原標(biāo)題：科技百咖 | 華途少帥謝永勝眼中的數(shù)據(jù)安全治理

專注于數(shù)據(jù)安全并不容易。這種壓力或許并不來源于技術(shù)上的突破或者產(chǎn)品的更迭，而是來源于生存的壓力。相對于傳統(tǒng)網(wǎng)絡(luò)層防護產(chǎn)品，數(shù)據(jù)安全的市場并不是很大，而且加密就已經(jīng)占據(jù)了很大一部分。不管怎么樣，頂?shù)米∩娴膲毫?，忍得住?shù)據(jù)安全的“寂寞”，這樣的公司就可以稱之為優(yōu)秀。隨著《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全管理辦法征求意見稿》的相繼發(fā)布，在數(shù)據(jù)安全這條路上跋涉了十二年的華途，眼看著風(fēng)口越來越近。

（華途董事長謝永勝）

第二屆數(shù)據(jù)安全峰會上，華途董事長謝永勝提出了他眼中數(shù)據(jù)安全治理中的最關(guān)鍵的幾個環(huán)節(jié)，包括數(shù)據(jù)風(fēng)險識別、數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)、數(shù)據(jù)內(nèi)容的機器學(xué)習(xí)與自動識別、敏感數(shù)據(jù)的訪問與權(quán)限控制、數(shù)據(jù)流轉(zhuǎn)的審計與分發(fā)管控以及行業(yè)的定制化開發(fā)這六點。

定制化開發(fā)比較容易理解，做企業(yè)級業(yè)務(wù)都會有這一步，談一談對其他五點的看法。

1

大數(shù)據(jù)時代數(shù)據(jù)本身發(fā)生了幾個非常明顯的變化：

第一，由小變大。大量的應(yīng)用場景、大量的客戶以及合作伙伴都被連接起來，這個數(shù)據(jù)量的增長遠超人們的想象。甚至以前我們想都沒想到過的數(shù)據(jù)比如鼠標(biāo)點擊頻率等，都可能成為輔助決策的關(guān)鍵。

第二，由靜變動。數(shù)據(jù)的計算、流轉(zhuǎn)、分發(fā)與交易是大數(shù)據(jù)時代最明顯的一個特征，有人說靜止的數(shù)據(jù)是負債，不僅不能產(chǎn)生價值還要耗費大量人力物力去保護它；流轉(zhuǎn)的數(shù)據(jù)才是資產(chǎn)，能給企業(yè)帶來源源不斷的收益。

第三，由簡單變復(fù)雜?；ヂ?lián)網(wǎng)的發(fā)展尤其是電商網(wǎng)絡(luò)、社交網(wǎng)絡(luò)、IoT、工業(yè)互聯(lián)網(wǎng)的崛起，大量的音頻、圖像以及視頻等非結(jié)構(gòu)化數(shù)據(jù)涌入到了企業(yè)的視野中來。

數(shù)據(jù)量的增大、場景的增多，使得數(shù)據(jù)的存儲方式、計算方式以及交易方式發(fā)生了巨大的變化。數(shù)據(jù)可能存儲在本地的服務(wù)器，可能存儲在不同的公有云，會涉及到各種各樣的社交、電商、物流應(yīng)用以及各種數(shù)據(jù)庫，企業(yè)可能根本就不知道我有哪些數(shù)據(jù)、我的數(shù)據(jù)都在哪里。搞清楚有哪些數(shù)據(jù)以及數(shù)據(jù)在哪里，是做數(shù)據(jù)安全的前提。所以，謝永勝把數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)放在了一個很重要的位置上，我非常贊同。

更進一步，為了提升數(shù)據(jù)識別的自動化水平，謝永勝也提出了利用機器學(xué)習(xí)技術(shù)做內(nèi)容識別。信息化建設(shè)的觸及階段，企業(yè)的核心數(shù)據(jù)大部分都是各類文檔，但是現(xiàn)在大量的非結(jié)構(gòu)化數(shù)據(jù)涌入進來，給數(shù)據(jù)的分級分類工作帶來了很大的挑戰(zhàn)。從國內(nèi)市場上來看，基于機器學(xué)習(xí)，把內(nèi)容安全技術(shù)應(yīng)用于DLP中，是大家通常的做法，其目的就在于可以實現(xiàn)敏感數(shù)據(jù)的分級保護、權(quán)限控制、安全審計等等多項工作。

2

數(shù)據(jù)的變化帶動了數(shù)據(jù)安全風(fēng)險的變化，這個風(fēng)險可以來自企業(yè)外部也可以來自企業(yè)內(nèi)部；可以是技術(shù)上的，也可以是管理上的。

在過去ICT基礎(chǔ)設(shè)施還比較落后的時候，數(shù)據(jù)的價值很難體現(xiàn)在企業(yè)的日常運營過程中。所以過去我們保護數(shù)據(jù)的方法就是利用加密機把重要文檔加密存放起來，或者利用DLP配置一些規(guī)則，來阻止重要文檔的泄露。那個時候，企業(yè)其實很少考慮到風(fēng)險識別的問題。

但后來伴隨著軟硬件技術(shù)的發(fā)展，我們引入了IaaS、引入了各類云存儲、Hadoop或者Spark大數(shù)據(jù)集群、各類開源數(shù)據(jù)庫等等，就是希望能利用這些工具，充分挖掘數(shù)據(jù)的價值。如前文所說，大數(shù)據(jù)時代最重要的一個變化是數(shù)據(jù)的流動，數(shù)據(jù)不僅僅會從一個部門流動到另外一個部門，還會從一家企業(yè)流動到另外一家企業(yè)，甚至還會涉及到數(shù)據(jù)跨境。這其中的風(fēng)險將會比過去多得多。并且，這些新技術(shù)的引入必然帶來新的漏洞和新的攻擊方法。所以，謝永勝將風(fēng)險識別放在了第一位，足以說明風(fēng)險識別的重要程度。

（2019 第二屆數(shù)據(jù)安全峰會）

舉幾個比較火的例子。

第一，勒索病毒。勒索病毒可以簡單理解成為一種可以快速自我復(fù)制的加密軟件，但它絕對可以算的上是加密的“克星”。因為企業(yè)一旦感染，加密是沒有用的，勒索軟件可以對文檔進行二次加密。企業(yè)如果沒有做好相應(yīng)的異地容災(zāi)，那基本上只能祈禱對方在收到贖金之后能信守承諾了。在永恒之藍事件中，開放445端口就是一種風(fēng)險，沒及時安裝微軟推送的補丁，也是一種風(fēng)險。

第二，APT攻擊。當(dāng)黑客利用魚叉郵件或者其他社會工程學(xué)的方法，成功入侵到企業(yè)內(nèi)網(wǎng)并且控制了大量的特權(quán)賬號，那基本意味著企業(yè)內(nèi)部的數(shù)據(jù)全部暴露在了黑客的眼前。今年，特權(quán)賬號的管理也上了Gartner的十大安全項目。

第三，來自企業(yè)內(nèi)部和供應(yīng)鏈企業(yè)的風(fēng)險。實際上這一點是最容易被忽視的。員工利用既定權(quán)限非法訪問數(shù)據(jù)所帶來的風(fēng)險，絲毫不亞于黑客攻擊。企業(yè)必須要知道正在訪問敏感數(shù)據(jù)的人是誰，你對數(shù)據(jù)都做了什么。

3

前兩個例子是屬于外部的攻擊。當(dāng)然不論是什么類型的攻擊，都要利用到技術(shù)本身的漏洞。嚴格而言，漏洞的治理和網(wǎng)絡(luò)層、應(yīng)用層的攻防并不屬于數(shù)據(jù)安全的范疇，但它卻給數(shù)據(jù)安全帶來了嚴重的威脅。

第三個例子主要說的是企業(yè)的內(nèi)部風(fēng)險。風(fēng)險有很多種，比如員工通常都是在企業(yè)內(nèi)網(wǎng)訪問數(shù)據(jù)，突然他的IP出現(xiàn)在了一個未知區(qū)域，或者該員工希望將數(shù)據(jù)下載到本地。出現(xiàn)這種情況，就有可能是該員工的賬戶被黑客入侵，也有可能是外部人員收買了該員工。

應(yīng)付這種情況通常的做法是引入動態(tài)的訪問控制來取代過去的靜態(tài)口令，用比較時髦的說法就是零信任身份安全。其原理是系統(tǒng)通過行為識別技術(shù)來監(jiān)測訪問行為，一旦監(jiān)測到異常訪問，即通過多因子認證等方式來驗證訪問者的身份，并且需要對該用戶的訪問行為進行審計。2017年RSAC創(chuàng)新沙盒冠軍得主UnifyID就是身份安全的典型代表企業(yè)。

當(dāng)然，來自供應(yīng)鏈的風(fēng)險同樣難以防范。除了針對供應(yīng)商的權(quán)限管理以及訪問控制外，還會涉及到數(shù)據(jù)流轉(zhuǎn)過程中的脫敏、審計以及分發(fā)管控等等。

所以謝永勝就強調(diào)了解決數(shù)據(jù)安全問題，應(yīng)該是網(wǎng)絡(luò)安全和數(shù)據(jù)安全共同融合，底層要解決外部的攻擊風(fēng)險，做好網(wǎng)絡(luò)層與應(yīng)用層的檢測與相應(yīng)，另一方面要通過準(zhǔn)入、訪問權(quán)限控制以及數(shù)據(jù)庫加密、數(shù)據(jù)庫脫敏，包括向數(shù)據(jù)庫、防火墻、數(shù)據(jù)庫審計、流量管理和網(wǎng)絡(luò)傳輸?shù)陌踩?，解決數(shù)據(jù)本身的安全。

最終，謝永勝是希望能夠做到數(shù)據(jù)安全的態(tài)勢感知，實現(xiàn)數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)、風(fēng)險識別、威脅防護以及追蹤溯源的閉環(huán)。

4

最后說一句。數(shù)據(jù)治理不僅僅是技術(shù)層面和管理層面的事情，還需要政策和法規(guī)方面的支持。美國的的cloud法案給了美國人在數(shù)據(jù)方面的“長臂管轄權(quán)”，GDPR規(guī)定了所有在歐盟開展生意的企業(yè)都要遵守這個規(guī)定。

目前，中國還沒有類似的法案。如謝永勝所說，作為數(shù)據(jù)安全的服務(wù)者和從業(yè)者來講，我們希望國家要加快推動數(shù)據(jù)安全相關(guān)法律和標(biāo)準(zhǔn)的推出，讓企業(yè)有體系化的思路、思維解決數(shù)據(jù)安全問題。

粉絲福利

快來留言區(qū)談?wù)勀愕目捶ò伞?/span>

截止到8月9日下午18:00，評論精彩的粉絲有機會獲得紅包，獲獎結(jié)果將在下期互動區(qū)公布！

返回搜狐，查看更多

責(zé)任編輯：