王燕楠 杭州美创技术经理
摘要:主要探讨了杭州美创在数据安全领域的建设经验。
首先,展开数据安全话题之前,我们先有一个逃避不了的概念,就是黑客,不管我们在之前的比如像网络安全也好,或者应用安全也好的领域,还是说到现在我们说针对个人数据安全和个人的信息安全的讨论也好,都回避不了这样一个角色,就是黑客。我们其实可以把黑客从我们早期到现在的发展,其实可以拉一个横轴去看的话,其实就是从最早期的一些,比如只会用一些像工具类的或者说像一些扫描类的工具,然后去进行一些嗅探,进行一些漏扫,进行一些探测。然后到慢慢的,出现了初级和中级的黑客,可以通过一些工具和自己写的POS的脚本,在不同的场景去针对一些漏洞进行利用。然后再到高级的,比如我们自己去挖掘的系统漏洞,或者wep层面的漏洞,去进行利用。再到后期可能说会更高级的,比如说技术也好,或者说手段也好。但是不管从我们初期的脚本小子,还是高级的黑客,其实核心是在于对数据的控制权。这是我的一个总结。
这句话里面有两个关键点,第一个是不法者;第二个是数据控制权。因为不法者不仅仅是指外部的黑客,也是像下午其他嘉宾也讲到,我们内部的一些家贼,或者内部人员这样一个窃取,也是特别重要的。然后的话,另外一个就是数据的控制权,为什么说是数据的控制权?因为不管是外部的黑客去通过一些漏洞也好,或者通过一些弱点也好拿到我们数据,这个是拿到数据的一个权限。然后的话,他通过植入一些木马或者一些恶意程序去进行一些挖矿,或者说是进行一些分布式Devdaps,这个恐怕是对我们主机也好,或者对数据的服务器也好的一个控制权。包括比如说像后续数据的一些采集,尤其是现在,比如说我们一些虚拟货币的流行,以及比如说像勒索病毒的传播,其实也是对数据的一个控制权。他只要拿到了这个权限,我能够进行加密,那OK,你的这个数据就可以拿到,至于解密的话,你花钱就可以了。
然后的话,现在DT时代的到来,数据已经成为企业一个核心资产,就是这个DT时代的话,我如果没记错应该是前两年马云提出来的。之前我们讨论的更多是一些数字化转型等等的,其实现在慢慢的从我们最早期的信息化到现在的话,包括展望未来也好,其实对数据的一个利用和一个提取和如何用数据去最大化量化客户的价值,这个其实已经是一个,相信在现在已经有很多企业在做了。包括现在我们大家知道的抖音,或者说一些短视频类的,其实它就是根据你个人的一些日常访问的数据的习惯,然后去预测你未来的一个消费也好,或者说行为也好的一个趋势。
所以的话,对传统来看的话,我们数据资产的话,像最早期的话,我们都认为数据是静态的,比如说OK,我这个数据就是我企业里面走出去,包括像最早的一些安全类的防护,其实很多时候大家都是在边界去类似搭积木的形式,不断的把攻击者的门槛给提的很高。
但是的话,到现在和未来的话,数据慢慢从我们一个可明确和可控制的这样一个范围内的话,去慢慢转换成一个逐步开放,甚至说需要去通过一些大数据也好,或者说通过一些数据交换也好,然后去形成更多的一些交换场景。所以的话,数据在未来的过程中一定是处于动态的,这个动态不仅仅是说我们企业内部,也更多是我们企业外部的一些数据。
然后的话,我这儿总结了一个老问题,一个新挑战。
老问题,传统我们基于特征防护的力不从心,这个的话,比如从wep也好,或者通过IDS也好,或者IPS也好,其实很多都是传统的一些基于特征的一些防护。但是基于特征的防护的话,现在已经慢慢的跟不上我们企业自身的需求,所以这也是一个新的问题。包括传统的防护措施不适用,这里的不适用并不是说传统的防护措施没有效果,而是说传统的防护不能适应客户业务的增长,或者说客户对安全的一个需求。
新挑战,刚才也提到了,就是网络不断的开放性,因为未来的一个趋势一定是,每家数据一定会拿出来,甚至说一份数据应用在多个业务系统里面,甚至说我企业的一部分数据,然后去拿到和其他的一些公司也好,或者说是一些第三方也好进行一个数据交换,或者是一个大数据的分析,然后再回收也好,一定是越来越开放的。
包括现在攻击者专业化程度和隐秘性也越来越高,因为最近的一些热点事件,比特币不说了,比如最近一些勒索的病毒,包括一些虚拟货币的一个流行,已经让我们的攻击成本和获取利润的一个能力远远的比之前的网络安全时代高很多。因为之前的话,对于一个黑客来说,他首先要拿到我们的像网站的漏洞,然后再去拿到我们内网资源的一些漏洞,最终拿到我们数据库里数据的这样一个目的。但是现在的话,可能不需要去这么做,可能他只要嗅探到我们关键的一些基础设计和一些资源,对这个资源有了控制权之后,就可以达到他的目的。所以这是我们面临的新的挑战。
这个也是我们从合规的层面去做的一些分析,就是通过去年欧盟的GDPR,包括到今年的《等保2.0》,上个月刚发布的,包括现在的《个人信息保护法(草案)》都是逐渐去强调个人数据和企业数据的重要性,我相信这也是未来的趋势。未来如果一个企业对于自己数据不够重视的话,不管是在业务的增长也好,还是说在自己的一个发展也好,一定会是一个阻力。
第二部分,我们杭州美创对于数据安全,我们是2005年成立的,也14年了主要聚焦在数据安全领域,我们的一些积累和经验。因为数据的话,刚才也提到了,我们数据是流动的,我们把数据应用的场景和范围去进行一个分析,我们可以得出,比如我们一份数据,我们在业务系统里面,包括运维的角度,包括从交换中心和我们现在很多的公司都有大数据的一个运营中心,其实它会应用到很多的场景里。然后再根据不同的范围,也可以把数据分为,比如完全放在互联网上去跑的数据,包括可能会在我们一个企业中,比如内部的一些运营系统会共享到的一些数据,然后的话,还有一部分就是我们最早完全内网才能绑的那些数据。通过对这些数据不同的应用场景和范围的分析,我们得出了一个,当然这个箭头指的是防护的一些手段,主要就是我们要针对不同的场景和范围进行有针对性的一个防护。比如说咱们数据库本身,数据的存储,像刚刚邵主任也提到了,我们整个生命周期数据的保护都是特别重要的。
因为时间关系,在这里只跟大家分享一下我们在数据安全比较重点领域的心得。
首先是数据安全,第一步就是分级分类,这个刚刚邵主任也提到了,我们做数据安全首先第一步我们要知道我们的敏感,或者时间我们核心的数据在哪里?如果一个企业连自己核心数据在哪都不知道的话,就无从谈起防护了。
我这里介绍几个维度:
1、以表格列为基础的敏感数据分类;像刚才邵主任也提到了,我们可以以传统的,在传统横向的基础上,加上纵向的分级分类。
2、以Schema级别的敏感数据分类;
3、以业务为单元的敏感数据分类;因为我们不同的业务系统里面,可能说数据的级别也是不一样的,有些比如在我们内部的ERP里面有大量的一些数据,但是每个列的数据可能它的级别都不一样,所以也可以针对不同的业务单元去进行一个分级分类。
除了对数据的分级分类之外的话,我们也要做到对特权用户的访问控制,这个资源库什么意思呢?因为我们对数据分级分类之后的话,我们就可以针对不同级别的数据进行一个重点的防护,比如说我们没有做一些管控的话,可能任何一个帐号都可以访问到我数据库里任何表和字段,但是如果我针对不同的业务单元做的业务划分和防控之后,只有一些管理员才能访问到我核心数据,一些开发测试可以访问到一些半机密的数据,普通的员工可能只能访问一些公开的数据。所以说分级分类是数据安全的第一步。
这一页讲的就是我们在数据安全里面内控安全的重要性,因为安全从内部视角和外部视角去划分的话,像我们防火墙也好,IDS,包括态势感知,其实它更多的是防范了一个外部的风险。但是内部的这些风险的话,往往会被我们一些企业的运营人员,或者CSO所忽视。因为事先我也接触过一些客户,银行的客户,可能在外部的防范上花了很多钱,基本上市面上能买的产品都上了,但是在内部的防范上,这一块更多的去通过一些管理的手段,或者说是一些人为的手段去进行控制。
所以内控这一块,从刚才说的分级分类,到我们不同角色的一个企业内部的人员,比如我们业务人员,然后我们的一些安全人员,包括我们的领导层的一些人员,通过不同人员的分类,然后去建立一个准入的机制,就是说这个角色通过一些像准入的一些手段,这里举一个例子,比如说通过一些多因子身份认证,比如说像转证书,或者说像现在比较火的FMA这样一种办法进行一个准入。并且在准入过程中,去进行一些对安全层面的一些管控,怎么理解呢?比如说我低权限的用户,允许你去做一些操作,但是的话,我会进行一些管控,比如说你这个操作的话,是有一些前提的。包括我们也可以进行一些工具类的验证,比如说一些可信的一些应用和一些我们企业内部可以信任的一些程序也好,应用也好,然后我们去进行一个分析,然后的话,除此之外的一些用户和一些工具,我们都给他禁掉,这是是比较细的一些措施。
接着刚才提到的准入控制去说,比如从我们一个普通用户,因为传统的一些防护可能只有帐号和密码,但是的话,如果只有帐号和密码的话,可能只需要我通过社工或者弱口令的拆解就可以拿到。比如通过第三方多因子认证的话,就比较困难,然后通过多因子身份认证,刚才提到了我们可以针对不同的行为操作定义不同的一个级别,比如你如果想看到很核心的,比如一个企业的财务信息,人员工资信息,这个时候只有固定的高层,你拥有一个权限去看,然后其他人的话,你是看不到这个数据的。
然后的话,这里列举了一些准入的机制,比如说除了在传统的帐号密码之外,比如通过我们应用的工具,然后主机的IP地址,以及一些机器指纹,还有一些个人证书或者UK等等一些方式进行一个认证。当然这一块的话,像刚才京东云也提到了,其实现在这个准入的机制还是蛮多的,所以的话,我们客户可以根据我们自己的需求,去定制一些适合自己的认证方式。
然后的话,除了对身份认证要做增强之外,我们一个危险的管控,因为我们数据库是数据的载体,所以针对数据库里面数据的一些操作,我们要进行更细化的一个分析。我们大家也知道,前几年应该是2016年还是2015年,携程出了一个事情,它的DPA直接把携程的数据库给物理删除了,直接删掉了。针对一些表啊,包括像刚才我提到的一些物理删除的操作,这些操作其实都是很敏感的,极其敏感的,甚至在我们正常业务过程中的话,基本上是用不到的。针对这种操作的话,我们就可以把你的这个操作的一个权限给调高,只有固定的某一个人或者两个人可以进行操作,其他的话,都给它禁掉。
比如像一些比较常见的,像一些多批量的选择操作的话,比如有很多业务要用到,可能你没办法去禁掉这样一个语言或者这样一个字段,我可以根据颗粒度更细化的操作,比如说像五千行或者一万行去进行一个限制。通过对颗粒度很细化的划分,然后去达到一个对,比如我们数据库里面数据的一个管控。
然后第三块的话,就是我们提到了流动数据的一个管控,因为我们现在基本上每个企业的数据基本上,尤其是互联网公司,数据肯定是流动的,比如它不同的一些业务也好,或者说是一些场景也好,没有一家公司说我这个数据就在我数据库里面,然后其他的数据交换,基本上没有,很少。尤其现在数据来源又很多,比如我们结构化数据里面存在传统的数据库里面,比如现在有很多做数据仓库,包括了数据仓库,包括了大数据的分级平台,这个的话都是很常见的,包括我们一些非结构化数据,比如文本啊、报表之类的。其实我们的数据在我们日常企业的过程中,都是处于流动的状态。所以的话,我们要对流动的数据进行一个管控。
管控的话,其实在这块的话,我这边应该是少了一个说明,就是在流动过程中的话,我们要针对不同数据的级别和一个方式进行一个管控。这里的话,主要针对的是我们数据库里面的结构化数据的一个管控,就是比如我们在生产端到第三方的一些数据交换,或者说是到我们其他的,比如说像测试UAT这种环境,包括到一些其他的需要利用我们数据场景,我们需要进行一些漂白和数据的脱敏,这个的话,我们常见到。包括一些像非结构化数据里面,像我们的文本,我们的一些报表也是需要经过里面一些关键信息进行脱敏以后,去进行一个利用和使用。
这是我们的业务数据安全,业务数据安全的话,其实怎么说呢?提这个业务数据安全厂商也蛮多的,也不是一个新的概念了。我这边总结了一下,在业务系统里面,可能会出现的一些问题。从我们应用层面代码的一些漏洞、缺陷,然后到我们业务逻辑的一些缺陷,以及业务授权的一些颗粒度粗糙。其实这些缺陷都是黑客常见的攻击的手段,比如业务逻辑漏洞,可以通过越权类的利用去进行一些通过低权限去获得高权限的一些数据。
然后包括对业务监控的这样一个缺失,就是比如说我对我正常业务中的一些异常的数据进行一个监测,其实这一块的话,也是一个很重要的。因为很多时候比如说像我们的一些正常的业务,可能会涉及到一些财务啊,包括一些像我们个人身份的一些敏感的信息,如果我们对这些数据的监控有缺失的话,很可能会导致一些惨痛的代价。
像之前的话一个案例,比如说在一个银行,哪个银行不提了,在转账的时候,它对身份认证逻辑有问题,比如你转账十块钱,其实是可以转账十万的,就是类似这样一个操作,当然你账户里没有十万,如果只有十块钱的话就只能转十块了,就是对业务逻辑的一个监测。
另外,我们对业务系统中的数据如何进行一些细致化的管理?包括可能之前我见到一些客户,因为数据量很大,很多动辄几个T甚至几十个T的数据,管理起来的话很麻烦。
这是我总结的一些业务数据安全里面常会遇到的一些问题。
这是我们在业务安全中一些实践,比如说我们会通过一些基于我们大数据的一些建模,包括我们对业务系统的一些精细化的了解,然后去进行一些长期的学习,然后的话,我们就可以针对我们业务系统中的敏感数据进行一个及时的发现。比如说我们在我们企业内部的一个系统里面,这些系统里面有哪些数据?这些数据里面哪些很敏感,哪些很重要去进行一个梳理。
第二块就是一个异常行为的检测,当我们知道我们的数据在哪,敏感数据有哪些的时候,我们还要对我们这些业务系统中的这些敏感数据进行一个及时的监测,这里我列举了一些常见的监测项,比如像我们的一些帐号的越权,包括一些僵尸帐号,包括帐号复用的操作。
第三个是对业务数据的审计和事后的追溯,一旦我们在业务系统中发现异常的一些操作和违规的一些行为,我们可以第一时间进行告警,甚至阻断。
刚才提到的更多是内部安全,这个是外部的风险,这个其实还是比较常规的,一个数据库防火墙,但是针对这个场景的话,我想提一点,因为我们在常见的比如像wep,wep是一个很常见的在边界的一个安全设备,然后它和数据防火墙的区别就是因为我们的wep很多时候在边界,所以的话,黑客虽然说我们在边界的堡垒筑的比较高,但是一旦黑客攻陷了这个堡垒之后,其实是很容易拿到我们核心的服务器也好,或者说是数据库里面的数据也好,是很容易的。
所以我们需要改变传统的一些认知,就是除了在边界去做一些防护之外的话,我们是不是可以在我们终端,我们在我们的数据库的前置也去做同样的类似这样的一个检测和操作。
然后的话,这块指的是一个核心数据加密,前面的两位嘉宾也提到了我们针对不同的一些数据的一些级别,进行一些管控,然后的话,这个加密的话也是同样的,我们针对像我们分类分级之后核心的一些数据进行一个加密。然后对一些比如可以公开的,或者说是半公开的数据进行一个访问行为上的管控。然后通过加密的话,去实现当黑客攻陷了我们数据库以后,然后想脱库的时候,他其实是看不到真实的信息的,他看到的是我们加密后的字段,这样的话也能够防止我们的数据被别人拿不走。
然后就是我们关于美创科技的一个简介,美创科技是2005年成立的,到现在是有14个年头了,我们公司主要业务也是在数据安全这一块,不像我们一些友商涉及的领域比较广,像应用安全、网络安全、终端安全,很多涉及,我们只是聚焦在数据安全这个领域。所以相对来说还比较小众的,但是我们坚信数据安全这个未来的市场还是比较大的。
也可以看到,这是我们产品的一个体系,就是通过在内控安全以及数据外部的安全,以及数据流动的安全和业务一致性安全中的一些产品和手段。
这个是我们一些客户的情况,虽然公司时间怎么说呢,14年吧,15年,说短不短,说长不长,但是基本上我们服务的客户和案例反馈还是比较好的。所以在这里也是希望能够跟大家多探讨一些关于数据安全领域的话题,共同去让我们的数据安全和信息安全能够更好的发展,也希望不管是我们企业也好,还是我们国家的监管单位也好,我们一起去推动这个行业更健康更高效的发展。
上一篇:龚一斌:京东云安全体系建设与实践
下一篇:李少鹏:主持人