密码大兴峰会 | 白小勇:以数据为中心的实战化密码防护

  • A+
所属分类:云安全
4月20日,由北京市大兴区人民政府、中国电子学会指导,信息安全与通信保密杂志社、中关村中安高速密码产业联盟(筹)联合主办,国家新媒体产业基地、炼石网络、数盾科技、三未信安、渔翁、数观天下、商密在线承办,主题为因密而安”的密码行业盛会“2021密码大兴峰会”,在北京国家新媒体产业基地举行,中关村中安高速密码产业联盟筹备启动仪式在会上召开,炼石作为联盟成员单位参与了联盟筹备启动盛典,并荣获“2020年度商密产业十强优秀企业”。

密码大兴峰会 | 白小勇:以数据为中心的实战化密码防护

本次峰会将围绕《密码法》的宣传普及,聚焦密码技术、密码产品与服务、密码应用市场及未来前景,汇集监管部门、专家学者、企业精英及产业同行,问诊密码行业问题和解决方案,共话密码产业成果和未来,致力建设密码行业产业链交流融合的平台,推动密码产业向更好、更快、更健康的方向发展。炼石网络CEO白小勇受邀参会并发表了主题演讲,从业务与数据的角度,探索实战化的数据安全防护体系,并分析了密码在新数据安全的广阔应用前景。(关注本公众号,了解更多密码及数据安全行业前沿思想和技术)

密码大兴峰会 | 白小勇:以数据为中心的实战化密码防护


本文共计2970字,预计阅读时间6分钟

01
从业务视角看数据安全边界


传统认为,安全和业务是关联的,有时候对立。但换个角度,安全其实就是一种业务需求。“传统业务需求”侧重于“希望发生什么”,而“安全需求”则侧重于“不希望发生什么”,从而确保“发生什么”。“安全”在英文中对应Security(安全防攻击)、Safety(安全可靠)、Reliability(可靠性)、Trustiness(诚信度)、Sureness(确定性)等词汇,从业务角度来看,这些词汇都可以映射到相应的业务需求。

从业务角度重新思考安全,安全产品的意义就是在“某个业务”中实现了“不希望发生什么”。数据这种新型生产要素,是实现业务价值的主要载体,数据只有在流动中才能体现价值,所以数据安全保护对象是有价值的数据。从业务视角出发,数据安全需求重点是数据的机密性和完整性。

凡是有数据流转的业务场景,都会有数据安全的需求产生。结合到企业或机构的信息系统中,数据安全则来自于业务处理中的风险映射。从时间维度看,数据在流转的全生命周期中的每个环节都会有相应的安全需求;从空间维度看,数据在基础设施层、平台层以及应用层之间流转,不同层次会有不同颗粒度的防护需求。

密码大兴峰会 | 白小勇:以数据为中心的实战化密码防护

我们认为,
数据安全的边界取决于业务边界,而企业真实的业务需求非常复杂,很难框定边界,因此对应的数据安全也几乎没有边界。所以在实施数据安全防护的时候,数据安全需要结合具体业务展开,很难有“一招鲜”的数据安全解决方案。

02
面向业务构建以数据为中心的防护体系


传统的城防式数据安全,主要是保护被传统物理网络多层包围的数据,这种防护体系仅适用于保护静态数据。但当下,数据已成为新生产要素,数据被充分共享流转以产生价值,传统城防式数据安全已经难以满足需求。我们认为,数据与“网络/主机/数据库/应用是正交关系,数据安全的本质就是在数据流转的多个层次环节中,通过重建业务规则,对数据施加主动式安全防护。

密码大兴峰会 | 白小勇:以数据为中心的实战化密码防护

针对数据进行安全防护的技术,我们先回顾经典网络安全攻击模型:ATT&CK是当前权威的网络安全技术模型,包括14个攻击战术、205个攻击技术以及573个攻击流程,覆盖了大多数网络攻击手段,从而给网络安全防护提供专业的技术参考。

密码大兴峰会 | 白小勇:以数据为中心的实战化密码防护

但是,ATT&CK模型更侧重网络攻防视角,从“主动式保护数据”的角度看,这个模型不太适用,比如ATT&CK没有针对内部业务人员威胁,也没有将数据进行分级分类等。在基于ATT&CK模型的攻防对抗思路下,传统“以网络为中心的安全”主要通过“防漏洞、堵漏洞的方式去保护数据,而当下来看,网络漏洞在所难免,因此直接针对数据本身进行主动式加密等保护,是实现数据安全的最直接有效的手段。信息安全技术发展的大趋势也正从“以网络为中心的安全”转向为如今的“侧重以数据为中心的安全”,美国国防部也对这种理念非常认可并把防护重点从边界开始转向数据和服务。

依据这个新思路,我们尝试从“以数据为中心”的角度提出新的数据安全技术框架,全称是:“Data-centric Tactics, Techniques And Common Knowledge(简称DTTACK),“以数据为中心的战术、技术和通用知识”。DTTACK不是网络服务器或应用程序安全性的模型,它更强调数据本身的安全性,并从对数据的应对式防护,向主动式防护转变,重视从业务风险映射视角列举数据保护需求,也可以为信息化建设、企业业务架构设计提供数据安全能力参考。

白小勇表示,我们团队在这方面进行过深入思考,结合了NIST安全能力模型和安全滑动标尺模型,发现这两者有交集、但也各有侧重。DTTACK当前版本选择了六大战术作为基本结构:IDENTIFY(识别)、PROTECT(防护)、DETECT(检测)、RESPOND(响应)、RECOVER(恢复)、COUNTER(反制)。

密码大兴峰会 | 白小勇:以数据为中心的实战化密码防护

数据安全技术列举方面,参考了工信部相关机构正在编制的行业标准《电信网和互联网数据安全管控平台技术要求和测试方法》,将114个具体技术流程分类并对号入座。我们期望DTTACK能够成为数据安全领域的专业权威技术框架,能给数据安全厂商提供通用知识库,也能为甲方用户的数据安全规划和技术对比提供参考依据。

密码大兴峰会 | 白小勇:以数据为中心的实战化密码防护

03
以密码技术为核心的数据安全实战化


密码技术为DTTACK六大战术提供了重要价值。比如:识别方面,密码可以为数据识别提供身份安全能力,为接口通道实现安全加密;防护方面,数据加密技术本身就是在开放式信道中,构建了强制的防护措施,并结合身份实现访问控制。检测、响应、恢复和反制方面,密码也能够为其分别提供身份鉴别、数据保护、水印追溯等不同能力。

密码大兴峰会 | 白小勇:以数据为中心的实战化密码防护

尤其对于流转数据防护,密码技术可以提供独特价值。共享流转的数据很难有边界,我们在做访问控制的时候,如果数据库或归档备份中的数据是明文,访问控制机制很容易被绕过。而通过数据加密技术,可以打造一个强防护场景,用户在正常访问应用的过程中数据才会解密,并结合身份访问控制、审计等安全技术,从而实现了“防绕过的访问控制”、以及“高置信度的审计”密码技术为数据重新定义了虚拟的“防护边界”,从而更好的对数据实施防护与

综上所述,从业务视角看安全的边界,炼石认为安全就是一种业务需求,需要面向业务构建数据安全体系。然后对标ATT&CK模型,提出“以数据为中心的战术、技术和通用知识(DTTACK框架),整理现有数据安全技术,最终将密码技术与多种安全技术融合,打造实战化的数据安全防护体系。炼石是一家基于密码与系统安全技术的新一代数据安全厂商,主要用户是政府、金融、教育医疗文旅、工业央企商业等,欢迎感兴趣的合作伙伴,随时和我们联系,共同掘金“新数据安全市场(DTTACK白皮书近期会发布,敬请关注本公众号及时获取)

往期好文推荐

密码大兴峰会 | 白小勇:以数据为中心的实战化密码防护

一文读懂十大数据存储加密技术


密码大兴峰会 | 白小勇:以数据为中心的实战化密码防护

一篇读懂22种密码应用模式


                                                                               


密码大兴峰会 | 白小勇:以数据为中心的实战化密码防护


炼石网络是一家基于密码与系统安全技术的数据安全创新公司,提倡“以数据为中心的新安全理念”,自主研发了CASB业务数据安全平台和高性能国密产品,开创性的实现免开发改造应用、敏捷实施细粒度数据保护,该产品入选工信部2020年网络安全技术应用试点示范推荐项目,并夺得第七届互联网安全大会(ISC 2019)首届“创新独角兽沙盒大赛”总冠军。基于AOE面向切面数据安全技术,将安全与业务在技术上解耦、但又在能力上融合交织 ,实现主体到应用内用户、客体到字段级的防护,打造“以密码技术为核心,访问控制、审计等多种安全技术互相融合”的实战化数据安全防护体系。炼石为政府、金融、教育医疗文旅、工业央企商业等行业用户,提供个人信息保护、商业秘密保护以及国密合规改造方案,让数据共享更安全、更有价值。


微信号:炼石网络CipherGateway

密码大兴峰会 | 白小勇:以数据为中心的实战化密码防护

本文始发于微信公众号(炼石网络CipherGateway):密码大兴峰会 | 白小勇:以数据为中心的实战化密码防护

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: