隨著信息化的不斷髮展,外部橫向合規要求,垂直行業要求,以及內部內生安全需要,由數據洩露帶來的損害企業已越來越難承擔,一旦發生數據洩露將會給企業帶來經濟、聲譽、司法、人員變動等多方面影響,目前多數用戶通過邊界防護手段進行整體防禦,但隨著數據價值在運營過程中越來越重要,以網絡為中心的安全防護短板越發明顯,如何對數據進行整體安全防護,數據流動到哪,安全就輻射至哪的場景建設已迫在眉睫。
1.安全的發展
安全的發展主要經過三段即信息安全、網絡安全、和數據安全。
安全發展軌跡
最早為信息安全,在信息化發展的初期,基礎物理環境不復雜,上層業務系統建設也非常簡單,整體信息處於白紙狀態,所以安全範圍非常大,從管理辦法到防護技術都可以在該框架下填充。
隨著企業自身業務不斷髮展,支撐業務的基礎環境也越來越複雜(私有云的形成),基於自身網絡邊界防護需求日益突出,當時主要以防火牆、網閘、入侵檢測、waf等防護為主要手段。隨著公有云的與私有云的密切結合,混合雲的形態已在企業中廣泛使用,網絡空間安全的需求也隨之而來,以安全域劃分,結合支持混合形式的邊界防護組成的網絡安全防護技術也日益興起,該網絡形態是現今大家所聊的網絡安全,即網絡安全第二種形態,網絡空間安全。
安全服務與業務,數據驅動帶來新的運營變化,是當前和後期的業務發展趨勢,目前業務以數據為中心,而安全則以網絡為中心(即處於第二安全發展第二階段),兩者目標不一致性帶來的問題已日益嚴峻,所以以數據為中心的安全建設更接近安全目標(安全的目標是更好服務業務,與業務更加融合)。
2.現今手段對數據防護缺失
目前在以邊界防護為主要手段下,如何保障數據的安全方面,存在多點缺失。
安全防護層面的缺失
1.與業務脫鉤,安全與業務無法有效融合
業務依託於數據,讓數據成為資產,產生價值已是各大企業正在做的事情,如近幾年,提出數據治理的概念,數據治理以數據為中心,通過對數據的綜合利用,提升企業數據價值收益。數據治理中對數據生命週期管理有相應的要求,而目前邊界防護不能滿足對數據、對數據的生命週期的管控。隨著治理的延伸,現今的防護手段短板也會越發明顯。
2.對數據層的安全監測與管控
數據洩露事件不斷遞增,其根本還是因為邊界防護手段是以網絡為中心的建設方式和理念,它不能為數據層面提供更多防護需要,如何讓數據可視化?如何對數據進行管控?如何對數據進行監測?這是目前邊界防護所無法涉及也無從涉及的。
3.數據安全應該如何建設
數據安全建設思想應為:融合業務、融合邊界。
融合業務、融合邊界
融合邊界:數據安全並不能解決網絡安全所有事情,它只能補齊網絡安全對數據層面的缺失,所以數據安全必須要融合邊界防護手段,與邊界防護深度結合起到1+1>2的效果,如:現有企業部署soc平臺,而該平臺是以網絡、主機層面為主,缺失數據層面。該soc平臺可與數據層的感知平臺有效結合,通過統一soc平臺集中展示,實現企業整體的態勢感知。
融合業務:與業務的融合是數據安全的真正價值所在,數據安全解決了業務與網絡安全的目標不對等性,使其安全與業務目標一致,為兩者融合提供了前提條件。數據安全必須以業務流向為基礎,在此基礎上對企業業務進行安全管控,使業務與安全兩者融合。
建設步驟
數據安全的建設大體步驟可分為安全識別、數據梳理、數據安全建設三個步驟。
建設步驟
安全識別:對現有從管理、技術、數據三個層面進行整體摸查,瞭解目前現狀、安全隱患,為後續的數據梳理打下堅實基礎。讓建設有依據。
數據梳理:對數據進行分類、敏感定級、數據使用中的角色及權限、數據使用場景等多個方面進行整體梳理,通過對數據梳理,可直觀瞭解企業目前存在哪些問題、已有哪些防護手段、後期應從哪幾個方向進行建設。讓建設有方向。
體系建設:體系建設應從管理體系和技術體系及運維體系三個層面著手,使其可達到管理可落地,技術可支撐、運維可收斂的效果。讓建設可落地。
讓數據發揮價值的同時,如何保障數據的安全應是安全廠商不斷思考的問題,數據即生命,早已不是天上雲,保護企業的數據,等於保護企業生命,想必企業會比安全廠商更加有體會。以此,數據安全領域將會成為安全企業下一步的角鬥場。
