當(dāng)今全球進(jìn)入數(shù)據(jù)經(jīng)濟(jì)時代,,數(shù)據(jù)資源成為推動各國產(chǎn)業(yè)發(fā)展和商業(yè)創(chuàng)新的動力源泉,。與此同時,,數(shù)據(jù)資源面臨的安全威脅也日益嚴(yán)峻,,數(shù)據(jù)開放利用與數(shù)據(jù)安全治理成為“一個硬幣的兩面”,兩者缺一不可,。因此,,面對數(shù)據(jù)安全威脅日益嚴(yán)峻的態(tài)勢,,為確保在大數(shù)據(jù)時代下敏感數(shù)據(jù)的安全,,著力解決數(shù)據(jù)安全領(lǐng)域的突出問題,,數(shù)據(jù)安全治理能力的提升迫在眉睫。
作為一家專注于數(shù)據(jù)安全領(lǐng)域的創(chuàng)新型企業(yè),,昂楷科技針對數(shù)據(jù)安全所面臨的挑戰(zhàn),,提出以數(shù)據(jù)安全治理為中心的安全防護(hù)方案,重點(diǎn)從數(shù)據(jù)全生命周期的角度闡述了數(shù)據(jù)流轉(zhuǎn)每個環(huán)節(jié)中的安全風(fēng)險以及防護(hù)措施,,為大數(shù)據(jù)環(huán)境下敏感數(shù)據(jù)的安全提供全方位的保障,,并致力于讓人們放心地享受大數(shù)據(jù)。
近日,,深圳昂楷科技有限公司副總經(jīng)理李四階,,圍繞數(shù)據(jù)安全治理的基本思路、數(shù)據(jù)安全落地的現(xiàn)狀及難點(diǎn),、數(shù)據(jù)安全治理方案的客戶價值等方面,,與記者展開深入溝通和交流,,相關(guān)問題和回答展示如下,,以饗讀者。
INTERVIEW
01
本刊記者 :
數(shù)據(jù)安全治理的基本思路是什么,?
李四階 :
網(wǎng)絡(luò)信息安全的發(fā)展經(jīng)歷了從終端安全,、網(wǎng)絡(luò)安全進(jìn)入數(shù)據(jù)安全的幾個階段,曾經(jīng)我們只需保護(hù)好承載數(shù)據(jù)的系統(tǒng),,后來伴隨數(shù)據(jù)的使用流動,,我們需要在不同的場景和業(yè)務(wù)中去考慮數(shù)據(jù)特定的安全需求,由此誕生了品類繁多的數(shù)據(jù)安全產(chǎn)品,。
現(xiàn)在,,數(shù)據(jù)上升到資產(chǎn)、基礎(chǔ)設(shè)施的層面,,數(shù)據(jù)量級正在以幾何速度暴漲,,數(shù)據(jù)蘊(yùn)含的價值并非以往任一時代能夠比擬的,如果我們僅僅使用雇傭保安,、裝防盜門等形式的安全管控,,一方面,,單一的、孤島式的防護(hù)無法對抗持續(xù)激增的風(fēng)險威脅,;另一方面,,以管控為目標(biāo)的安全原則將會對數(shù)據(jù)的流通利用產(chǎn)生明顯的阻礙。
而數(shù)據(jù)安全治理的思路,,強(qiáng)調(diào)安全不再是一個純技術(shù)和產(chǎn)品層面上的安全,,而是組織規(guī)范、管理制度和產(chǎn)品工具的完美整合,,以呈現(xiàn)整體的,、有策略的安全體系。同時,,安全防御長期以來強(qiáng)調(diào)的是為業(yè)務(wù)提供保障,,在數(shù)據(jù)時代,數(shù)據(jù)就是業(yè)務(wù)的核心驅(qū)動力以及業(yè)務(wù)本身,,因此,,我們需要跳出以往著眼于系統(tǒng)、網(wǎng)絡(luò)的安全思維,,重新以數(shù)據(jù)為中心來進(jìn)行安全的建設(shè),,達(dá)到精細(xì)化和貼身式的防守。
INTERVIEW
02
本刊記者 :
請您談?wù)剶?shù)據(jù)安全治理落地實(shí)踐的現(xiàn)狀,。
李四階 :
數(shù)據(jù)安全治理是一套很宏大的框架,,類似于我們生活的城市中會出現(xiàn)打砸搶燒,每家每戶裝上防彈玻璃,、非必要就閉門不出并不能有效杜絕意外的出現(xiàn),,社會的運(yùn)轉(zhuǎn)也將陷入僵局。站在公共安全治理的角度,,我們會組建公檢法體系,,會有軍隊(duì)來提供保障,會出臺法律政策,,會建立公共設(shè)施和安檢制度等,,既有組織策略,也有技術(shù)手段,,還有協(xié)同聯(lián)動,。數(shù)據(jù)安全治理也一樣,但將其落地實(shí)施到一個具體的企業(yè)中,,形成貫穿于整個組織架構(gòu)的完整鏈條,,絕非易事。
數(shù)據(jù)安全治理本質(zhì)上就是一套自上而下的多層框架,涵蓋決策層到技術(shù)層,,它要求企業(yè)建立安全政策和組織保障,;評估企業(yè)自身面臨的安全風(fēng)險,對不同等級的風(fēng)險設(shè)定不同的管理政策,;針對安全風(fēng)險控制,,制定相應(yīng)策略,內(nèi)部進(jìn)行資源匹配,,這里面將涉及具體的技術(shù)工具,;通過安全評估及具體指標(biāo)衡量,以確保風(fēng)險得到有效管理,,否則需要重新糾偏,,以此形成一個完整的閉環(huán)。
從戰(zhàn)略高度來指導(dǎo)數(shù)據(jù)安全治理,,好處在于宏觀的控制和推進(jìn),,但在美好的愿景之下,它的推進(jìn)難度,、執(zhí)行效率極大地依賴于該項(xiàng)目在企業(yè)中的重要性和地位,、企業(yè)組織架構(gòu)是否足夠成熟優(yōu)越、企業(yè)成員的安全意識是否與此高度匹配等因素,。而在現(xiàn)實(shí)情況中,,我國大部分企事業(yè)單位的 IT 建設(shè)、組織建設(shè)在過去長期處于“重發(fā)展輕安全”的狀態(tài),,在此基礎(chǔ)上直接落地數(shù)據(jù)安全治理有些“水土不服”“不接地氣”,。
INTERVIEW
03
本刊記者 :
昂楷科技如何把控數(shù)據(jù)行業(yè)痛點(diǎn)?
李四階 :
數(shù)據(jù)庫破壞的形式有三種:一是對數(shù)據(jù)庫的結(jié)構(gòu)性破壞,,導(dǎo)致數(shù)據(jù)庫無法正常運(yùn)行,,數(shù)據(jù)庫是信息化系統(tǒng)的核心,數(shù)據(jù)庫無法正常工作,,系統(tǒng)即無法正常工作,;二是對數(shù)據(jù)進(jìn)行定向惡意篡改以達(dá)到自己的目的,,這方面的問題比較隱蔽,,大家談的比較少,但危害極大,;三是核心數(shù)據(jù)的盜取,,這是廣為討論的問題,其本質(zhì)就是信息泄露,。
這三種破壞形式組合起來興風(fēng)作浪,,其外在的危害表現(xiàn)錯綜復(fù)雜,總結(jié)起來有幾個典型危害:其一,國家重要部門或企事業(yè)單位機(jī)密被別有用心的他國竊取,,或重要信息化系統(tǒng),、工業(yè)控制系統(tǒng)被迫癱瘓,將嚴(yán)重影響國家的政治,、經(jīng)濟(jì),,甚至國民安全;其二,,企業(yè)核心數(shù)據(jù)泄密或信息化系統(tǒng)不能正常運(yùn)行導(dǎo)致企業(yè)競爭力下降,、聲譽(yù)受損,甚至破產(chǎn),;其三,,個人隱私泄露導(dǎo)致財產(chǎn)損失,甚至付出生命的代價,。
因此,,行業(yè)迫切需要對數(shù)據(jù)安全的破壞行為做到有效防護(hù);構(gòu)建事前預(yù)防,、事中攔截,、事后取證三位一體的積極防護(hù)體系。該防護(hù)體系的核心是將不可見的破壞之源,,做到準(zhǔn)確可視,、進(jìn)而做到自主可控,并且要平衡好效率和安全,、穩(wěn)定與安全,、開放與安全的矛盾關(guān)系;還要有發(fā)展性,,能夠適應(yīng)大數(shù)據(jù),、云計算、萬物互聯(lián)的信息化架構(gòu)及技術(shù)發(fā)展帶來的新挑戰(zhàn),!
面對行業(yè)迫切需求以及未來發(fā)展帶來的各種挑戰(zhàn),,從國家機(jī)關(guān)、企事業(yè)單位的數(shù)據(jù)安全防護(hù)方案建設(shè)方面來講,,應(yīng)該打破從前“以外防為主建立防護(hù)邊界系統(tǒng)”的老思路,,建立終端、外防,、內(nèi)審內(nèi)控的三級聯(lián)動聯(lián)防主動積極防御體系,;尤其重要的是數(shù)據(jù)安全態(tài)勢感知系統(tǒng),其作為整個防護(hù)體系的雷達(dá)探測和中樞指揮系統(tǒng),,是核心中的核心,。數(shù)據(jù)安全態(tài)勢感知系統(tǒng)與原有的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)融為一體,,建立全態(tài)勢的安全感知和統(tǒng)一指揮調(diào)度系統(tǒng),能夠有效整合終端安全,、網(wǎng)絡(luò)安全,、數(shù)據(jù)安全、應(yīng)用安全等各大系統(tǒng),,形成強(qiáng)大的聯(lián)動效應(yīng),。
昂楷科技正是按照這個建設(shè)思路,先從最核心的數(shù)據(jù)庫安全審計監(jiān)控產(chǎn)品開始研發(fā),,解決對數(shù)據(jù)庫攻擊行為及攻擊者的可視,;進(jìn)而打造數(shù)據(jù)庫漏洞檢測、數(shù)據(jù)庫狀態(tài)監(jiān)控,、數(shù)據(jù)庫防火墻,、數(shù)據(jù)庫安全態(tài)勢感知系統(tǒng),構(gòu)建針對數(shù)據(jù)庫的主動防御一體化解決方案,。在設(shè)計系統(tǒng)方案時,,積極研究最新前沿技術(shù)。目前,,昂楷科技已率先支持后關(guān)系型數(shù)據(jù)庫的安全保護(hù),、Hadoop數(shù)據(jù)庫安全的保護(hù)、工業(yè)控制數(shù)據(jù)庫的安全保護(hù),,是第一個與公有云運(yùn)營商聯(lián)合推出運(yùn)營級的云數(shù)據(jù)庫安全審計監(jiān)控服務(wù)的企業(yè),。
INTERVIEW
04
本刊記者 :
昂楷科技如何實(shí)踐數(shù)據(jù)安全治理?
李四階 :
昂楷科技在幫助企業(yè)落地數(shù)據(jù)安全治理項(xiàng)目時,,進(jìn)行了很好的本土優(yōu)化,,采用自上而下和自下而上的雙向結(jié)合循環(huán)路線。一方面,,在策略上,,從頂層起步進(jìn)行宏觀路線的規(guī)劃,形成一套完整的從梳理到管理再到控制的方法論,;另一方面,,在執(zhí)行上,從大到小,、從整體到局部,,動態(tài)地、精細(xì)地逐步進(jìn)行實(shí)施,,比如,,先進(jìn)行“卡口”實(shí)現(xiàn)對基本面的安全控制,再結(jié)合對數(shù)據(jù)資產(chǎn)的梳理情況進(jìn)行數(shù)據(jù)安全策略的智能化設(shè)置,。
整體方案的構(gòu)成涵蓋了資產(chǎn)梳理,、風(fēng)險評估、主動防御,、監(jiān)控審計,、態(tài)勢感知、數(shù)據(jù)溯源,、數(shù)據(jù)處理,、聯(lián)動聯(lián)防等全面的能力,這些數(shù)據(jù)安全能力單元搭配SOC平臺,、應(yīng)用安全,、終端安全、網(wǎng)絡(luò)安全等安全能力單元,,集中到擁有自學(xué)習(xí)能力的數(shù)據(jù)安全綜合治理平臺上,,實(shí)現(xiàn)對復(fù)雜威脅的聯(lián)動聯(lián)防,可以覆蓋數(shù)據(jù)采集,、傳輸,、存儲、處理,、交換,、銷毀的全部流轉(zhuǎn)周期。
數(shù)據(jù)資產(chǎn)的明顯特征在于瞬息萬變,,數(shù)據(jù)是高度靈活,、高頻變動的,如果像盤點(diǎn)實(shí)物資產(chǎn)一樣去梳理數(shù)據(jù)資產(chǎn),,并根據(jù)梳理結(jié)果對數(shù)據(jù)進(jìn)行管理控制,,很難達(dá)到“與時俱進(jìn)”的效果。因此,,昂楷科技通過 AI 機(jī)器學(xué)習(xí)的方式持續(xù)地監(jiān)測數(shù)據(jù)本身實(shí)時變動情況,,包括其格式、狀態(tài),、敏感性等維度,,實(shí)現(xiàn)持續(xù)的智能化數(shù)據(jù)盤點(diǎn),通過不斷地重塑企業(yè)數(shù)據(jù)資產(chǎn),,指導(dǎo)后續(xù)的安全動作,,達(dá)到更精準(zhǔn)、更靈敏,、可持續(xù)性發(fā)展的安全防控效果,。
INTERVIEW
05
本刊記者 :
昂楷科技數(shù)據(jù)安全治理方案能夠給客戶帶來哪些價值?
李四階 :
昂楷科技數(shù)據(jù)安全綜合治理解決方案讓客戶的大數(shù)據(jù)平臺實(shí)現(xiàn)精準(zhǔn)可視,、安全可控,,以安全態(tài)勢感知平臺為樞紐,,清晰掌握了平臺上數(shù)據(jù)庫資產(chǎn)、數(shù)據(jù)庫健康狀態(tài)以及敏感數(shù)據(jù)分布情況,,對數(shù)據(jù)庫操作行為與敏感數(shù)據(jù)使用狀態(tài)進(jìn)行實(shí)時監(jiān)控和及時告警,,高敏數(shù)據(jù)和測試數(shù)據(jù)通過去隱私化以及訪問控制的方式確保安全可控,方案從整體上形成全面,、準(zhǔn)確審計以及安全防護(hù)體系的建設(shè),,以滿足客戶對安全事前防御、事中管控,、事后溯源的安全管理需求,。
事前防御階段。根據(jù)數(shù)據(jù)安全的管理制度及標(biāo)準(zhǔn),,對敏感數(shù)據(jù)如個人的手機(jī)號,、住址、社保信息,、公積金信息,、房產(chǎn)信息、就診信息等,,企業(yè)的納稅信息,、股權(quán)信息等非公示項(xiàng)信息,實(shí)行事前識別并嚴(yán)格執(zhí)行訪問管控策略,。
在不同訪問場景下,,通過脫敏規(guī)則,對不同身份的運(yùn)維人員訪問敏感數(shù)據(jù)中的身份證,、銀行卡,、電話號碼、姓名,、住址等敏感信息進(jìn)行掩碼處理,,實(shí)現(xiàn)敏感數(shù)據(jù)動態(tài)遮蔽,防止泄露敏感數(shù)據(jù),,同時不影響常規(guī)的數(shù)據(jù)遷移,、備份等日常工作。
事中管控階段,。使用數(shù)據(jù)庫防火墻屏蔽直接訪問數(shù)據(jù)庫的通道,,可基于IP地址、時間,、操作,、關(guān)鍵字、數(shù)據(jù)庫賬號,、語句長度,、列名,、表名、行數(shù),、注入特征庫等多種條件,,制定靈活多變的數(shù)據(jù)防護(hù)策略,。對于高危操作行為需提交申請,,待審批通過后方可進(jìn)行操作,同時,,在操作過程中,,要進(jìn)行監(jiān)控審計,阻斷異常和違規(guī)的數(shù)據(jù)修改,、刪除等操作,,達(dá)到在數(shù)據(jù)使用過程中有效防止敏感數(shù)據(jù)泄露和被非法篡改的目的。
事后溯源階段,。通過數(shù)據(jù)庫審計,,對數(shù)據(jù)分析人員、應(yīng)用管理及運(yùn)維人員,、DBA,、普通用戶、管理員的數(shù)據(jù)訪問行為進(jìn)行全記錄,,判斷行為的合規(guī)性,,同時可以通過審計操作與數(shù)據(jù)庫審計進(jìn)行關(guān)聯(lián)分析對比,以三層關(guān)聯(lián)精準(zhǔn)定位到人,,準(zhǔn)確判斷是否存在違規(guī)行為,,做到事后可溯源、可分析,。
INTERVIEW
06
本刊記者 :
昂楷科技如何持續(xù)保持對數(shù)據(jù)的支持能力,?
李四階 :
昂楷科技一直保持對新一代數(shù)據(jù)庫的快速支持能力,并同時追蹤區(qū)塊鏈,、分布式數(shù)據(jù)庫的發(fā)展演進(jìn),,憑借團(tuán)隊(duì)對數(shù)據(jù)庫安全的基礎(chǔ)性攻防研究能力以及對新 IT 架構(gòu)的支持響應(yīng)能力,緊跟數(shù)據(jù)庫技術(shù)的發(fā)展,,實(shí)現(xiàn)對新數(shù)據(jù)庫及安全威脅的快速響應(yīng)并采取有效技術(shù)措施應(yīng)對,,同時參與安全標(biāo)準(zhǔn)制定,共建數(shù)據(jù)安全長城,。
昂楷科技基于“不做‘關(guān)系型’產(chǎn)品”這一思想,,自2016年開始,面向用戶和合作伙伴,,推出了“尋找不一樣的VIP”活動,?;顒永砟钤谟谥灰袛?shù)據(jù)安全需求的用戶在數(shù)據(jù)安全方面遇到了難題,或找不到滿意的產(chǎn)品,,那他就是昂楷科技的VIP客戶,,昂楷科技不僅免費(fèi)幫助其解決難題,還給予獎品答謝,。通過這種方式,,不但為用戶解決了自身的數(shù)據(jù)安全問題,昂楷科技也能夠?qū)崟r準(zhǔn)確地把握用戶在數(shù)據(jù)安全方面的真實(shí)需求,,同時通過解決各種難題提升自身的產(chǎn)品技術(shù)實(shí)力,,實(shí)現(xiàn)雙方互利共贏。
目前,,昂楷數(shù)據(jù)安全綜合治理解決方案已應(yīng)用在政府,、金融、證券,、醫(yī)療衛(wèi)生,、教育、電力等行業(yè),,服務(wù)于兩千多家客戶,,其中包括:廣東省公安廳、云南省公安廳,、湖北省公安廳,、東北電力大學(xué)、北京協(xié)和醫(yī)院,、北京安貞醫(yī)院,、江蘇蘇豪國際等。據(jù)透露,,昂楷科技實(shí)行項(xiàng)目制方式運(yùn)營,,并于2019年已達(dá)數(shù)千萬元營收。
昂楷科技成立至今,,團(tuán)隊(duì)已達(dá)220余人,,其中技術(shù)研發(fā)團(tuán)隊(duì)占據(jù)近100人,核心團(tuán)隊(duì)來自華為,、華賽等知名廠商的高管及技術(shù)骨干,。
昂楷科技創(chuàng)始人兼CTO劉永波曾于1998年加入華為綜合接入產(chǎn)品線,并在華為將UA5000系列產(chǎn)品打造成為世界第一品牌,,該產(chǎn)品為華為十大主力產(chǎn)品之一,,年銷售額過百億元人民幣,成為華為海外市場的開路尖兵。
鑒于此,,昂楷科技曾獲得華睿投資的A輪融資和海達(dá)投資的戰(zhàn)略投資,,2020年7月宣布獲得奇安投資的獨(dú)家投資,2021年8月宣布獲得方廣資本的新一輪投資,。完成多輪融資后的昂楷科技加速公司發(fā)展,,加大對數(shù)據(jù)安全綜合治理解決方案的研發(fā)和服務(wù)升級的投入,擴(kuò)大銷售渠道建設(shè),,同時,,廣納英才、研發(fā)產(chǎn)品,、拓展市場,,發(fā)展數(shù)據(jù)安全新生態(tài),,共同推動國內(nèi)數(shù)據(jù)安全行業(yè)的發(fā)展,。
INTERVIEW
07
本刊記者 :
昂楷科技未來戰(zhàn)略的側(cè)重點(diǎn)是什么?
李四階 :
當(dāng)數(shù)據(jù)安全的策略,、技術(shù),、措施都越來越智能和靈活,我們可以看到數(shù)據(jù)安全正逐漸與數(shù)據(jù)使用深度綁定在一起,,趨向一種平衡的進(jìn)化,。整個行業(yè)已經(jīng)越過了非黑即白的強(qiáng)管控時代,當(dāng)數(shù)據(jù)的量級和價值極大地凸顯,,我們需要意識到,,把數(shù)據(jù)關(guān)起來是一條“死”路,但是讓數(shù)據(jù)不受控地放飛,,只會“死”得更快,。這從頒布的《中華人民共和國數(shù)據(jù)安全法》中也能得到印證,這部在網(wǎng)絡(luò)安全行業(yè)發(fā)展過程中具有里程碑意義的法律,,正是從統(tǒng)籌發(fā)展與安全的角度規(guī)定了必須在保證數(shù)據(jù)安全的前提下,,對其進(jìn)行挖掘、利用和創(chuàng)造,,安全從附屬,、外圍的邊緣屬性正式轉(zhuǎn)換為與數(shù)據(jù)業(yè)務(wù)伴生、嵌套,、互相成就的共生屬性,,這十分考驗(yàn)數(shù)據(jù)安全的全局部署、技術(shù)創(chuàng)新和實(shí)施服務(wù)等能力,。
昂楷科技的安全戰(zhàn)略向前發(fā)展,,會更加側(cè)重于工程化的落地能力,它不再是一個產(chǎn)品級別的安全方案,而是與數(shù)據(jù)利用結(jié)合在一起的業(yè)務(wù)性質(zhì)的工程,。近年來,,在政府、公檢法司,、能源電力,、運(yùn)營商、金融,、教育,、云端數(shù)據(jù)庫等多個領(lǐng)域,昂楷科技已幫助多家核心頭部客戶有效實(shí)施其數(shù)據(jù)安全治理方案,,積累了不少工程標(biāo)準(zhǔn)化經(jīng)驗(yàn)和服務(wù)經(jīng)驗(yàn),,這也將成為他們未來助力各行業(yè)數(shù)字化轉(zhuǎn)型的一大核心優(yōu)勢。