随着数字经济的快速发展,企业在数据安全方面面临着威胁形势的不断变化、合规监管政策的不断调整、技术环境的不断演进以及业务环境的愈发复杂,让数据安全方面的压力与日俱增。
企业已经意识到“数据为中心的安全”的重要性,业界也有很好的方法论;Gartner提出“数据为中心的安全”的安全治理框架,从战略、组织、流程、数据分类分级、管理制度到落地技术保护措施,构建了完整的体系。然而在实际的安全建设中,很多企业却发现管理制度和技术措施之间存在巨大的鸿沟。
存在的老问题:
在云时代,敏感数据的可见性差,难以实时掌握其变化情况。传统的发现手段效果不佳,高敏感暗数据增多,企业缺乏充分的发现和分析能力;当敏感数据发生变化时,又难实时感知到这种变化,给保护带来更大难度;数据分类分级成果难以通过技术手段实现保护和利用,导致工作割裂,需要寻找更有效的技术手段来实现数据的保护和利用。
历史原因产生各种孤立的数据源和异构的数据库,相应的数据保护技术措施往往也是分散的,难以形成统一的策略编排;数据安全与业务紧密耦合,使得协同难度增大;运维、数据、安全、应用和合规团队之间的业务执行界面不清晰,数据业务变化多端,很难快速满足安全合规的要求。
面临的新挑战:
一是技术环境变化,云和云原生这一新技术环境给传统的数据安全产品带来了很大的技术挑战,传统的数据安全产品难以部署在云环境中,也难以适应PAAS模式的云原生数据库。
二是业务变化,数据分析类的业务在企业的应用越来越广泛,数据使用大众化的趋势明显。企业里能够接触敏感数据的人,不再只是研发测试运维人员,还包括数据分析业务部门的风控人员、精准营销人员、数据分析师等等。这对数据管理部门造成了巨大的压力,既要满足业务部门快速获取数据的需求,同时又要兼顾数据安全合规要求。
原点安全认为解决复杂问题需要创新的数据技术架构,而传统单点产品技术能力已不足以应对。为保护数据,应该尽可能贴近数据源,以提高数据识别准确度和保护效果的直接性。同时应该具备分层解耦的能力,将数据安全与业务应用解耦,使跨部门与组织的协同更容易实现。显而易见,该技术应该能力集成,实现多种数据安全能力以满足多种业务需求。
图1:数据访问安全层示意
正是基于这样的思考,原点安全提出了一个全新的技术理念——“数据访问安全层”(Data Access Security Layer),是位于访问数据的工具、应用与数据源之间的一层安全技术架构,用于实现数据源中敏感数据的访问控制和交付控制,旨在保护敏感数据免受未经授权的访问、篡改、泄露、破坏和过度暴露。
数据访问安全层提供的数据安全基础能力包括但不限于:敏感数据发现、分类分级标识、数据访问控制、数据动态脱敏、数据安全审计等;并能够根据具体的业务场景和需求,通过合适的安全策略编排这些数据安全基础能力,保护敏感数据的安全性和合规性,同时提高了敏感数据的可追溯性和可审计性,能够更好地监控敏感数据的访问和使用情况。
基于“数据访问安全层”这一创新的技术架构,原点安全采用云原生技术栈开发了“一体化数据安全平台 unified Data Security Platform”(以下简称uDSP),为企业提供从敏感数据发现、识别、保护、监督到治理的一体化协同技术保护措施,满足数据安全与个人信息保护合规要求,把繁琐、繁重的数据安全管理工作变得更加简单、高效,化繁为简。
图2:一体化数据安全平台 uDSP
核心能力:
敏感数据目录是uDSP核心的产品功能,基于敏感数据智能识别引擎,自动识别和标注敏感数据类型和安全级别, 帮助客户从安全视角梳理敏感数据资产,其他产品功能都是围绕敏感数据目录展开的。
图3:一体化数据安全平台 uDSP
数据访问控制
针对自定义的数据集以及用户/用户组,配置并执行访问控制策略, 能够允许、拒绝或告警特定用户对特定数据集的访问,实现精细化的权限控制。
访问认证代理
通过虚拟账号口令代替数据源真实账号口令的用户访问认证代理机制, 降低数据源口令的泄露风险,提升管控与追溯能力。
数据动态脱敏
能够按照应用场景配置脱敏算法和脱敏规则组合,通过配置脱敏策略实现敏感数据的动态脱敏,无需改造业务应用。
访问自助授权
支持与外部权限审批流程系统的集成,提供预授权、审批授权等自助模式,并自动化配置授权策略,极大降低运维人员的授权策略运维工作量。
数据安全审计
全面审计数据访问活动,详细记录应用用户访问数据的日志,支持云原生数据库审计日志和平台日志的自动融合。
数据流转轨迹
全面精准地记录应用层数据活动的上下文信息, 自动构建端到端、全链路的敏感数据流动轨迹;并支持钻取式分析,为进一步的安全风险分析建立基础信息。
这些数据保护能力通过uDSP产品的一体化数据安全保护策略编排、整合为一个整体,满足各种应用场景下的数据保护需求。同时,uDSP产品的一体化日志审计和安全运营中心,能够根据客户的运营需求定制化分析模型和报表,帮助企业数据安全管理人员及时发现针对重要数据和敏感数据的外部攻击、 内部人员威胁和数据使用异常,开展数据泄露事件的追踪溯源。
应用场景:
一体化数据安全平台uDSP产品的应用可以赋能很多部门。例如合规部门要做个人信息保护,数据出境安全评估;安全部门对研发运维进行数据库运维的安全管控;数据部门要对数据分析应用进行敏感数据的前端界面展示脱敏,等等。这些安全场景都可以利用原点的一体化数据安全平台uDSP产品去实现。
图4:适用部门及场景
一体化数据安全平台(uDSP)能够帮企业实现:
1、应用覆盖一体化:
uDSP应该能够一体化覆盖各种角色的人员、在多种场景下使用各类应用和工具访问数据的管控场景。
2、数据覆盖一体化:
uDSP应该能够一体化支持各种孤岛式建设、异构、跨生态系统的数据库,例如开源数据库MySQL、PGSQL,传统的Oracle、SQL Server,Hadoop大数据系统,国产数据库系统等。
3、安全场景一体化:
企业与数据安全相关的业务场景都能在uDSP平台上实现,而无需再借助其他产品工具。例如个人信息保护合规、数据跨境安全合规、数据安全分类分级、数据访问权限治理、数据使用合规治理等安全场景。
4、业务协同一体化:
数据安全工作与合规部门、业务部门、数据管理部门、IT运维部门的工作密切相关,uDSP能够帮助企业完成这类协同工作,提高工作效率。
一体化数据安全平台 uDSP ,帮助企业在多云、混合云环境中的敏感数据配置实施统一的数据安全保护策略,实现从敏感数据发现、识别、保护、监督到治理的一体化协同保护措施,满足数据安全与个人信息保护合规要求,简化数据安全管理,让企业的数据更安全,合规更高效。