多维度全方位构建以数据为中心的安全防线

中国网络安全与信息化产业联盟2018工作总结会暨数据安全治理委员会专家研讨会于1月10日在京举行，公安部网络安全保卫局领导、网信联盟领导、行业专家、部委专家以及联盟成员单位齐聚一堂。炼石网络CEO白小勇受邀参加圆桌论坛，分享了创新的数据安全防护理念与建设思路。

白小勇谈到，大量业务应用系统自身承载了数据流转，同时各应用系统之间正在打通数据共享，以提升业务效率，是数据实现价值的主要载体。但业务应用系统普遍缺失内建数据安全能力，同时多个应用系统打通共享后成倍放大了数据安全管理复杂度，面临着更严峻的安全挑战。数据在不同应用之间流转，导致数据所有者、数据控制者和数据处理者难以有效控制，数据可能被非法访问和处理，造成数据保密性和完整性方面的巨大安全风险。

创新数据安全防护理念

美国NSA IAD（信息安全保障局）是把NSA TAO作为假想敌构建防护体系的唯一机构，IAD提出观点：“Security must shift from a network-center to a data-centric focus”，即“安全必须从以网络为中心，转向聚焦以数据为中心”。

结合企业信息化发展，今天正在从IT进入DT时代，而以数据为中心的安全建设理念是更加有效的做法，所以炼石提出了双轴驱动的安全防护与建设理念。数据与网络（技术栈）是正交的，以网络为中心的安全体系是保证数据安全的前提和基石，而以数据为中心的安全，以数据为抓手实施安全保护，能够更有效增强对数据本身的防护能力，二者是关联、依赖和演进的关系。

图1：双轴驱动的安全建设理念

数据安全建设思路

白小勇认为建设以数据为中心的安全防御体系，需要结合多个维度，包括时间维度、空间维度、人的维度，以及安全能力叠加演进维度。

时间维度

时间维度是指在数据的全生命周期，包括数据加工、数据存储、数据使用、数据分发、数据归档。各阶段数据面临的威胁各不相同，对应安全防护措施各不相同，其中数据存储、使用、分发是当前防护重点又是薄弱环节。

空间维度

图2：空间维度-业务应用承载数据共享

数据的空间维度，是指数据在信息系统中所处的物理位置。组织所建设的IT架构，一般包括基础设施、软件平台以及业务应用等层级，数据就是在这些层级之间持续流转，实现互联共享，创造价值。

• 数据在基础设施层时，是没有业务含义的二进制状态；
• 在软件平台时，可表现为各种形式的文件格式，也无法确定数据的业务价值；
• 在业务应用层时，数据才具有丰富的业务含义，真正体现数据价值。
  
  

而业务应用层被接触的用户数量要远远大于基础设施层和软件平台所涉及到的，在业务应用层，数据价值点最多，同时所面临的泄露机率也最大。因此，组织机构要特别重视数据在业务应用中的安全保护，要以业务应用为抓手实现数据的安全保护。

人的维度

围绕数据的人，可分为数据所有者、数据控制者、数据处理者、数据接收者以及未知第三方。其中，数据所有者具有所有权，其它均仅具有数据使用权。因此，需要在数据流转过程中，明确地把所有权和使用权区分开，避免被未知的第三方所接触，就需要清晰准确地识别出数据访问的主体，根据主体属性信息判定出访问权限，从而实现数据客体不被泄露或者篡改。

数据安全能力叠加演进维度

基于安全滑动标尺模型，将以数据为中心的安全机制和以网络为中心的安全手段有机结合，从基础结构安全、纵深防御、态势感知与积极防御、威胁情报、攻击与反制等层面构建全面的数据安全防护体系。

图3：数据安全滑动标尺模型

按上图滑动标尺模型所示，下半部分是安全能力的叠加演进描述，而上半部分是安全滑动标尺能力在数据安全层面的深度结合点。在过去以网络为中心的安全建设中，数据安全建设是短板，是我们关注的重点，尤其是数据纵深防御与积极防御方面。

炼石认为，数据态势感知提高了安全价值的表述与传达效率，数据发现能力可以为数据安全建设提供起点，当前数据安全的建设重心在于弥补纵深防御短板，原因如下：

• 在当前以及可预见的未来，国内企业安全分析与应急响应处置专业人员严重不足；
• 按照滑动标尺模型，纵深防御具有更高的投资回报比，是目前安全建设重点，纵深防御快速取得防御效果，为未来积极防御奠定基础；
• 重要数据关乎企业商业利益，而密码及访问控制技术能够带来确定的数据防护效果；
• 美国安全在IT投资占比高于我国数倍，安全防护水平也领先我们，但美国数据安全的当前建设重心仍然是纵深防御，而非积极防御。
  
  

炼石CASB免改造应用弥补数据安全短板

密码及访问控制技术是实现数据安全保护与共享的基础，但对于日益复杂的数据应用场景，已有安全手段都是在应用系统外部做防护，并没有和数据使用流程结合起来提供有效防护。所以亟待一种新手段，实现应用系统免改造，将数据安全乃至业务安全能力嵌入到业务流程，实现数据共享和安全二者兼得。

炼石CASB技术通过适配方式将安全机制与应用软件有效结合，免改造应用系统增强安全能力。提供访问主体到应用内用户、客体到字段级或文档段落级的细粒度防护，将访问控制、审计等与密码相互结合。依据人员属性实施细粒度授权，有效防护企业敏感数据来自于外部的攻击和内部人员泄漏的双重威胁，实现零信任环境下的数据安全防护。

来源:炼石网络