诸子云 | 5.29深圳金融和互联网数据安全专题研讨会

一直以来券商都有一个老大难的特色问题：信息泄漏导致的荐股骚扰；同时，随着国家法律法规和行业监管政策的相继出台，对于信息泄露的执法力度也会越来越强，券商客户信息安全的压力也越来越大，除了避免客户信息泄漏也要在客户怀疑时自证清白。

为了更好地收敛客户信息类数据安全风险，安信证券的整体思路也是解决4个问题的思路：客户信息在哪里、有什么风险、策略是什么、采取什么举措。

然而，很难将客户信息进行全面的梳理，在对客户信息风险摸底的时候，首先需要尽可能识别客户信息相关的对象，然后设计调查问卷，对相关的人和系统进行了解；当进行问卷的访谈和记录之后，根据结果绘制数据流图进行风险分析。

通过这样一个摸底和梳理，客户信息在哪里、有什么风险这两个问题就基本得到了解决。

根据风险的评估结论，制定具体的策略与举措，针对性地缓解或解决风险。安信证券目前的策略要求主要落在公司规章制度，制定客户信息安全管理的相关细则，将策略在细则里进行明确。

举措方面主要是能力建设和运营。能力建设包括数据防泄漏、水印、虚拟桌面等工具、系统建设，为客户信息保护提供技术支撑；运营层面则主要是建立持续改进机制，持续提升和优化数据安全在管理、流程、工具上的能力。目前正在按照策略逐渐推行落实举措。

我们做数据安全的目的，就是为了防止敏感数据的泄露。实际上，数据泄露当前面临着许多的挑战：泄露渠道多、流量加密、告警太多、误报率高、影响工作习惯以及取证难等等。

基于此，滴滴从2015年开始自己进行终端数据防泄漏的安全建设。主要出发点是针对滴滴内部的企业，从安全运营和事件泄露的场景出发，解决数据泄露的问题。目前已经迭代了上百个版本，覆盖了几万台终端，平稳运行以保证业务的正常开展。

由于滴滴是一家终端数据量非常大的企业，所以如果遵循以往的建设思路，会对运营造成巨大的压力。因此滴滴转换了思路，通过以数据为根本，结合员工的自身行为来进行统一的分析——从从关注数据到关注人的行为，从关注事件检出率到关注威胁程度。

通过专家模型、大数据、机器学习和系统对接来分析员工的行为风险和历史基线，并对其做风险画像，从而判断他是高危用户还是低危用户，同时通过不断地复盘来丰富监控的场景和手段。

滴滴的一站式终端DLP解决方案也借鉴了常规DLP的一些手段，通过敏感数据识别、泄露行为检测、行为风险评估、违规自动告警、行为调查取证、风险行为管控这六个步骤，帮助企业建立包含数据识别、行为监测、违规取证、终端管控这四大能力的终端数据泄露防护体系。

鹰眼产品诞生在滴滴的实际场景中，它的核心目标就是要降低数据泄漏的风险问题、提升运营同学的工作效率，所以，这种初心也造就了鹰眼比较独特的优势。

关注泄漏通道覆盖的全面性，并及时跟进或升级各通道到最新版本，比如各种IM、各种网盘客户端等，比较关注员工的满意度，对终端稳定性和性能要求极高，对员工的办公习惯无打扰等。

同时，互联网公司最看重的负载均衡、平滑扩容、自动容灾技术又保证了鹰眼后台的高稳定性，很轻松的就能够支持十万级终端的同时管理，远程升级和OA系统灵活对接的能力，又使得系统的运维工作非常便利。此外，滴滴强大的技术专家团队，使得产品的售后能够得到有力的保障。

我们平时讲数据安全的时候，核心并不是“管住了什么”，而是“有能力做到什么”，所以这实际上是一个论证的过程，向领导和监管来证明自己。

因此我们需要基于数据安全的生命周期制定一套框架，然后再在具体的管控对象和管控手段上做相应的区分和识别。这套框架代表着最终的流程和对外的出口，是体现工作绩效最终的量化手段。

基于这套框架，我们可以发现很多的数据安全工作实际上都是落在某一个点上的。但是数据安全不能在某一个点上去做，因为那是无根之源，所以我们核心要解决的问题就是数据资产识别的问题，也就是：数据长什么样、从哪里来、在哪里存、到哪里去、归谁来管。

围绕这个逻辑，我们会再进行细分。首先提出数据标准化的问题，这里面必须要融入安全的因素；而在敏感数据特征环节，由于数据治理团队和安全团队的认知存在差异，所以我们通过标签来融合，并根据标签决定在什么场景遵从什么依据；除此以外，基于特征做标记也是非常重要的。

针对数据从哪来、到哪去，我们不仅要识别数据源，还要分析整条数据链路是什么样的。我们不仅要知道数据在链路中是怎么的跑的，是什么应用在跑这个链路，还要知道数据是以什么样的服务形式提供的，接口是什么，数据外发的出口在哪里。

针对数据在哪里存，我们首先需要考虑监管要求谁来管理的问题，其次内部的数据是按应用认责、归属认责还是存储的位置认责。

最关键的一点，在整套体系里面，安全的定位是什么？我认为这些事情都不可能由安全团队自己来做，也做不了。所以我们应该厘清哪些东西必须主责去做，哪些东西提需求给别人去做，哪些东西提要求监督别人做得好不好，哪些东西推动别人去按照自己的想法来解决。

所以不同的企业，安全要根据自身的实际情况来进行定位，同时基于场景、方向和实践的不同，来进行相应的调整。

关于敏感数据识别、旁路流量识别、侵入式流量识别以及端点数据识别这四类手段，我认为他们主要的优势和缺点集中在这样几个方面。

首先是静态识别。它的优点是运营成本很低，可以解决基础的识别、分类分组、资产分布、数据人则、脱敏和数据库管控等问题，实际上是一个一举多得的东西。但它的问题在于它的门槛并不是技术门槛，团队协作才是有效落实的关键。

其次是旁路流量识别。它的核心其实不在于识别，而是流量解析。但是流量解析已经是一个普遍具备的功能，企业有没有必要再去花钱购买一套设备，或是耗费时间和资源来自己做这件事情，有待商榷。所以我们考虑是不是在购买产品时，只需要单独引进识别部分的能力即可。

再者是侵入式识别。我认为侵入式是效果最好的，并且它的技术门槛也不是很高。但它的缺点是兼容性和稳定性有待提高，如果能够解决这个问题，侵入式识别将会是一个非常优秀的方案。

此外，这里还涉及了一个非常重要的东西就是“领导决策”。因为侵入式的识别方式会导致安全的手伸得非常长，所以需要领导来对这件事下决心，如果领导不同意，就不推荐大家使用了。

最后是端点数据识别。它最大的缺点是误报率高，尤其是像银行、证券等行业，员工多，业务类型和场景复杂，误报情况较为明显。所以许多银行正在尝试往云桌面的方向转变，通过其他途径来减小因误报率高而导致运营的压力。

总的来说，数据安全并不是安全团队一个人的事情，我们需要和其他团队合作沟通，让大家都意识到数据安全的重要性，共同推动并解决问题；其次，不要在临时性的项目上浪费时间，努力从根源和价格层面去解决问题；最后，一定要构建安全体系。

建设敏感数据分布地图首先要遵循四个原则：完整性、保真度、持久化、可视化。

所以我们需要明晰企业网络拓扑，设计流量探测采集节点；全链路信息采集，构建全链路数据采集能力；敏感数据自动识别提取，梳理敏感数据分布清单；敏感数据分布地图测绘，可视化呈现分布情况。

那么我们应该如何构建这样一个详细知道数据分布在哪、流转在哪、存储在哪的地图？这需要从静态分布扫描和动态解析识别两个方面入手。

通过扫描、取样，我们可以形成数据样本，并对其中敏感类型打标，形成敏感数据。通过梳理和分类分级，我们可以构建敏感数据分布目录，从而根据业务需要和数据规模绘制静态分布地图。

整个过程从数据存储源头入手，获取完整数据目录结构，最终形成敏感数据分布清单。

在动态分布地图中，“荧光标记测绘技术”可以通过荧光标记，将应用协议流量和数据库协议流量中包含该荧光标记的流量全部提取出来，清晰描绘出不同敏感类型数据流经的应用、接口、数据库、表等链路节点及完整的流转路径，让我们全面掌握流转信息，重点关注核心泄露途径，评估数据暴露面。

通过流转地图，企业可以对业务访问的行为、业务信息等形成完整的数据源，不仅可以做到对人的分析，也可以清楚对外接口的分布，从而做到任何一个数据出去之后，马上可以在地图上找到它的位置。

从数据安全的大框架来说，敏感数据分布地图可以帮助企业知道敏感数据是什么，后续的重点防护应该怎么做，甚至可以帮助企业提前意识到未来可能对外泄露的途径。从而有助于向领导和监管证明，自己有能力把数据安全做好。

随着数据安全战略地位提升和法律法规趋严，企业数据安全防护工作面临着越来越高的要求。另外随着外部威胁的增加，企业数据安全防护工作面临着越来越严峻的挑战。为了应对这些威胁，各个企业纷纷构建安全纵深防护体系，但是依然存在一些痛点，我们尝试总结了一下，主要有以下内容：

一是未知的威胁是无限的，二是安全运营往往扮演救灾队员的角色，三是当事件发生以后，安全会因为要素不全、链条缺失而导致难以审计溯源。

要想做好数据安全防护和运营，首先要清楚企业有哪些数据资产尤其是敏感数据资产，以前大家很少关注应用层面的数据资产问题，也缺乏相应的手段，相当于一个黑盒子。那么现在我们需要打开这个黑盒，梳理出里面有哪些数据、API和链路资产，从而更好地对数据进行治理、运营和保护。

基于此，红途创程提出数据原生安全的概念，数据原生安全有四个特性，分别是：以数据为核心、感知运营能力、内置安全能力以及联动控制能力。进而围绕数据原生安全提出了GOPR的方法论，GOPR是数据安全治理(Governance)、数据安全运营(Operation)、数据安全防护(Protection)和安全风险响应(Response)四个英文单词的首字母缩写。

当前产品有五大核心能力，分别是：

可以有效覆盖数据资产梳理、API资产梳理、链路资产梳理、应用日志采集、三层关联日志、智能审计溯源这六大应用场景。

对于此次研讨会取得的效果，及对于企业数据安全治理的意义，两位活动发起人李维春、郑太海分别发表了自己的看法。

李维春：数据安全已经在各行各业得到很大程度的重视了，但是各家企业在真正落地的时候总是有一些痛点、经验、教训是值得后来人参考、学习、借鉴的，这样全行业才能真正提高。其次，我在从事数据安全10+年的工作中发现，供应商的技术、产品并没有很好地跟上客户的需求，发展进步太慢，有些场景下的问题10+年来没有得到有效解决，所以也希望通过这次对接一些优秀的供应商，听取客户声音，促进产品进步。 

总的来说，研讨会的效果还是非常不错的，分享和交流环节很精彩，大家普遍反响很好，说明确实切中了大家的需求。供应商的展示也确实有亮点、有进步，可以说是安全行业数据安全工作者的福音。但是这次活动组织、安排地有些仓促，组织安排上细节考虑不到位，活动时间也有些紧张，甲方嘉宾和供应商都反馈交流展示不充分，这是我们需要迫切改进的。

数据安全不可能一次谈得清楚，所以后续打算我们接受深圳分会查亚东理事的建议，陆续搞一些轻量级的线下活动，每次研讨1-2个主题，时间也不会很久，这样可以讨论充分一些。如果再引入供应商进来研讨的话，也尽量搞得轻量级、更有针对性。

郑太海：数据已经成为企业的核心资产，一把手对数据安全的重视程度已经超越了传统安全。而数据保护的技术手段已经不是传统DLP所能完全解决的。例如对非结构化数据的分级分类，数据标签等都成为了企业的刚需，而市场上没有哪个安全厂商有“一揽子”解决方案。所以需要各行各业的安全人员们集思广益，或者碰撞出可落地的解决方案，或者甲方可以联合起来形成巨大的刚性需求，倒逼厂商不断改进自身的产品。

本次研讨会，会员们都很热情，参与度很高，在疫情可能反复的情况下仍然有这么多人参与，说明这个话题切中了大家的要害。另外，活动发起者和嘉宾都算在行业有一定的影响力，同时我们对嘉宾和主题有审核，保证了分享内容的质量，对参与者就更有吸引力。

这两年来乙方主导的活动很多，尤其是以零信任为主题的活动，但参与者仅限于来了解学习，热情不高。所以我说，以某个概念或者不切实际的技术方案为主题办活动，只能是乙方的自嗨，真正解决甲方痛点的活动才有吸引力。

后续我们还将围绕这样几个主题开展活动，比如：1、甲方失败项目分享2、弱口令解决专题3、安全团队如何向老板要资源专题......希望大家能够继续踊跃参与，多多交流。

另外，本星球已开通“分享有赏”，20%分享奖励，以当前价格计，您只需引荐5位付费新星友，您就完全赚回“门票”支出了。

戳“阅读原文“查看诸子云往期活动合集

扫码加入诸子云

点【在看】的人最好看