媒体声音 | 启明星辰的数据安全,跟着数据走,更跟着业务走
发布时间 2024-01-05前言:
继土地、劳动力、资本、技术之后,数据已经被定义为第五大关键生产要素,数据安全关乎国家安全。基于此,启明星辰集团专家与媒体展开深度对话,详细介绍了启明星辰集团在数据安全领域的技术逻辑、方案价值与实践路径。“没有网络安全领域的积累,就很难在数据安全领域有所建树,但两者的业务逻辑完全不同;数据安全是以业务‘价值’驱动,而且是内嵌于数据流通全链路的每个环节。”启明星辰集团助理总裁鲍启凡,首先抛出两个观点。
价值驱动的数据安全
世间万物,动起来才有价值。
“只有数据要素流通起来,才能产生大规模的经济价值。”在阐述数据安全战略之前,鲍启凡特别强调“数据流通”的过程,就是“业务流转”的过程,也是价值创造的过程。“所以启明星辰不会脱离业务、脱离场景谈数据安全。”
想想,确实如此。
曾几何时,网络安全就是安全产业的代名词,但它并不十分强调业务和场景。而且,网络安全的构建逻辑也相对简单,——以“风险”和“合规”双轮驱动,即一手拿着网络拓扑图,一手对照着法律法规。至于,防火墙、IPS等安全基础设备的“摆放”,完全是有一定之规。
数据安全的逻辑显然不同。
继土地、劳动力、资本、技术之后,数据已经被定义为第五大关键生产要素。其描述着业务流程,支撑着应用创新和业务创新。企业对数据的认识也是一路上升——从数据资源、数字资产,跃升为数据资本。
但问题也由此而来。
何为数据安全?
其实,相比于“风险、合规”驱动的网络安全,数据安全更具业务属性,而且增加了“价值”驱动。例如,数据治理,以及数据分类分级,就是明显具有业务属性,也相当考验安全企业的业务理解能力。再例如,隐私计算是数据安全的核心技术,它也明显带有业务属性。尤其在公有云服务体系中,隐私计算并没有被置于安全板块,而是归类于偏向业务的大数据板块。
与此对应。
如何提供数据安全?
不同于旁路式、外挂式、保安式的网络安全,数据安全更追求串行式、内嵌式、保镖式的安全能力,也更追求将数据安全“内嵌”于数据流通、业务流程的每个环节。例如,从数据治理到数据安全治理,从API安全到安全API,从云安全到安全云,近年,业界对数据安全理解的演变,无不体现为数据流通的每个环节中,均已内嵌了安全能力。
数据安全【数据绿洲】战略
这也是启明星辰的技术逻辑。
正是基于既要懂安全,也要懂业务,启明星辰已将“数据安全”定义为公司的重要战略之一。基于既要关注数据流转,也要提供“内嵌式”的数据安全,2021年,启明星辰细化提出数据安全【数据绿洲】战略,并将数据安全定义为三个阶段——数据安全1.0、2.0、3.0。
稍作解释。
数据绿洲1.0
即数据对象安全——面向数据载体提供安全能力。例如企业的核心数据被封印在数据库里,启明星辰就要面向数据库这样的“盒子”,提供数据库加密、数据库审计、数据库防泄露等一系列安全能力。
数据绿洲2.0
即数据汇聚安全。此阶段对应于数字化转型初期的数据融合。企业在打破数据孤岛后,开始推进数据在组织内部的流转(并非流动)。这对数据安全提出了更高的要求,需提供从数据采集、传输,到数据加工、治理的安全管控能力。
数据绿洲3.0
即数据流通安全。此阶段的数据开始流通,向企业外部流通,数据安全则需内嵌于数据流通、业务流程的每个环节,并明显以价值驱动。例如国家数据局的成立,“数据财政”等概念的提出,都是为加速数据流通,释放数据价值,提供组织和政策保障。
“数据产品”是怎样练成的?
“数据安全2.0与数据安全3.0有融合的趋势。”虽然数据安全三阶段定义清晰,但鲍启凡并不认为,此三个阶段是在依次交替演进。相反,数据安全一直在跟着业务走,例如,企业希望加快数字化转型的节奏走,本应在数据安全2.0阶段完成数据治理,就通常会与数据安全2.0阶段的安全治理同步完成,并合并成为数据安全治理。
但这也只是数据流通的一个环节。
其实,数据流通的逻辑,大致如房产交易。未被开发的“土地”,类似于“原始数据”。由此对比,“房产开发商”入局产业链,将“土地”建设为住宅、商业、园区等不同类型的“产品”。“原始数据”也是如此,经过“数据开发商”的建模、开发,“原始数据”也被形成“数据产品”。
在此之后,已经成为“产品”的住宅、园区,再由“销售商”转卖给最终用户。期间,还需经过房管所、不动产登记中心等机构,进行确权登记。“数据产品”还是如此,经由数据销售商销售给最终用户。期间,也需经过数据交易所,或外场交易进行确权登记。
这就是完整的数据流通。
在上述数据的修炼过程中,其经历了“原始数据、数据资源、数据资产、数据产品、流通交易、行业产品”等六个环节。期间,数据资源持有权、数据加工使用权、数据产品经营权实现了“三权分置”,而且数据流通的每个环节,均将对应于不同的数据安全解决方案。
启明星辰的价值就在于此。例如,“原始数据”环节对应启明星辰的数据安全咨询、数据分类分级能力;“数据资源”环节对应数据脱敏、数据加密传输等技术。
更进一步,“数据资产”环节对应数据防泄漏、数据存储加密;“数据产品”环节对应身份认证安全、隐私计算安全、可执行环境;“数据交易”环节对应数据可信交换、签名验签认证。最终,在数据流通的“行业产品”环节,也将对应隐私计算、访问控制、安全监测等技术。
三域、四链、五中心、六个目标
但这还不是顶层设计。
正是基于对数据流通每个环节的梳理,启明星辰提出“六个目标”,即围绕数据来源可确认、使用范围可界定、流通过程可追溯、使用过程可管控、安全风险可防范、数据价值可评估的“六个目标”,构建数据安全3.0的基本能力。
而将“六个目标”落地为顶层设计,启明星辰进一步提出了构建安全一体化可信数据要素空间的概念,并基于此完成了“三域、四链、五中心”的整体运行逻辑框架。
其中,“安全五中心”由安全能力中心、安全管控中心、全流程监控中心、授权中心及运营中心组成。而各个中心的构建,充分贴合了数据采集、数据治理、数据开发、数据产品产生的业务管控需求、数据流转安全需求,以及多参与主体的管理需求。
“早期,启明星辰对数据安全3.0的理解就是可信执行环境。”数字安全不可能一蹴而就,鲍启凡也并没有回避启明星辰顶层设计的演进过程,“之后,启明星辰又形成了完整的隐私计算技术体系布局,并且与数据访问控制、数据资产管理,数据脱敏/水印技术等进行多方融合”
这也不是全部。
TEE(可信执行环境)、隐私计算等,虽然是数据安全的核心技术,但其也只构成了“安全能力中心”中的“数据加工”模块。因为,随着业务的推进,启明星辰又很快向前走了一步,也向后推了一步。
向前,启明星辰关注到,没有数据治理就没有数据流通,并在此后形成了“内部管控”模块,而且创新性地借助于向量空间模型,大幅提升了数据安全治理的效率;向后,针对数据交易过程中的安全问题,启明星辰又发展了“外部流通”模块。
而且不管是“内部管控”模块中所涵盖的数据加密存储、数据传输加密、敏感数据识别,还是“外部流通”模块中所包括API安全路由、数据水印、数据泄露溯源等能力,都是启明星辰的传统能力,都是启明星辰在网络安全领域,业已打磨成熟的能力。
不仅如此。
正是基于“数据加工、内部管控、外部流通”三大功能模块,所提供的基础网元能力,启明星辰形成了“安全能力中心”。而在此之上,即是“安全管理中心”,其以安全策略、数据授权、统一认证,对“安全能力中心”的网元能力进行调度和管理。
此外,“全流程监测中心”的地位也相当重要,其相当于数据使用过程中的“裁判员”,提供人员安全监测、数据安全监测、合规审查等能力,时刻注视着数据从哪来,到哪去,并且可以完成数据流通的全链路追溯;而“授权认证中心”提供登记注册、数据授权、数据申请、授权数据查询等服务;“安全运营中心”则是提供了运营驾驶舱、安全事件展示、数据全链路溯源、趋势分析、报表报告等服务。
如影随形的数据安全
当然,回归数据安全就是业务价值的本质,数据安全的发展正在向“业务安全”甚至是“安全业务”发展,启明星辰希望以“安全+业务”的协同框架为基础,构建一体化数据安全底座为数据流通提供如影随形的“影卫”式安全保护。
而这正如安鲍启凡最后所说:“安全企业没有网络安全领域的积累,就很难在数据安全领域有所建树。没有对业务和场景的理解,没有对数据流通全过程的解析,安全企业也很难跟上数据安全市场的发展的节奏,更不可能实现从数据安全2.0,到数据安全3.0的跨越。”
文章引自于公众号:张戈BP
京公网安备11010802024551号