2017年3月18日,北京部委央企信息化建设科技创新成果汇报暨专家研讨会在北京国家图书馆召开。亚马逊、有孚网络、天空卫士、玄武科技携先进科技成果亮相。以下是天空卫士副总裁巩文坚的演讲!
天空卫士 副总裁 巩文坚
巩文坚:天空卫视是一个很年轻的公司,成立只有两年的时间,我们的目标和使命就是防范内部数据的泄漏。云时代,数据安全才是真正的安全。企业数据安全的故事每年都会发生几起,有的是被黑客攻击,有的是自己人员误发送,还有一种就是内鬼作乱。事实证明,这个世界没有所谓的内网跟外网,整个世界只有一张互联网,只要跟外网有某种程度的交换数据、交换信息这样的动作,网络就跟外网是联通的。
在我们国家,网络安全被提到了空前的高度,国家现在提出了一个口号,就是网络安全就是国家安全,并且制订了《网络安全法》,真正从国家立法角度把网络安全提到了前所未有的高度。《网络安全法》明确规定了任何企业、政府机构,如果收集了用户信息,就需要对信息采取相应的保护措施,如果发生数据外泄,造成了社会影响和经济影响,数据外泄的机构,不管是政府也好,是企业也好,都会受到相应的惩罚,承担相应的法律制裁。这就给广大针对公共服务提供数据的一些企事业单位和政府机构带来了非常严峻的挑战:我们既要通过数据来不断提供公共服务,同时又要保证公共数据的安全,一方面,保护用户的隐私,另一方面,保证符合国家相关的法律法规。
那么为什么要进行数据的防泄密,主要有以下几个原因:
我们总结了当前数据安全发展的几大趋势。第一个就是所谓的网络无边界概念。过去的数据中心、机房,基本上属于有边界的网络,但随着云计算的发展,数据、网络、基础设施不只是本地的,甚至横跨全世界,这样的网络叫做无边界网络。在有边界网络的情况下,保护数据已经是一个非常挑战的事情了,在没有边界的情况下就是一个更加有挑战的工作了。
第二个是数据流动性更加广泛了。之前绝大多数数据都是在企业内部流动的,或者是通过内网去传输,今天,随着云计算、移动互联网的发展,大量数据在各种渠道、应用上流动,需要防护的点比过去多得多,如果只是立足一个点防护的话,可以说是防不胜防。
第三点是指越来越多的人正在盯着你的数据。过去可能只是一些牟利者盯着你的数据,今天,随着网络数据、大数据时代的到来,每一份数据都有潜在的价值,因此敌对的国家、网络罪犯、黑客,还有非常关键的内部人员,这些人都在盯着企业等等关键数据,同时网络攻击者的手段越来越高明。
第四点是数据的泄漏给每个人造成的影响越来越广泛。相信我们每一个人都会受到数据泄漏造成的骚扰,数据漏洞越来越大,程度越来越深。
第五点是被盗数据的价值越来越高,没有什么信息是保密的,没有什么信息是不可能买到的。第六点是还有更多的信息值得去盗取。
在互联网和云时代,数据资产是企业最核心的资产,企业在部署数据防泄漏的时候有三大难题:第一是效率,非常完善的安全体系效率太低,最后可能影响业务;第二是成本,如果建设“墙”的成本高于所保护的内容,那就不值了;第三是有效性,即安全体系是否能起作用。三个因素的平衡点在于,效率要足够高,不要影响到企业业务的正常运行,成本要在可控范围内,同时必须是非常有效的。
现在绝大多数企事业单位、政府机构,采用的数据防护主要有三套体系:第一套体系是行政规定和法规,什么事情能做,什么不能做,这是管理手段,更多的是亡羊补牢的作用;第二套体系是所谓的权限管理,就是把所有的文件机密数据,设置不同的等级,绝密、机密、普秘、商秘、没有秘密,某些符合这些规定的人才能去获取相关的这些信息,但这套体系,也不是特别的管用,有权限的人同样可以犯罪,泄露数据,所以权限管理作用也比较有限。第三套体系就是加密,现在国内提到数据防泄密,很多人都是用加解密这种方法来做的,加解密是有作用的,但加解密最大的问题在于只适合于很小范围的信息传输,不适合于在一个很大的范围里适用,也不适合在需要跟外界有非常多交往的情况下使用。
那么,我们应该如何做好数据防护?目前在国际上最领先的是基于内容的数据泄漏防护,就是以统一策略为基础,采用深层内容分析、对静态数据、动态数据及使用中的数据进行即时的识别、监控、保护的相关技术。
过去,我们采用的邮件加密、URL过滤、入侵防护、外设管控等一系列数据安全管理手段,这些手段有一个共同的问题,就是对内容不敏感,不知道正在传输的是什么。现在,我们要用技术手段去感知内容,我们叫它DLP,就是基于内容的数据防泄漏技术。数据防泄漏在美国市场普及率已经高达50%了,在国内也就只有个2%-3%,而且这2%-3%还含了用加解密的所谓的DLP技术去做的,所以国内的网络对于黑客来讲是一个完全透明的网络。企业为什么需要DLP,有几个因素:第一个就是APT的攻击,APT是现在最常用的一个攻击手段;第二就是个人信息的防护和合规,《网络安全法》实施以后,每个企业都有法律义务保护所收集的企业的数据和个人的数据;第三是知识产权的保护,防止与知识产权有关的数据的外泄;第四个就是商业伙伴合规,现在很多企业,尤其是国外的一些企业,除了自己要讲合规性以外,它还要求合作伙伴上下游满足合规性的要求。
基于内容的数据防泄漏的价值在什么地方?第一个就是策略部署的一体化,可以通过完整的数据防泄漏技术手段将企业数据安全管理制度及流程加以实现,并可以覆盖到各种应用场景,确保建立完整的数据防泄漏体系;第二是员工行为可视化,可以清晰了解员工日常工作中对于敏感数据操作行为;并结合企业对于数据安全的管理要求加以监督,从而达到提高员工安全意识,强化员工操作规范等目的;第三是安全事件可追溯,对于出现的违规事件可以完整记录,并在必要时加以追溯,同时记录的事件可确保其完整性、防篡改性及不可抵赖性,以满足审计部门的要求;第四是行业规范可落地,随着竞争压力的不断提高以及客户的法律意识不断加强,各监管机构也出台了与信息安全特别是敏感数据保护相关的各种合规要求,因此需要通过相应的技术手段来将合规落地。
简单说下我们产品的特色。这是APT攻击的七步曲,在这个七步曲里,从侦查到最后把所有数据都盗走,每一步都有厂商做得不错。但是有一个问题,每一个步骤之间是不通的,这对于企业安全管理来讲是一个非常大的灾难,我们的优势在于,把APT攻击视作一个整体,整个解决方案里覆盖了从第一步到第七步整个过程,这是非常关键的一点。
DLP的实现方式,一个是多维度防护,安全发展,第二是多层次防护,最底层是关键字的匹配。再往上是正则表达式,最高级是指纹,我们现在七个方面全都做,但最核心是指纹。还有一些独到的优势,一个是点滴式DLP,检测可疑的“少量或缓慢”数据传输(如在一小时发送5个身份证号码)。还有一个是混合云的部署方式,我们支持云部署,支持完全的私有云的方式,也支持私有云加公有云的方式,也支持全公有云的方式。还有一个叫电邮审批流,让管理层直接介入核心数据审核流程,在保证企业核心资产的同时避免影响业务系统的工作。还有关键字光学字符识别,通过提取图片甚至视频中的文字,识别图片中的敏感信息。最后一个就是机器学习,基于人工智能的预测机制,通过分类样本中的共同”特征”来进行预测,通过自动寻找与已知内容相似的内容,轻松发现敏感内容。
现在传统的安全手段已经越来越无法去应对下一代安全的威胁,因此提出要把大数据引进来,通过大数据把行为分析加进来。下一代的防护是要把用户的行为加进来。大数据安全解析(BDSA)就是把你每天做的这些事情分成若干个patten,形成若干个模式,然后根据这些模式来判别,并通知DLP系统,这样起到保护企业安全的作用,现在在美国最流行的所谓基于大数据分析的BDSA跟UCS可以做到这一点。我们今年打算在成都建一个大数据研发实验室来研发这个东西,预计今年年底才能有一个Beta产品问世。
本文转自d1net(转载)