王燕楠 杭州美創(chuàng)技術(shù)經(jīng)理
首先,展開(kāi)數(shù)據(jù)安全話題之前,我們先有一個(gè)逃避不了的概念,就是黑客,不管我們?cè)谥暗谋热缦窬W(wǎng)絡(luò)安全也好,或者應(yīng)用安全也好的領(lǐng)域,還是說(shuō)到現(xiàn)在我們說(shuō)針對(duì)個(gè)人數(shù)據(jù)安全和個(gè)人的信息安全的討論也好,都回避不了這樣一個(gè)角色,就是黑客。我們其實(shí)可以把黑客從我們?cè)缙诘浆F(xiàn)在的發(fā)展,其實(shí)可以拉一個(gè)橫軸去看的話,其實(shí)就是從最早期的一些,比如只會(huì)用一些像工具類(lèi)的或者說(shuō)像一些掃描類(lèi)的工具,然后去進(jìn)行一些嗅探,進(jìn)行一些漏掃,進(jìn)行一些探測(cè)。然后到慢慢的,出現(xiàn)了初級(jí)和中級(jí)的黑客,可以通過(guò)一些工具和自己寫(xiě)的POS的腳本,在不同的場(chǎng)景去針對(duì)一些漏洞進(jìn)行利用。然后再到高級(jí)的,比如我們自己去挖掘的系統(tǒng)漏洞,或者wep層面的漏洞,去進(jìn)行利用。再到后期可能說(shuō)會(huì)更高級(jí)的,比如說(shuō)技術(shù)也好,或者說(shuō)手段也好。但是不管從我們初期的腳本小子,還是高級(jí)的黑客,其實(shí)核心是在于對(duì)數(shù)據(jù)的控制權(quán)。這是我的一個(gè)總結(jié)。
這句話里面有兩個(gè)關(guān)鍵點(diǎn),第一個(gè)是不法者;第二個(gè)是數(shù)據(jù)控制權(quán)。因?yàn)椴环ㄕ卟粌H僅是指外部的黑客,也是像下午其他嘉賓也講到,我們內(nèi)部的一些家賊,或者內(nèi)部人員這樣一個(gè)竊取,也是特別重要的。然后的話,另外一個(gè)就是數(shù)據(jù)的控制權(quán),為什么說(shuō)是數(shù)據(jù)的控制權(quán)?因?yàn)椴还苁峭獠康暮诳腿ネㄟ^(guò)一些漏洞也好,或者通過(guò)一些弱點(diǎn)也好拿到我們數(shù)據(jù),這個(gè)是拿到數(shù)據(jù)的一個(gè)權(quán)限。然后的話,他通過(guò)植入一些木馬或者一些惡意程序去進(jìn)行一些挖礦,或者說(shuō)是進(jìn)行一些分布式Devdaps,這個(gè)恐怕是對(duì)我們主機(jī)也好,或者對(duì)數(shù)據(jù)的服務(wù)器也好的一個(gè)控制權(quán)。包括比如說(shuō)像后續(xù)數(shù)據(jù)的一些采集,尤其是現(xiàn)在,比如說(shuō)我們一些虛擬貨幣的流行,以及比如說(shuō)像勒索病毒的傳播,其實(shí)也是對(duì)數(shù)據(jù)的一個(gè)控制權(quán)。他只要拿到了這個(gè)權(quán)限,我能夠進(jìn)行加密,那OK,你的這個(gè)數(shù)據(jù)就可以拿到,至于解密的話,你花錢(qián)就可以了。
然后的話,現(xiàn)在DT時(shí)代的到來(lái),數(shù)據(jù)已經(jīng)成為企業(yè)一個(gè)核心資產(chǎn),就是這個(gè)DT時(shí)代的話,我如果沒(méi)記錯(cuò)應(yīng)該是前兩年馬云提出來(lái)的。之前我們討論的更多是一些數(shù)字化轉(zhuǎn)型等等的,其實(shí)現(xiàn)在慢慢的從我們最早期的信息化到現(xiàn)在的話,包括展望未來(lái)也好,其實(shí)對(duì)數(shù)據(jù)的一個(gè)利用和一個(gè)提取和如何用數(shù)據(jù)去最大化量化客戶的價(jià)值,這個(gè)其實(shí)已經(jīng)是一個(gè),相信在現(xiàn)在已經(jīng)有很多企業(yè)在做了。包括現(xiàn)在我們大家知道的抖音,或者說(shuō)一些短視頻類(lèi)的,其實(shí)它就是根據(jù)你個(gè)人的一些日常訪問(wèn)的數(shù)據(jù)的習(xí)慣,然后去預(yù)測(cè)你未來(lái)的一個(gè)消費(fèi)也好,或者說(shuō)行為也好的一個(gè)趨勢(shì)。
所以的話,對(duì)傳統(tǒng)來(lái)看的話,我們數(shù)據(jù)資產(chǎn)的話,像最早期的話,我們都認(rèn)為數(shù)據(jù)是靜態(tài)的,比如說(shuō)OK,我這個(gè)數(shù)據(jù)就是我企業(yè)里面走出去,包括像最早的一些安全類(lèi)的防護(hù),其實(shí)很多時(shí)候大家都是在邊界去類(lèi)似搭積木的形式,不斷的把攻擊者的門(mén)檻給提的很高。
但是的話,到現(xiàn)在和未來(lái)的話,數(shù)據(jù)慢慢從我們一個(gè)可明確和可控制的這樣一個(gè)范圍內(nèi)的話,去慢慢轉(zhuǎn)換成一個(gè)逐步開(kāi)放,甚至說(shuō)需要去通過(guò)一些大數(shù)據(jù)也好,或者說(shuō)通過(guò)一些數(shù)據(jù)交換也好,然后去形成更多的一些交換場(chǎng)景。所以的話,數(shù)據(jù)在未來(lái)的過(guò)程中一定是處于動(dòng)態(tài)的,這個(gè)動(dòng)態(tài)不僅僅是說(shuō)我們企業(yè)內(nèi)部,也更多是我們企業(yè)外部的一些數(shù)據(jù)。
然后的話,我這兒總結(jié)了一個(gè)老問(wèn)題,一個(gè)新挑戰(zhàn)。
老問(wèn)題,傳統(tǒng)我們基于特征防護(hù)的力不從心,這個(gè)的話,比如從wep也好,或者通過(guò)IDS也好,或者IPS也好,其實(shí)很多都是傳統(tǒng)的一些基于特征的一些防護(hù)。但是基于特征的防護(hù)的話,現(xiàn)在已經(jīng)慢慢的跟不上我們企業(yè)自身的需求,所以這也是一個(gè)新的問(wèn)題。包括傳統(tǒng)的防護(hù)措施不適用,這里的不適用并不是說(shuō)傳統(tǒng)的防護(hù)措施沒(méi)有效果,而是說(shuō)傳統(tǒng)的防護(hù)不能適應(yīng)客戶業(yè)務(wù)的增長(zhǎng),或者說(shuō)客戶對(duì)安全的一個(gè)需求。
新挑戰(zhàn),剛才也提到了,就是網(wǎng)絡(luò)不斷的開(kāi)放性,因?yàn)槲磥?lái)的一個(gè)趨勢(shì)一定是,每家數(shù)據(jù)一定會(huì)拿出來(lái),甚至說(shuō)一份數(shù)據(jù)應(yīng)用在多個(gè)業(yè)務(wù)系統(tǒng)里面,甚至說(shuō)我企業(yè)的一部分?jǐn)?shù)據(jù),然后去拿到和其他的一些公司也好,或者說(shuō)是一些第三方也好進(jìn)行一個(gè)數(shù)據(jù)交換,或者是一個(gè)大數(shù)據(jù)的分析,然后再回收也好,一定是越來(lái)越開(kāi)放的。
包括現(xiàn)在攻擊者專(zhuān)業(yè)化程度和隱秘性也越來(lái)越高,因?yàn)樽罱囊恍狳c(diǎn)事件,比特幣不說(shuō)了,比如最近一些勒索的病毒,包括一些虛擬貨幣的一個(gè)流行,已經(jīng)讓我們的攻擊成本和獲取利潤(rùn)的一個(gè)能力遠(yuǎn)遠(yuǎn)的比之前的網(wǎng)絡(luò)安全時(shí)代高很多。因?yàn)橹暗脑挘瑢?duì)于一個(gè)黑客來(lái)說(shuō),他首先要拿到我們的像網(wǎng)站的漏洞,然后再去拿到我們內(nèi)網(wǎng)資源的一些漏洞,最終拿到我們數(shù)據(jù)庫(kù)里數(shù)據(jù)的這樣一個(gè)目的。但是現(xiàn)在的話,可能不需要去這么做,可能他只要嗅探到我們關(guān)鍵的一些基礎(chǔ)設(shè)計(jì)和一些資源,對(duì)這個(gè)資源有了控制權(quán)之后,就可以達(dá)到他的目的。所以這是我們面臨的新的挑戰(zhàn)。
這個(gè)也是我們從合規(guī)的層面去做的一些分析,就是通過(guò)去年歐盟的GDPR,包括到今年的《等保2.0》,上個(gè)月剛發(fā)布的,包括現(xiàn)在的《個(gè)人信息保護(hù)法(草案)》都是逐漸去強(qiáng)調(diào)個(gè)人數(shù)據(jù)和企業(yè)數(shù)據(jù)的重要性,我相信這也是未來(lái)的趨勢(shì)。未來(lái)如果一個(gè)企業(yè)對(duì)于自己數(shù)據(jù)不夠重視的話,不管是在業(yè)務(wù)的增長(zhǎng)也好,還是說(shuō)在自己的一個(gè)發(fā)展也好,一定會(huì)是一個(gè)阻力。
第二部分,我們杭州美創(chuàng)對(duì)于數(shù)據(jù)安全,我們是2005年成立的,也14年了主要聚焦在數(shù)據(jù)安全領(lǐng)域,我們的一些積累和經(jīng)驗(yàn)。因?yàn)閿?shù)據(jù)的話,剛才也提到了,我們數(shù)據(jù)是流動(dòng)的,我們把數(shù)據(jù)應(yīng)用的場(chǎng)景和范圍去進(jìn)行一個(gè)分析,我們可以得出,比如我們一份數(shù)據(jù),我們?cè)跇I(yè)務(wù)系統(tǒng)里面,包括運(yùn)維的角度,包括從交換中心和我們現(xiàn)在很多的公司都有大數(shù)據(jù)的一個(gè)運(yùn)營(yíng)中心,其實(shí)它會(huì)應(yīng)用到很多的場(chǎng)景里。然后再根據(jù)不同的范圍,也可以把數(shù)據(jù)分為,比如完全放在互聯(lián)網(wǎng)上去跑的數(shù)據(jù),包括可能會(huì)在我們一個(gè)企業(yè)中,比如內(nèi)部的一些運(yùn)營(yíng)系統(tǒng)會(huì)共享到的一些數(shù)據(jù),然后的話,還有一部分就是我們最早完全內(nèi)網(wǎng)才能綁的那些數(shù)據(jù)。通過(guò)對(duì)這些數(shù)據(jù)不同的應(yīng)用場(chǎng)景和范圍的分析,我們得出了一個(gè),當(dāng)然這個(gè)箭頭指的是防護(hù)的一些手段,主要就是我們要針對(duì)不同的場(chǎng)景和范圍進(jìn)行有針對(duì)性的一個(gè)防護(hù)。比如說(shuō)咱們數(shù)據(jù)庫(kù)本身,數(shù)據(jù)的存儲(chǔ),像剛剛邵主任也提到了,我們整個(gè)生命周期數(shù)據(jù)的保護(hù)都是特別重要的。
因?yàn)闀r(shí)間關(guān)系,在這里只跟大家分享一下我們?cè)跀?shù)據(jù)安全比較重點(diǎn)領(lǐng)域的心得。
首先是數(shù)據(jù)安全,第一步就是分級(jí)分類(lèi),這個(gè)剛剛邵主任也提到了,我們做數(shù)據(jù)安全首先第一步我們要知道我們的敏感,或者時(shí)間我們核心的數(shù)據(jù)在哪里?如果一個(gè)企業(yè)連自己核心數(shù)據(jù)在哪都不知道的話,就無(wú)從談起防護(hù)了。
我這里介紹幾個(gè)維度:
1、以表格列為基礎(chǔ)的敏感數(shù)據(jù)分類(lèi);像剛才邵主任也提到了,我們可以以傳統(tǒng)的,在傳統(tǒng)橫向的基礎(chǔ)上,加上縱向的分級(jí)分類(lèi)。
2、以Schema級(jí)別的敏感數(shù)據(jù)分類(lèi);
3、以業(yè)務(wù)為單元的敏感數(shù)據(jù)分類(lèi);因?yàn)槲覀儾煌臉I(yè)務(wù)系統(tǒng)里面,可能說(shuō)數(shù)據(jù)的級(jí)別也是不一樣的,有些比如在我們內(nèi)部的ERP里面有大量的一些數(shù)據(jù),但是每個(gè)列的數(shù)據(jù)可能它的級(jí)別都不一樣,所以也可以針對(duì)不同的業(yè)務(wù)單元去進(jìn)行一個(gè)分級(jí)分類(lèi)。
除了對(duì)數(shù)據(jù)的分級(jí)分類(lèi)之外的話,我們也要做到對(duì)特權(quán)用戶的訪問(wèn)控制,這個(gè)資源庫(kù)什么意思呢?因?yàn)槲覀儗?duì)數(shù)據(jù)分級(jí)分類(lèi)之后的話,我們就可以針對(duì)不同級(jí)別的數(shù)據(jù)進(jìn)行一個(gè)重點(diǎn)的防護(hù),比如說(shuō)我們沒(méi)有做一些管控的話,可能任何一個(gè)帳號(hào)都可以訪問(wèn)到我數(shù)據(jù)庫(kù)里任何表和字段,但是如果我針對(duì)不同的業(yè)務(wù)單元做的業(yè)務(wù)劃分和防控之后,只有一些管理員才能訪問(wèn)到我核心數(shù)據(jù),一些開(kāi)發(fā)測(cè)試可以訪問(wèn)到一些半機(jī)密的數(shù)據(jù),普通的員工可能只能訪問(wèn)一些公開(kāi)的數(shù)據(jù)。所以說(shuō)分級(jí)分類(lèi)是數(shù)據(jù)安全的第一步。
這一頁(yè)講的就是我們?cè)跀?shù)據(jù)安全里面內(nèi)控安全的重要性,因?yàn)榘踩珡膬?nèi)部視角和外部視角去劃分的話,像我們防火墻也好,IDS,包括態(tài)勢(shì)感知,其實(shí)它更多的是防范了一個(gè)外部的風(fēng)險(xiǎn)。但是內(nèi)部的這些風(fēng)險(xiǎn)的話,往往會(huì)被我們一些企業(yè)的運(yùn)營(yíng)人員,或者CSO所忽視。因?yàn)槭孪任乙步佑|過(guò)一些客戶,銀行的客戶,可能在外部的防范上花了很多錢(qián),基本上市面上能買(mǎi)的產(chǎn)品都上了,但是在內(nèi)部的防范上,這一塊更多的去通過(guò)一些管理的手段,或者說(shuō)是一些人為的手段去進(jìn)行控制。
所以內(nèi)控這一塊,從剛才說(shuō)的分級(jí)分類(lèi),到我們不同角色的一個(gè)企業(yè)內(nèi)部的人員,比如我們業(yè)務(wù)人員,然后我們的一些安全人員,包括我們的領(lǐng)導(dǎo)層的一些人員,通過(guò)不同人員的分類(lèi),然后去建立一個(gè)準(zhǔn)入的機(jī)制,就是說(shuō)這個(gè)角色通過(guò)一些像準(zhǔn)入的一些手段,這里舉一個(gè)例子,比如說(shuō)通過(guò)一些多因子身份認(rèn)證,比如說(shuō)像轉(zhuǎn)證書(shū),或者說(shuō)像現(xiàn)在比較火的FMA這樣一種辦法進(jìn)行一個(gè)準(zhǔn)入。并且在準(zhǔn)入過(guò)程中,去進(jìn)行一些對(duì)安全層面的一些管控,怎么理解呢?比如說(shuō)我低權(quán)限的用戶,允許你去做一些操作,但是的話,我會(huì)進(jìn)行一些管控,比如說(shuō)你這個(gè)操作的話,是有一些前提的。包括我們也可以進(jìn)行一些工具類(lèi)的驗(yàn)證,比如說(shuō)一些可信的一些應(yīng)用和一些我們企業(yè)內(nèi)部可以信任的一些程序也好,應(yīng)用也好,然后我們?nèi)ミM(jìn)行一個(gè)分析,然后的話,除此之外的一些用戶和一些工具,我們都給他禁掉,這是是比較細(xì)的一些措施。
接著剛才提到的準(zhǔn)入控制去說(shuō),比如從我們一個(gè)普通用戶,因?yàn)閭鹘y(tǒng)的一些防護(hù)可能只有帳號(hào)和密碼,但是的話,如果只有帳號(hào)和密碼的話,可能只需要我通過(guò)社工或者弱口令的拆解就可以拿到。比如通過(guò)第三方多因子認(rèn)證的話,就比較困難,然后通過(guò)多因子身份認(rèn)證,剛才提到了我們可以針對(duì)不同的行為操作定義不同的一個(gè)級(jí)別,比如你如果想看到很核心的,比如一個(gè)企業(yè)的財(cái)務(wù)信息,人員工資信息,這個(gè)時(shí)候只有固定的高層,你擁有一個(gè)權(quán)限去看,然后其他人的話,你是看不到這個(gè)數(shù)據(jù)的。
然后的話,這里列舉了一些準(zhǔn)入的機(jī)制,比如說(shuō)除了在傳統(tǒng)的帳號(hào)密碼之外,比如通過(guò)我們應(yīng)用的工具,然后主機(jī)的IP地址,以及一些機(jī)器指紋,還有一些個(gè)人證書(shū)或者UK等等一些方式進(jìn)行一個(gè)認(rèn)證。當(dāng)然這一塊的話,像剛才京東云也提到了,其實(shí)現(xiàn)在這個(gè)準(zhǔn)入的機(jī)制還是蠻多的,所以的話,我們客戶可以根據(jù)我們自己的需求,去定制一些適合自己的認(rèn)證方式。
然后的話,除了對(duì)身份認(rèn)證要做增強(qiáng)之外,我們一個(gè)危險(xiǎn)的管控,因?yàn)槲覀償?shù)據(jù)庫(kù)是數(shù)據(jù)的載體,所以針對(duì)數(shù)據(jù)庫(kù)里面數(shù)據(jù)的一些操作,我們要進(jìn)行更細(xì)化的一個(gè)分析。我們大家也知道,前幾年應(yīng)該是2016年還是2015年,攜程出了一個(gè)事情,它的DPA直接把攜程的數(shù)據(jù)庫(kù)給物理刪除了,直接刪掉了。針對(duì)一些表啊,包括像剛才我提到的一些物理刪除的操作,這些操作其實(shí)都是很敏感的,極其敏感的,甚至在我們正常業(yè)務(wù)過(guò)程中的話,基本上是用不到的。針對(duì)這種操作的話,我們就可以把你的這個(gè)操作的一個(gè)權(quán)限給調(diào)高,只有固定的某一個(gè)人或者兩個(gè)人可以進(jìn)行操作,其他的話,都給它禁掉。
比如像一些比較常見(jiàn)的,像一些多批量的選擇操作的話,比如有很多業(yè)務(wù)要用到,可能你沒(méi)辦法去禁掉這樣一個(gè)語(yǔ)言或者這樣一個(gè)字段,我可以根據(jù)顆粒度更細(xì)化的操作,比如說(shuō)像五千行或者一萬(wàn)行去進(jìn)行一個(gè)限制。通過(guò)對(duì)顆粒度很細(xì)化的劃分,然后去達(dá)到一個(gè)對(duì),比如我們數(shù)據(jù)庫(kù)里面數(shù)據(jù)的一個(gè)管控。
然后第三塊的話,就是我們提到了流動(dòng)數(shù)據(jù)的一個(gè)管控,因?yàn)槲覀儸F(xiàn)在基本上每個(gè)企業(yè)的數(shù)據(jù)基本上,尤其是互聯(lián)網(wǎng)公司,數(shù)據(jù)肯定是流動(dòng)的,比如它不同的一些業(yè)務(wù)也好,或者說(shuō)是一些場(chǎng)景也好,沒(méi)有一家公司說(shuō)我這個(gè)數(shù)據(jù)就在我數(shù)據(jù)庫(kù)里面,然后其他的數(shù)據(jù)交換,基本上沒(méi)有,很少。尤其現(xiàn)在數(shù)據(jù)來(lái)源又很多,比如我們結(jié)構(gòu)化數(shù)據(jù)里面存在傳統(tǒng)的數(shù)據(jù)庫(kù)里面,比如現(xiàn)在有很多做數(shù)據(jù)倉(cāng)庫(kù),包括了數(shù)據(jù)倉(cāng)庫(kù),包括了大數(shù)據(jù)的分級(jí)平臺(tái),這個(gè)的話都是很常見(jiàn)的,包括我們一些非結(jié)構(gòu)化數(shù)據(jù),比如文本啊、報(bào)表之類(lèi)的。其實(shí)我們的數(shù)據(jù)在我們?nèi)粘F髽I(yè)的過(guò)程中,都是處于流動(dòng)的狀態(tài)。所以的話,我們要對(duì)流動(dòng)的數(shù)據(jù)進(jìn)行一個(gè)管控。
管控的話,其實(shí)在這塊的話,我這邊應(yīng)該是少了一個(gè)說(shuō)明,就是在流動(dòng)過(guò)程中的話,我們要針對(duì)不同數(shù)據(jù)的級(jí)別和一個(gè)方式進(jìn)行一個(gè)管控。這里的話,主要針對(duì)的是我們數(shù)據(jù)庫(kù)里面的結(jié)構(gòu)化數(shù)據(jù)的一個(gè)管控,就是比如我們?cè)谏a(chǎn)端到第三方的一些數(shù)據(jù)交換,或者說(shuō)是到我們其他的,比如說(shuō)像測(cè)試UAT這種環(huán)境,包括到一些其他的需要利用我們數(shù)據(jù)場(chǎng)景,我們需要進(jìn)行一些漂白和數(shù)據(jù)的脫敏,這個(gè)的話,我們常見(jiàn)到。包括一些像非結(jié)構(gòu)化數(shù)據(jù)里面,像我們的文本,我們的一些報(bào)表也是需要經(jīng)過(guò)里面一些關(guān)鍵信息進(jìn)行脫敏以后,去進(jìn)行一個(gè)利用和使用。
這是我們的業(yè)務(wù)數(shù)據(jù)安全,業(yè)務(wù)數(shù)據(jù)安全的話,其實(shí)怎么說(shuō)呢?提這個(gè)業(yè)務(wù)數(shù)據(jù)安全廠商也蠻多的,也不是一個(gè)新的概念了。我這邊總結(jié)了一下,在業(yè)務(wù)系統(tǒng)里面,可能會(huì)出現(xiàn)的一些問(wèn)題。從我們應(yīng)用層面代碼的一些漏洞、缺陷,然后到我們業(yè)務(wù)邏輯的一些缺陷,以及業(yè)務(wù)授權(quán)的一些顆粒度粗糙。其實(shí)這些缺陷都是黑客常見(jiàn)的攻擊的手段,比如業(yè)務(wù)邏輯漏洞,可以通過(guò)越權(quán)類(lèi)的利用去進(jìn)行一些通過(guò)低權(quán)限去獲得高權(quán)限的一些數(shù)據(jù)。
然后包括對(duì)業(yè)務(wù)監(jiān)控的這樣一個(gè)缺失,就是比如說(shuō)我對(duì)我正常業(yè)務(wù)中的一些異常的數(shù)據(jù)進(jìn)行一個(gè)監(jiān)測(cè),其實(shí)這一塊的話,也是一個(gè)很重要的。因?yàn)楹芏鄷r(shí)候比如說(shuō)像我們的一些正常的業(yè)務(wù),可能會(huì)涉及到一些財(cái)務(wù)啊,包括一些像我們個(gè)人身份的一些敏感的信息,如果我們對(duì)這些數(shù)據(jù)的監(jiān)控有缺失的話,很可能會(huì)導(dǎo)致一些慘痛的代價(jià)。
像之前的話一個(gè)案例,比如說(shuō)在一個(gè)銀行,哪個(gè)銀行不提了,在轉(zhuǎn)賬的時(shí)候,它對(duì)身份認(rèn)證邏輯有問(wèn)題,比如你轉(zhuǎn)賬十塊錢(qián),其實(shí)是可以轉(zhuǎn)賬十萬(wàn)的,就是類(lèi)似這樣一個(gè)操作,當(dāng)然你賬戶里沒(méi)有十萬(wàn),如果只有十塊錢(qián)的話就只能轉(zhuǎn)十塊了,就是對(duì)業(yè)務(wù)邏輯的一個(gè)監(jiān)測(cè)。
另外,我們對(duì)業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)如何進(jìn)行一些細(xì)致化的管理?包括可能之前我見(jiàn)到一些客戶,因?yàn)閿?shù)據(jù)量很大,很多動(dòng)輒幾個(gè)T甚至幾十個(gè)T的數(shù)據(jù),管理起來(lái)的話很麻煩。
這是我總結(jié)的一些業(yè)務(wù)數(shù)據(jù)安全里面常會(huì)遇到的一些問(wèn)題。
這是我們?cè)跇I(yè)務(wù)安全中一些實(shí)踐,比如說(shuō)我們會(huì)通過(guò)一些基于我們大數(shù)據(jù)的一些建模,包括我們對(duì)業(yè)務(wù)系統(tǒng)的一些精細(xì)化的了解,然后去進(jìn)行一些長(zhǎng)期的學(xué)習(xí),然后的話,我們就可以針對(duì)我們業(yè)務(wù)系統(tǒng)中的敏感數(shù)據(jù)進(jìn)行一個(gè)及時(shí)的發(fā)現(xiàn)。比如說(shuō)我們?cè)谖覀兤髽I(yè)內(nèi)部的一個(gè)系統(tǒng)里面,這些系統(tǒng)里面有哪些數(shù)據(jù)?這些數(shù)據(jù)里面哪些很敏感,哪些很重要去進(jìn)行一個(gè)梳理。
第二塊就是一個(gè)異常行為的檢測(cè),當(dāng)我們知道我們的數(shù)據(jù)在哪,敏感數(shù)據(jù)有哪些的時(shí)候,我們還要對(duì)我們這些業(yè)務(wù)系統(tǒng)中的這些敏感數(shù)據(jù)進(jìn)行一個(gè)及時(shí)的監(jiān)測(cè),這里我列舉了一些常見(jiàn)的監(jiān)測(cè)項(xiàng),比如像我們的一些帳號(hào)的越權(quán),包括一些僵尸帳號(hào),包括帳號(hào)復(fù)用的操作。
第三個(gè)是對(duì)業(yè)務(wù)數(shù)據(jù)的審計(jì)和事后的追溯,一旦我們?cè)跇I(yè)務(wù)系統(tǒng)中發(fā)現(xiàn)異常的一些操作和違規(guī)的一些行為,我們可以第一時(shí)間進(jìn)行告警,甚至阻斷。
剛才提到的更多是內(nèi)部安全,這個(gè)是外部的風(fēng)險(xiǎn),這個(gè)其實(shí)還是比較常規(guī)的,一個(gè)數(shù)據(jù)庫(kù)防火墻,但是針對(duì)這個(gè)場(chǎng)景的話,我想提一點(diǎn),因?yàn)槲覀冊(cè)诔R?jiàn)的比如像wep,wep是一個(gè)很常見(jiàn)的在邊界的一個(gè)安全設(shè)備,然后它和數(shù)據(jù)防火墻的區(qū)別就是因?yàn)槲覀兊膚ep很多時(shí)候在邊界,所以的話,黑客雖然說(shuō)我們?cè)谶吔绲谋局谋容^高,但是一旦黑客攻陷了這個(gè)堡壘之后,其實(shí)是很容易拿到我們核心的服務(wù)器也好,或者說(shuō)是數(shù)據(jù)庫(kù)里面的數(shù)據(jù)也好,是很容易的。
所以我們需要改變傳統(tǒng)的一些認(rèn)知,就是除了在邊界去做一些防護(hù)之外的話,我們是不是可以在我們終端,我們?cè)谖覀兊臄?shù)據(jù)庫(kù)的前置也去做同樣的類(lèi)似這樣的一個(gè)檢測(cè)和操作。
然后的話,這塊指的是一個(gè)核心數(shù)據(jù)加密,前面的兩位嘉賓也提到了我們針對(duì)不同的一些數(shù)據(jù)的一些級(jí)別,進(jìn)行一些管控,然后的話,這個(gè)加密的話也是同樣的,我們針對(duì)像我們分類(lèi)分級(jí)之后核心的一些數(shù)據(jù)進(jìn)行一個(gè)加密。然后對(duì)一些比如可以公開(kāi)的,或者說(shuō)是半公開(kāi)的數(shù)據(jù)進(jìn)行一個(gè)訪問(wèn)行為上的管控。然后通過(guò)加密的話,去實(shí)現(xiàn)當(dāng)黑客攻陷了我們數(shù)據(jù)庫(kù)以后,然后想脫庫(kù)的時(shí)候,他其實(shí)是看不到真實(shí)的信息的,他看到的是我們加密后的字段,這樣的話也能夠防止我們的數(shù)據(jù)被別人拿不走。
然后就是我們關(guān)于美創(chuàng)科技的一個(gè)簡(jiǎn)介,美創(chuàng)科技是2005年成立的,到現(xiàn)在是有14個(gè)年頭了,我們公司主要業(yè)務(wù)也是在數(shù)據(jù)安全這一塊,不像我們一些友商涉及的領(lǐng)域比較廣,像應(yīng)用安全、網(wǎng)絡(luò)安全、終端安全,很多涉及,我們只是聚焦在數(shù)據(jù)安全這個(gè)領(lǐng)域。所以相對(duì)來(lái)說(shuō)還比較小眾的,但是我們堅(jiān)信數(shù)據(jù)安全這個(gè)未來(lái)的市場(chǎng)還是比較大的。
也可以看到,這是我們產(chǎn)品的一個(gè)體系,就是通過(guò)在內(nèi)控安全以及數(shù)據(jù)外部的安全,以及數(shù)據(jù)流動(dòng)的安全和業(yè)務(wù)一致性安全中的一些產(chǎn)品和手段。
這個(gè)是我們一些客戶的情況,雖然公司時(shí)間怎么說(shuō)呢,14年吧,15年,說(shuō)短不短,說(shuō)長(zhǎng)不長(zhǎng),但是基本上我們服務(wù)的客戶和案例反饋還是比較好的。所以在這里也是希望能夠跟大家多探討一些關(guān)于數(shù)據(jù)安全領(lǐng)域的話題,共同去讓我們的數(shù)據(jù)安全和信息安全能夠更好的發(fā)展,也希望不管是我們企業(yè)也好,還是我們國(guó)家的監(jiān)管單位也好,我們一起去推動(dòng)這個(gè)行業(yè)更健康更高效的發(fā)展。