数字化转型期,数据的开发利用,数据价值的再创造,让数据成为新时代关注的焦点。与此同时,对数据安全的需求也越来越强烈。数据开发利用新场景和新技术应用引入新的安全风险,数据安全技术发展面临前所未有的新挑战。未来,社会经济将不断向数字化乃至智能化方向发展,数据安全技术的发展将与社会发展进程密切相关。不久前,在【TTALK】系列活动第六期中,我们特邀北京双星科技有限公司CEO王文宇做客直播间。在本期的分享过程中,王文宇老师详细介绍了数据安全技术的演进过程,并分享了他对数据安全技术未来发展的思考和展望。[T·TALK]也整理了这些精彩的内容,希望能给读者带来一些收获:数据安全技术简介从DIKW模型定义的角度来看,数据就是无聊的01代码组成。人们需要在数据的基础上提取信息,在信息的基础上加工知识,以获得最终用于创造价值的智慧。因此,数据可以说是最底层的载体,数据安全关系到信息安全、知识安全和数据本体安全。目前业界的数据安全技术大致可以分为三类。第一类是最低级的基础安全技术,比如比较常见的加密技术,包括古典加密和现代加密。密码学在不同时期的不同领域都发挥了巨大的作用。这也是整体数据安全技术中必不可少的基础。第二类是访问控制。只要涉及到安全,访问控制就是绕不开的话题。数据是一把双刃剑。谁在使用数据以及如何使用数据将涉及主题。就像刀的使用者一样,在罪犯手中,刀成了杀人凶器,但在厨师手中,刀就成了工具。《实践论》的实践总结是主体、客体和社会实践共同构成一个角色,这个概念也可以应用到访问控制中。在访问控制中,主体是用户,客体是数据和行为,即如何操作和访问数据,以及它们之间的一些更广泛的关联。在访问控制中,最难的是工程实践。数据安全本质上是一个技术、科学和工程实践高度融合的领域,涉及成本、影响等诸多综合方面。选择合适的用户可以“正常”使用的访问控制模型是数据安全中访问控制实践的关键。第三种技术是可信计算。TCM、TPM、TPCM等可信计算逻辑与数据安全密切相关。可信计算可以形成从硬件层到软件层的完整信任链传递,也应用了密码学等多种技术。目前很多操作系统都内置了可信计算,一些国产芯片也内置了可信模块。接下来介绍几种具有代表性的安全技术。首先是文件加密技术,这是一种非常直接的安全方式。但是加密肯定会对数据的可用性产生一些影响。因此,加密技术的核心诉求是在安全性和可用性之间取得平衡,并在平衡过程中减少副作用。加密本身是一个高度敏感的操作,对实时性和加解密的安全性要求非常高。一旦某个过程出现错误,比如加密和解密的顺序和位置发生任何变化,就意味着文件将被破坏。因此,加密可以理解为一种有效但有一定副作用的安全技术。同样,数据库加密技术类似于文件加密。数据库加密技术的发展已经有10多年的历史了。它比文件加密的范围更窄,应用场景也更少。由于数据库加密依赖于数据库平台、架构设计和高并发,所以主要在应用层进行处理。为了避免加密。影响,真正可操作的点比较少。受技术原理和性能考虑的限制,在使用数据库加密时需要谨慎。对重要文件和数据使用加密技术时必须谨慎。加密技术确实是解决一些安全问题的合理方式。但在使用之前,你需要确认当前场景是否适合应用加密技术,采用什么样的加密方式,包括加密的副作用是否在你可以接受的范围内。其次,关于目前广泛使用的脱敏技术,脱敏首先诞生在金融和运营商行业的开发环境、实验环境和生产环境之间。业务上线前需要进行测试,测试使用的数据不能是真实数据,也不需要偏向于真实数据。数据脱敏技术就是在这种需求下诞生的。从整体上看,数据脱敏可以分为静态脱敏和动态脱敏。相比之下,静态脱离的应用范围更广,而动态脱离容易受到一些业务场景和性能需求的限制。但就目前而言,无论是静态还是动态,其技术发展都已经比较成熟,在国内外多个领域都有优秀的实践。数字水印技术是一种传统的安全技术,其技术路径经历了较大的演变。数字水印技术的关键是在实现数字水印的同时保证数字水印的鲁棒性,保护原始数据不被影响和破坏。总体来说,水印主要用于威慑和追溯。与其他技术相比,数字水印在事中和事后的影响更为明显。DLP很特别。全称是数据泄露保护。其特点是以内容识别为保护基础。分为终端DLP、网络DLP、邮件DLP等。DLP的思路主要是无意识泄露,防止好人干坏事。隐私计算是近几年安全圈的热点,它也有一些不同的分支,比如同态加密、MPC,还有一些不同的方法包括监管沙箱,都是隐私计算中的方法。隐私计算还有很长的路要走,它对算法和数学问题提出了一些更高的要求,以达到理想隐私计算和真实隐私计算之间的平衡。除了上述技术外,数据安全还可以理解为一种方法论逻辑。在应用各种安全技术之前,需要从管理和系统的角度出发,根据业务分析情况选择合适的技术路径。不同的业务部门往往对数据安全期望和数据安全保护方式有不同的诉求。从历史上看,数据安全最初只是网络安全的一个子集,但随着数字化转型和IT架构的变革,数据业务作为核心资产和要素越来越受到重视。数据安全也逐渐演变为与网络安全处于同一层次,共同服务于网络空间安全的一个子维度。未来,数据安全也很有可能会迭代到更多的细分领域,这是未来数据安全发展的一大方面。趋势。数据安全技术发展的驱动力数据安全的发展有几个重要的驱动因素。第一点是我们熟悉的合法驱动。随着《网络安全法》、《数据安全法》、《个人信息保护法》的相继颁布实施,网络空间安全上升到法律层面,同时,三大立法刑罚堪称中国历史上的顶级。立法。二是风险驱动。在我们对数据安全越来越重视的今天,数据安全事件也越来越多,造成的损失也越来越严重。仅2020年一年的数据安全事件数量就超过了过去15年的总和,平均损失达到了500万美元的维度。因此,目前各大信息技术企业都在密集出台与数据安全相关的行业监管标准和分类分级标准。一些行业甚至将数据安全纳入考核方式,纳入KPI指标。最后一个因素是新兴技术驱动,人工智能、大数据、云计算、5G、物联网等创新技术应用过程中会产生大量数据。我们需要关注这些数据,为这些数据制定保护措施,确保数据安全合规。这也是当今时代我们面临的重大挑战。总的来说,数据安全发展的首要推动力是时代的发展。安全始终为业务服务,是业务的有力支撑。在时代发展的过程中,业务总是越来越丰富。复杂性的增加和形式的变化将对安全性提出更高的要求。数据安全技术的演进必须与时代信息技术的发展同步。为您的企业带来更好的服务。在数据安全的发展过程中,不同阶段采用不同的技术手段。在以设备为中心的阶段,数据库加密、静态发布、文件加密是很常见的手段。在以边界和网络为核心的阶段,会用到更多的阻断,比如数据审计、数据库防火墙、DLP、数据脱敏等技术。未来十年,在重构以数据为中心的安全体系的情况下,我们需要利用更多的离线数据安全、隐私计算、全链路数据追踪保护、数据风险评估等新技术,构建一体化的A标准化的数据安全治理平台打破传统的数据安全孤岛,形成更多新的逻辑、理念和标准。数据安全技术概念及演进数据安全技术经历了四个发展阶段,也可以理解为四种不同类型的技术。第一阶段为笼式,相当于一个保险柜,以不丢失数据为目标对数据进行封锁。这是迄今为止非常普遍的安全措施。第二阶段是锁链式的,比如文件加密,数据库加密,相当于房间的门锁。这样的方式在交互性较弱的领域有很大的价值,但是由于这种形式容易受到强度、粒度、适用场景等问题的影响,所以枷锁式的技术并不能适用于所有的需求场景。第三个层次是识别,主要方法是基于内容的识别。第四阶段是综合,即技术的叠加应用。但往往理想很丰满,现实却有些骨感。重叠和使用过多的技术会产生一些负面影响,例如运维成本的增加和效率的降低。最大的问题是成本巨大,却得不到显着的效果,因为系统中的一些盲点和缝隙无法通过堆叠产品来解决。现阶段的数据安全更多是平台化发展,对数据有完整统一的映射。在此基础上,有统一的数据映射、统一的标识、统一的数据标识、统一的管控策略。在自动化监控的情况下,可以更好的实现数据安全。目前,随着数据价值的增加,窃取数据的手段也越来越隐蔽。经常发生内外勾结的恶意数据窃取事件,以及APT攻击和一些高端窃取木马等恶意窃密事件,在一些地方性商战中都能看到。除此之外,还有国家层面的安全对抗,窃取目标国家的数据。缺乏有效手段来追踪这些未知问题是当前和未来数据安全技术面临的重大挑战。解决这些问题的思路之一是DataSecOps。DataSecOps的核心维度是数据安全的左移。在数据处理第一现场持续跟踪数据处理和使用过程,实现数据传输全过程监控,发现数据风险的真正源头。迁移是未来数据安全演进的核心方向。在数据安全左移中,有三大核心能力。一是全链路数据识别与追踪。简单来说就是跟踪数据的各个使用维度,包括endpoint端、server端、流量统计、API端、Docker端等。数据安全时刻关注数据的使用和流转。这是一个比较明显的维度,但是出于成本的考虑,这部分往往被忽略。二是轻量级自适应保护。当不能承受全链路识别跟踪带来的压力时,可以通过轻量化的方式有效降低各个维度的成本,包括终端使用端的成本和维护端的成本。通过基于风险的适应性方法和定量评估,可以对整个过程进行监控和分析,以便对症下药。最后一点是涉及合法性的数据安全风险评估。安全风险评估希望摆脱传统的技术辅助和人力的方式,更多地关注工具和产品,采用自动化的方法进行风险评估,提高业务实施过程的可执行性。DataSecOps将IT分为三个平面。第一个平面是基础设施,包括存储、主机、各种业务系统和终端。在这个过程中,我们可以看到数据存储和流通的业务流和数据流。第二个平面侧重于运行在基础设施上的数据。数据可能来自不同的数据源,有不同的数据类型,不同的用户,不同的API接口,可能是私有数据,商业数据等,所以从数据的角度考虑第二个平面。第三个平面是核心技术的实现,即数据安全平面,它有不同的数据主体请求和个人隐私管理。这是《个人信息保护法》对隐私数据的要求,包括敏感数据的自适应保护、安全监控和数据安全风险评估。建立一个集自动化数据安全和防护诊疗于一体的平台,是未来DataSecOps产品发展演进的逻辑和路径。除了上述主观因素外,全球数字游戏也是影响数据安全技术发展的关键因素。近两年,中国、新加坡、澳大利亚、南非、韩国、日本等国家相继出台了安全相关法律,这表明全球范围内对数据本地化的逻辑已经形成了共识。尤其是“十四五”数字经济维度,越来越多的资金和人力投入数字化转型企业,数据资产价值越来越高,对数据安全的重视程度也越来越高。提升到一个全新的高度,数据安全逐渐成为经济发展的维度需求。无论是网络安全还是数据安全,都是强监管领域。企业侧有原生保护的驱动,但对于个人数据隐私,企业侧没有原生驱动,需要更多的监管来推动安全发展。这也是数据安全法规实施的意义所在。在生产环境中,人力是第一生产力,也是第一风险源。很大一部分数据安全事件是由人为因素造成的。首先是人们恶意或无意的数据泄露。有些人由于无知或粗心而导致数据泄露。其他人则因经济、政治和其他因素而冒险。人类的智慧是无穷无尽的,但如何运用、用在哪里,都需要思考和斟酌。此外,目前人为的间接影响也很普遍,开发人员的粗心大意往往导致系统承载的数据安全隐患和风险。在大多数企业中,开发团队和安全团队是分开的,更多的时候是安全团队通过一些制度化的方式来管控风险。但是,在实践中仍然难以避免一些漏洞,任何漏洞都可能引发风险和问题。数据安全发展前景数据安全与数据开发利用是同步建设的。数据安全难以独善其身。安全永远是保镖,是辅助和陪伴的维度。它必须服务于主体,即数据的开发利用,这也是未来永恒的主题。从国家提出这个生产要素,从企业认知这个要素,从我们全球竞争的角度来看这个要素。最终,这个元素会融入我们的血液,与劳动、资本、土地一起成为一个人。基本共识。数据安全不仅仅是单一的技术运用或人为管理。对于技术人员来说,数据安全需要采取一种方法。曾经流行的观点是“三分技术,七分管理”,但随着时代的发展和技术的演进,人为的管理过程将变得冗余和不可控,因此未来的数据安全领域更有可能转变为“技术七分,管理三分”,甚至“技术九分,管理一分”。在未来的环境中,产生和使用的数据量只会不断增加,数据的应用场景也会越来越复杂,形成一个蜘蛛网状的复杂数据网络结构。在这样的场景下,技术将成为驱动数据安全发展和解决数据安全问题的核心。
