當(dāng)今全球進入數(shù)據(jù)經(jīng)濟時代,數(shù)據(jù)資源成為推動各國產(chǎn)業(yè)發(fā)展和商業(yè)創(chuàng)新的動力源泉。與此同時,數(shù)據(jù)資源面臨的安全威脅也日益嚴(yán)峻,數(shù)據(jù)開放利用與數(shù)據(jù)安全治理成為“一個硬幣的兩面”,兩者缺一不可。因此,面對數(shù)據(jù)安全威脅日益嚴(yán)峻的態(tài)勢,為確保在大數(shù)據(jù)時代下敏感數(shù)據(jù)的安全,著力解決數(shù)據(jù)安全領(lǐng)域的突出問題,數(shù)據(jù)安全治理能力的提升迫在眉睫。
作為一家專注于數(shù)據(jù)安全領(lǐng)域的創(chuàng)新型企業(yè),昂楷科技針對數(shù)據(jù)安全所面臨的挑戰(zhàn),提出以數(shù)據(jù)安全治理為中心的安全防護方案,重點從數(shù)據(jù)全生命周期的角度闡述了數(shù)據(jù)流轉(zhuǎn)每個環(huán)節(jié)中的安全風(fēng)險以及防護措施,為大數(shù)據(jù)環(huán)境下敏感數(shù)據(jù)的安全提供全方位的保障,并致力于讓人們放心地享受大數(shù)據(jù)。
近日,深圳昂楷科技有限公司副總經(jīng)理李四階,圍繞數(shù)據(jù)安全治理的基本思路、數(shù)據(jù)安全落地的現(xiàn)狀及難點、數(shù)據(jù)安全治理方案的客戶價值等方面,與記者展開深入溝通和交流,相關(guān)問題和回答展示如下,以饗讀者。
INTERVIEW
01
本刊記者 :
數(shù)據(jù)安全治理的基本思路是什么?
李四階 :
網(wǎng)絡(luò)信息安全的發(fā)展經(jīng)歷了從終端安全、網(wǎng)絡(luò)安全進入數(shù)據(jù)安全的幾個階段,曾經(jīng)我們只需保護好承載數(shù)據(jù)的系統(tǒng),后來伴隨數(shù)據(jù)的使用流動,我們需要在不同的場景和業(yè)務(wù)中去考慮數(shù)據(jù)特定的安全需求,由此誕生了品類繁多的數(shù)據(jù)安全產(chǎn)品。
現(xiàn)在,數(shù)據(jù)上升到資產(chǎn)、基礎(chǔ)設(shè)施的層面,數(shù)據(jù)量級正在以幾何速度暴漲,數(shù)據(jù)蘊含的價值并非以往任一時代能夠比擬的,如果我們僅僅使用雇傭保安、裝防盜門等形式的安全管控,一方面,單一的、孤島式的防護無法對抗持續(xù)激增的風(fēng)險威脅;另一方面,以管控為目標(biāo)的安全原則將會對數(shù)據(jù)的流通利用產(chǎn)生明顯的阻礙。
而數(shù)據(jù)安全治理的思路,強調(diào)安全不再是一個純技術(shù)和產(chǎn)品層面上的安全,而是組織規(guī)范、管理制度和產(chǎn)品工具的完美整合,以呈現(xiàn)整體的、有策略的安全體系。同時,安全防御長期以來強調(diào)的是為業(yè)務(wù)提供保障,在數(shù)據(jù)時代,數(shù)據(jù)就是業(yè)務(wù)的核心驅(qū)動力以及業(yè)務(wù)本身,因此,我們需要跳出以往著眼于系統(tǒng)、網(wǎng)絡(luò)的安全思維,重新以數(shù)據(jù)為中心來進行安全的建設(shè),達(dá)到精細(xì)化和貼身式的防守。
INTERVIEW
02
本刊記者 :
請您談?wù)剶?shù)據(jù)安全治理落地實踐的現(xiàn)狀。
李四階 :
數(shù)據(jù)安全治理是一套很宏大的框架,類似于我們生活的城市中會出現(xiàn)打砸搶燒,每家每戶裝上防彈玻璃、非必要就閉門不出并不能有效杜絕意外的出現(xiàn),社會的運轉(zhuǎn)也將陷入僵局。站在公共安全治理的角度,我們會組建公檢法體系,會有軍隊來提供保障,會出臺法律政策,會建立公共設(shè)施和安檢制度等,既有組織策略,也有技術(shù)手段,還有協(xié)同聯(lián)動。數(shù)據(jù)安全治理也一樣,但將其落地實施到一個具體的企業(yè)中,形成貫穿于整個組織架構(gòu)的完整鏈條,絕非易事。
數(shù)據(jù)安全治理本質(zhì)上就是一套自上而下的多層框架,涵蓋決策層到技術(shù)層,它要求企業(yè)建立安全政策和組織保障;評估企業(yè)自身面臨的安全風(fēng)險,對不同等級的風(fēng)險設(shè)定不同的管理政策;針對安全風(fēng)險控制,制定相應(yīng)策略,內(nèi)部進行資源匹配,這里面將涉及具體的技術(shù)工具;通過安全評估及具體指標(biāo)衡量,以確保風(fēng)險得到有效管理,否則需要重新糾偏,以此形成一個完整的閉環(huán)。
從戰(zhàn)略高度來指導(dǎo)數(shù)據(jù)安全治理,好處在于宏觀的控制和推進,但在美好的愿景之下,它的推進難度、執(zhí)行效率極大地依賴于該項目在企業(yè)中的重要性和地位、企業(yè)組織架構(gòu)是否足夠成熟優(yōu)越、企業(yè)成員的安全意識是否與此高度匹配等因素。而在現(xiàn)實情況中,我國大部分企事業(yè)單位的 IT 建設(shè)、組織建設(shè)在過去長期處于“重發(fā)展輕安全”的狀態(tài),在此基礎(chǔ)上直接落地數(shù)據(jù)安全治理有些“水土不服”“不接地氣”。
INTERVIEW
03
本刊記者 :
昂楷科技如何把控數(shù)據(jù)行業(yè)痛點?
李四階 :
數(shù)據(jù)庫破壞的形式有三種:一是對數(shù)據(jù)庫的結(jié)構(gòu)性破壞,導(dǎo)致數(shù)據(jù)庫無法正常運行,數(shù)據(jù)庫是信息化系統(tǒng)的核心,數(shù)據(jù)庫無法正常工作,系統(tǒng)即無法正常工作;二是對數(shù)據(jù)進行定向惡意篡改以達(dá)到自己的目的,這方面的問題比較隱蔽,大家談的比較少,但危害極大;三是核心數(shù)據(jù)的盜取,這是廣為討論的問題,其本質(zhì)就是信息泄露。
這三種破壞形式組合起來興風(fēng)作浪,其外在的危害表現(xiàn)錯綜復(fù)雜,總結(jié)起來有幾個典型危害:其一,國家重要部門或企事業(yè)單位機密被別有用心的他國竊取,或重要信息化系統(tǒng)、工業(yè)控制系統(tǒng)被迫癱瘓,將嚴(yán)重影響國家的政治、經(jīng)濟,甚至國民安全;其二,企業(yè)核心數(shù)據(jù)泄密或信息化系統(tǒng)不能正常運行導(dǎo)致企業(yè)競爭力下降、聲譽受損,甚至破產(chǎn);其三,個人隱私泄露導(dǎo)致財產(chǎn)損失,甚至付出生命的代價。
因此,行業(yè)迫切需要對數(shù)據(jù)安全的破壞行為做到有效防護;構(gòu)建事前預(yù)防、事中攔截、事后取證三位一體的積極防護體系。該防護體系的核心是將不可見的破壞之源,做到準(zhǔn)確可視、進而做到自主可控,并且要平衡好效率和安全、穩(wěn)定與安全、開放與安全的矛盾關(guān)系;還要有發(fā)展性,能夠適應(yīng)大數(shù)據(jù)、云計算、萬物互聯(lián)的信息化架構(gòu)及技術(shù)發(fā)展帶來的新挑戰(zhàn)!
面對行業(yè)迫切需求以及未來發(fā)展帶來的各種挑戰(zhàn),從國家機關(guān)、企事業(yè)單位的數(shù)據(jù)安全防護方案建設(shè)方面來講,應(yīng)該打破從前“以外防為主建立防護邊界系統(tǒng)”的老思路,建立終端、外防、內(nèi)審內(nèi)控的三級聯(lián)動聯(lián)防主動積極防御體系;尤其重要的是數(shù)據(jù)安全態(tài)勢感知系統(tǒng),其作為整個防護體系的雷達(dá)探測和中樞指揮系統(tǒng),是核心中的核心。數(shù)據(jù)安全態(tài)勢感知系統(tǒng)與原有的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)融為一體,建立全態(tài)勢的安全感知和統(tǒng)一指揮調(diào)度系統(tǒng),能夠有效整合終端安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全等各大系統(tǒng),形成強大的聯(lián)動效應(yīng)。
昂楷科技正是按照這個建設(shè)思路,先從最核心的數(shù)據(jù)庫安全審計監(jiān)控產(chǎn)品開始研發(fā),解決對數(shù)據(jù)庫攻擊行為及攻擊者的可視;進而打造數(shù)據(jù)庫漏洞檢測、數(shù)據(jù)庫狀態(tài)監(jiān)控、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫安全態(tài)勢感知系統(tǒng),構(gòu)建針對數(shù)據(jù)庫的主動防御一體化解決方案。在設(shè)計系統(tǒng)方案時,積極研究最新前沿技術(shù)。目前,昂楷科技已率先支持后關(guān)系型數(shù)據(jù)庫的安全保護、Hadoop數(shù)據(jù)庫安全的保護、工業(yè)控制數(shù)據(jù)庫的安全保護,是第一個與公有云運營商聯(lián)合推出運營級的云數(shù)據(jù)庫安全審計監(jiān)控服務(wù)的企業(yè)。
INTERVIEW
04
本刊記者 :
昂楷科技如何實踐數(shù)據(jù)安全治理?
李四階 :
昂楷科技在幫助企業(yè)落地數(shù)據(jù)安全治理項目時,進行了很好的本土優(yōu)化,采用自上而下和自下而上的雙向結(jié)合循環(huán)路線。一方面,在策略上,從頂層起步進行宏觀路線的規(guī)劃,形成一套完整的從梳理到管理再到控制的方法論;另一方面,在執(zhí)行上,從大到小、從整體到局部,動態(tài)地、精細(xì)地逐步進行實施,比如,先進行“卡口”實現(xiàn)對基本面的安全控制,再結(jié)合對數(shù)據(jù)資產(chǎn)的梳理情況進行數(shù)據(jù)安全策略的智能化設(shè)置。
整體方案的構(gòu)成涵蓋了資產(chǎn)梳理、風(fēng)險評估、主動防御、監(jiān)控審計、態(tài)勢感知、數(shù)據(jù)溯源、數(shù)據(jù)處理、聯(lián)動聯(lián)防等全面的能力,這些數(shù)據(jù)安全能力單元搭配SOC平臺、應(yīng)用安全、終端安全、網(wǎng)絡(luò)安全等安全能力單元,集中到擁有自學(xué)習(xí)能力的數(shù)據(jù)安全綜合治理平臺上,實現(xiàn)對復(fù)雜威脅的聯(lián)動聯(lián)防,可以覆蓋數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀的全部流轉(zhuǎn)周期。
數(shù)據(jù)資產(chǎn)的明顯特征在于瞬息萬變,數(shù)據(jù)是高度靈活、高頻變動的,如果像盤點實物資產(chǎn)一樣去梳理數(shù)據(jù)資產(chǎn),并根據(jù)梳理結(jié)果對數(shù)據(jù)進行管理控制,很難達(dá)到“與時俱進”的效果。因此,昂楷科技通過 AI 機器學(xué)習(xí)的方式持續(xù)地監(jiān)測數(shù)據(jù)本身實時變動情況,包括其格式、狀態(tài)、敏感性等維度,實現(xiàn)持續(xù)的智能化數(shù)據(jù)盤點,通過不斷地重塑企業(yè)數(shù)據(jù)資產(chǎn),指導(dǎo)后續(xù)的安全動作,達(dá)到更精準(zhǔn)、更靈敏、可持續(xù)性發(fā)展的安全防控效果。
INTERVIEW
05
本刊記者 :
昂楷科技數(shù)據(jù)安全治理方案能夠給客戶帶來哪些價值?
李四階 :
昂楷科技數(shù)據(jù)安全綜合治理解決方案讓客戶的大數(shù)據(jù)平臺實現(xiàn)精準(zhǔn)可視、安全可控,以安全態(tài)勢感知平臺為樞紐,清晰掌握了平臺上數(shù)據(jù)庫資產(chǎn)、數(shù)據(jù)庫健康狀態(tài)以及敏感數(shù)據(jù)分布情況,對數(shù)據(jù)庫操作行為與敏感數(shù)據(jù)使用狀態(tài)進行實時監(jiān)控和及時告警,高敏數(shù)據(jù)和測試數(shù)據(jù)通過去隱私化以及訪問控制的方式確保安全可控,方案從整體上形成全面、準(zhǔn)確審計以及安全防護體系的建設(shè),以滿足客戶對安全事前防御、事中管控、事后溯源的安全管理需求。
事前防御階段。根據(jù)數(shù)據(jù)安全的管理制度及標(biāo)準(zhǔn),對敏感數(shù)據(jù)如個人的手機號、住址、社保信息、公積金信息、房產(chǎn)信息、就診信息等,企業(yè)的納稅信息、股權(quán)信息等非公示項信息,實行事前識別并嚴(yán)格執(zhí)行訪問管控策略。
在不同訪問場景下,通過脫敏規(guī)則,對不同身份的運維人員訪問敏感數(shù)據(jù)中的身份證、銀行卡、電話號碼、姓名、住址等敏感信息進行掩碼處理,實現(xiàn)敏感數(shù)據(jù)動態(tài)遮蔽,防止泄露敏感數(shù)據(jù),同時不影響常規(guī)的數(shù)據(jù)遷移、備份等日常工作。
事中管控階段。使用數(shù)據(jù)庫防火墻屏蔽直接訪問數(shù)據(jù)庫的通道,可基于IP地址、時間、操作、關(guān)鍵字、數(shù)據(jù)庫賬號、語句長度、列名、表名、行數(shù)、注入特征庫等多種條件,制定靈活多變的數(shù)據(jù)防護策略。對于高危操作行為需提交申請,待審批通過后方可進行操作,同時,在操作過程中,要進行監(jiān)控審計,阻斷異常和違規(guī)的數(shù)據(jù)修改、刪除等操作,達(dá)到在數(shù)據(jù)使用過程中有效防止敏感數(shù)據(jù)泄露和被非法篡改的目的。
事后溯源階段。通過數(shù)據(jù)庫審計,對數(shù)據(jù)分析人員、應(yīng)用管理及運維人員、DBA、普通用戶、管理員的數(shù)據(jù)訪問行為進行全記錄,判斷行為的合規(guī)性,同時可以通過審計操作與數(shù)據(jù)庫審計進行關(guān)聯(lián)分析對比,以三層關(guān)聯(lián)精準(zhǔn)定位到人,準(zhǔn)確判斷是否存在違規(guī)行為,做到事后可溯源、可分析。
INTERVIEW
06
本刊記者 :
昂楷科技如何持續(xù)保持對數(shù)據(jù)的支持能力?
李四階 :
昂楷科技一直保持對新一代數(shù)據(jù)庫的快速支持能力,并同時追蹤區(qū)塊鏈、分布式數(shù)據(jù)庫的發(fā)展演進,憑借團隊對數(shù)據(jù)庫安全的基礎(chǔ)性攻防研究能力以及對新 IT 架構(gòu)的支持響應(yīng)能力,緊跟數(shù)據(jù)庫技術(shù)的發(fā)展,實現(xiàn)對新數(shù)據(jù)庫及安全威脅的快速響應(yīng)并采取有效技術(shù)措施應(yīng)對,同時參與安全標(biāo)準(zhǔn)制定,共建數(shù)據(jù)安全長城。
昂楷科技基于“不做‘關(guān)系型’產(chǎn)品”這一思想,自2016年開始,面向用戶和合作伙伴,推出了“尋找不一樣的VIP”活動?;顒永砟钤谟谥灰袛?shù)據(jù)安全需求的用戶在數(shù)據(jù)安全方面遇到了難題,或找不到滿意的產(chǎn)品,那他就是昂楷科技的VIP客戶,昂楷科技不僅免費幫助其解決難題,還給予獎品答謝。通過這種方式,不但為用戶解決了自身的數(shù)據(jù)安全問題,昂楷科技也能夠?qū)崟r準(zhǔn)確地把握用戶在數(shù)據(jù)安全方面的真實需求,同時通過解決各種難題提升自身的產(chǎn)品技術(shù)實力,實現(xiàn)雙方互利共贏。
目前,昂楷數(shù)據(jù)安全綜合治理解決方案已應(yīng)用在政府、金融、證券、醫(yī)療衛(wèi)生、教育、電力等行業(yè),服務(wù)于兩千多家客戶,其中包括:廣東省公安廳、云南省公安廳、湖北省公安廳、東北電力大學(xué)、北京協(xié)和醫(yī)院、北京安貞醫(yī)院、江蘇蘇豪國際等。據(jù)透露,昂楷科技實行項目制方式運營,并于2019年已達(dá)數(shù)千萬元營收。
昂楷科技成立至今,團隊已達(dá)220余人,其中技術(shù)研發(fā)團隊占據(jù)近100人,核心團隊來自華為、華賽等知名廠商的高管及技術(shù)骨干。
昂楷科技創(chuàng)始人兼CTO劉永波曾于1998年加入華為綜合接入產(chǎn)品線,并在華為將UA5000系列產(chǎn)品打造成為世界第一品牌,該產(chǎn)品為華為十大主力產(chǎn)品之一,年銷售額過百億元人民幣,成為華為海外市場的開路尖兵。
鑒于此,昂楷科技曾獲得華睿投資的A輪融資和海達(dá)投資的戰(zhàn)略投資,2020年7月宣布獲得奇安投資的獨家投資,2021年8月宣布獲得方廣資本的新一輪投資。完成多輪融資后的昂楷科技加速公司發(fā)展,加大對數(shù)據(jù)安全綜合治理解決方案的研發(fā)和服務(wù)升級的投入,擴大銷售渠道建設(shè),同時,廣納英才、研發(fā)產(chǎn)品、拓展市場,發(fā)展數(shù)據(jù)安全新生態(tài),共同推動國內(nèi)數(shù)據(jù)安全行業(yè)的發(fā)展。
INTERVIEW
07
本刊記者 :
昂楷科技未來戰(zhàn)略的側(cè)重點是什么?
李四階 :
當(dāng)數(shù)據(jù)安全的策略、技術(shù)、措施都越來越智能和靈活,我們可以看到數(shù)據(jù)安全正逐漸與數(shù)據(jù)使用深度綁定在一起,趨向一種平衡的進化。整個行業(yè)已經(jīng)越過了非黑即白的強管控時代,當(dāng)數(shù)據(jù)的量級和價值極大地凸顯,我們需要意識到,把數(shù)據(jù)關(guān)起來是一條“死”路,但是讓數(shù)據(jù)不受控地放飛,只會“死”得更快。這從頒布的《中華人民共和國數(shù)據(jù)安全法》中也能得到印證,這部在網(wǎng)絡(luò)安全行業(yè)發(fā)展過程中具有里程碑意義的法律,正是從統(tǒng)籌發(fā)展與安全的角度規(guī)定了必須在保證數(shù)據(jù)安全的前提下,對其進行挖掘、利用和創(chuàng)造,安全從附屬、外圍的邊緣屬性正式轉(zhuǎn)換為與數(shù)據(jù)業(yè)務(wù)伴生、嵌套、互相成就的共生屬性,這十分考驗數(shù)據(jù)安全的全局部署、技術(shù)創(chuàng)新和實施服務(wù)等能力。
昂楷科技的安全戰(zhàn)略向前發(fā)展,會更加側(cè)重于工程化的落地能力,它不再是一個產(chǎn)品級別的安全方案,而是與數(shù)據(jù)利用結(jié)合在一起的業(yè)務(wù)性質(zhì)的工程。近年來,在政府、公檢法司、能源電力、運營商、金融、教育、云端數(shù)據(jù)庫等多個領(lǐng)域,昂楷科技已幫助多家核心頭部客戶有效實施其數(shù)據(jù)安全治理方案,積累了不少工程標(biāo)準(zhǔn)化經(jīng)驗和服務(wù)經(jīng)驗,這也將成為他們未來助力各行業(yè)數(shù)字化轉(zhuǎn)型的一大核心優(yōu)勢。