山石岩读丨数据安全在数字化时代的困境与破境

数字时代下，数据已成为数字经济发展的核心生产要素和企业最重要的资产，然而数据在流通、流转、共享、使用、泄露、加密等各个环境中都存在一些问题，这些问题该如何解决？数字化时代下的数据安全又将如何得到保障？

7月29日上午，在ISC 2021 第九届互联网安全大会主题论坛上，山石网科数据安全与审计业务群总经理赵胜发表了《新形势下数据安全探索与实践》主题演讲。他提到，数据作为数字经济的核心生产要素，正成为科技创新的突破口，面对数据安全的复杂现状，山石网科探索和实践了一套专门的数据安全治理解决体系。

以下是演讲实录：

大家好，我是山石网科数据安全与审计业务群的赵胜。今天在这里，我要跟大家分享山石网科在新形势下对数据安全的探索与实践。 

数字时代数据安全体系建设必要性

随着新技术的不断发展，我国从数字经济的跟跑者成为领跑者，数据作为数字经济的核心生产要素，正成为科技创新的突破口。但是现实中数据安全防护能力参差不齐，数据安全问题不断频发，像个人隐私泄露、非法数据交易等。根据国外咨询机构Verizon发布的2020年全球数据泄露事件，同比增长96%，其中像金融、医疗、制造业被列为前三。同时，随着新技术向云计算、大数据、互联网、人工智能的发展，国家也配备了相关政策法律法规。在合规层面，《网络安全法》、《数据安全法》以及《个人信息保护法（草案）》陆续发布，其中《网络安全法》有16条涉及个人信息保护和数据安全。刚刚发布的《数据安全法》确立了以数据分类分级、风险评估和应急处置作为基本制度，也明确了使用数据处理的组织和个人数据保护义务。

《数据安全法》对数据安全治理体系的要求

说到《数据安全法》，就不得不提其对数据安全治理体系的要求，总则是维护数据安全应当坚持国家数据安全观，建立健全数据安全治理体系，提高国家数据安全保障能力。我们对《数据安全法》的总体框架进行剖析，可以得到其实施逻辑：数据的分类分级是原则，也是先决条件。首先我们需要建立一个数据分类分级的清单，这样我们才能为数据安全防护打下坚实的防控基础，之后我们需要根据数据全生命周期的数据安全管理制度和流程，形成持续有效和可落地的数据安全防护措施和手段，对数据进行分类分级管控。在完善了数据分类分级的管理流程和基础防护之上，我们还需要对残余的数据风险以及可能发生的数据的问题建立必要的响应处置措施，进一步地避免数据安全事件的发生。

数据安全现状

数据安全防护的复杂性和片面性

业界对数据的分类有很多种，其中就包括结构化数据和非结构化数据。但是呈现在我们日常生活中的主要是三类，第一就是关系型数据库；第二是大数据存储系统；第三是文档存储。针对这三类，我们（行业）也有相应的数据安全的防护技术，比如说针对关系型数据库，我们有数据库安全审计、数据库防护系统、数据库加密等等以这些为代表的数据库安全厂家。还有以大数据存储的文件，比如说大数据扫描技术、大数据脱敏技术的大数据安全防护厂家。以及针对我们文档存储文件的，比如终端DLP技术、网络DLP技术、存储DLP技术。因为数据的复杂性以及现有的安全技术防护的片面性，所以很少有一家厂商都能对这三类数据进行全面覆盖。

数据安全缺乏可视可管可控的安全防护体系

建立数据安全服务体系的时候，我们还可以通过3种技术的组合和堆砌形成数据安全防护体系。但堆砌的方式存在一定缺陷和风险。举例而言，第一，我们现在的设备采用传统的堆砌方式，一般是单点孤立的，我们缺乏统一的运维管理措施。第二，策略缺乏联动，我们所有的技防难以形成合力。第三，我们对用户的行为以及敏感数据的流向缺乏监测和联动。最后，我们对整体的数据安全，缺乏有效的风险管控。

云端数据安全防护复杂成本高

通过现有的这些技防措施，我们做到了数据的分类分级，但也无法对整个数据安全进行综合治理。此外，需要大家注意的是越来越多的业务上云，云端的数据安全防护与传统的存在区别。硬件或软件产品的堆砌就不多赘述，但在云的环境下还有大量的东西向流量，由于传统的数据安全产品的不具备云平台底层流量交互，所以它无法做到对云环境进行全面的攻击防护，更不要提对云上可能需要的资源弹性扩展策略的一站部署，以及可能对相关业务的自动化编排。现有的这种数据安全防护手段对云也是有所缺陷的。

基于云化的数据安全解决方案思路

针对以上的问题，山石网科探索和实践了一套专门的数据安全治理解决体系。首先，这是我们的企业数据中心，应该包含全场景数据全生命周期的一些流程。对它进行数据安全技术方面的防护，首先肯定要多而全、能覆盖全面的数据结构的数据安全组件，包括数据库审计、数据防火墙、数据库加密、大数据脱敏等等数据结构防护措施。我们需要将它进行云资源池化，或者说微服务容器化，让它形成云的安全资源池，与云环境进行耦合。提供了这一套资源后，还需要建立数据安全的统一管理，以及对数据安全综合的态势感知平台，我们简称为是数据安全综合治理平台，来组建一个完整的云端的数据安全的防护体系。

此外，还需要建立数据安全管理的服务，以及数据安全应用的服务，因为人和工具的结合才能使数据安全治理体系达到最好的效果。山石网科希望通过这套体系能够覆盖业务全视角、贯穿数据生命周期、数据资产可梳理、数据分类分级管控、底层架构可扩展、安全模块按需选取、数据安全可管理、安全态势全景展现、数据安全可运营、制度流程配套落地。

基于云化的数据安全解决方案设计

云化的数据安全解决方案的设计核心有三大模块，首先是覆盖全场景的云数据安全资源池，一般部署在网络的核心交换区，在数据的中心区域我们也需要放一朵云，因为数据中心区有很多数据是无法牵引出来的，如果云资源池在这个地方部署的话，更贴近用户的业务，能够做到更细致的管控。在安全管理区，我们会部署数据安全综合治理平台，对下面所有的网元业务进行统一的管理以及对整个企业的数据安全态势进行感知，数据安全状态进行全景展现。最后，数据安全的运营服务需要全程相伴，其中像数据安全资源池中提供的数据梳理的模块，结合数据安全综合治理平台进行展现，配合人的数据分类分级服务，将可以达到数据安全法的要求，为数据分类分级的企业带来英式服务。

云数据安全资源池中我们提供了丰富的安全网元，像云数据库审计、防火墙脱敏加密、VPI审计、数字水印和数据泄露防护等等，同时还可以提供安全运维的能力。这也反映了云安全资源池的一个特性，它是可以根据租户的场景，按照不同的需要来按需定制的。同时，云资源池本身也具备整体的租户的规模和安全资源的弹性扩展，性能线性扩充。

在安全管理平台，它是一个基于大数据的底层架构。它采集了用户的行为、海量日志及利用可视化技术与日志还原技术及其他技术的行为，结合用户的基础架构、数据敏感程度以及用户的基本信息，可以给用户提供数据安全统一的管理、分析、态势展现以及数据业务状态的展现平台，打造一个可管可控可视的独立平台。

最后，数据安全服务主要包括数据务安全的管理服务和数据安全运营服务。数据安全运营服务可以对数据资产做可持续的安全运营，对数据安全的策略做持续的运营以及可以实时展现数据安全风险状态，对数据的大事件进行通报，对数据安全的信息情报进行共享。最后总结一下，山石网科提出的云数据安全治理体系，通过刚才的几方面，能打造数据资产全面安全管控、数据安全资源云化供取、数据安全一站感知处置和数据安全可持续运营，这也是我们对数据安全治理体系的最新探索和实践，谢谢大家。