取,也是特別重要的。然后的話,另外一個就是數據的控制權,為什么說是數據的控制權?因為不管是外部的黑客去通過一些漏洞也好,或者通過一些弱點也好拿到我們數據,這個是拿到數據的一個權限。然后的話,他通過植入一些木馬或者一些惡意程序去進行一些挖礦,或者說是進行一些分布式Devdaps,這個恐怕是對我們主機也好,或者對數據的服務器也好的一個控制權。包括比如說像后續數據的一些采集,尤其是現在,比如說我們一些虛擬貨幣的流行,以及比如說像勒索病毒的傳播,其實也是對數據的一個控制權。他只要拿到了這個權限,我能夠進行加密,那OK,你的這個數據就可以拿到,至于解密的話,你花錢就可以了。
然后的話,現在DT時代的到來,數據已經成為企業一個核心資產,就是這個DT時代的話,我如果沒記錯應該是前兩年馬云提出來的。之前我們討論的更多是一些數字化轉型等等的,其實現在慢慢的從我們最早期的信息化到現在的話,包括展望未來也好,其實對數據的一個利用和一個提取和如何用數據去最大化量化客戶的價值,這個其實已經是一個,相信在現在已經有很多企業在做了。包括現在我們大家知道的抖音,或者說一些短視頻類的,其實它就是根據你個人的一些日常訪問的數據的習慣,然后去預測你未來的一個消費也好,或者說行為也好的一個趨勢。
所以的話,對傳統來看的話,我們數據資產的話,像最早期的話,我們都認為數據是靜態的,比如說OK,我這個數據就是我企業里面走出去,包括像最早的一些安全類的防護,其實很多時候大家都是在邊界去類似搭積木的形式,不斷的把攻擊者的門檻給提的很高。
但是的話,到現在和未來的話,數據慢慢從我們一個可明確和可控制的這樣一個范圍內的話,去慢慢轉換成一個逐步開放,甚至說需要去通過一些大數據也好,或者說通過一些數據交換也好,然后去形成更多的一些交換場景。所以的話,數據在未來的過程中一定是處于動態的,這個動態不僅僅是說我們企業內部,也更多是我們企業外部的一些數據。
然后的話,我這兒總結了一個老問題,一個新挑戰。
老問題,傳統我們基于特征防護的力不從心,這個的話,比如從wep也好,或者通過IDS也好,或者IPS也好,其實很多都是傳統的一些基于特征的一些防護。但是基于特征的防護的話,現在已經慢慢的跟不上我們企業自身的需求,所以這也是一個新的問題。包括傳統的防護措施不適用,這里的不適用并不是說傳統的防護措施沒有效果,而是說傳統的防護不能適應客戶業務的增長,或者說客戶對安全的一個需求。
新挑戰,剛才也提到了,就是網絡不斷的開放性,因為未來的一個趨勢一定是,每家數據一定會拿出來,甚至說一份數據應用在多個業務系統里面,甚至說我企業的一部分數據,然后去拿到和其他的一些公司也好,或者說是一些第三方也好進行一個數據交換,或者是一個大數據的分析,然后再回收也好,一定是越來越開放的。
包括現在攻擊者專業化程度和隱秘性也越來越高,因為最近的一些熱點事件,比特幣不說了,比如最近一些勒索的病毒,包括一些虛擬貨幣的一個流行,已經讓我們的攻擊成本和獲取利潤的一個能力遠遠的比之前的網絡安全時代高很多。因為之前的話,對于一個黑客來說,他首先要拿到我們的像網站的漏洞,然后再去拿到我們內網資源的一些漏洞,最終拿到我們數據庫里數據的這樣一個目的。但是現在的話,可能不需要去這么做,可能他只要嗅探到我們關鍵的一些基礎設計和一些資源,對這個資源有了控制權之后,就可以達到他的目的。所以這是我們面臨的新的挑戰。
這個也是我們從合規的層面去做的一些分析,就是通過去年歐盟的GDPR,包括到今年的《等保2.0》,上個月剛發布的,包括現在的《個人信息保護法(草案)》都是逐漸去強調個人數據和企業數據的重要性,我相信這也是未來的趨勢。未來如果一個企業對于自己數據不夠重視的話,不管是在業務的增長也好,還是說在自己的一個發展也好,一定會是一個阻力。
第二部分,我們杭州美創對于數據安全,我們是2005年成立的,也14年了主要聚焦在數據安全領域,我們的一些積累和經驗。因為數據的話,剛才也提到了,我們數據是流動的,我們把數據應用的場景和范圍去進行一個分析,我們可以得出,比如我們一份數據,我們在業務系統里面,包括運維的角度,包括從交換中心和我們現在很多的公司都有大數據的一個運營中心,其實它會應用到很多的場景里。然后再根據不同的范圍,也可以把數據分為,比如完全放在互聯網上去跑的數據,包括可能會在我們一個企業中,比如內部的一些運營系統會共享到的一些數據,然后的話,還有一部分就是我們最早完全內網才能綁的那些數據。通過對這些數據不同的應用場景和范圍的分析,我們得出了一個,當然這個箭頭指的是防護的一些手段,主要就是我們要針對不同的場景和范圍進行有針對性的一個防護。比如說咱們數據庫本身,數據的存儲,像剛剛邵主任也提到了,我們整個生命周期數據的保護都是特別重要的。
因為時間關系,在這里只跟大家分享一下我們在數據安全比較重點領域的心得。
首先是數據安全,第一步就是分級分類,這個剛剛邵主任也提到了,我們做數據安全首先第一步我們要知道我們的敏感,或者時間我們核心的數據在哪里?如果一個企業連自己核心數據在哪都不知道的話,就無從談起防護了。
我這里介紹幾個維度:
1、以表格列為基礎的敏感數據分類;像剛才邵主任也提到了,我們可以以傳統的,在傳統橫向的基礎上,加上縱向的分級分類。
2、以Schema級別的敏感數據分類;
3、以業務為單元的敏感數據分類;因為我們不同的業務系統里面,可能說數據的級別也是不一樣的,有些比如在我們內部的ERP里面有大量的一些數據,但是每個列的數據可能它的級別都不一樣,所以也可以針對不同的業務單元去進行一個分級分類。
除了對數據的分級分類之外的話,我們也要做到對特權用戶的訪問控制,這個資源庫什么意思呢?因為我們對數據分級分類之后的話,我們就可以針對不同級別的數據進行一個重點的防護,比如說我們沒有做一些管控的話,可能任何一個帳號都可以訪問到我數據庫里任何表和字段,但是如果我針對不同的業務單元做的業務劃分和防控之后,只有一些管理員才能訪問到我核心數據,一些開發測試可以訪問到一些半機密的數據,普通的員工可能只能訪問一些公開的數據。所以說分級分類是數據安全的第一步。
這一頁講的就是我們在數據安全里面內控安全的重要性,因為安全從內部視角和外部視角去劃分的話,像我們防火墻也好,IDS,包括態勢感知,其實它更多的是防范了一個外部的風險。但是內部的這些風險的話,往往會被我們一些企業的運營人員,或者CSO所忽視。因為事先我也接觸過一些客戶,銀行的客戶,可能在外部的防范上花了很多錢,基本上市面上能買的產品都上了,但是在內部的防范上,這一塊更多的去通過一些管理的手段,或者說是一些人為的手段去進行控制。
所以內控這一塊,從剛才說的分級分類,到我們不同角色的一個企業內部的人員,比如我們業務人員,然后我們的一些安全人員,包括我們的領導層的一些人員,通過不同人員的分類,然后去建立一個準入的機制,就是說這個角色通過一些像準入的一些手段,這里舉一個例子,比如說通過一些多因子身份認證,比如說像轉證書,或者說像現在比較火的FMA這樣一種辦法進行一個準入。并且在準入過程中,去進行一些對安全層面的一些管控,怎么理解呢?比如說我低權限的用戶,允許你去做一些操作,但是的話,我會進行一些管控,比如說你這個操作的話,是有一些前提的。包括我們也可以進行一些工具類的驗證,比如說一些可信的一些應用和一些我們企業內部可以信任的一些程序也好,應用也好,然后我們去進行一個分析,然后的話,除此之外的一些用戶和一些工具,我們都給他禁掉,這是是比較細的一些措施。
接著剛才提到的準入控制去說,比如從我們一個普通用戶,因為傳統的一些防護可能只有帳號和密碼,但是的話,如果只有帳號和密碼的話,可能只需要我通過社工或者弱口令的拆解就可以拿到。比如通過第三方多因子認證的話,就比較困難,然后通過多因子身份認證,剛才提到了我們可以針對不同的行為操作定義不同的一個級別,比如你如果想看到很核心的,比如一個企業的財務信息,人員工資信息,這個時候只有固定的高層,你擁有一個權限去看,然后其他人的話,你是看不到這個數據的。
然后的話,這里列舉了一些準入的機制,比如說除了在傳統的帳號密碼之外,比如通過我們應用的工具,然后主機的IP地址,以及一些機器指紋,還有一些個人證書或者UK等等一些方式進行一個認證。當然這一塊的話,像剛才京東云也提到了,其實現在這個準入的機制還是蠻多的,所以的話,我們客戶可以根據我們自己的需求,去定制一些適合自己的認證方式。
然后的話,除了對身份認證要做增強之外,我們一個危險的管控,因為我們數據庫是數據的載體,所以針對數據庫里面數據的一些操作,我們要進行更細化的一個分析。我們大家也知道,前幾年應該是2016年還是2015年,攜程出了一個事情,它的DPA直接把攜程的數據庫給物理刪除了,直接刪掉了。針對一些表啊,包括像剛才我提到的一些物理刪除的操作,這些操作其實都是很敏感的,極其敏感的,甚至在我們正常業務過程中的話,基本上是用不到的。針對這種操作的話,我們就可以把你的這個操作的一個權限給調高,只有固定的某一個人或者兩個人可以進行操作,其他的話,都給它禁掉。
比如像一些比較常見的,像一些多批量的選擇操作的話,比如有很多業務要用到,可能你沒辦法去禁掉這樣一個語言或者這樣一個字段,我可以根據顆粒度更細化的操作,比如說像五千行或者一萬行去進行一個限制。通過對顆粒度很細化的劃分,然后去達到一個對,比如我們數據庫里面數據的一個管控。
然后第三塊的話,就是我們提到了流動數據的一個管控,因為我們現在基本上每個企業的數據基本上,尤其是互聯網公司,數據肯定是流動的,比如它不同的一些業務也好,或者說是一些場景也好,沒有一家公司說我這個數據就在我數據庫里面,然后其他的數據交換,基本上沒有,很少。尤其現在數據來源又很多,比如我們結構化數據里面存在傳統的數據庫里面,比如現在有很多做數據倉庫,包括了數據倉庫,包括了大數據的分級平臺,這個的話都是很常見的,包括我們一些非結構化數據,比如文本啊、報表之類的。其實我們的數據在我們日常企業的過程中,都是處于流動的狀態。所以的話,我們要對流動的數據進行一個管控。
管控的話,其實在這塊的話,我這邊應該是少了一個說明,就是在流動過程中的話,我們要針對不同數據的級別和一個方式進行一個管控。這里的話,主要針對的是我們數據庫里面的結構化數據的一個管控,就是比如我們在生產端到第三方的一些數據交換,或者說是到我們其他的,比如說像測試UAT這種環境,包括到一些其他的需要利用我們數據場景,我們需要進行一些漂白和數據的脫敏,這個的話,我們常見到。包括一些像非結構化數據里面,像我們的文本,我們的一些報表也是需要經過里面一些關鍵信息進行脫敏以后,去進行一個利用和使用。
這是我們的業務數據安全,業務數據安全的話,其實怎么說呢?提這個業務數據安全廠商也蠻多的,也不是一個新的概念了。我這邊總結了一下,在業務系統里面,可能會出現的一些問題。從我們應用層面代碼的一些漏洞、缺陷,然后到我們業務邏輯的一些缺陷,以及業務授權的一些顆粒度粗糙。其實這些缺陷都是黑客常見的攻擊的手段,比如業務邏輯漏洞,可以通過越權類的利用去進行一些通過低權限去獲得高權限的一些數據。
然后包括對業務監控的這樣一個缺失,就是比如說我對我正常業務中的一些異常的數據進行一個監測,其實這一塊的話,也是一個很重要的。因為很多時候比如說像我們的一些正常的業務,可能會涉及到一些財務啊,包括一些像我們個人身份的一些敏感的信息,如果我們對這些數據的監控有缺失的話,很可能會導致一些慘痛的代價。
像之前的話一個案例,比如說在一個銀行,哪個銀行不提了,在轉賬的時候,它對身份認證邏輯有問題,比如你轉賬十塊錢,其實是可以轉賬十萬的,就是類似這樣一個操作,當然你賬戶里沒有十萬,如果只有十塊錢的話就只能轉十塊了,就是對業務邏輯的一個監測。
另外,我們對業務系統中的數據如何進行一些細致化的管理?包括可能之前我見到一些客戶,因為數據量很大,很多動輒幾個T甚至幾十個T的數據,管理起來的話很麻煩。
這是我總結的一些業務數據安全里面常會遇到的一些問題。
這是我們在業務安全中一些實踐,比如說我們會通過一些基于我們大數據的一些建模,包括我們對業務系統的一些精細化的了解,然后去進行一些長期的學習,然后的話,我們就可以針對我們業務系統中的敏感數據進行一個及時的發現。比如說我們在我們企業內部的一個系統里面,這些系統里面有哪些數據?這些數據里面哪些很敏感,哪些很重要去進行一個梳理。
第二塊就是一個異常行為的檢測,當我們知道我們的數據在哪,敏感數據有哪些的時候,我們還要對我們這些業務系統中的這些敏感數據進行一個及時的監測,這里我列舉了一些常見的監測項,比如像我們的一些帳號的越權,包括一些僵尸帳號,包括帳號復用的操作。
第三個是對業務數據的審計和事后的追溯,一旦我們在業務系統中發現異常的一些操作和違規的一些行為,我們可以第一時間進行告警,甚至阻斷。
剛才提到的更多是內部安全,這個是外部的風險,這個其實還是比較常規的,一個數據庫防火墻,但是針對這個場景的話,我想提一點,因為我們在常見的比如像wep,wep是一個很常見的在邊界的一個安全設備,然后它和數據防火墻的區別就是因為我們的wep很多時候在邊界,所以的話,黑客雖然說我們在邊界的堡壘筑的比較高,但是一旦黑客攻陷了這個堡壘之后,其實是很容易拿到我們核心的服務器也好,或者說是數據庫里面的數據也好,是很容易的。
所以我們需要改變傳統的一些認知,就是除了在邊界去做一些防護之外的話,我們是不是可以在我們終端,我們在我們的數據庫的前置也去做同樣的類似這樣的一個檢測和操作。
然后的話,這塊指的是一個核心數據加密,前面的兩位嘉賓也提到了我們針對不同的一些數據的一些級別,進行一些管控,然后的話,這個加密的話也是同樣的,我們針對像我們分類分級之后核心的一些數據進行一個加密。然后對一些比如可以公開的,或者說是半公開的數據進行一個訪問行為上的管控。然后通過加密的話,去實現當黑客攻陷了我們數據庫以后,然后想脫庫的時候,他其實是看不到真實的信息的,他看到的是我們加密后的字段,這樣的話也能夠防止我們的數據被別人拿不走。
然后就是我們關于美創科技的一個簡介,美創科技是2005年成立的,到現在是有14個年頭了,我們公司主要業務也是在數據安全這一塊,不像我們一些友商涉及的領域比較廣,像應用安全、網絡安全、終端安全,很多涉及,我們只是聚焦在數據安全這個領域。所以相對來說還比較小眾的,但是我們堅信數據安全這個未來的市場還是比較大的。
也可以看到,這是我們產品的一個體系,就是通過在內控安全以及數據外部的安全,以及數據流動的安全和業務一致性安全中的一些產品和手段。
這個是我們一些客戶的情況,雖然公司時間怎么說呢,14年吧,15年,說短不短,說長不長,但是基本上我們服務的客戶和案例反饋還是比較好的。所以在這里也是希望能夠跟大家多探討一些關于數據安全領域的話題,共同去讓我們的數據安全和信息安全能夠更好的發展,也希望不管是我們企業也好,還是我們國家的監管單位也好,我們一起去推動這個行業更健康更高效的發展。