雲時代資料安全才是真正的安全——天空衛士副總裁鞏文堅

2017年3月18日，北京部委央企資訊化建設科技創新成果彙報暨專家研討會在北京國家圖書館召開。亞馬遜、有孚網路、天空衛士、玄武科技攜先進科技成果亮相。以下是天空衛士副總裁鞏文堅的演講！

天空衛士 副總裁 鞏文堅

鞏文堅：天空衛視是一個很年輕的公司，成立只有兩年的時間，我們的目標和使命就是防範內部資料的洩漏。雲時代，資料安全才是真正的安全。企業資料安全的故事每年都會發生幾起，有的是被黑客攻擊，有的是自己人員誤傳送，還有一種就是內鬼作亂。事實證明，這個世界沒有所謂的內網跟外網，整個世界只有一張網際網路，只要跟外網有某種程度的交換資料、交換資訊這樣的動作，網路就跟外網是聯通的。
在我們國家，網路安全被提到了空前的高度，國家現在提出了一個口號，就是網路安全就是國家安全，並且制訂了《網路安全法》，真正從國家立法角度把網路安全提到了前所未有的高度。《網路安全法》明確規定了任何企業、政府機構，如果收集了使用者資訊，就需要對資訊採取相應的保護措施，如果發生資料外洩，造成了社會影響和經濟影響，資料外洩的機構，不管是政府也好，是企業也好，都會受到相應的懲罰，承擔相應的法律制裁。這就給廣大針對公共服務提供資料的一些企事業單位和政府機構帶來了非常嚴峻的挑戰：我們既要通過資料來不斷提供公共服務，同時又要保證公共資料的安全，一方面，保護使用者的隱私，另一方面，保證符合國家相關的法律法規。
那麼為什麼要進行資料的防洩密，主要有以下幾個原因：
我們總結了當前資料安全發展的幾大趨勢。第一個就是所謂的網路無邊界概念。過去的資料中心、機房，基本上屬於有邊界的網路，但隨著雲端計算的發展，資料、網路、基礎設施不只是本地的，甚至橫跨全世界，這樣的網路叫做無邊界網路。在有邊界網路的情況下，保護資料已經是一個非常挑戰的事情了，在沒有邊界的情況下就是一個更加有挑戰的工作了。
第二個是資料流動性更加廣泛了。之前絕大多數資料都是在企業內部流動的，或者是通過內網去傳輸，今天，隨著雲端計算、移動網際網路的發展，大量資料在各種渠道、應用上流動，需要防護的點比過去多得多，如果只是立足一個點防護的話，可以說是防不勝防。
第三點是指越來越多的人正在盯著你的資料。過去可能只是一些牟利者盯著你的資料，今天，隨著網路資料、大資料時代的到來，每一份資料都有潛在的價值，因此敵對的國家、網路罪犯、黑客，還有非常關鍵的內部人員，這些人都在盯著企業等等關鍵資料，同時網路攻擊者的手段越來越高明。
第四點是資料的洩漏給每個人造成的影響越來越廣泛。相信我們每一個人都會受到資料洩漏造成的騷擾，資料漏洞越來越大，程度越來越深。
第五點是被盜資料的價值越來越高，沒有什麼資訊是保密的，沒有什麼資訊是不可能買到的。第六點是還有更多的資訊值得去盜取。
在網際網路和雲時代，資料資產是企業最核心的資產，企業在部署資料防洩漏的時候有三大難題：第一是效率，非常完善的安全體系效率太低，最後可能影響業務；第二是成本，如果建設“牆”的成本高於所保護的內容，那就不值了；第三是有效性，即安全體系是否能起作用。三個因素的平衡點在於，效率要足夠高，不要影響到企業業務的正常執行，成本要在可控範圍內，同時必須是非常有效的。
現在絕大多數企事業單位、政府機構，採用的資料防護主要有三套體系：第一套體系是行政規定和法規，什麼事情能做，什麼不能做，這是管理手段，更多的是亡羊補牢的作用；第二套體系是所謂的許可權管理，就是把所有的檔案機密資料，設定不同的等級，絕密、機密、普祕、商祕、沒有祕密，某些符合這些規定的人才能去獲取相關的這些資訊，但這套體系，也不是特別的管用，有許可權的人同樣可以犯罪，洩露資料，所以許可權管理作用也比較有限。第三套體系就是加密，現在國內提到資料防洩密，很多人都是用加解密這種方法來做的，加解密是有作用的，但加解密最大的問題在於只適合於很小範圍的資訊傳輸，不適合於在一個很大的範圍裡適用，也不適合在需要跟外界有非常多交往的情況下使用。
那麼，我們應該如何做好資料防護？目前在國際上最領先的是基於內容的資料洩漏防護，就是以統一策略為基礎，採用深層內容分析、對靜態資料、動態資料及使用中的資料進行即時的識別、監控、保護的相關技術。
過去，我們採用的郵件加密、URL過濾、入侵防護、外設管控等一系列資料安全管理手段，這些手段有一個共同的問題，就是對內容不敏感，不知道正在傳輸的是什麼。現在，我們要用技術手段去感知內容，我們叫它DLP，就是基於內容的資料防洩漏技術。資料防洩漏在美國市場普及率已經高達50%了，在國內也就只有個2%-3%，而且這2%-3%還含了用加解密的所謂的DLP技術去做的，所以國內的網路對於黑客來講是一個完全透明的網路。企業為什麼需要DLP，有幾個因素：第一個就是APT的攻擊，APT是現在最常用的一個攻擊手段；第二就是個人資訊的防護和合規，《網路安全法》實施以後，每個企業都有法律義務保護所收集的企業的資料和個人的資料；第三是智慧財產權的保護，防止與智慧財產權有關的資料的外洩；第四個就是商業夥伴合規，現在很多企業，尤其是國外的一些企業，除了自己要講合規性以外，它還要求合作伙伴上下游滿足合規性的要求。
基於內容的資料防洩漏的價值在什麼地方？第一個就是策略部署的一體化，可以通過完整的資料防洩漏技術手段將企業資料安全管理制度及流程加以實現，並可以覆蓋到各種應用場景，確保建立完整的資料防洩漏體系；第二是員工行為視覺化，可以清晰瞭解員工日常工作中對於敏感資料操作行為；並結合企業對於資料安全的管理要求加以監督，從而達到提高員工安全意識，強化員工操作規範等目的；第三是安全事件可追溯，對於出現的違規事件可以完整記錄，並在必要時加以追溯，同時記錄的事件可確保其完整性、防篡改性及不可抵賴性，以滿足審計部門的要求；第四是行業規範可落地，隨著競爭壓力的不斷提高以及客戶的法律意識不斷加強，各監管機構也出臺了與資訊保安特別是敏感資料保護相關的各種合規要求，因此需要通過相應的技術手段來將合規落地。
簡單說下我們產品的特色。這是APT攻擊的七步曲，在這個七步曲裡，從偵查到最後把所有資料都盜走，每一步都有廠商做得不錯。但是有一個問題，每一個步驟之間是不通的，這對於企業安全管理來講是一個非常大的災難，我們的優勢在於，把APT攻擊視作一個整體，整個解決方案裡覆蓋了從第一步到第七步整個過程，這是非常關鍵的一點。
DLP的實現方式，一個是多維度防護，安全發展，第二是多層次防護，最底層是關鍵字的匹配。再往上是正規表示式，最高階是指紋，我們現在七個方面全都做，但最核心是指紋。還有一些獨到的優勢，一個是點滴式DLP，檢測可疑的“少量或緩慢”資料傳輸（如在一小時傳送5個身份證號碼）。還有一個是混合雲的部署方式，我們支援雲部署，支援完全的私有云的方式，也支援私有云加公有云的方式，也支援全公有云的方式。還有一個叫電郵審批流，讓管理層直接介入核心資料稽核流程，在保證企業核心資產的同時避免影響業務系統的工作。還有關鍵字光學字元識別，通過提取圖片甚至視訊中的文字，識別圖片中的敏感資訊。最後一個就是機器學習，基於人工智慧的預測機制，通過分類樣本中的共同”特徵”來進行預測，通過自動尋找與已知內容相似的內容，輕鬆發現敏感內容。
現在傳統的安全手段已經越來越無法去應對下一代安全的威脅，因此提出要把大資料引進來，通過大資料把行為分析加進來。下一代的防護是要把使用者的行為加進來。大資料安全解析（BDSA）就是把你每天做的這些事情分成若干個patten,形成若干個模式，然後根據這些模式來判別，並通知DLP系統，這樣起到保護企業安全的作用，現在在美國最流行的所謂基於大資料分析的BDSA跟UCS可以做到這一點。我們今年打算在成都建一個大資料研發實驗室來研發這個東西，預計今年年底才能有一個Beta產品問世。

本文轉自d1net（轉載）