如何建立“开箱即用”的数据安全防护系统 专家对话

在安全的世界中,如何转后手为先手?...



2019年,多起重大数据泄露事件几乎,席卷全球用户。从上半年的苹果iOS 12.1重大漏洞曝光导致facetime通话,可被窃听,到以“注重隐私”为卖点的美国,邮件服务提供商 VFEmail 积累了近20年的数据以及备份,均被黑客销毁,再到后来的英特尔,处理器spoiler高危漏洞曝出、涉5.9亿份中国企业简历信息泄露、Facebook证实4.19亿用户的电话信息被泄出......桩桩接踵而至,毫无喘息间隙。

我们正处在一个大数据时代,每天大量涉及个人隐私、财产信息和行为轨迹的,数据在互联网上存储和传输,保护数据安全,的重要性不言而喻。据IDC发布的《数据时代2025》报告显示,全球每年产生的数据将,从2018年的33zb增长到175zb,相当于每天产生491EB的数据。2016年全球共发生数据泄露,事件1673起,造成7.07亿条数据泄露,而仅仅两年后这一数字就猛,增至4600起和35亿条,不断引发社会各界对网络,安全的担忧。
对于数据安全来说,既要见微知著,也要举重若轻。企业产业互联网的升级上云,只是数据防护的第一步,想要真正实现全生命周期防护则,需要内外兼“修”。传统的安全架构中,企业较多依赖特征,匹配的模式,这种模式中的防护设备需要,先将某个攻击事件写入特征库,然后才能防御这个攻击,而且安全设备特征库的,数量极为有限,所以最大的问题,在于滞后性和局限性,防护方永远落后于攻击方。在上云过程中,对数字资产的控制力,和了解程度也非常弱,很容易因攻击而导致严重,的数据风险。

那么如何转后手为先手,让安全变得更主动、更前置?又该如何从零开始建立数据,安全防护能力?坐拥全球最大规模数据的腾讯又有,哪些经验可以借鉴?基于此,本文邀请到了腾讯,数据安全专家彭思翔,为我们进行了详细地解答。
彭思翔博士,腾讯安全数据安全负责人,人工智能专业博士,数据安全专家。自2017年加入腾讯以来,在QQ相关业务安全,腾讯云数据安全方面有,丰富的经验,结合业务创新出多个,产品模块。自负责数据安全组以来,带领数据安全团队打造,了数据安全产品线,包括数据安全治理,数据库审计、敏感信息处理、数据安全网关等,从内、外、与生态三个方面保护,腾讯云租户的数据安全;通过AI技术创新,使产品在短时间内具备了较,强的市场竞争力,为腾讯云客户构建了,数据安全解决方案。

1、在普遍上云的时代,数字安全呈现了,怎样的变化趋势?

彭思翔:计算机数据规模和计算,速度超200万倍的提升,赋予了安全新的定义与挑战。GDPR、等保2.0等法律和政策,的陆续出台与实施,进一步夯实安全屏障,提升了全社会的网络,安全意识,但安全威胁也发酵出,更为多元的形态与特征。

在云时代,随着企业产业互联网的升级,业务系统产生的数据,越来越多,数据的价值越来越大,而且数据的形态也,变得多种多样。以前,很多企业只是将数据作为,资料进行存储,但是现在数据正在参与到企业,的生产当中,成为企业的重要生产资料甚至,是核心资产。也因此,数据所面临的风险与日俱增,数据泄露给企业造成,的损失也越来越大。数字安全风险一旦失控,对于企业营收、股价以及品牌形象都将造成,重大的打击。

“黑客”和内部“无意识”用户仍是当前用户能,感知到的主力安全威胁。其中,“黑客”通过邮件钓鱼、勒索软件、“挖矿”病毒等侵入手段,以利用企业或个人,计算机算力赚取非法利益;而内部员工“无意识”也可能带来机密数据的泄露。
来自商业间谍和有组织犯罪“黑灰产”、恐怖分子以及国家层面的信息对抗呈,现出显著上升趋势,带来了大量新的,攻击技术和目标。据美国政府DNI(Director of National Intelligence)报告分析,具备发动信息战攻击能力的国家,达到近40个。

与攻击主体拓展相对应的是,攻击技术的扩张。当前针对固件、硬件和供应链的攻击,技术已逐步成熟,IoT/ics等工业基础设施成为近年来备受,青睐的攻击目标。包含无线电、网络协议攻击以及基于ai等在内的新型攻击,技术也在研发探索中。在此背景下,针对企业和重要机构的数据安全和高危害(高,危害)攻击更为猖獗泛滥。数据显示,2018年的全球数据泄露,量同比增长150%,攻击案例每年涨幅也接近30%。

2、能否举一个典型数字安全风险导致企业,遭受损失的例子,并说明企业应当通过怎样,的手段避免数字安全风险?

彭思翔:某互联网文旅企业的用户信息泄露就是一个,典型的数字安全风险例子,其开发人员为了,个人简历更有含金量,将团队开发的代码,上传到开源平台,上传的代码中包含了,数据库的超级管理员账号密码,而这台数据库恰巧,可以直接通过外网连接。因此,黑客获取了数据库,的账号密码之后,直接连接到了数据库上并将,用户信息全部拖走。从上述例子我们可以看到,该企业研发管理、代码质量管理、办公行为管理和数据库防护措施均,存在严重问题。

数字化时代,企业数据一旦生产出来后,就会进入传输、存储、处理、分析、访问与服务应用等各环节,且周而复始如同流淌的血液,而这些环节涉及,到研发运维人员、最终用户、生态伙伴、服务器、办公终端、内外网络、大数据分析平台、云平台等,任意一个环节都面临,着数据安全挑战,造成企业数据失血。

从2002年起,国内就出现了以防止敏感信息泄露为,目的的防水墙系统,数据防泄密领域先后,发展了主机监控与审计、桌面管理、终端安全、补丁管理、移动存储介质管理、终端准入等安全管理手段。目前这类手段就如同IDS、防火墙、杀毒软件一样,从网络边界、系统安全、设备管控的角度来保证,内部信息不受外部的入侵、更多的是用堵,的方式来堆砌高墙,把需要保护的信息给围起来。

但我们回溯分析近年来数据泄露,事件可以发现,原因既包括黑客的攻击,也可能是内部工作人员、离职员工或是第三方外包,人员的违法信息交易行为、数据共享第三方的数据泄露、开发测试人员的违规等,多种原因导致的数据泄露,事件背后折射出的是,仅仅依靠单点防护难以,达到真正的安全防护效果。

企业保护数据安全应该转向以数据为,中心构建防护策略,并遵循数据流动的方向,构建基于全生命周期的,安全防护。值得一提的是,企业上云大潮的趋势下,讨论数据安全绝大部分要,从云环境出发,云原生的数据保护技术和策略,也将成为当下及未来的主要手段。

3、数据安全防护的重点,和难点在哪里?

彭思翔:核心数据流的所有,环节都是重点,而这个重点也是难点,因为要将数据流的,所有环节进行梳理,包括人的管理、行为的控制、代码的健壮性等一系列问题囊括到,数据安全的防护措施中是非常困难的。因此企业在数据安全,建设时需要做全面动员,并具有强烈的,改造业务的决心。

首要的重点是对数据,进行分级,明确哪些是机密数据、敏感数据、普通数据,进而根据数据的不同等级,设置不同的安全策略。

第二个重点是数据在存储、传输、使用过程中如何应用加密技术以及脱敏技术,进行数据的保护。尤其是机密数据需要持续性,的保护,因为它们在企业内部和,组织内共享,企业必须确保其数据库、文档管理系统、文件服务器在整个生命周期内正确分类,和保护机密数据。

第三是在应用加密技术之后的,秘钥安全问题。

第四是数据安全的管理问题。

腾讯安全综合运用数据安全管理经验和数据保护技术,打造了数据安全治理中心、数据加密服务、密钥管理系统、凭据管理系统、数据安全审计、堡垒机、敏感数据处理等,七大产品体系,针对性地在数据全生命周期每个,阶段提供保护,帮助用户克服数据,安全防护的“四大难”,助力企业快速构建数据,安全防线。

4、能否详细介绍一下数据的,全生命周期防护?与传统的数据防护手段相比,全生命周期数据安全,的优势在哪?

彭思翔:传统的数据防护诞生于,数据系统还相对简单的时代,当时的数据主要存储在,数据库中,因此传统的数据防护就是对,数据库的防护。数据全生命周期防护是一种深入数据流,的防护手段,其从数据的产生、传输、存储、处理、共享、使用、销毁等环节入手,建立了一套全,生命周期的防护措施。这种贯穿始终的防护模式能够,避免木桶原理,防止一个短板导致企业数据,安全全盘崩溃。
5、腾讯自身数据安全防护,的能力,是否可供行业借鉴通用?

彭思翔:腾讯自身数据安全防护,的能力,是深度结合业务而打造的,定制化解决方案,因此自身数据安全防护能力和对外,输出的数据安全防护能力保护的对象不同。对外输出的能力主要作用在腾讯对外输出,的数据系统方面,如wecity的数据中台安全解决方案就是用于全流程的保护智慧,城市市中海量数据的定制化解决方案。

腾讯安全通过应用AI技术,让数据安全审计更加,高效精准。通过机器学习与深度学习,将员工日常操作中的每一次行为都记录,并抽象成行为模型,了解其与敏感,资产的交互规律。当其开始访问正常工作,中用不到的敏感信息时,会与平常行为轨迹产生偏差,腾讯云会进行,直观展现与预警。而当该员工实施数据窃取时,腾讯云也会实时告警并收回,其数据访问权限,及时止损。同时,事后腾讯云也会针对暴露的安全,漏洞给出改进建议,持续提升企业数据,安全防护等级。即使像“蚂蚁搬家”这样隐秘的数据,窃取操作方式,也能被及时发现和预警。

除AI外,腾讯安全还会应用大量,前沿的安全技术,例如抗量子加密算法、在大数据容和计算,中应用k匿名脱敏算法、密文求交集等。

6、对于传统企业来说,如何从0开始建立数据,安全防护能力?最迫切和最关键点是什么?

彭思翔:安全问题归根结底是“人+方法+工具”的综合作用结果。企业从0开始建立数据安全防护,体系的最迫切关键点是数据与业务的梳理,只有充分了解每个业务,的数据流,才能梳理出数据的产生、传输、存储、处理、共享、使用、销毁等环节,并对这些环节的关键风险,点进行分析,最终给出一个贴合业务,的数据安全解决方案。上述过程就是一个完整,的数据治理过程,因此云时代的数据安全,与安全治理是密不可分的,企业应该通过建立一套全面的数据,安全治理平台,以此来统筹业务数据流,和数据风险管控,避免数据安全风险导致企业,受到损失。

腾讯云打造了,企业数据安全解决方案,在向企业客户提供服务时,充分发挥了腾讯过去20年,积累的技术、人才、经验等优势,可以让企业极简快速地,构建全生命周期的安全防护体系。腾讯企业数据安全解决方案通过与云,上数据库系统,文件存储系统,大数据系统内核级深度对接,实现“按服务收费,一键开通”的同时,大大提升了防护范围和效果。提供审计,脱敏,加密,访问控制,数据资产发现等一系列功能,满足用户从等保合规,数据治理,综合防护,统一管控与管理,咨询等各种需求。为用户提供“0”部署成本,“360度”数据保护的云原生数据,安全解决方案。

0 个评论

要回复文章请先登录注册