【“ZiDongHua”科技观察:《数据安全治理自动化技术框架》白皮书】北京天空卫士网络安全技术有限公司创始人、CEO刘霖,对数据安全治理自动化体系(DSAG)进行了详细的解读。DSAG的亮点可以概况为“六化一管”,分别是数据分类分级自动化、数据安全处理自动化、行为分析智能化、数据脱敏全面化、API数据内容分析细粒化、DSAG编程管理可视化、一把手数据安全管理“一支笔”。

 

 

《数据安全治理自动化技术框架》白皮书正式发布

 



​  9月6日,2022数据安全技术大会隆重举办,由中国信息协会信息安全专委会数据安全技术工作部指导,组长单位北京天空卫士网络安全技术有限公司主编,成员单位深圳昂楷科技有限公司、神州数码(中国)有限公司、北京芯盾时代科技有限公司、广州市溢信科技股份有限公司、上海安言信息技术有限公司、上海鸿翼软件技术股份有限公司、上海市大数据股份有限公司、深圳永安在线科技有限公司共同参与的数据安全治理自动化技术框架(DSAG)白皮书在大会上正式发布。( 文末下载《数据安全治理自动化技术框架》白皮书)

 



《数据安全治理自动化技术框架》白皮书正式发布

2022.09.06
 

 

 

随着《数据安全法》的发布,数据安全重新站到了聚光灯下,成为了整个信息安全行业关注的焦点。

 

特别是在疫情期间,数字化政府的建设进入到加速模式。比如,我们熟悉的 “健康码”、“行程码”等数字化应用就是数字化建设的典型。但是,在数字化加速发展的进程中,也带来了数据大规模泄露的隐患。无论是国内,还是国际,对数据安全的重视都到了空前的程度。

 

因此做好数据安全,进行数据安全治理,将成为数字经济发展的首要工作。

在本次会议上,北京天空卫士网络安全技术有限公司创始人、CEO刘霖,对数据安全治理自动化体系(DSAG)进行了详细的解读。


《数据安全治理自动化技术框架》白皮书

 

 



研发数据安全治理自动化体系(DSAG)的初衷

 

 

 

数据安全在中国起步比较晚,数据安全的技术工具和标准成熟度也较晚。关于数据安全的技术标准和措施我们可以参考一下国外的做法,比如美国的持续诊断和缓解计划(CDM)。

美国持续诊断与缓解 (CDM)项目,是国土安全部(DHS)国家网络空间安全保护系统(NCPS)计划三大项目之一,早在2012年美国国土安全局就提出了这个概念。CDM提供了一套一致的、政府范围的连续诊断解决方案,以增强政府识别和缓解新出现的网络威胁影响的能力。CDM系统有两个特点,一是系统本质上是美国国家的数据安全防护能力提升的一套系统;二是不再强调某一种安全标准或者某一种规范,更多强调的是数据安全防护系统的能力,能力的核心是数据安全防护。

CDM能够提升识别和减轻新兴网络威胁影响的能力,以减少网络威胁面,提高对安全态势的可见性,提升安全响应能力等。

CDM跟我们的数据安全治理自动化体系(DSAG)的理念非常类似。我们在中国接触到的美国网络安全公司,主要是数据安全公司,都参与了CDM这个系统的建设,包括美国很多咨询机构。因此,我们希望借鉴CDM项目的先进做法,参考其中标准,建立我国的“CDM项目”-数据安全治理自动化(DSAG)。


数据安全治理自动化(DSAG)与数据安全治理(DSG)的区别

   

Gartner在2018年的下半年,发布了数据安全治理框架(DSG)。DSG的理念是数据安全治理是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。CDM和DSG这两个系统都强调围绕业务做数据安全能力的提升,这两个框架之间有很强的关联性,可以简单的认为DSG是CDM系统的精简版。DSG的最大亮点是提出了“数据安全的建设要和业务紧密结合,而不是用某一个标准”。但是DSG的弱点也显而易见,比如效率偏低、周期长,成本高。最主要的是DSG的智能化能力偏弱,其中强调的技术,UEBA、CASB,以及一些针对结构化数据和非机构化数据识别的技术,并没有提供给中国,以致于在中国只有体系,没有技术,数据安全治理根本无法落地,也不能给企业带来价值。

最近几年,国际上在数据安全方面的自动化和智能化新技术层出不穷,但是这些技术在中国并没有被使用,甚至没有被了解,因为欧美企业不提供这样的技术给中国用户。

 

因此,近几年,在中国信息协会信息安全专业委员会的领导下,天空卫士在数据安全治理技术上加大了投入力度,针对DSG的缺陷进行了提升,弥补了技术的缺失,要真正解决数据安全核心技术受制于人的局面。

 

 

 

数据安全治理自动化体系(DSAG)的特点

 

 

     数据安全治理自动化(DSAG)通过自动化技术,识别结构化和非结构化数据,从企业内数据资源发现,到对数据进行分类分级,并以数据分类分级对象为核心,用户行为分析为增强手段,进行数据安全策略的配置和执行,全方位地覆盖数据安全治理周期的每一个环节。DSAG最大化的实现自动化,令人工干预降至最少,在必要的人工环节使用智能辅助,减少人为错误,更有效率及有效性地提高了数据工作的安全性。

 

DSAG的亮点可以概况为“六化一管”,分别是数据分类分级自动化、数据安全处理自动化、行为分析智能化、数据脱敏全面化、API数据内容分析细粒化、DSAG编程管理可视化、一把手数据安全管理“一支笔”。

1 ► 数据分类分级自动化

DSAG通过自然语言处理、自动聚类技术、以及深度学习等技术对海量的数据进行自动的分类分级。DSAG对海量数据经过初步的分类分级后,再根据用户所在的行业和业务进行模板配置和处理。目前的DSAG体系里涉及到的数据模板有上千种,未来我们会把数据模板扩充到上万种,可以针对各个行业、不同规模的用户做模板配置,进一步的分解、缓解压力,降低人工成本。

DSAG通过聚类分类技术以及模板技术对数据进行初步的处理后,还可以进一步根据数据不同的类型和级别对数据做进一步操作管控,比如加密、脱敏、打标签、添加水印等,这些技术由我们的合作伙伴提供,昂楷、鸿翼、IPGuard、永安在线、芯盾时代等厂商都可以接入DSAG平台进行业务联动。

2 ►数据安全处理自动化

DSAG对数据安全的处理最大化使用自动化,包括对数据分类分级、对数据的使用行为进行管控、对于人的行为进行分析,对于API里传输的内容进行管理,对于数据输出进行管理等。DSAG将人工干预降到最少,并在需要人工介入的环节通过工具和界面做到智能辅助。同时在数据安全治理自动化系统中,还针对数据安全治理步骤的不同环节,根据参与人员的全局视野、技术能力、专业特长的区别,为企业设计了不同的数据安全参与角色。

3 ►数据脱敏全面化

我们现在在市场上接触到的数据脱敏技术,绝大多数是结构化数据脱敏。实际上业务系统里的数据,90%以上都是非结构化数据,比如Word文档、电子表格、图片等等。而基于数据库的脱敏技术无法覆盖这些非结构化数据。数据是流通的,当这些结构化数据离开了数据库以后,就失去了保护。DSAG的脱敏可以针对所有类型的数据进行脱敏,无论是结构化数据还是非结构化数据。

4 ►API数据内容分析细粒化

 

传统的API防护,更多强调API里的病毒防护、漏洞、补丁,但是并不检测其中的数据内容。如果通过API传输了违规内容和机密信息,传统的API防护根本无法察觉。

 

DSAG是国内首个可以提供API内容分析细粒化的产品。我们可以把API的检测原理理解为机场安检仪,在不影响旅行的前提下,快速把有害数据拦截住,保障有用的数据正常的流通。

5 ► 行为分析智能化

 

传统的数据防泄露技术,可能会产生大量的事件,给信息安全部门的人员带来很大的压力。如果检测的颗粒度太细,会产生大量误报,如果检查的颗粒度太粗,会有大量的漏报,这是一个很难平衡的问题。而DSAG使用人工智能分析技术,把使用数据人的行为和使用数据的种类及内容进行更精准的比对,降低了人力成本,提高了效能。

6 ►DSAG编程管理可视化

传统的可视化系统都是固定表格固定使用,用户很难根据自己的需要定制页面。在DSAG系统里,有一个非常灵活的模块,叫“天空之眼”,是可编程化可模块化的大屏,可以实现“千人千面”,用户可以根据需要灵活搭建自己的可视化系统,全面满足用户差异化需求。

7 ►一把手数据安全管理“一支笔”

管理层或者一把手非常了解业务,了解企业最核心数据是什么,哪些数据不能出去,哪些数据需要加强保护。但是并不了解数据安全技术,所以很难下“命令”。DSAG跟传统的数据安全平台有很大区别的地方是将业务和数据安全相结合,管理层可以随时的下命令,一支笔直接批示,直接处理,哪些数据需要他亲自抓,哪些数据需要他亲自要过问,甚至没有他的批准,哪些数据是不能被使用的,简单明了。

 

 

 

数据安全治理自动化体需要多厂商参与

 

 

数据安全治理能力建设并非单一产品或平台的构建,而是需要从数据全生命周期入手,从决策到技术,从制度到工具,从组织架构到安全技术通盘考虑,构建全场景的数据安全体系。

 

数据安全治理,需要以人为中心,自上而下的建立数据安全治理体系。数据安全治理的落地涉及到多种技术,比如加解密、DCAP、DLP、CASB、IAM、UEBA等。每个技术赛道都需要术业有专攻,在不同的技术领域,会有不同的优秀代表厂商为大家服务,不同厂商提供的安全技术如下:

 


作为中国数据安全技术的引领者,天空卫士致力于发展以人为中心的新一代数据安全技术。通过《数据安全治理自动化技术框架(DSAG)》的编写与发布,旨在为企业提供全面的数据安全治理平台化产品。DSAG通过加入自动化数据分类分级流程和数据分类分级保护API模块,帮助企业降低数据安全治理的成本,提高企业数据安全防护能力。



     未来,我们希望携手国内数据安全领域优秀厂商实现对国际先进数据安全技术的赶超,缩短中国数据安全技术与欧美国家之间的差距。打造中国本土的数据安全治理体系,共同推动中国数据安全技术的发展,将关键技术牢牢掌握在自己手里。