似乎在IT行業(yè)里�����,大家都有過類似的感覺,那就是總有新名詞冒出來����,大家討論的熱火朝天的同時,彼此對這個詞的含義理解并不相同�。
好多年后,大家才逐漸清晰的總結(jié)出了這個詞的具體含義��。
比如�����,大數(shù)據(jù)(Big Data)早在1983年就被提出來���,在2011年進入行業(yè)視野�����,又過了好多年�����,人們才統(tǒng)一了認識�����,明確了大數(shù)據(jù)幾個“V”的特點�����。
在安全行業(yè)�����,這個現(xiàn)象同樣很常見��。
近幾年�,數(shù)據(jù)安全領(lǐng)域經(jīng)常出現(xiàn)的一個熱詞是 “以數(shù)據(jù)為中心的安全”,很多報告都用“以數(shù)據(jù)為中心的安全”區(qū)別“傳統(tǒng)的數(shù)據(jù)安全”�����,但卻很少有人具體講清楚“以數(shù)據(jù)為中心的安全”到底是什么�����。
一�����、什么是DCS維基百科上對DCS的解釋是:相比系統(tǒng)安全��、網(wǎng)絡(luò)安全��、應(yīng)用安全等更聚焦在數(shù)據(jù)自身安全的安全方法,并指出一個DCS模型具有4個關(guān)鍵組件��,分別是:發(fā)現(xiàn)�、管理、保護和監(jiān)測����。
這4個關(guān)鍵組件的具體能力是:發(fā)現(xiàn)是指發(fā)現(xiàn)敏感數(shù)據(jù)等數(shù)據(jù)存儲在什么位置的能力;管理是指定義數(shù)據(jù)在不同情況下可訪問、修改�����、阻斷等策略的能力;保護是指阻止敏感數(shù)據(jù)泄露或非授權(quán)使用的能力;監(jiān)測是指持續(xù)對數(shù)據(jù)使用異常行為監(jiān)測發(fā)現(xiàn)的能力���。
MarketsandMarkets在《DATA-CENTRICSECURITY MARKET》報告中稱DCS市場規(guī)模將從2017年的20.6億美元增長到2022年的58.3億美元�����,其增長的主要動力來自于強勁的合規(guī)需求����,其中亞太地區(qū)將成為增長最快的地區(qū)。
然而�����,目前行業(yè)內(nèi)似乎還沒有對DCS形成統(tǒng)一的認識�。
于是我們參考了數(shù)十份資料,包括學術(shù)論文��、產(chǎn)業(yè)研究報告���、技術(shù)白皮書等資料����,系統(tǒng)梳理并結(jié)合我們自己的實踐經(jīng)驗形成本文����,目的是與大家一同討論DCS的概念并統(tǒng)一對DCS的認識。
二��、大家眼中的DCS1. IBM:DCS的核心是數(shù)據(jù)分類IBM是一家偉大的公司,很早就在很多技術(shù)領(lǐng)域發(fā)表過深刻的思考�����。
2006年�,IBM的研究人員Sreedhar就已經(jīng)提出了基于角色分析的DCS方法�,用于處理對象被不同方法訪問時的安全問題。
這個方法把角色作為重點考擦對象��,并以角色一致為主要判別準則�����。
2009年�����,IBM又提出一個基于數(shù)據(jù)的安全模型���,名為DCSM(Data-centric Security Model)�。
DCSM把數(shù)據(jù)���、策略和角色區(qū)分開���,通過自定義一套策略描述語言����,通過策略把數(shù)據(jù)和角色關(guān)聯(lián)起來�。
DCSM是基于數(shù)據(jù)的商業(yè)價值進行制定策略,而不是基于傳統(tǒng)的IT安全規(guī)則���。
更重要的時�,DCSM強調(diào)了DCS的核心就是數(shù)據(jù)分類��,而且必須是自動化的數(shù)據(jù)分類�。
這一判斷非常準確,一直沿用至今�。
IBM的觀點是,傳統(tǒng)的數(shù)據(jù)安全分類標簽如機密����、專有、限制傳播�����、商業(yè)秘密等是不能滿足業(yè)務(wù)需求的�,如果數(shù)據(jù)分類和業(yè)務(wù)流程不匹配��,則分類越多�����,來帶的負面影響越多�����。
所以IBM提出了新的數(shù)據(jù)分類方法,這個分類方法遵循三條原則:1)數(shù)據(jù)分類一次完成;2)策略直接體現(xiàn)在分類標簽上;3)業(yè)務(wù)主管直接推進分類并直接看到執(zhí)行結(jié)果����。
IBM最后還是強調(diào)DCS最核心的內(nèi)容就是結(jié)構(gòu)化數(shù)據(jù)的分類方法,同時也指出����,數(shù)據(jù)如何有效分類是個大學問,需要對行業(yè)規(guī)范����、公司標準、業(yè)務(wù)操作�����、各類文檔、部門交互都非常熟悉的核心人員來主導分類���。
2.Symantec:數(shù)據(jù)打標和數(shù)據(jù)加密是重中之重Symantec提出了一個以信息為中心的安全模型(Symantec Information Centric Security Module ���,簡稱ICSM)。
這個模型包括兩個核心組件:數(shù)據(jù)打標(Symantec Information Centric Tagging���,簡稱ICT)和數(shù)據(jù)加密(Symantec Information Centric Encryption ���,簡稱ICE)。
ICT和ICE都已在Symantec形成產(chǎn)品或解決方案���。
ICT是針對郵件和文件進行打標簽和加水印的分類器���。
ICE是基于云的一整套加密方案,包括加密算法�、秘鑰管理、身份認證��、用戶和文件監(jiān)測以及終端用戶加密工具�����。
如果從Symantec的產(chǎn)品設(shè)計來看,還有Data Loss Prevention(DLP)和CloudSOC等產(chǎn)品���。
整套的數(shù)據(jù)安全產(chǎn)品在數(shù)據(jù)防護的準備��、保護����、監(jiān)測和響應(yīng)四個環(huán)節(jié)進行保護�����。
3. IDC:DLP是DCS的神經(jīng)系統(tǒng)IDC指出DCS是解決數(shù)據(jù)安全的最佳方案�����。
數(shù)據(jù)具有三種主要的保護方式:定義和分類���、監(jiān)測和強化治理策略、加密和混淆����。
數(shù)據(jù)防護的最佳方式就是將這三種方式有效的結(jié)合起來,而結(jié)合起來就是DLP、加密和訪問控制�。
其中,DLP是在DCS策略中像神經(jīng)系統(tǒng)一樣重要�。
4. Sirius:完整的DCS策略具有10個核心要素Sirius Edge的一篇文章列出了一個完整的DCS必須具備的10個核心要素,分別是:1)數(shù)據(jù)發(fā)現(xiàn);2)數(shù)據(jù)分類;3)數(shù)據(jù)打標和數(shù)據(jù)水印;4)DLP;5)數(shù)據(jù)可視化;6)加密策略;7)增強的網(wǎng)關(guān)控制;8)身份管理;9)云訪問管理;10)持續(xù)教育��。
值得一提的是���,這10個要素中強調(diào)了持續(xù)教育這一非技術(shù)要素��,提醒我們做數(shù)據(jù)安全防護的時候一定不能只盯著技術(shù)�、盯著功能性能�,而忽略了教育、培訓等非技術(shù)要素����。
三、DCS離不開數(shù)據(jù)生命周期DCS強調(diào)數(shù)據(jù)處于中心位置�,如何體現(xiàn)中心位置呢?這就需要站在數(shù)據(jù)的視角,把數(shù)據(jù)的完整生命周期(Data Life Circle)梳理出來�,然后從數(shù)據(jù)生命周期的每個關(guān)鍵環(huán)節(jié)重新審視安全問題和解法。
通過數(shù)據(jù)生命周期來看待DCS并不是某一家獨有的觀點�,而是很多機構(gòu)共同支持的觀點。
只不過�����,大家對數(shù)據(jù)生命周期的劃分數(shù)量和階段類型都不同。
一些文章用DLCM(Data Life Circle Model的簡稱�����,數(shù)據(jù)生命周期模型)來表述數(shù)據(jù)的生命周期�����。
為便于閱讀����,本文統(tǒng)一使用DLCM表示數(shù)據(jù)生命周期,并用DLCM-X來區(qū)分不同的數(shù)據(jù)生命周期模型�����,其中X表示劃分的階段數(shù)量����。
針對DLCM的討論和劃分有很多種����,有些機構(gòu)將數(shù)據(jù)生命周期分為5個階段,形成DLCM-5,有些則劃分成更多的階段����,例如DLCM-6、DLCM-7�����、DLCM-10等����。
1. DLCM-6Securosis將數(shù)據(jù)生命周期劃分為6個階段,分別是:創(chuàng)建���、存儲��、使用�����、分享�����、存檔���、銷毀��。
而且��,Securosis將這6個階段表示為單向流動��,即從創(chuàng)建開始依次流動���,直到銷毀結(jié)束,并在每個關(guān)鍵階段列出了對應(yīng)的數(shù)據(jù)安全技術(shù)���。
2. DLCM-7Bloomberg在《7 phasesof a data pfe cycle》一文中����,將數(shù)據(jù)生命周期劃分為7個階段���,分別是:數(shù)據(jù)獲取�����、數(shù)據(jù)保存、數(shù)據(jù)合成�����、數(shù)據(jù)使用、數(shù)據(jù)發(fā)布�、數(shù)據(jù)歸檔、數(shù)據(jù)清洗�。
這個7段分法中,比較有特色的是數(shù)據(jù)合成(Data Synthesis)�����。
數(shù)據(jù)合成是一種數(shù)據(jù)分析過程�,主要指通過多種數(shù)據(jù)共同計算產(chǎn)出更多數(shù)據(jù)價值的過程。
文章也提到����,數(shù)據(jù)合成這個階段并不是常見的數(shù)據(jù)生命周期階段。
數(shù)據(jù)合成是連接數(shù)據(jù)保存和數(shù)據(jù)使用的中間階段��,其中�����,對于數(shù)據(jù)最初的預(yù)處理是在數(shù)據(jù)保存階段完成的���,而與實際業(yè)務(wù)直接相關(guān)的數(shù)據(jù)計算都在數(shù)據(jù)使用階段完成���。
3. DLCM-11Uttaranchal University 的一篇論文將DLCM劃分為11個階段�����,分別是:收集����、重要性判斷�����、用戶授權(quán)��、分類�����、存儲���、傳輸�、存檔或轉(zhuǎn)換��、發(fā)布��、備份���、留存��、評估或移除�。
DLCM-11增加了用戶授權(quán)階段���,這一階段主要是通過訪問控制相關(guān)技術(shù)實現(xiàn)正確的主體訪問正確的數(shù)據(jù)�。
不過����,用戶授權(quán)并不是一個數(shù)據(jù)概念,而是一個系統(tǒng)概念�,出現(xiàn)在數(shù)據(jù)生命周期中并不多見。
此外���,DLCM-11也標出了每個階段的風險等級��,其中用戶授權(quán)��、存儲����、存檔或轉(zhuǎn)換這三個階段的風險等級最高。
而且����,文章提到的風險等級都是指“數(shù)據(jù)泄露”的風險,并沒有考慮“數(shù)據(jù)濫用”和“數(shù)據(jù)誤用”問題��。
四���、小結(jié)大數(shù)據(jù)時代的數(shù)據(jù)安全是“舊瓶裝新酒”���。
DCS(以數(shù)據(jù)為中心的安全)看上去是一個老的概念,但實際上是完全不同的新概念���,所以不能用過去的思路理解今天的含義����,也不能用過去的經(jīng)驗來解決今天的數(shù)據(jù)安全問題��。
想要解決今天面對的數(shù)據(jù)安全問題��,創(chuàng)新是必不可少的�����。
