close

杭州美創科技有限公司副總裁、首席技術官 周杰


周杰簡介

周杰,杭州美創科技有限公司(簡稱「美創科技」)副總裁、首席技術官。從事數據安全領域研究開發十多年,曾經在思科等公司任職,長期跟蹤和關注數據安全理論、技術、實踐,對於增強身份治理、資產治理、風險治理、動態策略等有比較深入的研究,同時對於零信任、攻擊鏈、持續自適應風險信任評估等理論體系比較熟悉,在雲管端的數據安全產品開發方面有着多年的實踐,積累了大量經驗。目前他是雲安全聯盟(CSA)零信任專家、認證講師,從事 SDP、數據安全等研究,保持和 NIST、GARTNER 等機構的緊密聯繫,緊跟數據安全理論技術的最新動態。此外,他還代表公司參與了數據庫防火牆、數據脫敏、數據共享、數據備份等產品的標準制定及修訂。

隨着大數據、雲計算、物聯網和人工智能驅動的新一輪全球科技變革成為現實,數據在其中扮演着愈發重要的角色。與此同時,數據安全問題愈發突出和嚴峻,數據泄露、勒索等安全事件頻發,對個人隱私安全、組織權益、社會穩定、國家安全等造成了嚴重威脅,如何保障數據的安全開發和利用,成為全社會關注的焦點話題。
事實上,政企單位的安全管理和防護措施更多針對網絡層面。隨着數據的價值凸顯,數據成為黑客和不法分子的目標,數據的安全意識不足、防護不到位等問題導致數據安全事件頻發,對組織單位經營發展產生重要影響。面對層出不窮的數據安全風險,儘管多數企業把數據安全擺在了整個信息安全體系中最重要的位置,但是如何進行數據安全建設,既能滿足監管側要求,又能在業務側保證數據安全,首席信息官(CIO)、首席安全官(CSO)一直在探索和嘗試。
美創科技結合多年在數據安全領域中的經驗,從零信任數據安全 1.0 架構到 2.0 架構,構建起以「以數據中心、流動路徑和終端落地為視角」的安全防護鏈。通過對數據生命周期鏈條式的防護,實現數據在哪裡,安全就在哪裡,讓數據自由流動,發揮更大價值。
近日,記者與美創科技副總裁、首席技術官(CTO)周杰,圍繞數據安全領域的數據安全治理思路、防護思路、發展特點等內容進行了詳細溝通和探討。

記者:您如何理解現階段的數據安全?

周杰:我認為,現階段的數據安全可以用查爾斯·狄更斯的話來形容,「這是最好的時代,也是最壞的時代」。
一方面,2021 年,數據安全市場景氣度高漲。國家在數據安全領域的政策制定與立法工作明顯提速,《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》等出台實施,一系列配套法規和規章緊鑼密鼓地進行意見徵集或者頒布,釋放了大量政策紅利。在強監管態勢和數據業務發展需求下,我們明顯感受到各行業單位對數據安全建設的重視程度在加深,尤其涉及大量公民敏感信息及社會治理、公共服務方面重要信息的政府及互聯網數據密集型行業,「數據安全是整個信息化、數字化過程中的基礎工程」,這一認識正在覺醒,這對美創科技和同一賽道的其他廠商都產生了很好的促進作用。隨着政策刺激的持續兌現和數據業務的持續推進,數據安全市場規模增幅將進一步擴大,迎來春天,這是整個行業的共識,當然,數據安全領域也將會面臨更加激烈的賽道競爭。
另一方面,從目前來看,數據安全形勢依然嚴峻。一是有組織、大規模的勒索病毒攻擊、數據泄露等事件頻發,數據安全面臨的威脅不僅僅是傳統的黑客、地下黑產。2021 年,全球爆發多起贖金巨大的勒索攻擊事件,勒索病毒因勒索軟件即服務(Ransomware as a Service,RaaS)模式興起所引發的高爆發態勢對數據安全構成了嚴重的挑戰。二是新技術和新架構帶來的挑戰,導致出現了許多傳統安全防護體系無法應對的問題。目前,很多企業新生業務對數據實時性要求不斷增加,這就要求安全服務效率更高,要在最早的時間發現安全風險,並在最短的時間內進行應急處置和追蹤溯源。三是數據流動屬性釋放給數據安全帶來更多的不確定性和更大的防護難度。數字化轉型的深入建立在數據要素流通之上,依託數據共享交換實現信息資源集約化、服務化和標準化供給。以前數據相對離散、靜止,企業擁有的可能僅是 GB 級別的數據,但現在,企業數據的體量、格式構成都十分複雜、活躍,並在不斷發生變化,當敏感程度不一的數據參與到生產經營,與企業內各部門、外部第三方交換合作,參與數據處理的角色更加多元,數據安全防護和管理的難度都在大幅提高。

記者:您是如何看待政企數據安全治理和數據安全防護的?

周杰:當前,加強數據安全治理已經成為維護國家安全的戰略需要。對政企單位來說,數據安全治理是進行數據安全防護的重要基礎。政企數據安全治理建設涉及從決策層到技術層,從業務部門到 IT 部門等多個部門的溝通協同,絕不能僅靠單個或多種產品、解決方案的簡單「堆積」,而是一種自上而下系統性的解決方式。其中還對匹配性、目標和宗旨等有很高的要求,確保有序、暢通、合理、有效地進行數據資產安全管理和有效保護。
網絡和數據安全方面的保障能力在不斷提升,但現階段仍存在數據現狀不清晰、數據權責不明確、安全制度策略不完備、防護能力不匹配等問題。
安全問題實際是「人 + 方法 + 工具」協同作用的結果,這需要對企業的各方面數據和流程進行詳細梳理,包括業務流程、關鍵數據、權責關係、數據權限、功能權限和角色權限等,並對這些環節的關鍵風險點進行分析,最終給出一個貼合業務的數據安全解決方案。數據安全治理的首要目標是找到數據安全和數據業務的平衡點,讓雙方的利益得到最大範圍的保障,既要把握好業務之間的緊密聯繫,又要兼顧效率與穩定可靠的平衡,其中的互通性和複雜性可見一斑。因此,數據安全治理體系的建設,必須與其業務流程產生強關聯。此外,還需要對數據進行分類劃分,以及根據重要程度進行分級,對不同位置、不同形式和不同級別的數據實行不同的保護策略。
需要強調的是,數據的價值在於流動。而數據一旦產生流動,很容易走向失控,因此,在數據流動之前掌控數據,控制流動路線,以便當數據流動失去控制之後,至少要求完成流動溯源或實現流動限制。具體可以從 4 個方面來操作:一是要及時發現敏感數據並進行分級分類;二是在數據流動之前進行安全措施保護,使其在流動中保持數據安全性,溯源控制的主要手段有脫敏、加密和水印;三是數據提供方通過制度性的審計檢查推動數據接收方合規使用數據;四是通過流動可視化來更好地發現可能存在的數據流動風險。
另外,數據安全問題表面上是技術層面問題,但實際上屬於管理層面,核心在於「人」,技術與制度都是「人」的工具。這就必然離不開人的安全管理。實際上,所有的安全問題從本質上都可以歸結為人的安全問題,所以,對於人的安全管理成為數據安全的核心課題。

記者:政企用戶數據安全建設常見的問題有哪些?

周杰:在美創科技服務的大量客戶中,我們能看到用戶數據安全建設的一些共性問題。
一是不清楚數據資產,無法有效保護。不少企業困境是很難摸清楚數據資產家底,由於系統過多、數據過雜,無法有效統計和獲知數據資產的真實情況。例如,企業有多少數據,有哪些數據,數據價值如何,這些數據分布在什麼地方,最有價值的數據存儲在什麼位置,企業數據的歸屬和責任人是誰等。也有企業雖然進行了數據資產盤點,但缺乏大數據平台支撐,或者沒有運用科學合理的分析方法,導致多個來源數據的質量不高,數據挖掘和分析在質量上大打折扣,結論的有效性和可用性也被大大削弱,甚至成為垃圾數據資產。
圖 1 當前數據分類分級面臨的問題
這就要求第一階段對數據治理工作展開調研,摸清楚企業數據資產的分布、數據的質量、數據的管理現狀、數據應用需求等情況。該階段的工作目標是確定數據治理項目的目標和範圍,評估數據治理成熟度,確定改進內容和方向並與客戶達成共識。然後,按照業務主題進行數據資產的梳理,並制定數據資產的標準。包括:數據資產的數據含義、數據來源、存儲路徑、管理部門、管理人員等,其中對核心數據資產要進行重點梳理,並進行分級分類。
二是如何進行數據分類分級,也是我們接觸到的高頻問題。數據分類分級事實上是一項複雜的工作,作為數據安全治理的前置性基礎項目,分類標識要全、逐步定級要准、分級管理要細,才能更好地實現數據安全精準化防護,但既要符合國家要求,又要結合行業數據特性,很難通過「上產品」的方式解決,這也是目前企業單位用戶面臨的一大難點。美創科技在實踐中形成「六步走」的數據分類分級整體方案,通過「諮詢服務 + 技術工具」的方式來配合完成數據分類分級的最終落地。
圖 2 數據分類分級實施步驟
例如,美創科技諮詢團隊在前期對企業數據戰略規劃、數據建設情況、業務需求、信息安全環境進行深入調研,分析企業數據管理現狀,得出數據資產狀況,整理形成業務系統清單,輸出業務平台調研結論等。在實施以及後續長期動態運營階段,為提升數據發現和分類分級的準確性和規範性,縮短項目周期。與傳統分類分級做法相比,美創科技自研的暗數據發現和分類分級平台集合自動掃庫掃表、模型匹配、數據統計、機器學習等技術,實現高效率、高質量分類分級和持續化運營。
三是數據安全防護技術和產品的選擇問題。市面上關於數據安全的產品有很多種,例如數據脫敏、數據庫審計、數據庫防火牆等,每個產品都有其特定的功能和特定的應用場景。
圖 3 數據安全建設需要考慮的幾個方面
總的來說,首先,單位在安全建設中應有一個明確的安全目標,分層解耦,分步實施,例如,哪些部門、哪些業務、哪些數據需要達到什麼樣的安全程度,需基於風險評估進行合理規劃,避免後期升級難、擴展難、重複建設甚至推倒重建等現象,從而造成成本的提升,同時,還需平衡好安全與業務之間的關係,不能因安全保護力度過大影響到數據的正常流動和業務開展,也不能因業務發展置安全風險於不顧,例如數據庫加密系統,存儲加密技術實施複雜,是否涉及業務系統改造?存儲加密技術實施後,是否影響業務系統對數據庫系統的訪問,造成嚴重的性能損耗?
其次,對數據全生命周期和具體防護目標場景進行安全能力的配置,例如入侵防護、訪問控制、數據脫敏、數據加密、水印溯源、防勒索、容災備份等。數據的價值在於流動,當敏感數據發生流轉時,要確保安全跟着數據走。這時,脫敏就顯得尤為重要,同時需要運用全流量的溯源審計等技術手段,一旦發現問題進行預警同時阻斷。加水印也是一種比較典型的技術手段,可在數據泄露前的數據載體中隱藏水印標記信息。一旦發生數據泄露事件,則可提取水印,進而對企業員工、組織機構等進行溯源追責,一定程度上還可以起到心理威懾作用。
最後,數據安全不是一次性投入,而是一個持續的過程。數據安全建設完成後,用戶需要通過持續的數據安全運營工作使整個過程有效地運轉起來,並在運營過程中不斷地優化提升。

記者:請您詳談一下美創科技零信任數據安全體系架構。

周杰:美創科技是國內較早將零信任理念應用於數據安全領域的廠商,2015 年,美創科技正式形成了零信任數據安全架構 1.0 版本,經過 5 年的成熟實踐,2020 年,美創科技零信任架構升級為 2.0 版本,形成以資產、入侵、風險 3 個視角為核心,以零信任、入侵生命周期、風險治理為理論指導的新一代數據安全架構體系。
圖 4 基於數據流向的全生命周期的數據安全策略制定
圖 5 從零信任 1.0 構架到零信任 2.0 架構
零信任是美創科技數據安全產品體系的核心。目前,數字化轉型業務的開展,數據由靜轉動,數據安全場景、保護對象都在發生變化,但傳統邊界安全保護的目標並沒有具體所指,這就導致傳統防護與現有安全防護需求的失衡,在這一背景下,零信任是破解這些挑戰的最佳選擇。在美創科技基於零信任思路構建的數據安全防護體系中,充分考慮流動數據安全防護,以數據安全治理為前提,形成數據資產清單;結合零信任體系和安全治理成果,基於數據流轉路徑和現有的數據訪問原則和控制策略,規劃數據安全策略;繼而導入零信任架構,通過全局數據安全態勢感知、數據庫審計、數據脫敏、數據水印、數據庫加密、數據備份恢復等技術手段,對數據全生命周期進行多方位防護。
在美創科技零信任數據安全實踐中,資產和身份是兩個核心支撐點:一方面,美創科技從資產視角出發,以數據資產保護為核心訴求規劃防護體系,通過重新定義資產的邊界來實現進一步的治理與管控,例如,明確訪問資產的行為,建立細粒度訪問控制模型,定義訪問策略,同時充分認識到數據流動已經成為主要的安全場景之一,採取相應的技術手段(如 3A 加密),簡化重要數據在不安全的網絡環境中存儲、計算和流動的管理難度。另一方面,在圍繞資源建立了訪問控制點後,改變傳統基於位置和賬戶的認證和權限管理體系,結合人、可信終端、應用和賬戶 4 個要素,進一步實現以身份為中心的訪問控制策略,進行持續信任評估和動態認證授權。

記者:在數據安全治理方面,美創科技有哪些沉澱與創新?

周杰:我們認為數據安全治理的結束是數據安全運營的開始。目前,我們通過「數據安全治理諮詢服務 + 數據安全管控平台 + 數據安全產品」的立體方式,真正幫助用戶落地了數據安全治理實踐。這個過程在業界沒有參考,從理論模型到推廣應用,美創科技也是一直在摸索、沉澱、改進和應用。在 2021 年某燃氣公司、某機場、某醫院都得到了很好的反饋。除了數據安全治理,美創科技還有一塊業務範圍更大,屬於數據治理的範疇。在美創科技看來,安全和成本是制約數字化轉型是否成功的兩大因素:一是數據安全是數字化轉型順利進行的基礎。數字化轉型背景下,數據不再只存在於內部網絡,還會在內外部進行交換共享,因此面臨更多的安全問題。如果安全不到位,轟轟烈烈的數字化轉型就會在中途「夭折」,走不到終點。二是成本。數字化轉型是不斷探索、不斷迭代的過程,需要消耗巨大的資金成本和機會成本,這也限制了它的成功率。對此,美創科技數據治理業務致力於以靈活、低成本、敏捷交付能力幫助用戶降低數字化轉型成本,提高用戶數字化轉型的成功率。目前,美創科技已經形成數據管理、數據流動、數據應用、數字化交付服務 4 大完整產品線,一站式提供數據發現、分類分級、集成、治理、服務、資產運營等核心能力,核心產品數據治理 3 件套——數據資產管理平台、暗數據發現和分類工具、數據支撐平台,在可操作性、全交互可視化、數據處理智能化、安全性等多方面的能力得到不斷優化,且完成在各類主流物理環境、雲環境、大數據基礎層面的靈活適配。目前,該業務主要聚焦醫療衛健、物流交通兩大垂直行業,並取得很好的成績,例如在港口,我們已經先後為寧波舟山港、深圳港、廣州港、青島港、天津港、廈門港、大連港、北部灣港等國內港口客戶提供數據治理、數據應用、數據安全建設等解決方案。
記者:王超
商務合作|開白轉載|媒體交流|理事服務
請聯繫:15710013727(微信同號)
《信息安全與通信保密》雜誌投稿
聯繫電話:13391516229(微信同號)
郵箱:xxaqtgxt@163.com
《通信技術》雜誌投稿
聯繫電話:15198220331(微信同號)
郵箱:txjstgyx@163.com

謝謝您的「分享|點讚|在看 」一鍵三連
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()