当前形势下数据安全管理是核心
随着新一代信息化浪潮的风起云涌,以物联网、云计算、大数据为代表的新一代信息技术正在飞速发展,其创新力度之空前,早已渗透到社会的各个层面,影响和改变人们的思维与行为。但在信息安全方面,却不容乐观:大量的信息安全事件被陆续曝光,从传统的破坏攻击,到现在的APT渗透,且越来越贴近我们的生活。比如,公民信息贩卖而导致诈骗案件增加,比如各种智家电设备被攻击入侵而导致个人隐私曝光……此类事件不胜枚举。
仔细分析近些年的信息安全事件,一个共同的特点是攻击的需求目标十分明确——数据。而且不仅仅是传统意义上的结构化数据,从办公文档,到传输内容,甚至到多媒体数据都是当前黑产中的“抢手货”。而从用户角度而言,数据已经成为整个信息化建设的核心,是企业单位生产生存的基础保障。完整有效的数据安全管理,可以为生产办公提供有效的决策支撑;数据安全管理一旦出现问题,不但危机企业自身,更会辐射到周边对象,比如组织、行业甚至社会,企业单位规模越大,影响越大。因此,当前形势下数据安全管理,是企业信息化建设的核心。
数据安全管理需服务于业务发展
传统的安全防护体系是以边界控制为核心,以特征识别为判断基础,是一种封闭式的静态安全防护,时间一长,就会变为一条静态的安全红线,对于超出安全基线的的请求很难进行准确定位,形成的结果无非两种:要么突破基线,使安全体系形同虚设;要么遵守基线,使业务发展受到影响(最典型的就是防火墙)。而这个问题的核心因素在于安全体系和业务体系脱离。
如今,DT时代的到来,“数据”可以将安全与业务关联起来:业务的发展需要数据的支撑,安全的核心也是对数据的防护。业务开展需要数据运转,对这些数据的有效防护,才能保证以数据安全为核心的安全体系策略是为业务系统服务的,而非阻碍。数据安全的建设,一定是与业务系统紧密关联、高度同步的。
数据管理是最终的业务目标
数据安全仅仅是一个基础,在这个基础得到一定量级的保障之后,相关数据的价值最大化才是信息化的业务目标。但是此时又会出现一个问题:得到相对保障的数据该如何被使用?这是一个数据管理的问题。当前频发的公民隐私泄漏、电信及网络诈骗案件、数据难以互通等数据安全难题都是数据管理不当导致。所以,数据管理是数据价值最大化的基础,数据管理的核心则是数据安全。
要实现数据的管理,核心是动态安全思想。所谓的动态安全是以数据为核心,基于行业及业务提供针对性的防护,避免一刀切,防止机械式防御,最终形成的不是一条静态的安全红线,而是基于业务形成的绿线->黄线->红线。业务的开展更加灵活自由,安全的管理更有层次和针对性。比如我们坐地地铁过安检,动态体现在几个层面:1、有包的人要排队过机检,没包的人直接通过。2、敏感时间点要加强安检力度。3、敏感地点加强安检力度。4、高危人群进行人工检测,最终的目的是针对不同的对象和要素,提供不同的检测机制。在网络空间中,针对数据不同环境、不同对象、不同作用而提供不同的防御管理机制,最终形成动态防御体系。如非如此,就会造成物理隔离、数据不互通、信息不共享,甚至整个系统信息化的倒退。
要实现数据的管理,除了具备动态安全思想之外,还需要集中管控的建设能力。动态防御体系在实现过程中,会出现应用系统繁多、数据类别繁杂、请求操作过多等问题,如此复杂的业务内容如何才能进行针对性的动态防护?此时,就需要集中管控。集中管控的过程是:采集不同对象在不同环境中的行为过程,分析整个过程中的数据信息,继而找到异常行为,并实时动态的展示给管理者,最终根据危害的程度进行不同量级的管控手段。整个过程中由信息采集、信息分析、事件展示、管理决策四个单元构成。其中,信息采集是基础,负责收集全网中的各种的信息;信息分析是核心,通过引入计算模型,对收集到的基础信息进行分析和展示;事件展示是能力,为管理者提供一种简单、有效、准确的决策依据;管理决策是手段,一旦发现安全违规事件,则通过各种管理和技术手段进行控制。
如何建设动态防御,集中管控体系
在具体建设层面,“动态防御,集中管控”有如下几点需要重点关注:
1、高度利旧。“动态防御,集中管控”的安全体系不是否认传统防御体系的作用,恰恰相反的是,在此体系中,各种传统的防御设备是重要的技术支撑。传统的安全设备是动态安全体系的信息采集探针和管理控制抓手,动态安全体系是通过一套闭环的管理体系实现管理策略高精度,以及设备间的联动。
2、行业关联性。“动态防御,集中管控”的安全体系不是一套纯技术理论,而是一套管理理论,由于每个行业都具备不同的管理内容,因此这套安全体系与行业的关联性极高。比如,公安的移动警务,其安全风险都集中在移动相关业务;金融行业的信用卡业务,其安全风险都集中在用户信息挖掘相关业务中;能源行业,其安全风险都集中在基础建设和战略资源分布相关业务中……尽管当前行业差异性较大,但是其“采集、分析、展示、管控”的核心思想是相同的,不同的只是对象和业务内容的差异。
3、实际建设难度。并不是安全设备越多,建设难度越小;安全设备越少,建设难度越大。最主要因素是和业务诉求有关:业务对数据安全管理的需求越高,减少难度越小,反之管理难度越高。这是因为动态防御的核心是以业务应用为核心,如果没有业务,没有需求,那动态防御的建设是没有根基、没有源头的。另外,建设难度也与信息安全管理体系有关系:越重视数据的管理体系,其动态防御的建设难度越小;相反,安全管理与数据脱钩越大的管理体系其动态防御的建设难度也越大。
关于明朝万达
作为国内首先提出“动态防御,集中管控”理念的公司——北京明朝万达科技股份有限公司,已经率先在金融、公安、运营商等重点行业,开始试点此管理体系的建设,且均取得良好的用户反馈和使用效果。同时,明朝万达也将继续秉承“安全服务业务”的理念,继续研发和推广符合国内信息化特点的相关产品以及方案,以领先的技术及产品服务,打造企业级数据安全防护体系。
