“在日前举办的中国寿险财险科技应用高峰论坛上,原点安全产品总监杨欣明做了主题为《数据安全与合规运营之内部威胁防范》的分享,以下为演讲实录。”
原点安全产品部产品总监 杨欣明
各位领导、各位朋友下午好。数据安全的范围很大,今天我们先把它限定在内部威胁防范,以及安全与合规的范围内,在这个范围内,我们同样可以构建一个小的闭环来加强数据安全能力。
今天的内容涉及到两个方面,一是内部威胁的动因和措施,二是内部防范如何落地。
原点安全
我们是一家企业级云数据安全产品和服务提供商,在多云、混合云环境中都可以提供数据保护服务。
谈到内部数据安全威胁风险,有很大一部分和数据库访问相关,不管是通过应用、BI、客户端工具,所以在这一层风险会一直在增加,不一定是恶意的行为,可能是正常业务不当行为造成的,所以今天主要围绕在数据库访问层,与大家探讨怎么样实施内部威胁的防范。
云环境中的数据比较分散,也不太透明,相比传统环境挑战更大。我们怎么样以数据为中心,在云的环境中更好地保护数据安全与合规使用?公司和团队一直在这个方向努力。列举的8项措施,每一件事都不太小,即使敏感数据目录的背后也需要很多的算法和复杂逻辑的支撑。
内部威胁防范的动因
内部威胁防范这件事情,从早期的《保险法》到《数安法》、《个保法》以及行业规定,都在强调数据的安全问题,对个人敏感信息的访问、使用都有一些要求监管。
尤其是刚刚发布的《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,在个人信息传输和存储、个人信息查询、第三方合作等方面都在强调这方面的问题。
内部人员访问敏感信息时时刻刻在发生,开发运维、营销和经营分析、数据工程、业务应用等,甚至有一类业务员也会直接访问数据库查询信息。
刚才的场景有通用的需求,它对个人信息的保护、处理,可以不完全依赖于应用系统。例如做人物画像分析,厂商在分析这个人的画像前,要把人的信息脱敏掉再分析,但是这个场景比较多,我如果挨个场景让应用去做敏感化的处理是非常复杂的,应用和业务可能对安全与合规的要求并不清晰,且需要逐个场景定制化适应,成本很高。这也是为什么近一年多大家开始关注内部威胁防范。
第二个方面是内因,如果我们数据遭到攻击被泄露,经营也会受到影响。其中,由于内部不当和无意的数据处理造成的泄露事件在近年尤为突出。随着数据安全事件导致的影响愈发增大,我们不得不更加关注在开展业务时如何确保合规、安全,同时又不阻碍业务。
防范措施-数据访问安全层
原点安全专注于构建通用的“数据访问安全层”,在这一层以“解耦化机制”、“一体化协同”、“服务化交付”、“云原生架构”四大特性为基础,提供敏感数据目录、数据访问控制、数据动态脱敏、数据访问审计、数据风险分析等保护措施。
内部威胁防范有两层含义,一个是防范内部威胁,面向内部研发、运维、数据工程人员有意或无意的风险行为,第二个是通过构建“数据访问安全层”,从内部加强我们威胁防范的安全能力。
原点安全CDPP以一体化平台提供八项防范能力:敏感数据目录、数据访问控制、访问自助授权、访问认证代理、动态数据脱敏、数据访问审计、数据访问轨迹、安全风险分析。
举个例子,现在系统中有很多的数据,其实我们关注的是哪些是敏感的类型,身份证号、手机号、保单号、产品信息、消费信息,我们把这些东西按照业务划分不同的需要受控的数据集合,CDPP作为访问者和数据集合中间的安全层代理所有的访问,CDPP通过智能深度解析,能够清晰的掌握您访问了哪些数据,并自动去做分类分级,同时根据策略执行管控和风险分析。
有意思的是,您可以不再担心数据库中的结构变化,如新增一张表,里面有很多敏感数据,只要访问过一次,就会自动被识别、标记以及和策略匹配上,也可以理解为是一种自适应的动态保护。相比传统指定数据字段的保护,不用再担心出现遗漏和频繁数据变化导致的经常性的策略调整。
交付模式
原点云数据保护平台(CDPP,Cloud Data Protection Platform),为政企机构提供从敏感数据发现、识别、保护、监督到治理的一体化协同保护措施, 满足数据安全与个人信息保护合规要求,提升内部威胁防范能力。
本地部署:对于大型企业本地数据中心的私有云场景,原点安全支持将云数据保护平台CDPP的全部组件部署到您的本地环境中。
共享服务:如果您的数据源部署在公有云/行业云上的私有VPC网络内部,或者部署在企业本地数据中心的私有云上,原点支持将DAC实例部署进您的私有VPC或本地私有云, 安全管控中心仍采用SaaS模型,以节省您的IT和维护成本。
实例托管:原点DAC产品组件分布式部署在多个公有云、行业云上,提供共享SaaS服务接入点,您在公有云上的业务和数据源通过简单地配置, 就可以就近使用这些服务接入点,便捷的享受数据安全服务。
关于原点云数据保护平台
原点安全的“云数据保护平台“( CDPP Cloud Data Protection Platform )是基于云原生技术开发的云数据访问安全管控与审计平台能够帮助企业针对分布在多云、混合云场景下的数据源, 构建”以数据为中心“的安全保护技术措施 。
原点安全的 CDPP 产品为企业的数据安全管理人员提供了统一的数据安全管理入口, 统一配置管理多云混合场景中的敏感数据保护和审计策略。
产品差异化优势
解耦化机制
从数据技术架构上实现业务应用和数据安全措施的解耦,为业务部门和安全部门从管理职责上实现解耦奠定了基础。
一体化协同
提供从敏感数据发现、识别、保护、监督到治理的一体化数据安全能力,场景式编排数据保护策略,实现数据安全能力组件的协同。
服务化交付
按需接入数据源实施保护, 实现弹性成本支出,产品配套数据安全运营服务,保障产品价值的持续输出。
云原生架构
天然具备自动化部署运维,伸缩 恢复等高性能、高可用特性,天然兼容云基础设施、云原生数据源和业务应用。