伴随数据成为企业的核心资产,数据安全已经成为所有企业在产业互联网时代必须直面的挑战。
今年的数据安全态势仍然不容乐观,据Risk Based Security数据,截至2019年前6个月,世界范围内已经发生了3813起数据泄露事件,平均每天21起,公开的数据为41亿条,数据泄露事件的数量与去年同期相比增加了54%。在被泄露的41亿条数据中,有32亿的数据泄露归咎于8起泄露事件。
企业为此不仅付出了高额的代价,还将面临来自监管更为严厉的处罚——GDPR高达企业全球年营业额的2%到4%的罚款令人咋舌……与此同时,国内相关法律法规也开始不断落地。网络安全法、等保2.0、密码法等相继开始实施,进一步提升企业做好数据安全的重要性。
从数据流动的角度看待数据安全
数字化时代,企业数据一旦生产出来后就会进入传输、存储、处理、分析、访问与服务应用等各环节,且周而复始如同流淌的血液,而这些环节涉及到研发运维人员、最终用户、生态伙伴、服务器、办公终端、内外网络、大数据分析平台、云平台等,任意一个环节都面临着数据安全挑战,造成企业数据失血。
这意味着企业不能只在关键节点构筑防御堡垒。从2002年起,国内就出现了以防止敏感信息泄露为目的的防水墙系统,数据防泄密领域先后发展了主机监控与审计、桌面管理、终端安全、补丁管理、移动存储介质管理、终端准入等安全管理手段。目前这类手段就如同IDS、防火墙、杀毒软件一样,从网络边界、系统安全、设备管控的角度来保证内部信息不受外部的入侵、更多的是用堵的方式来堆砌高墙,把需要保护的信息给围起来。
通过梳理近年来层出不穷的数据泄露事件的原因就能发现:既有黑客的攻击,更有内部工作人员的信息贩卖、离职员工的信息泄露、第三方外包人员的交易行为、数据共享第三方的数据泄露、开发测试人员的违规等,多种原因导致的数据泄露事件背后折射出的是,仅仅依靠单点防护难以达到真正的安全防护效果。
毫无疑问,企业保护数据安全应该转向以数据为中心构建防护策略,并遵循数据流动的方向,构建基于全生命周期的安全防护。值得一提的是,企业上云大潮的趋势下,讨论数据安全绝大部分要从云环境出发,云原生的数据保护技术和策略也将成为当下及未来的主要手段。
腾讯安全数据全生命周期保护体系
突破四大难点
事实上,近年来企业和安全厂商已经就数据全生命周期的安全防护达成共识,但是如何突破数据全生命周期安全管理的“四大难点”,却各有千秋。腾讯云综合运用数据安全管理经验和数据保护技术打造了数据安全治理中心、数据加密服务、密钥管理系统、凭据管理系统、数据安全审计、堡垒机、敏感数据处理等七大产品体系,针对性地在数据全生命周期每个阶段提供保护,帮助用户克服数据安全防护的“四大难”,助力企业快速构建数据安全防线。
1. 数据的分类、治理和策略的管理
万事开头难,数据全生命周期的防护从数据生产之时就已经启动。此时的防护重点是需要对数据进行分级,明确哪些是机密数据、敏感数据、普通数据,进而根据数据的不同等级,设置不同的安全策略。
基于数据流的理念,腾讯云通过数据安全治理中心对数据资产感知与风险识别,为企业云上敏感数据进行定位与分类分级,并帮助企业针对风险问题来设置数据安全策略,提高防护措施有效性。有别于其他的数据资产感知产品,数据安全治理中心以数据安全治理为核心,重点强化数据资产感知、数据安全治理、联防联控。同时,结合腾讯和生态的优势为企业提供安全管理咨询、安全技术咨询、安全专家服务,实现服务能力的整合。
2. 数据保护技术
数据在存储、传输、使用过程中如何应用加密技术以及脱敏技术进行数据的保护是第二大重点。尤其是机密数据需要持续性的保护,因为它们在企业内部和组织内共享,企业必须确保其数据库、文档管理系统、文件服务器在整个生命周期内正确分类和保护机密数据。
毫无疑问,加密技术首当其冲,尤其是前不久《密码法》颁布,对于不少行业而言,应用加密技术保护数据已然成为刚需。但是密码技术却存在老三难——“难做、难用、难管”,密码算法、密码产品、密码应用三者明显脱节,国密密码算法涉及的应用改造工作量巨大更是不可忽视的挑战。
腾讯云数据加密服务(CloudHSM),基于国密局认证的物理加密机(Hardware Security Module,HSM)利用虚拟化技术,提供弹性、高可用、高性能的数据加解密等云上数据安全服务可以满足金融、互联网等行业加密需求,保障企业业务数据隐私安全。尤其在金融领域,数据加密服务(CloudHSM)可提供符合金融支付规范的要求的数据加密和验证等服务,保金融数据安全,并符合金融磁条卡、IC卡业务特点的,主要实现PIN加密、PIN 转加密、MAC产生和校验、数据加解密、签名验证以及密钥管理等密码管理功能的云加密实例。而针对不适合采用硬件加密的业务场景,腾讯云独家推出基于国产密码算法的软加密模块SM Encryption SDK,用户只需简单的集成SDK而无需修改代码,即可快速实现基于国产密码算法的加密运算,或对业务进行密码国产化改造。
对于敏感数据的保护,腾讯云同样拥有“武器”——敏感数据处理(Cloud Data Shield-Mask),可为数据系统中的敏感信息进行脱敏处理并在泄露时提供追溯依据,为企业核心数据提供有效的安全保护措施,敏感数据处理支持多达29种内置的敏感数据识别规则,覆盖中美欧等多国有关个人信息保护的法律法规。而对于不方便进行脱敏的核心数据,敏感数据处理系统能够通过水印技术,将泄露的数据集进行外泄时间和嫌疑人的定位,从而将泄密事件影响降到最低。
此外,在微服务、DevOps、无服务器计算日益普及的今天,数据库凭证、API 密钥和其他密钥、配置信息等敏感凭据的集中管控及安全存储能力,是企业数据安全管理的必要一环。腾讯云推出了行业首家凭据管理系统Secrets Manager服务,为用户提供凭据的创建、使用、删除、权限等全生命周期管理,所有的凭据由密钥管理系统(KMS)进行加密保护,并且提供非常便捷的使用接口和SDK,极大程度地降低用户的使用成本和管理成本。
3. 密钥管理
在应用加密技术之后,数据安全问题也就转化成了密钥的安全问题,如何保护密钥的安全也因此成了一大难点。腾讯云密钥管理系统(Key Management Service,KMS)可以帮助企业轻松创建和管理密钥,保护密钥的保密性、完整性和可用性,满足企业多应用、多业务的密钥管理需求,并符合监管和合规要求。除此之外,与上述的CloudHSM一样,“云原生”是腾讯安全在密码服务方面的一大特点,KMS可与腾讯云对象存储、分布式数据库、云硬盘等云服务无缝集成,让企业可以体验通过密钥管理系统对其进行密钥管理。
4. 事件监测分析
数据安全不仅是技术问题,更是管理问题。企业遭遇“内鬼”泄密的案例已屡见不鲜。对此,腾讯安全在运维审计和数据库审计双重发力,能及时发现每一条异常行为。
在运维审计方面,腾讯云堡垒机——数据安全网关(Cloud Shield- Data Data Access Security Broker)结合堡垒机与人工智能技术,为企业提供运维人员操作审计,对异常行为进行告警,防止内部数据泄密;数据库审计方面,数据安全审计(Cloud Data Shield-Audit)同样是基于人工智能,可挖掘数据库运行过程中各类潜在风险和隐患,为数据库安全运行保驾护航。
20年数据保护经验助力企业
快速构建数据全生命周期保护体系
安全问题归根结底是“人 方法 工具”的综合作用结果。腾讯云打造的数据全生命周期防护体系,在向企业客户提供服务时,充分发挥了腾讯过去20年积累的技术、人才、经验等优势,可以让企业极简快速地构建全生命周期的安全防护体系。
开箱即用的“云数据安全中台”:在数据加密保护方面,腾讯云整合数据加密软硬件系统(CloudHSM / SEM)、密钥管理系统(KMS)以及凭据管理系统(Secrets Manager)三大能力,推出了“云数据安全中台”,打造了端到端的云数据全生命周期安全体系,将密码运算、密码技术及密码产品以服务化、组件化的方式输出,并无缝集成至腾讯云产品中;通过标准化的API接口/SDK服务,实现从数据获取、事务处理及检索、数据分析与服务,数据访问与消费过程中的安全防护,企业可以据此极简构建全生命周期的数据加密能力。
AI让审计更高效精准:腾讯云的AI异常行为预警能力成为其场景化落地过程中关键的一环,同时也起到了串联整个防护体系运行的作用。腾讯云会通过机器学习与深度学习,将员工日常操作中的每一次行为都记录并抽象成行为模型,了解其与敏感资产的交互规律。当其开始访问正常工作中用不到的敏感信息时,会与平常行为轨迹产生偏差,腾讯云会进行直观展现与预警。而当该员工实施数据窃取时,腾讯云也会实时告警并收回其数据访问权限,及时止损。同时,事后腾讯云也会针对暴露的安全漏洞给出改进建议,持续提升企业数据安全防护等级。即使像“蚂蚁搬家”这样隐秘的数据窃取操作方式,也能被及时发现和预警。
前沿安全技术应用落地:在具体的安全产品上,腾讯云应用了诸多前沿的安全技术。为了对抗量子计算对加密的威胁,开发了量子计算机也无法破解的抗量子加密算法;使用AI引擎的数据库审计,可以更精准的识别如SQL注入等恶意语句,并实现了20万SQL每秒的业内领先吞吐速度;在大数据融合计算中,提供K匿名脱敏算法,保证个人隐私数据无法被还原窃取,同时将误差控制在2%以下,极大的保留了数据的可用性;另外还获得了密文求交集的研发专利,针对性解决联合营销推广、征信查询、联合建模等场景下的数据泄露风险。
顶尖安全专家及安全生态:人才同样是腾讯云的优势之一。腾讯云拥有具备10 年的甲乙方网络安全从业经验、CSO战略高度、亿元级规模信息系统项目的实践管理经验的资深网络安全专家以及腾讯安全七大实验室的全球顶级白帽黑客,可以为企业客户量身定制包括但不限于合规咨询、风险评估、安全规划、数据治理、安全审计、应急演练、安全培训等一站式服务。同时,腾讯安全还拥有庞大的安全生态,能确保为企业提供完善全面的解决方案。
目前,腾讯云围绕数据全生命周期构建的安全防护体系,已应用在各行各业,对于互联网、零售行业的用户隐私保护需求;汽车制造、金融等行业落实业务核心数据防护的需求;游戏行业出海数据合规需求;以及政府行业解决公共数据归集与管理的安全需求都有落地案例。