“韧性”数据安全体系,是美创科技在数据安全的最新探索。
特设专栏“构建适应性进化的韧性数据安全体系”中,首期文章(点击此处跳转),我们重点介绍了韧性数据安全体系的三个目标:韧性和弹性、适应性进化、复杂系统的可见性。
本期内容将探讨——“韧性”数据安全体系的原则和组成。更多内容将陆续呈现,请持续锁定。
作 者 ⎪ 柳遵梁
韧性数据安全体系的原则
确定性锚点和由内而外的防御
安全事件总是在未来发生,未来具有高度的不可预测性和不确定性,即使是简单的历史事件重现也很少完全相同。观察必须具备支点,在不断变化的时间洪流中,只有依赖确定性锚点来支撑对未来事件的观察并判断安全性,以确定性锚点为基础由内而外构建防御体系。寻找确定性锚点是数据安全体系的基本任务。
简洁的复杂
复杂多变的物理环境、极端复杂性的数据生态系统、碎片化的安全场景诉求、极为快速的安全事件响应等各方面都在要求我们尽可能保持简洁。只有简洁才可以隔离复杂性,驾驭复杂性。
适应性进化
无论是资产还是身份,都随着时空环境发生访问模式上的变化,都随着生命周期的演进呈现出不同的特征。通过适应性进化不断拓展安全模式,检测突变并控制突变。
携毒生存 与狼共舞
网络总是会被突破,边界也总是会被突破,我们需总是要假设数据和业务运行在充满恶意的环境之中,总是要考虑底线防御措施(最坏的事情发生了之后该怎么办?)。
方便性和干扰性的妥协
当安全总是以干扰性方式存在,高度依赖于安全管理的时候,安全将永远得不到保证。复杂性密码体系的失败,教训我们安全必须在方便性和干扰性之间取得妥协。
有限理性的人
安全本质上是人的安全。我们需要认识到人是理性和非理性的混合体,凡是和人相关的任何行动都具有高度的不确定性,凡是人深度参与的系统必然是复杂性系统,具有一定程度的不可认知性。
以重大威胁作为防御基础目标
在一个高度复杂性的数据生态体系,低烈度的错误和意外的频繁发生是基本特征,也是韧性体系的基本特征。数据安全体系以重大威胁为防御目标,低烈度安全事件是防御重大威胁的必要组成部分。
攻防的非对称性
入侵和防御具有高度不对称性。我们讲天时、地利、人和,入侵方(无论是外部还是内部)具有毫无争议的天时与人和优势,防御方唯一可以依赖的就是地利,内部入侵甚至地利的优势都被充极大程度的弱化。充分利用地利,并利用地利制造人和安全体系是重点需要考虑的。
韧性数据安全体系的组成
网络安全:网络安全是第一道边界,把数据安全事件从大概率事件转化为小概率事件。
身份和身份安全:以人为中心的身份安全体系,构建以身份为基础的第二道边界。
资产和资产安全:以资产为中心的资产安全体系,构建以资产为中心的防御堡垒和有序流动。
运行保障安全:以故障、资源消耗和排队为中心的运行安全体系,从临界反应角度来检测和响应安全风险。
底线防御安全:当数据资产目标被完全破坏或者部分破坏的情况下,构建最后防线以保障极限生存能力。
适应性动态风险:以资产和身份的不断相互作用构建适应性进化生态,通过突变来检测风险。
多层级快速响应:从封闭边界到看见反馈的不同层级的快速响应系统。
看见驱动安全:从看得到到看得见,通过看见提高人的能力,并把人的能力贯入到安全体系。
全流量和日志采集:全网的流量和日志采集,为数据安全和拓展分析奠定基础。
安全数据中心:有组织的存储来自于全流量和日志采集的安全数据。
统一控制平面或者切面:统一的一般性形式规则构建许可。
全场景安全导入和法规遵循:面向碎片化的安全场景,让碎片化场景导入韧性安全体系。
暴露面评估和修复:通过收敛和隐藏暴露面来降低安全风险,在红后效应中获胜。
6501
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
