當今全球進入數(shù)據(jù)經(jīng)濟時代,,數(shù)據(jù)資源成為推動各國產(chǎn)業(yè)發(fā)展和商業(yè)創(chuàng)新的動力源泉,。與此同時,數(shù)據(jù)資源面臨的安全威脅也日益嚴峻,,數(shù)據(jù)開放利用與數(shù)據(jù)安全治理成為“一個硬幣的兩面”,,兩者缺一不可,。因此,面對數(shù)據(jù)安全威脅日益嚴峻的態(tài)勢,,為確保在大數(shù)據(jù)時代下敏感數(shù)據(jù)的安全,,著力解決數(shù)據(jù)安全領(lǐng)域的突出問題,數(shù)據(jù)安全治理能力的提升迫在眉睫,。
作為一家專注于數(shù)據(jù)安全領(lǐng)域的創(chuàng)新型企業(yè),,昂楷科技針對數(shù)據(jù)安全所面臨的挑戰(zhàn),提出以數(shù)據(jù)安全治理為中心的安全防護方案,,重點從數(shù)據(jù)全生命周期的角度闡述了數(shù)據(jù)流轉(zhuǎn)每個環(huán)節(jié)中的安全風險以及防護措施,為大數(shù)據(jù)環(huán)境下敏感數(shù)據(jù)的安全提供全方位的保障,,并致力于讓人們放心地享受大數(shù)據(jù),。
近日,深圳昂楷科技有限公司副總經(jīng)理李四階,,圍繞數(shù)據(jù)安全治理的基本思路,、數(shù)據(jù)安全落地的現(xiàn)狀及難點、數(shù)據(jù)安全治理方案的客戶價值等方面,,與記者展開深入溝通和交流,,相關(guān)問題和回答展示如下,以饗讀者,。
INTERVIEW
01
本刊記者 :
數(shù)據(jù)安全治理的基本思路是什么,?
李四階 :
網(wǎng)絡(luò)信息安全的發(fā)展經(jīng)歷了從終端安全、網(wǎng)絡(luò)安全進入數(shù)據(jù)安全的幾個階段,,曾經(jīng)我們只需保護好承載數(shù)據(jù)的系統(tǒng),,后來伴隨數(shù)據(jù)的使用流動,我們需要在不同的場景和業(yè)務(wù)中去考慮數(shù)據(jù)特定的安全需求,,由此誕生了品類繁多的數(shù)據(jù)安全產(chǎn)品,。
現(xiàn)在,數(shù)據(jù)上升到資產(chǎn),、基礎(chǔ)設(shè)施的層面,,數(shù)據(jù)量級正在以幾何速度暴漲,,數(shù)據(jù)蘊含的價值并非以往任一時代能夠比擬的,如果我們僅僅使用雇傭保安,、裝防盜門等形式的安全管控,,一方面,單一的,、孤島式的防護無法對抗持續(xù)激增的風險威脅,;另一方面,以管控為目標的安全原則將會對數(shù)據(jù)的流通利用產(chǎn)生明顯的阻礙,。
而數(shù)據(jù)安全治理的思路,,強調(diào)安全不再是一個純技術(shù)和產(chǎn)品層面上的安全,而是組織規(guī)范,、管理制度和產(chǎn)品工具的完美整合,,以呈現(xiàn)整體的、有策略的安全體系,。同時,,安全防御長期以來強調(diào)的是為業(yè)務(wù)提供保障,在數(shù)據(jù)時代,,數(shù)據(jù)就是業(yè)務(wù)的核心驅(qū)動力以及業(yè)務(wù)本身,,因此,我們需要跳出以往著眼于系統(tǒng),、網(wǎng)絡(luò)的安全思維,,重新以數(shù)據(jù)為中心來進行安全的建設(shè),達到精細化和貼身式的防守,。
INTERVIEW
02
本刊記者 :
請您談?wù)剶?shù)據(jù)安全治理落地實踐的現(xiàn)狀,。
李四階 :
數(shù)據(jù)安全治理是一套很宏大的框架,類似于我們生活的城市中會出現(xiàn)打砸搶燒,,每家每戶裝上防彈玻璃,、非必要就閉門不出并不能有效杜絕意外的出現(xiàn),社會的運轉(zhuǎn)也將陷入僵局,。站在公共安全治理的角度,,我們會組建公檢法體系,會有軍隊來提供保障,,會出臺法律政策,,會建立公共設(shè)施和安檢制度等,既有組織策略,,也有技術(shù)手段,,還有協(xié)同聯(lián)動。數(shù)據(jù)安全治理也一樣,,但將其落地實施到一個具體的企業(yè)中,,形成貫穿于整個組織架構(gòu)的完整鏈條,,絕非易事。
數(shù)據(jù)安全治理本質(zhì)上就是一套自上而下的多層框架,,涵蓋決策層到技術(shù)層,,它要求企業(yè)建立安全政策和組織保障;評估企業(yè)自身面臨的安全風險,,對不同等級的風險設(shè)定不同的管理政策,;針對安全風險控制,制定相應(yīng)策略,,內(nèi)部進行資源匹配,,這里面將涉及具體的技術(shù)工具;通過安全評估及具體指標衡量,,以確保風險得到有效管理,,否則需要重新糾偏,以此形成一個完整的閉環(huán),。
從戰(zhàn)略高度來指導(dǎo)數(shù)據(jù)安全治理,,好處在于宏觀的控制和推進,但在美好的愿景之下,,它的推進難度,、執(zhí)行效率極大地依賴于該項目在企業(yè)中的重要性和地位、企業(yè)組織架構(gòu)是否足夠成熟優(yōu)越,、企業(yè)成員的安全意識是否與此高度匹配等因素,。而在現(xiàn)實情況中,我國大部分企事業(yè)單位的 IT 建設(shè),、組織建設(shè)在過去長期處于“重發(fā)展輕安全”的狀態(tài),在此基礎(chǔ)上直接落地數(shù)據(jù)安全治理有些“水土不服”“不接地氣”,。
INTERVIEW
03
本刊記者 :
昂楷科技如何把控數(shù)據(jù)行業(yè)痛點,?
李四階 :
數(shù)據(jù)庫破壞的形式有三種:一是對數(shù)據(jù)庫的結(jié)構(gòu)性破壞,導(dǎo)致數(shù)據(jù)庫無法正常運行,,數(shù)據(jù)庫是信息化系統(tǒng)的核心,,數(shù)據(jù)庫無法正常工作,系統(tǒng)即無法正常工作,;二是對數(shù)據(jù)進行定向惡意篡改以達到自己的目的,,這方面的問題比較隱蔽,大家談的比較少,,但危害極大,;三是核心數(shù)據(jù)的盜取,這是廣為討論的問題,,其本質(zhì)就是信息泄露,。
這三種破壞形式組合起來興風作浪,,其外在的危害表現(xiàn)錯綜復(fù)雜,總結(jié)起來有幾個典型危害:其一,,國家重要部門或企事業(yè)單位機密被別有用心的他國竊取,,或重要信息化系統(tǒng)、工業(yè)控制系統(tǒng)被迫癱瘓,,將嚴重影響國家的政治,、經(jīng)濟,甚至國民安全,;其二,,企業(yè)核心數(shù)據(jù)泄密或信息化系統(tǒng)不能正常運行導(dǎo)致企業(yè)競爭力下降、聲譽受損,,甚至破產(chǎn),;其三,個人隱私泄露導(dǎo)致財產(chǎn)損失,,甚至付出生命的代價,。
因此,行業(yè)迫切需要對數(shù)據(jù)安全的破壞行為做到有效防護,;構(gòu)建事前預(yù)防,、事中攔截、事后取證三位一體的積極防護體系,。該防護體系的核心是將不可見的破壞之源,,做到準確可視、進而做到自主可控,,并且要平衡好效率和安全,、穩(wěn)定與安全、開放與安全的矛盾關(guān)系,;還要有發(fā)展性,,能夠適應(yīng)大數(shù)據(jù)、云計算,、萬物互聯(lián)的信息化架構(gòu)及技術(shù)發(fā)展帶來的新挑戰(zhàn),!
面對行業(yè)迫切需求以及未來發(fā)展帶來的各種挑戰(zhàn),從國家機關(guān),、企事業(yè)單位的數(shù)據(jù)安全防護方案建設(shè)方面來講,,應(yīng)該打破從前“以外防為主建立防護邊界系統(tǒng)”的老思路,建立終端,、外防,、內(nèi)審內(nèi)控的三級聯(lián)動聯(lián)防主動積極防御體系;尤其重要的是數(shù)據(jù)安全態(tài)勢感知系統(tǒng),其作為整個防護體系的雷達探測和中樞指揮系統(tǒng),,是核心中的核心,。數(shù)據(jù)安全態(tài)勢感知系統(tǒng)與原有的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)融為一體,建立全態(tài)勢的安全感知和統(tǒng)一指揮調(diào)度系統(tǒng),,能夠有效整合終端安全,、網(wǎng)絡(luò)安全、數(shù)據(jù)安全,、應(yīng)用安全等各大系統(tǒng),,形成強大的聯(lián)動效應(yīng)。
昂楷科技正是按照這個建設(shè)思路,,先從最核心的數(shù)據(jù)庫安全審計監(jiān)控產(chǎn)品開始研發(fā),,解決對數(shù)據(jù)庫攻擊行為及攻擊者的可視;進而打造數(shù)據(jù)庫漏洞檢測,、數(shù)據(jù)庫狀態(tài)監(jiān)控,、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫安全態(tài)勢感知系統(tǒng),,構(gòu)建針對數(shù)據(jù)庫的主動防御一體化解決方案,。在設(shè)計系統(tǒng)方案時,積極研究最新前沿技術(shù),。目前,,昂楷科技已率先支持后關(guān)系型數(shù)據(jù)庫的安全保護、Hadoop數(shù)據(jù)庫安全的保護,、工業(yè)控制數(shù)據(jù)庫的安全保護,,是第一個與公有云運營商聯(lián)合推出運營級的云數(shù)據(jù)庫安全審計監(jiān)控服務(wù)的企業(yè)。
INTERVIEW
04
本刊記者 :
昂楷科技如何實踐數(shù)據(jù)安全治理,?
李四階 :
昂楷科技在幫助企業(yè)落地數(shù)據(jù)安全治理項目時,,進行了很好的本土優(yōu)化,采用自上而下和自下而上的雙向結(jié)合循環(huán)路線,。一方面,,在策略上,從頂層起步進行宏觀路線的規(guī)劃,,形成一套完整的從梳理到管理再到控制的方法論;另一方面,,在執(zhí)行上,,從大到小、從整體到局部,,動態(tài)地,、精細地逐步進行實施,比如,,先進行“卡口”實現(xiàn)對基本面的安全控制,,再結(jié)合對數(shù)據(jù)資產(chǎn)的梳理情況進行數(shù)據(jù)安全策略的智能化設(shè)置,。
整體方案的構(gòu)成涵蓋了資產(chǎn)梳理、風險評估,、主動防御,、監(jiān)控審計、態(tài)勢感知,、數(shù)據(jù)溯源,、數(shù)據(jù)處理、聯(lián)動聯(lián)防等全面的能力,,這些數(shù)據(jù)安全能力單元搭配SOC平臺,、應(yīng)用安全、終端安全,、網(wǎng)絡(luò)安全等安全能力單元,,集中到擁有自學(xué)習(xí)能力的數(shù)據(jù)安全綜合治理平臺上,實現(xiàn)對復(fù)雜威脅的聯(lián)動聯(lián)防,,可以覆蓋數(shù)據(jù)采集,、傳輸、存儲,、處理,、交換、銷毀的全部流轉(zhuǎn)周期,。
數(shù)據(jù)資產(chǎn)的明顯特征在于瞬息萬變,,數(shù)據(jù)是高度靈活、高頻變動的,,如果像盤點實物資產(chǎn)一樣去梳理數(shù)據(jù)資產(chǎn),,并根據(jù)梳理結(jié)果對數(shù)據(jù)進行管理控制,很難達到“與時俱進”的效果,。因此,,昂楷科技通過 AI 機器學(xué)習(xí)的方式持續(xù)地監(jiān)測數(shù)據(jù)本身實時變動情況,包括其格式,、狀態(tài),、敏感性等維度,實現(xiàn)持續(xù)的智能化數(shù)據(jù)盤點,,通過不斷地重塑企業(yè)數(shù)據(jù)資產(chǎn),,指導(dǎo)后續(xù)的安全動作,達到更精準,、更靈敏,、可持續(xù)性發(fā)展的安全防控效果。
INTERVIEW
05
本刊記者 :
昂楷科技數(shù)據(jù)安全治理方案能夠給客戶帶來哪些價值?
李四階 :
昂楷科技數(shù)據(jù)安全綜合治理解決方案讓客戶的大數(shù)據(jù)平臺實現(xiàn)精準可視,、安全可控,,以安全態(tài)勢感知平臺為樞紐,清晰掌握了平臺上數(shù)據(jù)庫資產(chǎn),、數(shù)據(jù)庫健康狀態(tài)以及敏感數(shù)據(jù)分布情況,,對數(shù)據(jù)庫操作行為與敏感數(shù)據(jù)使用狀態(tài)進行實時監(jiān)控和及時告警,高敏數(shù)據(jù)和測試數(shù)據(jù)通過去隱私化以及訪問控制的方式確保安全可控,,方案從整體上形成全面,、準確審計以及安全防護體系的建設(shè),以滿足客戶對安全事前防御,、事中管控,、事后溯源的安全管理需求。
事前防御階段,。根據(jù)數(shù)據(jù)安全的管理制度及標準,,對敏感數(shù)據(jù)如個人的手機號、住址,、社保信息,、公積金信息、房產(chǎn)信息,、就診信息等,,企業(yè)的納稅信息、股權(quán)信息等非公示項信息,,實行事前識別并嚴格執(zhí)行訪問管控策略,。
在不同訪問場景下,通過脫敏規(guī)則,,對不同身份的運維人員訪問敏感數(shù)據(jù)中的身份證,、銀行卡、電話號碼,、姓名,、住址等敏感信息進行掩碼處理,實現(xiàn)敏感數(shù)據(jù)動態(tài)遮蔽,,防止泄露敏感數(shù)據(jù),,同時不影響常規(guī)的數(shù)據(jù)遷移、備份等日常工作,。
事中管控階段,。使用數(shù)據(jù)庫防火墻屏蔽直接訪問數(shù)據(jù)庫的通道,可基于IP地址,、時間、操作、關(guān)鍵字,、數(shù)據(jù)庫賬號,、語句長度、列名,、表名,、行數(shù)、注入特征庫等多種條件,,制定靈活多變的數(shù)據(jù)防護策略,。對于高危操作行為需提交申請,待審批通過后方可進行操作,,同時,,在操作過程中,要進行監(jiān)控審計,,阻斷異常和違規(guī)的數(shù)據(jù)修改,、刪除等操作,達到在數(shù)據(jù)使用過程中有效防止敏感數(shù)據(jù)泄露和被非法篡改的目的,。
事后溯源階段,。通過數(shù)據(jù)庫審計,對數(shù)據(jù)分析人員,、應(yīng)用管理及運維人員,、DBA、普通用戶,、管理員的數(shù)據(jù)訪問行為進行全記錄,,判斷行為的合規(guī)性,同時可以通過審計操作與數(shù)據(jù)庫審計進行關(guān)聯(lián)分析對比,,以三層關(guān)聯(lián)精準定位到人,,準確判斷是否存在違規(guī)行為,做到事后可溯源,、可分析,。
INTERVIEW
06
本刊記者 :
昂楷科技如何持續(xù)保持對數(shù)據(jù)的支持能力?
李四階 :
昂楷科技一直保持對新一代數(shù)據(jù)庫的快速支持能力,,并同時追蹤區(qū)塊鏈,、分布式數(shù)據(jù)庫的發(fā)展演進,憑借團隊對數(shù)據(jù)庫安全的基礎(chǔ)性攻防研究能力以及對新 IT 架構(gòu)的支持響應(yīng)能力,,緊跟數(shù)據(jù)庫技術(shù)的發(fā)展,,實現(xiàn)對新數(shù)據(jù)庫及安全威脅的快速響應(yīng)并采取有效技術(shù)措施應(yīng)對,同時參與安全標準制定,,共建數(shù)據(jù)安全長城,。
昂楷科技基于“不做‘關(guān)系型’產(chǎn)品”這一思想,,自2016年開始,面向用戶和合作伙伴,,推出了“尋找不一樣的VIP”活動,。活動理念在于只要有數(shù)據(jù)安全需求的用戶在數(shù)據(jù)安全方面遇到了難題,,或找不到滿意的產(chǎn)品,,那他就是昂楷科技的VIP客戶,昂楷科技不僅免費幫助其解決難題,,還給予獎品答謝,。通過這種方式,不但為用戶解決了自身的數(shù)據(jù)安全問題,,昂楷科技也能夠?qū)崟r準確地把握用戶在數(shù)據(jù)安全方面的真實需求,,同時通過解決各種難題提升自身的產(chǎn)品技術(shù)實力,實現(xiàn)雙方互利共贏,。
目前,,昂楷數(shù)據(jù)安全綜合治理解決方案已應(yīng)用在政府、金融,、證券,、醫(yī)療衛(wèi)生、教育,、電力等行業(yè),,服務(wù)于兩千多家客戶,其中包括:廣東省公安廳,、云南省公安廳,、湖北省公安廳、東北電力大學(xué),、北京協(xié)和醫(yī)院,、北京安貞醫(yī)院、江蘇蘇豪國際等,。據(jù)透露,,昂楷科技實行項目制方式運營,并于2019年已達數(shù)千萬元營收,。
昂楷科技成立至今,,團隊已達220余人,其中技術(shù)研發(fā)團隊占據(jù)近100人,,核心團隊來自華為,、華賽等知名廠商的高管及技術(shù)骨干。
昂楷科技創(chuàng)始人兼CTO劉永波曾于1998年加入華為綜合接入產(chǎn)品線,,并在華為將UA5000系列產(chǎn)品打造成為世界第一品牌,,該產(chǎn)品為華為十大主力產(chǎn)品之一,,年銷售額過百億元人民幣,成為華為海外市場的開路尖兵,。
鑒于此,,昂楷科技曾獲得華睿投資的A輪融資和海達投資的戰(zhàn)略投資,2020年7月宣布獲得奇安投資的獨家投資,,2021年8月宣布獲得方廣資本的新一輪投資。完成多輪融資后的昂楷科技加速公司發(fā)展,,加大對數(shù)據(jù)安全綜合治理解決方案的研發(fā)和服務(wù)升級的投入,,擴大銷售渠道建設(shè),同時,,廣納英才,、研發(fā)產(chǎn)品、拓展市場,,發(fā)展數(shù)據(jù)安全新生態(tài),,共同推動國內(nèi)數(shù)據(jù)安全行業(yè)的發(fā)展。
INTERVIEW
07
本刊記者 :
昂楷科技未來戰(zhàn)略的側(cè)重點是什么,?
李四階 :
當數(shù)據(jù)安全的策略,、技術(shù)、措施都越來越智能和靈活,,我們可以看到數(shù)據(jù)安全正逐漸與數(shù)據(jù)使用深度綁定在一起,,趨向一種平衡的進化。整個行業(yè)已經(jīng)越過了非黑即白的強管控時代,,當數(shù)據(jù)的量級和價值極大地凸顯,,我們需要意識到,把數(shù)據(jù)關(guān)起來是一條“死”路,,但是讓數(shù)據(jù)不受控地放飛,,只會“死”得更快。這從頒布的《中華人民共和國數(shù)據(jù)安全法》中也能得到印證,,這部在網(wǎng)絡(luò)安全行業(yè)發(fā)展過程中具有里程碑意義的法律,,正是從統(tǒng)籌發(fā)展與安全的角度規(guī)定了必須在保證數(shù)據(jù)安全的前提下,對其進行挖掘,、利用和創(chuàng)造,,安全從附屬、外圍的邊緣屬性正式轉(zhuǎn)換為與數(shù)據(jù)業(yè)務(wù)伴生,、嵌套,、互相成就的共生屬性,這十分考驗數(shù)據(jù)安全的全局部署,、技術(shù)創(chuàng)新和實施服務(wù)等能力,。
昂楷科技的安全戰(zhàn)略向前發(fā)展,,會更加側(cè)重于工程化的落地能力,它不再是一個產(chǎn)品級別的安全方案,,而是與數(shù)據(jù)利用結(jié)合在一起的業(yè)務(wù)性質(zhì)的工程,。近年來,在政府,、公檢法司,、能源電力、運營商,、金融,、教育、云端數(shù)據(jù)庫等多個領(lǐng)域,,昂楷科技已幫助多家核心頭部客戶有效實施其數(shù)據(jù)安全治理方案,,積累了不少工程標準化經(jīng)驗和服務(wù)經(jīng)驗,這也將成為他們未來助力各行業(yè)數(shù)字化轉(zhuǎn)型的一大核心優(yōu)勢,。
