阿里云優(yōu)惠券 先領券再下單

數據運營安全(DataSecOps),是由北京數安行科技有限公司在國內首先提出的一種全新的數據安全防護理念,基于這套理念,數安行打造了數安行零信任數據運營安全平臺這樣一個產品,可以為客戶提供高效的、對業(yè)務無影響的數據安全防護。

對于這個新冒出來的名詞,很多小伙伴表示一臉茫然,也經常與數據安全運營等概念混淆。接下來,一篇文章為您解答關于數據運營安全的種種疑問,帶您了解數安行的創(chuàng)新防護巧思。

1、什么是數據運營安全?

數據運營安全(DataSecOps)是一種新的數據安全防護理念。數安行站在數據運營的角度,重新理解當前數據安全風險發(fā)生的根本原因,并提出了應對思路。

其核心是在數據運營中內嵌數據安全屬性,解決數據運營過程中的數據安全問題,最終落地以一個產品或平臺的方式運行。本質即是對數據運營的全流程進行安全防護服務,所有的安全防護都圍繞數據運營展開,既覆蓋數據業(yè)務全流程,又與數據業(yè)務流程獨立運行互不影響。

其目標是在不影響數據業(yè)務流程正常運行的情況下,更有效地保護組織內的敏感數據資產,對敏感數據的擴散及濫用風險進行快速響應,將數據安全防護策略傳遞至參與數據運營的所有人員。

2、數據運營安全理念產生的背景

說完以上概念,那大家就會問了,到底什么是數據運營,當前面臨的風險是怎么樣的,為什么需要運用一套新的思路來解決看似老生常談的數據安全問題?

首先,數據成為新的生產要素。

2020年4月,中共中央、國務院發(fā)布《關于構建更加完善的要素市場化配置體制機制的意見》,明確地表示數據成為生產要素。這是中央發(fā)布的第一份關于要素市場化配置的文件,表明數據將會是未來社會數字化、信息化發(fā)展的重要基礎。

在大數據時代,誰能夠讓我們描述“看不見的世界”,誰就能夠代表未來。針對數據的收集、分析、挖掘及共享能力,決定了企業(yè)的競爭力和創(chuàng)新力。也因此,大部分企業(yè)已經或者正在進行主動或被動的數字化轉型。

其次,數據運營環(huán)境和風險發(fā)生變化。

在數字化轉型過程中,企業(yè)面臨最顯著的變化就是業(yè)務主要由數據驅動,數據呈爆發(fā)式的增長,業(yè)務流程復雜,跨部門、跨角色的協作共享越來越多,大部分人都會參與到數據運營的過程中,包括數據的生產、存儲、傳遞、接收、分析、共享等等環(huán)節(jié)。

這意味著,數據不再存在于單一的使用環(huán)境中,除了數據庫,還會存在于業(yè)務系統中、各類云應用中、大數據平臺中以及每一臺終端,甚至每一個參與過數據運營的人員手中。數據的格式、種類也極其豐富,數據存儲、流轉及使用已構成一個復雜的數據生態(tài)。

這種變化提升了企業(yè)的數據利用效率,但是敏感數據也面臨更復雜的暴露風險和擴散濫用風險。企業(yè)管理者可能并不完全知道敏感數據資產都有哪些、都存在哪里,內部高速又繁雜的數據流轉容易導致敏感數據的無序擴散和違規(guī)濫用,更不用說惡意的主動泄密及攻擊竊取等危險行為。這些容易產生風險的環(huán)節(jié)大部分發(fā)生在組織內部,各種計算側環(huán)境中,而不是以往我們緊盯著的系統或網絡的邊界處。

再者,傳統的邊界防護逐漸式微。

正因為數據的運營環(huán)境和風險發(fā)生了轉變,因此傳統的防護手段開始顯得力不從心。在IT時代,企業(yè)的信息化建設是以系統和網絡為中心的,對應的安全防護也是以系統和網絡邊界的防護為重心,更多關注邊界處的數據泄露和外部攻擊。只要攔住了,就沒事了。

但是對于上面提到的風險特點,風險是在內部積聚的,內部敏感數據的存儲、擴散風險到了失控的狀態(tài)時,邊界的防護壓力就會非常大,防護效果顯著降低。而且這種敏感數據違規(guī)濫用的情況本身就不是發(fā)生在邊界處,因此大部分產品對于這種風險既無檢測感知能力,也沒有響應保護能力。

傳統安全防護的產品邏輯已經決定了,其本身就不具備敏感數據資產的識別能力,也不具備數據運營全流程下敏感數據資產識別及跟蹤能力,拿不到高質量的信息源,也就不能準確識別這些風險,更無法對這些風險進行快速響應處置,即使進行產品升級也于事無補。

因此,數據運營安全是應對新時代數據安全問題的一個更好的解題思路。

既然安全風險產生于數據運營的各個環(huán)節(jié),那防護就不應該再盯著各個系統和網絡,而是回到問題的本質,以數據為核心,圍繞數據運營的全流程來展開防護。

同時數安行認為,安全應該是業(yè)務的推手而不是阻礙,不能讓安全妨礙業(yè)務的開展,數據一定要流動起來才能產生價值,因此防護不是“一刀切”,不是“能攔就攔”,而是不影響業(yè)務流程的正常運行,去進行有效又無感的防護。

3、數安行是怎么做到“有效防護數據安全又不影響業(yè)務運行”的?

數安行目前已經建立了零信任數據運營安全平臺,將數據運營安全的思維產品化,以人工智能為核心驅動,通過數據運營安全切面的方式,在不改變網絡架構、不改造業(yè)務的情況下,從數據本體防護角度出發(fā),提升數據運營過程中數據自身的安全性,保證數據運營過程中數據的安全。

·全類型多源敏感數據資產發(fā)現及全景展示

數據運營安全理念的真實落地,首先要具備的就是對敏感數據資產的全類型識別及準確分類能力。數安行零信任數據運營安全平臺內置了幾百種開箱即用的數據分類模型,支持上萬種數據格式識別,支持各類型文檔內容深度解析,可以快速梳理出企業(yè)的敏感資產分布。

同時借助基于小樣本機器學習的數據精細分類智能模型,可以對各個行業(yè)、各類法律合規(guī)對應的數據資產進行快速準確的分類分級。通過對業(yè)務系統、數據中心以及計算側等多源敏感數據資產進行智能梳理,構建敏感數據資產全景視圖,摸底組織內敏感數據暴露風險,并支持敏感信息的關聯分析及快速檢索。

高質量、高效率的敏感數據分類,是數據運營安全的基礎。

·全流程敏感數據流動及擴散風險感知

理清了敏感數據,就需要掌握敏感數據的動向,以便及時捕捉、追溯并處置風險行為。數安行零信任數據運營安全平臺建立了敏感數據與主體的映射關系,對敏感數據進行全流程自動標注跟蹤,對用戶使用敏感數據也進行標注跟蹤,對異常應用敏感數據探測回傳監(jiān)控,使得敏感數據的狀態(tài)變化及流轉軌跡可以追溯,以便實時感知敏感數據的擴散及違規(guī)濫用風險。

對于違規(guī)濫用行為及時響應處理,通過數據全鏈路跟蹤分析對于一些惡意的數據變形泄露以及一些APT攻擊竊取、勒索病毒加密破壞等都可以進行準確的識別以及及時的響應處置,促進數據有序流轉及安全協作共享。

對敏感數據進行全流程的標注跟蹤,以及流轉軌跡的智能聚合追溯,是數據運營安全的核心。

·輕量化微隔離自適應精準防護

數據運營過程中各個環(huán)節(jié)、各種數據角色操作的數據特點和重要程度有很大差異,這也要求對于不同環(huán)境、數據角色及風險用戶要采取不同的防護措施,這樣才能防止因為防護過重或者不靈活導致的業(yè)務流程中斷等風險。

數安行零信任數據運營安全平臺內置豐富的防護工具箱,包括零信任的安全沙箱、動態(tài)的存儲隔離、流動數據的微隔離防護、敏感內容感知加密等等,借助分布式智能風險評估模型,可以很智能地實現基于用戶角色和風險變化的自適應防護策略。

能夠根據個性化的用戶情況實現自適應的精準防護,是數據運營安全的保障。

4、數安行零信任數據運營安全平臺為什么不會影響業(yè)務的運行?

前面多次提到,數據運營安全理念堅持的是既要覆蓋數據業(yè)務全流程,又與數據業(yè)務流程獨立運行。不會阻礙業(yè)務施展的防護才是好防護,否則只會被關停棄用。

這就不得不提數安行產品的安全切面邏輯。

在真實的數據運營環(huán)境中,涉及到數據、人、流程等要素,從業(yè)務的角度來看,有個人隱私信息、運維數據、商業(yè)機密等不同的數據,訪問數據的是不同權限、不同身份角色的人員、接口和設備,環(huán)境中會進行數據收集、數據處理、數據分析、數據協作等多種操作流程。

對敏感數據資產從存儲到流轉、共享等各個環(huán)節(jié)進行映射,那安全防護會涉及到身份鑒別、環(huán)境感知、數據發(fā)現、行為檢測、風險評估、標注跟蹤、精準防護等等方面。數安行零信任數據運營安全平臺這種基于安全切面的設計邏輯,可以完整、真實、實時地覆蓋到業(yè)務的全流程,同時又與業(yè)務互不干擾、互不影響。

5、數安行是如何將數據運營安全與零信任進行有機整合的?

零信任的本質是“持續(xù)驗證,永不信任”,對身份的驗證和對環(huán)境以及用戶的風險評估是零信任的基礎,也是數據運營安全的基礎之一,兩者具備有機整合的底層邏輯基礎。

數安行對敏感數據內容及使用環(huán)境進行持續(xù)的檢測分析,對于使用數據的主體用戶也會進行身份角色驗證和持續(xù)的風險評估,數安行零信任數據運營安全平臺本身具有用戶身份及授權設備的管理和雙重驗證能力。

有了對敏感數據和用戶身份及風險的檢測識別能力,就可以準確地識別內部的擴散風險和違規(guī)濫用風險。默認所有的人和環(huán)境都是不可信的,而且信任狀態(tài)也是持續(xù)變化的,基于這種持續(xù)的、動態(tài)的風險評估,才能真正實現自適應的安全防護。數安行在對重要業(yè)務的訪問保護以及重要數據的隔離防護上都使用了零信任的安全架構,實現敏感數據的主客體準確識別及風險動態(tài)評估,以及對各種風險的及時響應處置。

6、數據運營安全與數據安全運營有什么區(qū)別?

因為名稱相近,也因為后者更早出現,許多用戶會認為數安行也是做數據安全運營的。

數據運營是對于數據從存儲到流轉及使用一系列復雜流程的總稱,這其中除了人員,也涉及到多種多樣的工具、接口、產品和系統的使用。為了防范數據安全風險,企業(yè)或多或少都部署了各種防護產品。隨著系統與業(yè)務的擴大,防護產品也堆疊得越來越多。這過程中也產生了諸多的日志、預警等數據,安全運維人員需要關聯不同產品的數據和日志來進行綜合分析評估,以便做出更正確的響應決策。數據安全運營便是這樣一套針對諸多安全產品的運維思路,通過科學的流程、人員、工具的配合,讓運維人員更好地發(fā)現、掌握數據運營過程中的風險,做出更高效的安全處置。

7、數安行的未來愿景

數據一定是在流動中才能產生更多的價值,這不僅體現在我們所要保護的客戶業(yè)務數據中,也體現在安全防護自身當中。因此數安行一直秉持著開放共享合作的心態(tài),意在建立全場景數據運營安生態(tài)。

也基于此,產品平臺在一開始的設計上就考慮了這種生態(tài)的建立,借助數安行零信任數據運營安全平臺,可以對外輸出敏感數據資產的識別及分類能力、敏感數據的全流程標注跟蹤能力、擴散風險的態(tài)勢感知報告、以及自適應工具箱的防護能力。這樣高價值的輸出,既能和其他品類的安全產品和應用系統實現能力共享和擴展延伸,促進安全能力的有機快速流轉;也能激活用戶的存量系統和產品能力,重新賦能、發(fā)揮這些產品在數據運營中的防護效用。

最終,建設真正實現數據運營安全的生態(tài)體系,為客戶提供全場景的數據運營安全防護解決方案,讓數據安全地創(chuàng)造價值。

轉載請注明出處。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！