在大数据时代,数据已经成为公司的核心竞争力。《数字中国建设整体布局规划》为数字中国建设提出了“2522”整体框架布局,其中明确将“数字安全屏障”作为战略实施的两大关键能力之一,表明了数据安全是数字经济背后的重要工作。
广泛的数字化转型推动新兴技术应用以及业务创新,也使得数据脱离了传统的安全产品的防护范围,当数据安全成为未来安全建设的主要抓手,安全产业正驱动新的理念,以及新的技术,其中,数据安全平台(Data Security Platforms,简称DSP)就是近年来数据安全市场上出现的前沿产品。
数据安全平台(Data Security Platforms)的定义与价值
数据安全平台是数据安全赛道上一项新兴技术,调研机构Gartner在最新发布的《Hype Cycle for Security in China 2022》报告中对该技术的定义是:数据安全平台(Data Security Platforms,简称DSP)聚合了跨数据类型、存储孤岛和生态系统的数据保护需求,平台应用从数据发现和分类开始,通常通过使用后期绑定访问控制来保护数据,成熟的DSP还能进行数据活动监测和执行数据风险评估。
Gartner 认为 DSP 产品的重要性方面,过去数据安全是由不同的产品提供的,属于堆砌出来的安全,这导致了运营效率低下,DSP 则涵盖了各种场景下的数据安全保护需求,通过连接不同的数据安全技术和控制功能,从而达到平台化高效的集约管理。Gartner 进一步认为 DSP 提高了数据的可见性及其广泛地使用,并改进了数据的管理方式,可以帮助组织做出更明智的数据安全管理决策。
当前,安全的最大驱动力仍然来自合规,DSP 在国内落地时最大限度地遵循了这一点,其架构应用是保持遵守数据安全和隐私的重要组成部分。对于此,Gartner 表示:组织需要一个集成的平台来获得数据的存储、流通和使用的完全可见性。此外,它们必须能够更容易地跨不同的产品实现一致的安全策略,并简化数据风险和法规遵从性评估过程。
在安全的最大驱动力合规方面,数据安全平台是落地数据安全治理的技术工具,架构应用是遵守数据安全和隐私法规的重要组成,数据安全平台将提供数据存储、流通和使用环节的完全可见性,其价值还在于能跨不同的产品实现一致的数据安全策略,并简化风险和合规评估流程。
企业的数据现在分散在的不同业务系统当中,而这些系统有的在本地数据中心,有的是在不同类型的云服务当中,数据安全平台能够通过统一的数据发现,快速实现企业完整数据的可见性,帮助企业快速完成数据分类分级,应用该技术产品,可实现企业内外部数据有效地流通利用,并实现安全合规。
原点安全结合 Gartner 的 DSP 创新理念,认为好的技术需要架构层面的创新,提出了数据访问安全层的理念。数据访问安全层 DASL(Data Access Security Layer)是位于访问数据的工具、应用与数据源之间的一层安全技术架构,用于实现数据源中敏感数据的访问控制和交付控制,旨在保护敏感数据免受未经授权的访问、篡改、泄露、破坏和过度暴露。
数据访问安全层提供的数据安全基础能力包括但不限于:敏感数据发现、分类分级标识、数据访问控制、数据动态脱敏、数据安全审计等;并能够根据具体的业务场景和需求,通过合适的安全策略编排这些数据安全基础能力,保护敏感数据的安全性和合规性,同时提高了敏感数据的可追溯性和可审计性,能够更好地监控敏感数据的访问和使用情况。
监管明确要求
监管机构要求银行的数据治理工作覆盖全部数据,如果单纯通过人工方式去覆盖数据的全生命周期、覆盖流程中的全部数据、覆盖内外部数据和所有分支附属机构,必然是一项浩大的工程。通过建立数据资产目录,可以将银行的所有数据资产进行编目,逐步形成行内覆盖全生命周期的,覆盖银行内外部数据的数据资产目录,有效支持银行开展各项数据管理工作。
而对于数据分类分级的有效执行,不仅需要有良好的数据标准管理规划,嵌入系统开发的流程,还需要有一定的事后检查和评估方法,例如可以利用数据安全平台,内嵌行业通用数据分类分级标准,同时支持自定义标准;也可以通过数据标准的代码等定义与现有的系统进行比对,评估数据标准的执行情况。
数据安全平台优势与价值
与边界型单一功能型数据安全产品相比,数据安全平台型产品不仅能实现“管理”,更能实现“赋能”。DSP 可以实现先进的人工智能分析,挖掘分布在不同边界的此前不被管理到的数据,并利用 DSP 对结构化数据和非结构化数据的发现和分类管理等,从而实现以安全合规为前提的数据流通使用率。
DSP 产品包含一系列技术来保障数据的在流通过程中的安全性,强化来自内部及外部的综合风险,以往这些技术存在于不同的安全单品之上,现在他们将在数据中台中展现价值,且市场化的 DSP 产品通过不断演进,越来越多的技术也被应用其中,从而保障数据在全场景流通使用的安全性。
综合而言,数据安全平台将是数字经济时代发展之下,企业必备的一种数据安全合规和数据价值应用的赋能管理工具。
数据安全平台多能力一体化集成
出于对不同技术理念的理解,国内安全厂商的数据安全平台型产品并不完全一致,以原点安全的一体化数据安全平台 uDSP 为例,技术理念与应用方向与 Gartner 所提的 DPS 存在一定重合,但在技术上要更加适合当前国内金融银行类企业用户的数据安全管理现状。虽然数据安全平台产品在落地时方向性并不完全一致,但其应具备以下通用能力:
1、应用覆盖一体化:uDSP 应该能够一体化覆盖各种角色的人员、在多种场景下使用各类应用和工具访问数据的管控场景,例如研发运维人员使用数据库运维工具访问数据、业务人员通过业务应用访问数据、数据分析人员使用BI工具访问数仓中的数据、数据开发人员使用低代码平台访问数据、第三方合作伙伴通过数据共享API访问数据,等等。
2、数据覆盖一体化:uDSP应该能够一体化支持各种孤岛式建设、异构、跨生态系统的数据库,例如开源数据库MySQL、PGSQL,传统的Oracle、SQL Server,Hadoop大数据系统,国产数据库系统等;无论这些数据库系统部署在公有云上,还是部署在本地数据中心;无论是云端自建的数据库系统,还是云原生的数据库服务。
3、安全场景一体化:企业希望与数据安全相关的业务场景都能在uDSP平台上实现,而无需再借助其他产品工具。例如个人信息保护合规、数据跨境安全合规、数据安全分类分级、数据访问权限治理、数据使用合规治理等安全场景。
4、业务协同一体化:数据安全工作与合规部门、业务部门、数据管理部门、IT运维部门的工作密切相关,例如数据访问权限策略的配置,就需要多个部门人员的共同参与才能完成。企业在数据安全方面过去缺少协同的产品工具,uDSP能够帮助企业完成这类协同工作,提高工作效率。
一体化数据安全平台在以上四个“一体化”能够给企业带来非常大的价值,但是uDSP平台自身绝不只是简单地把各种数据安全能力堆砌在一起,而必须具备以下特性:
1、敏感数据一体化:uDSP必须具备构建一体化敏感数据目录的能力,能够屏蔽异构、跨生态的数据库系统的复杂性,为企业提供可视化的、统一的敏感数据视图,并且在数据发生变化时,能够实时掌握敏感数据的变化,保证敏感数据目录的“新鲜度”。
2、保护能力一体化:uDSP必须能够把保护数据所需的安全控制能力(例如数据访问控制、数据动态脱敏、数据安全审计等)集成在一个平台上实现,无需再借助其它工具。
3、安全策略一体化:传统的数据安全产品往往是单点能力,因此产品组合方案提供的数据安全策略往往被割裂为不同数据安全产品上配置的多个不同策略,例如数据库防火墙中的访问控制策略、数据脱敏产品中的脱敏策略等等。uDSP平台必须能够把这些安全策略整合为统一的数据安全策略,一条策略就能够编排不同的安全控制功能,形成协同联动的能力。
4、日志分析一体化:传统的数据安全产品往往是单点能力,因此产品组合方案提供的日志也往往是割裂的,即使把这些日志集中在一起,日志之间也很难建立起关联,这对完整分析模型的建立造成了非常大的障碍。uDSP平台必须能够提供一体化的日志能力,通过技术手段,在不同安全控制能力产生的日志之间建立起有机的关联,提高日志审计和分析的价值,例如,帮助企业构建可视化的全链路数据访问轨迹,提升追踪溯源响应能力。
一体化数据安全平台可实现组织内敏感数据发现与数据分类分级,并形成敏感数据资产目录;在此之上提供一体化的敏感数据访问控制、数据权限管控、数据动态脱敏、敏感数据访问审计等功能,满足数据安全管控、个人信息保护和数据出境安全合规要求,让企业的数据更安全,合规更高效。
数据安全平台可涵盖企业数据安全管理常见手段及管理方式,包括数据资产盘点管理,敏感数据识别、数据分类分级;数据库防火墙、数据审计,数据库安全审计、云数据库审计、API 审计;敏感数据脱敏,数据脱敏、数据动态脱敏、实时脱敏,敏感数据访问监督;数据库安全防护、数据库运维管控、云数据库安全运维,数据库权限管理设置、访问权限设置、数据访问治理,达到细粒度权限管控,做好数据安全运营,防止敏感数据泄露,满足数据合规与业务合规要求。