中国软件网报道 | 尖锐少帅李梦然眼中的数据安全治理

专注于数据安全并不容易。这种压力或许并不来源于技术上的突破或者产品的更迭，而是来源于生存的压力。相对于传统网络层防护产品，数据安全的市场并不是很大，而且加密就已经占据了很大一部分。不管怎么样，顶得住生存的压力，忍得住数据安全的“寂寞”，这样的公司就可以称之为优秀。随着《网络安全法》、《数据安全管理办法征求意见稿》的相继发布，在数据安全这条路上跋涉了十二年的华途，眼看着风口越来越近。

第二届数据安全峰会上，尖锐软件CEO李梦然提出了他眼中数据安全治理中的最关键的几个环节，包括数据风险识别、数据资产发现、数据内容的机器学习与自动识别、敏感数据的访问与权限控制、数据流转的审计与分发管控以及行业的定制化开发这六点。

定制化开发比较容易理解，做企业级业务都会有这一步，谈一谈对其他五点的看法。

1

大数据时代数据本身发生了几个非常明显的变化：

第一，由小变大。大量的应用场景、大量的客户以及合作伙伴都被连接起来，这个数据量的增长远超人们的想象。甚至以前我们想都没想到过的数据比如鼠标点击频率等，都可能成为辅助决策的关键。

第二，由静变动。数据的计算、流转、分发与交易是大数据时代最明显的一个特征，有人说静止的数据是负债，不仅不能产生价值还要耗费大量人力物力去保护它；流转的数据才是资产，能给企业带来源源不断的收益。

第三，由简单变复杂。互联网的发展尤其是电商网络、社交网络、IoT、工业互联网的崛起，大量的音频、图像以及视频等非结构化数据涌入到了企业的视野中来。

数据量的增大、场景的增多，使得数据的存储方式、计算方式以及交易方式发生了巨大的变化。数据可能存储在本地的服务器，可能存储在不同的公有云，会涉及到各种各样的社交、电商、物流应用以及各种数据库，企业可能根本就不知道我有哪些数据、我的数据都在哪里。搞清楚有哪些数据以及数据在哪里，是做数据安全的前提。所以，李梦然把数据资产发现放在了一个很重要的位置上，我非常赞同。

更进一步，为了提升数据识别的自动化水平，李梦然也提出了利用机器学习技术做内容识别。信息化建设的触及阶段，企业的核心数据大部分都是各类文档，但是现在大量的非结构化数据涌入进来，给数据的分级分类工作带来了很大的挑战。从国内市场上来看，基于机器学习，把内容安全技术应用于DLP中，是大家通常的做法，其目的就在于可以实现敏感数据的分级保护、权限控制、安全审计等等多项工作。

2

数据的变化带动了数据安全风险的变化，这个风险可以来自企业外部也可以来自企业内部；可以是技术上的，也可以是管理上的。

在过去ICT基础设施还比较落后的时候，数据的价值很难体现在企业的日常运营过程中。所以过去我们保护数据的方法就是利用加密机把重要文档加密存放起来，或者利用DLP配置一些规则，来阻止重要文档的泄露。那个时候，企业其实很少考虑到风险识别的问题。

但后来伴随着软硬件技术的发展，我们引入了IaaS、引入了各类云存储、Hadoop或者Spark大数据集群、各类开源数据库等等，就是希望能利用这些工具，充分挖掘数据的价值。如前文所说，大数据时代最重要的一个变化是数据的流动，数据不仅仅会从一个部门流动到另外一个部门，还会从一家企业流动到另外一家企业，甚至还会涉及到数据跨境。这其中的风险将会比过去多得多。并且，这些新技术的引入必然带来新的漏洞和新的攻击方法。所以，李梦然将风险识别放在了第一位，足以说明风险识别的重要程度。

举几个比较火的例子。

第一，勒索病毒。勒索病毒可以简单理解成为一种可以快速自我复制的加密软件，但它绝对可以算的上是加密的“克星”。因为企业一旦感染，加密是没有用的，勒索软件可以对文档进行二次加密。企业如果没有做好相应的异地容灾，那基本上只能祈祷对方在收到赎金之后能信守承诺了。在永恒之蓝事件中，开放445端口就是一种风险，没及时安装微软推送的补丁，也是一种风险。

第二，APT攻击。当黑客利用鱼叉邮件或者其他社会工程学的方法，成功入侵到企业内网并且控制了大量的特权账号，那基本意味着企业内部的数据全部暴露在了黑客的眼前。今年，特权账号的管理也上了Gartner的十大安全项目。

第三，来自企业内部和供应链企业的风险。实际上这一点是最容易被忽视的。员工利用既定权限非法访问数据所带来的风险，丝毫不亚于黑客攻击。企业必须要知道正在访问敏感数据的人是谁，你对数据都做了什么。

前两个例子是属于外部的攻击。当然不论是什么类型的攻击，都要利用到技术本身的漏洞。严格而言，漏洞的治理和网络层、应用层的攻防并不属于数据安全的范畴，但它却给数据安全带来了严重的威胁。

第三个例子主要说的是企业的内部风险。风险有很多种，比如员工通常都是在企业内网访问数据，突然他的IP出现在了一个未知区域，或者该员工希望将数据下载到本地。出现这种情况，就有可能是该员工的账户被黑客入侵，也有可能是外部人员收买了该员工。

应付这种情况通常的做法是引入动态的访问控制来取代过去的静态口令，用比较时髦的说法就是零信任身份安全。其原理是系统通过行为识别技术来监测访问行为，一旦监测到异常访问，即通过多因子认证等方式来验证访问者的身份，并且需要对该用户的访问行为进行审计。2017年RSAC创新沙盒冠军得主UnifyID就是身份安全的典型代表企业。

当然，来自供应链的风险同样难以防范。除了针对供应商的权限管理以及访问控制外，还会涉及到数据流转过程中的脱敏、审计以及分发管控等等。

所以谢永胜就强调了解决数据安全问题，应该是网络安全和数据安全共同融合，底层要解决外部的攻击风险，做好网络层与应用层的检测与相应，另一方面要通过准入、访问权限控制以及数据库加密、数据库脱敏，包括向数据库、防火墙、数据库审计、流量管理和网络传输的安全，解决数据本身的安全。

最终，谢永胜是希望能够做到数据安全的态势感知，实现数据资产发现、风险识别、威胁防护以及追踪溯源的闭环。

4

最后说一句。数据治理不仅仅是技术层面和管理层面的事情，还需要政策和法规方面的支持。美国的的cloud法案给了美国人在数据方面的“长臂管辖权”，GDPR规定了所有在欧盟开展生意的企业都要遵守这个规定。

目前，中国还没有类似的法案。如谢永胜所说，作为数据安全的服务者和从业者来讲，我们希望国家要加快推动数据安全相关法律和标准的推出，让企业有体系化的思路、思维解决数据安全问题。