報告下載:新增199IT微信公眾號【i199it】,回覆關鍵詞【2021年全球加密技術趨勢】即可
Ponemon Institute是美國的一家致力於隱私、資料保護和資訊保安政策的專業研究中心,每年都會釋出網路安全相關的專業報告。2021年,Ponemon Institute在澳大利亞、巴西、法國、德國、印度、日本、墨西哥等17個國家及地區,對6610名個人進行調研,調研分析加密技術應用在過去16年的演變趨勢,以及加密對組織安全態勢的影響。第一次加密趨勢研究是在2005年針對美國抽樣的受訪者進行,之後,Ponemon Institute擴大研究範圍,時間跨度延伸到2020年,成為研究全球加密趨勢的重要參考資料。遺憾的是,該報告樣本資料未包含中國大陸地區,因此本文通過分析境外加密技術應用態勢,對照分析境內加密技術應用現狀,探究我國密碼產業發展趨勢,為密碼與資料安全服務商以及有相關需求的企業提供幫助和借鑑。(關注本公眾號,回覆關鍵詞“全球加密趨勢”,下載Ponemon Institute 2021英文版研究報告以及中文翻譯版報告)
1、應用層是資料安全防護重心
從資料流轉的角度來講,資料在應用層的價值點更高,加密防護的重點在於應用層。企業目前的 IT 架構,包含基礎設施、軟體平臺以及業務應用等不同層級,企業資料在不同層之間高效流轉,實現互聯共享,為企業創造價值。資料越朝上層流動,價值點越多。資料在基礎設施層,就是一些沒有業務含義的二進位制數字;在軟體平臺層,表現為各種形式的檔案格式;在業務應用層,資料才具備了豐富的業務含義。從調研結果來看,在應用層部署安全模組成為很多企業的共同選擇,這說明針對應用層的加密正成為全球很多國家的共識,同時基於應用層加密的技術也在趨於完善和成熟。
2、敏感資料的最大威脅來源:人員管理問題
對敏感或機密資料的最顯著威脅是員工錯誤,類似的威脅來源還有臨時或合約僱員、惡意的內部人員等,這些都屬於人員管理問題。首先,建議企業重視和加強人員管理,規範人員的操作,加強人員的資料安全保護責任心。另外,隨著《資料安全法(草案)》和《個人資訊保護法(草案)》的二次審議稿釋出,資料保護“有法可依”將進一步提前,企業可以加強對員工的“普法”教育,降低自身“合規風險”。最後,企業可以從技術角度出發,將資料加密與許可權控制、脫敏等安全技術結合,做到權責到人可追溯,從技術架構建設方面有效規避重要資料發生洩漏的可能性。
3、加密關鍵特性:效能、金鑰管理、合規
系統效能和延遲、金鑰管理、政策執行是加密解決方案最需要注意的三個點。系統效能和延遲可以通過高效能密碼來規避,保障使用者使用密碼技術後不影響效率和體驗;金鑰管理可以通過專業的智慧管理系統來解決,系統應具備金鑰安全儲存、隨機數產生、三層金鑰體系、金鑰管理、日誌審計等功能;政策執行屬於合規問題,隨著資料安全防護相關法律法規趨於完善,各國企業資料加密的合規性正成為必選項,比如,大陸範圍內,加密方案或產品最好支援SM系列演算法加密運算,滿足等保2.0、GB/T 39786等密評規範中的密碼合規要求。此外,一個優秀的加密解決方案還應具備免開發改造、細粒度訪問控制、密碼控審一體化、豐富資料庫型別相容等特性。
4、資料發現是加密策略實施的最大挑戰
加密策略成功實施的最大障礙是“如何發現敏感資料位於組織中的位置”。65%的受訪者表示,發現敏感資料位於組織中的位置是第一大挑戰,主要體現為企業重要資料資產的發現以及分級分類。針對敏感資料的發現問題,單純靠人工去篩選,不僅費時費力,還有可能導致部分關鍵重要資訊疏漏。因此,可以針對性建立“敏感資料智慧發現平臺”,通過“智慧定位敏感資料分佈”“動態監測敏感資料”“敏感資料分類分級”等技術手段,從根本上解決企業重要資料發現難的問題。然後根據相關行業的法規和標準,結合行業特性,對資料作系統性梳理,並根據定級要素、影響範圍、影響物件、影響程度等維度,確定公開、私密、機密等資料敏感等級,對不同等級資料進行分類施策,保障資料的規範共享與高效應用。
5、金鑰管理可以從制度技術兩方面進行優化
金鑰管理有多痛苦?平均56%的受訪者認為金鑰管理非常痛苦,其中69%的最高百分比疼痛閾值發生在西班牙,37%的最低疼痛閾值發生在法國。據資料顯示,金鑰管理困難的三個主要原因在於:(1)對金鑰管理職能沒有明確責任劃分;(2)缺乏專業的技術人員;(3)金鑰管理系統孤立或支離破碎。企業可以從兩方面出發解決以上問題,首先,在金鑰管理方面,設立明確崗位職責和相關人員,形成專業的金鑰管理制度體系;其次,在關鍵金鑰管理系統方面,採用或開發更專業、更系統化的金鑰管理平臺或產品,提供對金鑰進行全生命週期管理的功能,包括金鑰生成、金鑰儲存、金鑰分發、金鑰備份、金鑰更新、金鑰撤銷、金鑰歸檔、金鑰恢復以及安全管理等,平臺或產品建議擁有“支援KMIP協議”“基於業務的金鑰使用審計”“提供多種應用業務級介面”“相容各類密碼機”“方便、易用的維護診斷技術”等特性。
6、雲資料的安全如何保證?
隨著雲的普及,傳統的IT架構正發生變化。企業很多業務系統都託管在雲服務商處,日常的很多工作,比如HR、社保、報銷、OA等工作事務的管理都有相應的SaaS服務可以採用,儘管雲端計算具有許多優點,但因為資料在物理上駐留於雲服務提供商(CSP)中,不受資料所有者直接控制,有一定的安全威脅。在調研中,60%的受訪者表示,他們的組織不管是否通過其他技術手段進行加密防護,都選擇將敏感或機密資料傳輸到雲中,另有 24%的受訪者預計在未來一至兩年內可能會將資料傳輸到雲。這些發現表明雲端計算的好處超過了將敏感或機密資料傳輸到雲的風險,但如何保證雲資料的安全仍是一種挑戰。
實現雲加密最重要的三個特性是支援金鑰管理的KMIP 標準(59%的受訪者),SIEM 整合、日誌視覺化和分析(59%的受訪者)和訪問控制顆粒度(55%的受訪者)。KMIP提供了加密系統與金鑰管理系統之間的標準通訊方式,通過KMIP技術標準的金鑰管理器,企業或組織可以使用單個集中式平臺來管理不同供應商的加密技術的金鑰,並統一金鑰管理策略和工作流程;SIEM、視覺化和分析日誌主要為了保證資訊洩露後的事件分析和可追溯,相關加密方案建議支援日誌管理、金鑰全生命週期的視覺化展現以及可獨立部署的資料訪問審計,實現科學有效的日誌管理、事態分析,以及資訊洩露後的可追溯;訪問控制顆粒度方面,加密方案可以基於B/架構設計,通過視覺化管理控制檯進行加解密許可權規則的設定,並針對結構化資料實現安全審計,提供“主體到應用內使用者,客體到欄位級”的安全能力,從而實現對企業內部人員的敏感資料訪問最小化授權。
7、系統性的加密策略漸成企業剛需
系統性的加密策略正成為企業或組織的必選項。自2006年進行這項研究以來,在企業經營中系統全面採用加密策略的組織正穩定增加。反過來,沒有加密計劃或策略的組織比例則逐年降低。到2021年,採用系統性加密策略的公司數量已接近50%,可以預見,未來五年甚至更長時間,這個比例還會呈現持續增長態勢。據相關統計(本資料來自“網際網路安全內參”),2020年的全球網路攻擊規模相比2019年增長迅速,公開範圍一年內共報告3932起安全洩露事件,洩露記錄資料高達370億條,相比之下,2019年全球洩露記錄為151億條,很多企業或組織為此付出沉重代價。為了能夠有效遏制資料洩露事件的增長,滿足企業、組織的資料安全需求,系統性的加密策略正在成為企業剛需。
8、政策合規助力加密應用實施
德國和美國的加密策略流行程度最高。在本研究所代表的國家中,加密策略的平均採用率在50%左右,企業加密策略的流行程度各不相同,德國、美國、日本和荷蘭報告的企業加密策略的流行程度最高。俄羅斯和巴西的受訪者報告中,企業加密策略的採用率最低。相對大陸來講,尤其是“十三五”期間,中國網路安全產業發展取得積極進展,2020年產業規模預計超過1700億元(本資料來自“人民日報”),越來越多的企業開始主動接受資料安全服務,相關的加密策略和技術也在不斷升級迭代。最新出臺的“十四五”延續了國家對“安全建設”的重視,提出“統籌發展和安全,建設更高水平的平安中國”的規劃目標,我們判斷,在未來五年乃至更長時間,政策層面都將持續助力加密策略、技術的推廣及應用。
9、使用者、企業、政策三方驅動資料加密
加密的主要驅動力量來自於客戶敏感資訊保護、企業重要資料保護和政策合規性三方面。隨著網際網路產業崛起,以及大資料和人工智慧的不斷髮展,個人資訊“裸奔”現象在國內外時有發生,企業對客戶/使用者資料的加密實戰化需求不斷增加。目前,據調研結果分析,敏感或機密資料的顯著威脅可分為三方面:客戶敏感資訊保護、企業重要資料保護,以及政策合規性。客戶敏感資訊代表客戶的基本權益,一經洩露,對於客戶的隱私和財產安全都將造成挑戰;企業重要資料代表企業的核心利益,資料一旦被競爭對手獲得,將可能導致企業在商業競爭中處於被動;政策合規性則代表各國政府對資料安全的重視和管理,資料洩露等事件的頻發顯然不利於社會健康發展。不管從客戶角度,還是從企業本身的利益,亦或是從國家政策層面出發,對重要資料進行加密防護都是很有必要且具有前瞻性的舉措。
10、資料安全市場還有較大潛力可挖
加密在大多數行業中都在被加速應用。結果表明,除通訊、服務等行業外,大多行業的加密應用都在穩定增長,IT、運輸、醫藥保健、製造、酒店、教育、零售、消費品、公共服務等行業,則有顯著增長。對映到中國大陸,資料安全在IT、運輸、醫藥保健、製造、酒店、教育、零售等領域的應用也在不斷落實,國家對資料安全防護愈加重視,資料安全市場從整體來看有較大潛力可挖,與加密在全球行業的應用趨勢基本保持一致。我們認為,大陸的資料安全產業規模在後續很長一段時間內,將呈現出穩定增長的態勢,並向更多行業覆蓋,這對資料安全服務商來講,是一個利好。
當下全球範圍內的數字化都在快速發展及下沉,一方面提高了客戶滿意度及運營效率,形成了競爭優勢,但同時也增加了安全風險,全球沒有哪個企業或者組織能夠在該浪潮下“獨善其身”。建議企業主動擁抱資料的安全防護,增加企業本身的重要資料保護能力、員工管理水平以及合規屬性;資料安全服務商可以不斷增加自身技術儲備,不斷探索新的防護理念,通過優質的產品或平臺為企業的資料安全防護貢獻力量,為國家的安全發展添磚加瓦。
報告下載:新增199IT微信公眾號【i199it】,回覆關鍵詞【2021年全球加密技術趨勢】即可