护航数据资产 深信服:“时空一体化”织密安全网
医院每天产生大量医学影像数据,深信服助力医院在传输存储等环节将安全落到实处。
随着数字化转型的深入,数据已然成为新型的生产要素,然而在数据驱动过程中,安全形势也愈发严峻。市场调研公司Canalys报告显示,2020年数据泄露呈现爆炸式增长,比过去15年的总和还多;勒索软件攻击激增,与2019年相比增长了60%。
数据安全建设刻不容缓,却容易让各方“乱投医”。“很多人存在一个认识误区,建设数据安全只要围绕数据库做好安全管控即可,类似于将数据锁在保险箱中。”深信服数据安全产品线总经理李玉亮说。
实际上,数据库安全不代表数据安全,在数据环境下,谁对数据持有保护责任?数据在哪?谁在应用?流动中的数据如何保护?这些环节中,数据均处于安全状态才是真正的数据安全。
对此,深信服提出了通过“管理+技术+运营”三大基础能力打造“时空一体化”数据安全运营体系的创新思路,以数据为中心,围绕数据生命周期全过程,融合管理、技术和运营,“三步走”把安全落到实处,最终安全释放数据价值。
规划体系,摸排风险
率先建立完善数据安全管理体系
“数据安全问题的爆发,源于数据安全建设未能匹配业态环境的变化。”深信服副总裁付夏冰说,当前,数据价值、类型、存储、边界、权责等已经发生重大变化,这引发了数据资产难以看清、风险隐患难以掌控、防护效果难以保证的难题。
传统的购买一堆设备的方式不再奏效。对此,深信服认为,首先,有必要建立一套数据安全管理体系。
一方面,构建统筹有力的数据安全组织结构。决策层制定数据安全的总体愿景和目标,统一协调组织资源,并在关键策略的制定或重大事件处置上进行决策;管理层负责数据安全的统筹规划与日常管理;执行层则负责数据安全具体的落地和运营。
另一方面,制定行之有效的数据安全制度规范。李玉亮说,要明确数据安全的总体愿景目标、核心工作定义、保护对象范围、主要风险威胁、适用人员角色、行为规范要求、过程结果输出等。
其次,针对企业开展数据安全治理。数据安全治理应该首先梳理自身数据资产,进行数据分类分级,这样才能有的放矢。传统的数据分类分级主要基于人工,但数据规模是巨大的,而且还在持续高速增长中,需要基于人工智能和机器学习技术,对组织的数据资产进行全局性的自动探查和分类分级,从而为实现有效的数据安全治理打好基础。
然后,持续摸排监测分析数据全生命周期各类型风险。全生命周期中,数据到底怎么流转,被谁访问、通过什么方式进行访问,是否存在泄密和违规的风险,当出现问题的时候,是否能够追溯,都需要组织明晰。
目前,深信服已经可以实现全方位的数据“监控”,通过对数据流量的监测和分析,绘制出数据访问和流转的态势;通过风险建模和UEBA等技术,分析出潜在的泄密和违规访问风险;当数据发生泄露之后,通过智能的AI算法对泄露数据所有的内容,在数据流转历史里面进行高效搜索,找到可疑者,实现泄密的溯源。
实施防护,精益控制
用技术在“云网端”设立防护关卡
维护企业数据安全,针对数据的采集、存储、使用、传输的每一步,都可用前沿的技术手段作支撑,对数据的使用开展精益细粒度的控制,防护攻击泄密行为。
在数字化转型过程中,数据始终处在核心位置,有必要围绕其建立严密的身份认证、语句级的访问权限控制、重要敏感数据的去敏感化和加密处理以及操作行为审计和风险分析,全面保证数据库的安全。
过去,基于静态特征库的边界防护和传统杀毒软件,面对快速变种的病毒效果有限,而基于AI和大数据技术,建立多层次的检测引擎,从静态特征到动态行为,可实现对未知勒索攻击的防御。
在终端防护方面,深信服提出“双域隔离”的方式,通过利用虚拟化技术,将终端系统划分成个人域和办公域,域间数据不能互通,个人域也无法访问办公域的应用,办公域的数据在本地加密存储,并利用水印技术对泄密行为进行震慑和追溯。
深信服“时空一体化”立体防御体系,则基于零信任细粒度访问控制机制,以身份为基础,对数据访问请求进行持续评估和控制,解决访问权限不规范、合法账号恶意访问、业务面过度暴露等问题对核心数据带来的风险,构建数据防护的首道关卡:
云端上:以数据库访问细粒度审计、数据库脱敏、数据库防火墙、数据库加密等机制,构建业务端的数据库防护体系。
网端上:依托VPN等成熟机制,对数据共享交换的通道加密,保障数据共享交换过程的机密性和完整性。
终端上:构建安全终端基线环境,并通过云桌面、安全沙箱、远程浏览器、RDP代理等技术,实现敏感数据不落地,保障政务共享数据的安全。由此,深信服构建了一个立体的防御体系。
人机共治,运营优化
后期维护弥补组织能力不足
数据安全并非一劳永逸的事情,不仅需要前期体系化的建设,同样需要后期良好的维护和运营,以保障数据得到持续有效地保护。同时,先进的技术手段之外,人员数据安全能力、意识的提升也是重中之重。
目前,深信服在数据安全相关方面,可以提供如安全评估、漏洞扫描、攻击测试、应急响应、整体安全运营以及安全技能和意识培训等服务。通过专业的安全服务,可以弥补组织能力的不足,在安全效果和投入成本之间取得平衡。
此外,相对于网络安全,数据安全和每个人的关系更为紧密,个体能力和意识有所提升,对组织来说,在数据安全领域能够获得更大的收益。
目前,深信服也一直通过相关课程、实战和认证,持续提升人员的数据安全技能与意识,夯实组织的数据安全认知水平与行动能力,以更好地为组织和企业提供相应的服务支撑。
延伸
维护数据安全“最后一百米”
深信服EDS构筑安全可信存储架构
《数据安全法》专门明确了平台对数据安全的责任。越来越多的企业已经意识到,数据越多,责任越大。
然而,对数据的维护,很多企业有心无力:数据分散存储在各部门、分支机构的存储设备“孤岛”上;各“孤岛”数据存储形式、类型多种多样,数据无法统一存储和管理。数据资产管理处于混沌状态,无法对数据资产进行有效管理和有针对性的对高价值数据制定合适的安全防护策略。
尽管网络安全建设在逐步推进,但已有的网络安全建设,难以深入到数据层面进行防护。数据在采集、传输、存储、处理等全生命周期的多个阶段,仍面临众多安全风险。
对此,深信服认为,作为数据安全的“最后一公里”,存储至关重要,但同时,数据管理并非“将数据保存起来”。如果想要更好地挖掘数据价值,仅仅做到存放是远远不够的,需要涵盖数据的上收、分层管理、检索调用、归档存放全流程,即实现数据的“全生命周期管理”。
对此,深信服提出,首先要实现数据安全采集。深信服分布式存储EDS提供数据安全上收能力,帮助客户将分散在各个部门或分支机构终端上的数据上收到部署在总部的EDS存储集群里,进行统一数据管理、应用和运维。
数据只有在流通中才能发挥价值。深信服EDS提供数据安全交换方案,帮助客户将数据从非安全区域传输到高安全区域进行保存和应用,保障数据交换过程不会对高安全区产生安全威胁。
数据存储区如果想“拒敌于门外”,单层的防御往往是不够的,深信服EDS存储通过SMB协议防暴力破解、数据强制保护、访问管控和人工智能SAVE引擎进行4层勒索入侵防御,提前识别系统脆弱面,并封堵勒索病毒攻击入口,预防勒索入侵给业务系统带来的安全隐患。
除了多维的防御机制,用户的存储层也需要为数据提供损坏恢复机制,最大程度地规避数据丢失损失。深信服EDS存储通过数据快照、数据回收站、对象多版本等机制提供数据兜底,切实保障数据安全。
目前,深信服EDS存储已扎根各行业,为用户的数据安全存储提供解决方案,包括北京广播电视台4K文件素材高效入网检测、中国农业电影电视中心外采素材病毒防御、襄阳市第一人民医院PACS系统病毒查杀、海通期货核心业务数据安全防护等。
撰文:郜小平
新闻推荐
以太坊价格创历史新高2834美元,摩根大通称其表现优于比特币
记者|司林威5月1日,据行情数据显示,加密货币以太坊价格突破2834美元,创历史新高。近期以太坊的价格从4月25日的低点2162美元...