本文讲的是共话数据安全 当前防护能否滴水不漏,滴水不漏、天衣无缝是理想状态,但是数据安全能够得到有力保障绝不是一个伪命题。
数据安全所涵盖的范畴要十分广泛,数据安全所衍生出的问题也是难以估量的。以近期发生的安全事件为例,携程宕机事件就是典型代表。无论归因于错误操作还是系统漏洞,数据丢失对互联网企业产生的影响都是相当致命的。另外,网易邮箱泄露事件所衍生出的撞库可能更是让数据安全威胁不容小觑。
数据安全威胁与防护措施浅析
综合来讲,数据安全分为数据传输安全和数据存储安全,在网络数据交互激增、虚拟化、资源云化的大背景下,如何保证数据安全在传输、存储中保证机密性已经成为业界广泛探讨的问题。本期@安全圈将结合当前主流安全厂商观点,从不同方向深度解析当前的数据安全防护架构。
从技术角度分析,数据完整性、保密性、数据防篡改性是数据安全关注的几个主要领域,数据灾备、防止黑客攻击、防止违规操作是主的企业内部应对措施。当前用户痛点主要围绕数据防泄漏和访问控制两个方向。部署安全软件和客户终端软件依然是保障数据安全的基本手段。数据传输加密技术、数据存储加密技术、数据完整性的鉴别技术和密钥管理技术作为核心保护机制发挥着重要作用。
虚拟化趋势和事件响应引发的数据安全反思
加密技术本身所确保的数据安全一定程度上保证了数据交互中的安全性,从外围来看,地下产业链对与数据价值本身的探索要更有针对性,0day漏洞和基于DDOS的勒索事件依然是黑产针对互联网企业的主要手段,虚拟化和云计算为安全行业带来的影响是十分广泛的,我们很难看到新兴市场快速崛起,但是基于虚拟化技术和云平台的产品正在以爆炸式增长,而与之配套的安全服务显然并不健全。
对于企业自身而言,需要考虑的是局域网内部信息存储、传输的保密性问题,尽管国内众多机构都在不断改进加密算法,但是从安全角度而言,抛开加密技术仍然存在各种安全威胁,因此,就数据安全而言这是一个泛安全问题,而非单一技术所能解决的问题。自亚信安全成立,虚拟化和云安全市场在国内的发展得到了进一步深化。数据安全的核心防护机制在亚信安全看来并没有超脱原有的安全架构。
▲亚信安全产品总监白日
基于原有的三大战略(云和虚拟化战略、APT治理战略、移动终端战略),亚信安全对数据安全本身有更深入的理解。亚信安全产品总监白日指出,安全防护已经从IT基础架构向云主机迁移,黑客已经不再采取大规模攻击,转而瞄准企业数据仅供,如何保重昂企业数据在不同场合被安全使用,虚拟化安全和云安全势在必行。由此分析,云端的数据安全、有针对性的攻击防护、移动终端的数据安全将是亚信所关注的三个切入点。
传统企业互联网化进程与并不完善的数据防护机制
众所周知,互联网企业要更加依赖信息交互,也正因如此互联网企业对信息安全的投入力度更大。以近期发生的主要攻击事件为例,12306数据泄露以及网易邮箱数据泄露事件为例,其攻击手段都是非常时下非常流行的撞库攻击。2015黑色地下产业链报告支持,类似信息被利用和相应的攻击事件时有明确的动因存在的。政府的监管力度再次方面亟待加强。
白日在接受采访时指出,安全发展到今天没有任何一个解决方案是完整的,因此多层次的安全防护是解决数据安全问题的前提。任何一个防火墙设备或者单一的加密手段都不足以解决整体安全问题。亚信安全倾向于通过梳理形成成熟的安全解决方案,根据可以对安全点的需求和把控进行定制化管理。传统的安全设备所提供的只能是看似安全的数据管道。通过部署在终端的防病毒软件和桌面系统,亚信安全会针对攻击进行行为取证和分析,检测黑客的横向移动和内部违规行为。从这一角度来看,针对场景从各个层次解决安全问题可谓是虚拟化安全厂商的拿手好戏。
数据安全痛点分析
对于企业用户而言,数据的产生和应用是必然的,数据的不安全因素在于扩散过程和第三方使用价值。因此如何管理数据实现数据的可控性是解决数据安全的关键问题。根据企业数据分布的节点有的放矢的进一步处理。就当前防护措施而言,DLP很难落地的一个问题在于规则难于梳理,规则的制定是阻碍技术发展的重要问题之一。企业安全运维人员需要结局的的首要问题是针对数据本身的分级处理。
在网络边界日渐模糊的今天,传统安全体系已经不能解决安全问题。白日表示,今年5月份各个已经取消内外网分别,采用了强制认证的方式保证传输过程中的强加密,以此来满足跨部门数据权限认证要求。国内企业复制这一模式尚需时日,单一般企业可以采用智能主动防护手段来解决安全问题。
移动终端的数据传输是BYOD带给众多企业用户的困扰,亚信安全在此方面通过虚拟手机的方式解决数据安全问题。通过面向企业APP生产制作、管理、扫描等一系列措施,保证企业数据和个人数据分离。在传输方面通过图形数据传输而非数据形式传输,进一步保证企业数据私密性。作为传统加密厂商,信安世纪强调了数字正是、数字签名、应用安全网关的的安全防护能力。信安世纪助理副总裁岳向前认为,加密技术提供了强度很高的数据安全防护能力,可以满足数据安全的强度要求。其中问题在于,在有很多应用的场景中,全面的使用这些技术存在一定困难。可能会带来业务上的困难或客户体验的下降以及成本上升。互联网企业强调要降低客户初次使用的难度、基于业务的逐级提升安全强度、利用大数据技术对用户的身份安全和数据安全进行评估并利用评估的风险值来判断业务是否继续或者增加安全手段。这些方法降低了客户进入成本,而且通过逐步升级的方式降低了客户接受的难度。因此,数字签名、应用安全网关等产品的应用,目前的问题不在是否满足安全要求,而是能否在不影响客户体验的情况下对安全提供增强。在这个方面,信安世纪已经拥有一定研究成果,可以适用于互联网企业的应用场景。
岳向前还给出了数据真实性的定义-即数据的提供者的身份需要确保真实,且所提供的数据具有防伪造的能力。而且数据的真实性需要提供审计能力,即在将来的某个时间,还可以再次对数据进行提供者身份和数据防伪的验证。
从数据分析角度而言,互联网企业和传统企业的数据的来源不同,数据的容量不同,但是对数据本身的防护需求基本是一致的。不过基于大数据技术的应用,互联网企业对数据的真实性会有一个评估,会对一些不一定可靠的数据进行利用,产生的结果也带有一定的概率性。而传统企业则大多使用绝对真实的数据,其处理过程也一般部考虑概率性结果。
在解决终端数据传输方面,信安世纪将数据加密的环节提前。从终端设备开始进行加密,实现终端设备到服务端之间的数据安全传输,是应用很成熟的架构。但是这种架构对于目前很多针对终端设备本身的攻击是无能为力的。因此,使用独立于终端的安全设备,在安全设备上完成数据加密之后再通过终端传输到服务端,可以防范针对终端设备的攻击。例如金融IC卡的互联网应用,通过信安世纪研究的金融IC卡机具,IC卡交易数据在传输到手机终端之前就已经是加密信息,而且在IC卡读卡机具-手机终端-互联网-业务服务器-金融IC卡互联网安全网关整个传输路径上都是加密传输,杜绝了在各个节点上的泄密与攻击问题。安华金和在最初公司在2009年创办时,创始团队就是以数据库加密技术上的产品实现作为目标,那时激励创始团队的一句话就是“数据库加密是数据库安全上面王冠上的明珠。”数据库保险箱成为安华金和的第一款产品,并在该技术领域拥有数据库密文索引国家技术专利和数据库透明加解密技术专利。这是安华金和一个以技术为核心竞争力的企业根基性的产品开创。安华金和创始人刘晓韬这样阐述数据安全与安华金和的情缘。
▲安华金和CEO刘晓韬
传统企业互联网化带来的技术更迭
从需求来源说,以政府和央企为代表的传统市场,首先,其需求是合规性需求,主要满足于等保和分保需求;银行、电信、能源等大型行业有自己更严格的安全规范,也是相关企业需要遵循的;其次,随着政府信息重要性的提升,也面临着以牟利为目的进行的信息篡改、内部信息倒卖等威胁;最后,是国家要害部门面临的外部间谍机构的攻击,这些人主要以收买内部人员为主。
而对于互联网企业在网络安全法未正式颁布前,需求的来源主要是业务和数据安全的需求,需要防止由于攻击造成的系统不能正常运行、以牟利为目的进行的信息篡改、以信息交易为目的进行的信息泄密。
从总体上来看,国家政府部门和央企在信息安全上的投入度更大,普及率更高,政府与央企的安全体系建设与外部安全企业的联系非常紧密;而互联网企业主要是有一定规模的企业目前比较重视,以及一些新兴的与金融密切相关的企业比较重视,而以BAT为代表的大型互联网企业的安全以自建为主,而中型互联网企业对第三方安全企业的依赖度还高些,但下一步这些中小互联网企业上云的趋势将很明显,他们将使公有云用户中的先行者,他们的安全也将更多地依赖大型云平台提供商的安全基础设施。
数据安全需求的变化
数字证书主要是对身份的证明,数字签名主要是防抵赖。而应用网关这里应该是指应用层网关也就是应用层防火墙,应用层防火墙作用也是对外屏蔽内部应用,作为一个转发代理在其中来评估是否有安全风险以决定阻止或放行;最典型的应用层防火墙就是web防火墙和数据库防火墙,但从总体上来看应用防火墙依然是传统边界防护概念。因为从前用户更加注重边界防护,强调对外部人员的防护。但是现在的实际情况是不光有外部人员的攻击,也有内部人员与外部人员的内外沟通,就是我们所说的堡垒从内部被攻破。 以上这些这些概念无法防备内部人员信息泄露,无法防备攻击者进行的复杂APT攻击。因此用户才逐渐产生对核心数据进行塔式防守的认知转化,打破边界防御体系。
事实是最具有发言权的,事实上很多发生安全事故的企业都已经使用了数字证书、数字签名和网络防火墙等安全产品,但信息泄露事件依然频繁爆发。这也是为什么当前安全市场,用户对数据库审计、数据库防火墙这类技术产品有明确的需求原因。
传统防火墙设备与未来的态势感知分析
防火墙设备已经是安全的基础设施,事实上很多网络设备已经内置防火墙功能,不能说防火墙没有用,但仅靠防火墙是不可能保证用户数据安全的,这已经是不争的事实。
防护技术和攻击技术都是动态发展的,相互促进的;安全态势感知也是这些年在安全领域提出的新概念,这种新概念的引入会促进安全技术的提升,但不可能是一劳永逸的,没有什么技术和产品能够完全解决安全问题;现在很多厂商都在搞安全态势感知,最直观的就是在很多展台都可以看到一张中国或世界地图,展现哪些地方遭受的攻击最多,这些攻击都来自于什么地方,攻击都采用什么技术,这似乎成为了一种潮流;但我们可以看到世界和中国的安全事件,并没有随着态势感知就减少了,安全问题就减少了,就好比我们有了卫星和雷达技术,知道了对方的战力部署,但并不意味着我们可以抵抗打击了,我们就安全了,至多可以说,我们更清楚了该防御的重点。
内网安全和数据传输安全的痛点
内网安全是一个难题,主要防护的对象不是外部的黑客和攻击人员了;而是内部的工作人员、第三方的开发人员、第三方的运维人员,这些人或者处于个人的利益,或者是被利用或被作为跳板,造成了内部系统被攻击,内部信息被窃取。
防内比防外更困难,内部人员一方面要让他们工作,要提升工作效率,另一方面要管理要防控,这两者之间本身就是矛盾;同时内部人员对于设备和数据接触的渠道要远高于外部攻击人员,需要防护的点要更为多样。
当前对内的防护,一般会考虑采用堡垒机这样的产品,通过这样的产品,可以将运维人员对数据和设备的接触固定到一些集中的机器上。
对于开发和测试人的防护,一般会考虑让生产系统与测试和开发系统的分立;考虑一些脱敏的产品,使开发和测试中的数据为扰乱后的数据。对于网络和数据维护人员还要考虑采用一些加密的产品,防止存储层的泄露。一些高端的数据库防火墙产品也不仅能够防止外部黑客入侵,也可以实现对数据库内信息的细粒度保护。
当然审计的手段是不可缺的,为了保持工作的效率不可能所有的工作行为都给控制起来,重要的是在发生了安全事件后可追溯,起到一种震慑作用。
从边界防护扩展到到全面数据安全防护
网络边界日渐模糊是互联网化,数据共享加剧,信息沟通加剧的必然;即使在一些严格边界隔离要求的场景,也会因为信息的共享与交流而打折扣。
传统边界隔离的思想依然有它的价值,但受到的挑战也将越来越大,越来越多的场景无法完全用隔离的方法进行处理。
未来的安全解决方案一定是全面的数据防护方案,综合性的数据防护方案;传统的以网络安全起家而发展起来的网络安全厂商也正在纠结地拥抱这个变化,一方面依然在强调边界安全的重要性,另一方面也在逐渐在引入和推出自己的数据安全、桌面安全及应用安全产品;更重要的是许多新兴的安全厂商在这些领域都取得了卓然不菲的成就,更坦然、更彻底地拥抱这种变化,安华金和作为这些新兴厂商中的一员,在自己专业的领域里,将数据库加密产品、数据库防火墙产品、二代数据库监控与审计产品推向市场,为用户提供核心数据防护价值体验。
数据加密技术核心防护机制
数据加密技术长期以来,一直被认为是重要的技术,也被认为是一种从根源上解决安全问题的技术。过去,数据加密技术更为普及的领域是传输加密,因为这一块的独立性和透明性更高,使用的成本代价更低;随着非对称加密算法的引进,在数字认证和数字签名领域也得到了广泛的应用。
而与数据库、文件等领域的加密技术的普及在过去的这些年十分有限,因为大家在心里有一种天生的恐惧,担心数据加密后谁还能还原回去;同时数据库与文件的加密,往往又与应用系统的改造、检索的性能密切相关,因此在非安全需求很高的单位或场景,用户更愿意采用一些网络类的解决方案来保障安全。
随着云平台技术的普及,这一状况很大程度上可能将会改变,数据不再存储于自己的机房,而是第三方,这使得用户对于通过加密技术实现、数据保护的愿望更加强烈。
数据加密技术普及和改善的核心,并非像我们从直觉上感觉的是算法,密钥等问题;更关键的是与数据库、应用系统的结合,如何做到透明、如何保证检索的效率,而这些目标都不是通过提升算法的效率或算法的易用性能够达到的。
作者:李蓬阁
来源:it168网站
原文标题:共话数据安全 当前防护能否滴水不漏?