美創科技出席世界資訊保安大會：多維資料安全框架體系，護航新基建發展

11月24日至27日，以“新基建——安全為本”為主題的年度資訊保安界盛會——NSEC WORLD成都·世界資訊保安大會順利召開。大會由3大院士共同領銜，逾40家網安品牌同臺，近60位海內外演講嘉賓傾情奉獻，吸引逾70萬名全球觀眾觀看。作為資料安全代表企業，美創科技應邀出席參加此次大會。在資料安全及雲安全分論壇上，美創科技CTO周杰進行了題為“馭數而新，安全為本——構建面向新基建的多維資料安全框架體系”的主題演講。

圖 1美創CTO周杰主題演講

新基建浪潮下，新挑戰催生新安全理念

 

周杰在演講中指出，數字經濟時代，資料的價值迎來了影響深遠的革新，隨著“新基建”推進，多元技術的應用，資料已不再僅僅是資訊的載體，而是與土地、勞動力和資本一樣，成為關鍵生產資料，透過開放、流通等不同方式創造價值，重塑個人生活方式與商業模式。

 

但資料價值提升的同時，也帶來不斷升級的安全風險。過去，基於網路位置的傳統安全防護提供著強大的防禦能力，而伴隨著“新基建”、數字化轉型的開展，先建設再定界、先定界再加固的傳統安全防護模式正在被顛覆：

圖2 安全新理念

首先，隨著5G、人工智慧、工業網際網路、物聯網為代表的新型基礎設施建設加速，資料處在更加開放的環境，增加了資料曝露面，安全防禦難度急劇上升。

 

其次，“新基建”聚焦於以資料的流動形成寶貴的資料資產，更追求資料集中和共享，集中後的資料風險問題更加凸顯。

 

 

面向新基建構建多維資料安全框架體系

 

在新基建、數字化轉型已成為必然趨勢，而能否保障好資料安全，可以說是數字化轉型成敗的關鍵。要解決數字基建面臨的新風險，這需要轉變傳統安全思維、企業在安全策略實施方面需要聚焦資料物件的本身，從各個場景出發構建動態的資料安全綜合防護體系，                                                                             

為此，面向新基建建設、面向數字化轉型業務，美創科技在資料安全領域十餘年的研究和實踐經驗基礎上，推出基於安全中臺新一代資料安全架構。

 

周杰介紹，美創科技新一代資料安全架構， 從資產、入侵、風險三個視角為核心， 以零信任、入侵生命週期、風險治理為理論指導，建立一套資料全生命週期的管控。

 

l   三個視角：

1)       資產視角：  基於零信任2.0架構，從資產出發，消除預設信任，形成以人為中心的身份管理，構築基於上下文、行為為基礎的動態訪問控制體系。

資產有其所固有的模式，每份資產被訪問的模式基本是確定的，無論是業務系統還是運維人員，總是會在一定的範圍內。這就很好的為我們確立了訪問邊界。透過資產定義，資產梳理，分類分級，做好資產管理。只有知道了有什麼，才能更好的去管控。從資產角度出發，建立一個虛擬的動態的訪問邊界，實現資產應該被誰訪問，確定最小訪問許可權。讓我們的資產執行在一個安全的動態訪問邊界內。

圖3 資產視角

 

2)       入侵視角： 打破傳統入侵防護每個階段割裂的狀態，透過分析入侵生命週期的特徵，關注入侵過程中涉及到的資產、身份和行為，並根據不同的攻擊特徵，多維度的定義出涉及到的資產、身份和行為，進而完善零信任的身份認證、資產授權管理等相關體系。入侵視角和資產視角互補，入侵視角可以為資產訪問邊界的確定提供有力的支撐。

 

圖4 入侵視角

 

3)       風險視角： 風險治理從哪裡開始一直是個難題，風險的多樣性增加了風險治理的難度。那麼應該如何才能把風險治理落到實處？美創科技主張從六大維度來進行風險治理和評估。每一個維度都可以提供風險的素材。資料驅動安全，六大維度所固有的資料基準，可以為風險治理提供依據，從而把風險從混沌中提煉出來。

資產視角和入侵視角都可以在一定程度轉變為風險。風險是資產和入侵的一個產物。有了風險資訊，我們就可以更好的去加強資料訪問控制。

圖5 六大維度

l   安全中臺：

安全產品天生是場景化的，碎片化的。不同的部署位置，不同的目標，讓安全產品各自為政，一來讓客戶迷茫在眾多的安全產品之中，二來安全廠商也為產品安全的開發投入了大量的重複性勞動。為此，美創科技推出了安全中臺概念，把安全能力下沉到業務中臺。由業務中臺提供安全能力，在此基礎之上提供安全產品的快速搭建和統一管理。

圖6 安全中臺

1)      以資料中臺和業務中臺的雙中臺架構，資料中臺提供訪問資料的感知、控制、處理、組織和整合，業務中臺則以資料中臺為基礎，為各種安全業務應用提供基礎能力。 

2)      以資產和身份為核心構建感知控制體系，應對新場景下身份管理和使用模式的改變。

3)      以治理為手段，構建包括身份、資產、行為、結果、入侵階段和手段、風險庫、知識庫、行動上下文等在內的主資料體系，

4)      以事件為中心，實現持續動態檢測和響應。

5)      以 NIST CSF框架為指導，構建業務中臺，對外提供包括識別、保護、檢測、響應、恢復在內的完整的安全能力和功能輸出。

6)      以場景化驅動豐富的安全產品生態 ，透過各類安全產品融合聯動，促使安全從原來被動、割裂走向融合、場景化且統一管理。

 

全棧安全能力，實現全週期安全防護鏈

 

基於美創科技新一代資料安全架構，面向新基建、數字化轉型，各行各業過去依託單點、離散的資料保護措施，將升級主動、體系化的資料安全體系。

 

周杰表示，美創科技擁有完善的資料安全產品線，覆蓋資料使用安全、資料流動安全、外部入侵安全，資料儲存加密、防勒索、業務連續性安全、資料安全態勢感知等能力。

 

根據資料位置的不同，可透過以上產品和安全能力，採用不同的防護手段進行全域性式防護，構建起從以往單點防護到對資料安全的全生命週期鏈條式的防護策略，掃除防護間的盲區， 實現資料在哪裡，安全就在哪裡。安全跟著資料走。

 

l   當資料在資料中心時：

要解決的問題，就是資料如何正確的被使用。資料應該被誰在什麼情況下使用以及什麼情況下不能使用。透過資產定義，身份識別，訪問控制策略制定，確立資產訪問邊界。安全檢測點應該儘可能的靠近資產，離保護物件越近，所能獲取的保護物件資訊就越多，保護也就越精準。

1)      採用儲存層加密，容災備份等手段，實現資產的連續性安全；

2)      多因子實現身份識別，預設不信任，先認證再連線；

3)      授權基於PBAC, 採取最小特權原則。不同身份執行不同策略；

4)      動態訪問控制引擎，基於風險評分，上下文等資訊使訪問控制策略動態化；

5)      基於攻擊不同階段，挖掘特性，從攻擊全生命週期加強資產身份的邊界確認；

6)      實時全審計，實現事後追溯，快速定位。

 

l   當資料在流動路徑時：

在資料流動路徑上，增加檢測點，跟蹤資料安全狀態、資料流動軌跡。資料從資料中心出去後，就意味著失控，資料從一個相對安全的區域流到了不安全的區域。安全就應該跟著資料走。

1)      進行全流量加密，實現防劫持和防窺探；

2)      進行敏感資料脫敏，實現防洩漏和去隱私化；

3)      新增數字水印，確保資料流轉過程防篡改和可溯源。

 

l   當資料在終端落地時：

當資料在終端落地後，面臨的威脅將更大，因為終端裝置的狀況複雜多樣。需要從多個維度來保障資料的安全性。資料自身的儲存、資料使用狀態、資料二次分發等等。

1)      採取環境監測、透明加解密、許可權控制、數字水印、威脅監測響應等防護手段，以應對終端複雜的安全環境。

 

“馭數而新，安全為本”，新基建時代，資料增值成為發展引擎，資料安全是發展保障，作為國內領先的資料安全和資料管理領域服務商，美創科技也將加大資料安全領域的投入，聯合產業鏈企業，為數字經濟保駕護航。