產業安全專家談丨如何建立“開箱即用”的資料安全防護系統？

2019年，多起重大資料洩露事件幾乎席捲全球使用者。從上半年的蘋果iOS 12.1重大漏洞曝光導致FaceTime通話可被竊聽，到以“注重隱私”為賣點的美國郵件服務提供商 VFEmail 積累了近20年的資料以及備份均被黑客銷燬，再到後來的英特爾處理器Spoiler高危漏洞曝出、涉5.9億份中國企業簡歷資訊洩露、Facebook證實4.19億使用者的電話資訊被洩出......樁樁接踵而至，毫無喘息間隙。

我們正處在一個大資料時代，每天大量涉及個人隱私、財產資訊和行為軌跡的資料在網際網路上儲存和傳輸，保護資料安全的重要性不言而喻。據IDC釋出的《資料時代2025》報告顯示，全球每年產生的資料將從2018年的33ZB增長到175ZB，相當於每天產生491EB的資料。2016年全球共發生資料洩露事件1673起，造成7.07億條資料洩露，而僅僅兩年後這一數字就猛增至4600起和35億條，不斷引發社會各界對網路安全的擔憂。

對於資料安全來說，既要見微知著，也要舉重若輕。企業產業網際網路的升級上雲，只是資料防護的第一步，想要真正實現全生命週期防護則需要內外兼“修”。傳統的安全架構中，企業較多依賴特徵匹配的模式，這種模式中的防護裝置需要先將某個攻擊事件寫入特徵庫，然後才能防禦這個攻擊，而且安全裝置特徵庫的數量極為有限，所以最大的問題在於滯後性和侷限性，防護方永遠落後於攻擊方。在上雲過程中，對數字資產的控制力和了解程度也非常弱，很容易因攻擊而導致嚴重的資料風險。那麼如何轉後手為先手，讓安全變得更主動、更前置？又該如何從零開始建立資料安全防護能力？坐擁全球最大規模資料的騰訊又有哪些經驗可以借鑑？騰訊安全聯合CSDN、雲+社群打造的「產業安全專家談」第十一期，邀請到騰訊安全資料安全負責人彭思翔，為我們進行了詳細地解答。

彭思翔，騰訊安全資料安全負責人，人工智慧專業博士、資料安全專家。自2017年加入騰訊以來，在騰訊雲資料安全方面積累了豐富的經驗，打造了資料安全產品線，從內、外、與生態三個方面保護騰訊雲租戶的資料安全；通過AI技術創新，為騰訊雲客戶構建了資料安全解決方案。

Q：在普遍上雲的時代，數字安全呈現了怎樣的變化趨勢？

彭思翔：計算機資料規模和計算速度超200萬倍的提升，賦予了安全新的定義與挑戰。GDPR、等保2.0等法律和政策的陸續出臺與實施，進一步夯實安全屏障，提升了全社會的網路安全意識，但安全威脅也發酵出更為多元的形態與特徵。
在雲時代，隨著企業產業網際網路的升級，業務系統產生的資料越來越多，資料的價值越來越大，而且資料的形態也變得多種多樣。以前，很多企業只是將資料作為資料進行儲存，但是現在資料正在參與到企業的生產當中，成為企業的重要生產資料甚至是核心資產。也因此，資料所面臨的風險與日俱增，資料洩露給企業造成的損失也越來越大。數字安全風險一旦失控，對於企業營收、股價以及品牌形象都將造成重大的打擊。

“黑客”和內部“無意識”使用者仍是當前使用者能感知到的主力安全威脅。其中，“黑客”通過郵件釣魚、勒索軟體、“挖礦”病毒等侵入手段，以利用企業或個人計算機算力賺取非法利益；內部員工“無意識”也可能帶來機密資料的洩露。

此外，來自商業間諜和有組織犯罪“黑灰產”、恐怖分子以及國家層面的資訊對抗呈現出顯著上升趨勢，帶來了大量新的攻擊技術和目標。據美國政府DNI(Director of National Intelligence)報告分析，具備發動資訊戰攻擊能力的國家達到近40個。

與攻擊主體擴充相對應的，是攻擊技術的擴張。當前針對韌體、硬體和供應鏈的攻擊技術已逐步成熟，IoT/ICS等工業基礎設施成為近年來備受青睞的攻擊目標。包含無線電、網路協議攻擊以及基於AI等在內的新型攻擊技術也在研發探索中。在這樣的背景下，針對企業和重要機構的資料安全和高危害攻擊更為猖獗氾濫。資料顯示，2018年的全球資料洩露量同比增長150%，攻擊案例每年漲幅也接近30%。

Q：能否舉一個典型數字安全風險導致企業遭受損失的例子，並說明企業應當通過怎樣的手段避免數字安全風險？

彭思翔：某網際網路文旅企業的使用者資訊洩露時間就是一個典型的例子，其開發人員為了個人簡歷更有含金量，將團隊開發的程式碼上傳到開源平臺，上傳的程式碼中包含了資料庫的超級管理員賬號密碼，而這臺資料庫恰巧可以直接通過外網連線。因此，黑客獲取了資料庫的賬號密碼之後，直接連線到了資料庫上並將使用者資訊全部拖走。從這個例子我們可以看到，該企業研發管理、程式碼質量管理、辦公行為管理和資料庫防護措施均存在嚴重問題。

數字化時代，企業資料一旦生產出來後就會進入傳輸、儲存、處理、分析、訪問與服務應用等各環節，且周而復始如同流淌的血液，而這些環節涉及到研發運維人員、終端使用者、生態夥伴、伺服器、辦公終端、內外網路、大資料分析平臺、雲平臺等，任意一個環節都面臨著資料安全挑戰，造成企業資料失血。

從2002年起，國內就出現了以防止敏感資訊洩露為目的的防水牆系統，資料防洩密領域先後發展了主機監控與審計、桌面管理、終端安全、補丁管理、移動儲存介質管理、終端准入等安全管理手段。目前這類手段就如同IDS、防火牆、防毒軟體一樣，從網路邊界、系統安全、裝置管控的角度來保證內部資訊不受外部的入侵、更多的是用堵的方式來堆砌高牆，把需要保護的資訊給圍起來。

但我們回溯分析近年來資料洩露事件可以發現，原因既包括黑客的攻擊，也可能是內部工作人員、離職員工或是第三方外包人員的違法資訊交易行為、資料共享第三方的資料洩露、開發測試人員的違規等，多種原因導致的資料洩露事件背後折射出的是，僅僅依靠單點防護難以達到真正的安全防護效果。

企業保護資料安全應該轉向以資料為中心構建防護策略，並遵循資料流動的方向，構建基於全生命週期的安全防護。並且，在企業上雲大潮的趨勢下，討論資料安全絕大部分要從雲環境出發，雲原生的資料保護技術和策略，也將成為當下及未來的主要防禦手段。

Q：資料安全防護的重點和難點在哪裡？

彭思翔：核心資料流的所有環節都是重點，而這個重點也是難點，因為要將資料流的所有環節進行梳理，包括人的管理、行為的控制、程式碼的健壯性等一系列問題囊括到資料安全的防護措施中是非常困難的。因此企業在資料安全建設時需要做全面動員，並具有強烈的改造業務的決心。

首先，是對資料進行分級。明確哪些是機密資料、敏感資料、普通資料，進而根據資料的不同等級，設定不同的安全策略；

第二個重點是資料在儲存、傳輸、使用過程中如何應用加密技術以及脫敏技術進行資料的保護。尤其是機密資料需要持續性的保護，因為它們在企業內部和組織內共享，企業必須確保其資料庫、文件管理系統、檔案伺服器在整個生命週期內正確分類和保護機密資料；

第三是在應用加密技術之後的祕鑰安全問題。金鑰是加密安全的核心，至關重要；

第四是資料安全的管理問題。

騰訊安全綜合運用資料安全管理經驗和資料保護技術打造了資料安全治理中心、資料加密服務、金鑰管理系統、憑據管理系統、資料安全審計、堡壘機、敏感資料處理等七大產品體系，針對性地在資料全生命週期每個階段提供保護，幫助使用者克服資料安全防護的“四大難”，助力企業快速構建資料安全防線。
Q：能否詳細介紹一下資料的全生命週期防護？與傳統的資料防護手段相比，全生命週期資料安全的優勢在哪？

彭思翔：傳統的資料防護誕生於資料系統還相對簡單的時代，當時的資料主要儲存在資料庫中，因此傳統的資料防護就是對資料庫的防護。資料全生命週期防護是一種深入資料流的防護手段，其從資料的產生、傳輸、儲存、處理、共享、使用、銷燬等環節入手，建立了一套全生命週期的防護措施。這種貫穿始終的防護模式能夠避免木桶原理，防止一個短板導致企業資料安全全盤崩潰。

Q：騰訊自身資料安全防護的能力，是否可供行業借鑑通用？

彭思翔：騰訊自身資料安全防護的能力，是深度結合業務而打造的定製化解決方案，因此自身資料安全防護能力和對外輸出的資料安全防護能力保護的物件不同。對外輸出的能力主要作用在騰訊對外輸出的資料系統方面，如WeCity的資料中臺安全解決方案就是用於全流程的保護智慧城市中海量資料的定製化解決方案。

騰訊安全通過應用AI技術，讓資料安全審計更加高效精準。通過機器學習與深度學習，將員工日常操作中的每一次行為都記錄並抽象成行為模型，瞭解其與敏感資產的互動規律。當其開始訪問正常工作中用不到的敏感資訊時，會與平常行為軌跡產生偏差，騰訊雲會進行直觀展現與預警。而當該員工實施資料竊取時，騰訊雲也會實時告警並收回其資料訪問許可權，及時止損。同時，事後騰訊雲也會針對暴露的安全漏洞給出改進建議，持續提升企業資料安全防護等級。即使像“螞蟻搬家”這樣隱祕的資料竊取操作方式，也能被及時發現和預警。

除AI外，騰訊安全還會應用大量前沿的安全技術，例如抗量子加密演算法、在大資料容和計算中應用K匿名脫敏演算法、密文求交集等。

Q：對於傳統企業來說，如何從0開始建立資料安全防護能力？最迫切和最關鍵點是什麼？

彭思翔：安全問題歸根結底是“人+方法+工具”的綜合作用結果。企業從0開始建立資料安全防護體系的最迫切關鍵點是資料與業務的梳理，只有充分了解每個業務的資料流，才能梳理出資料的產生、傳輸、儲存、處理、共享、使用、銷燬等環節，並對這些環節的關鍵風險點進行分析，最終給出一個貼合業務的資料安全解決方案。上述過程就是一個完整的資料治理過程，因此雲時代的資料安全與安全治理是密不可分的，企業應該通過建立一套全面的資料安全治理平臺，以此來統籌業務資料流和資料風險管控，避免資料安全風險導致企業受到損失。

騰訊雲打造了企業資料安全解決方案，在向企業客戶提供服務時，充分發揮了騰訊過去20年積累的技術、人才、經驗等優勢，可以讓企業極簡快速地構建全生命週期的安全防護體系。騰訊企業資料安全解決方案通過與雲上資料庫系統，檔案儲存系統，大資料系統核心級深度對接，實現“按服務收費，一鍵開通”的同時，大大提升了防護範圍和效果。提供審計，脫敏，加密，訪問控制，資料資產發現等一系列功能，滿足使用者從等保合規，資料治理，綜合防護，統一管控與管理諮詢等各種需求。為使用者提供“0”部署成本，“360度”資料保護的雲原生資料安全解決方案。