编者按:2月3日,在由大数据协同安全国家工程实验室指导、“行业网络安全千人计划”联合《安全内参》平台共同主办的“政务信息系统整合下的数据安全”专题沙龙上,一位专家转述了刘涤西专家“数据安全价值的四个阶段”观点,专家表示该观点深刻揭示了政企机构内部安全建设不同阶段的本质价值,并在与会专家研讨中引发了热切讨论。
刘涤西,全国海关信息中心网络与信息安全保密处处长
会后,安全内参有幸采访到刘涤西先生,邀请他就“数据安全价值的四个阶段”观点进行详细阐述,以下为采访实录。
关于数据资产讨论的背景
2016年7月,中共中央办公厅、国务院办公厅联合印发《国家信息化发展战略纲要》(以下简称《纲要》),这是规范和指导未来10年国家信息化发展的纲领性文件。 包括我在内的几名信息安全从业人员进行了深入学习探讨,受益匪浅,在《中国信息安全》杂志发表了一篇文章“开拓DT时代数据资产权益保护新视野”(以下简称“新视野”)。重点讨论了数据资产权益保护基本模型、实施要点和服务需求。其中,就数据价值的发展趋势提出了数据资源、数据资产、数据资本三个阶段的看法;就数据安全的发展趋势,提出了保镖、管家、数据银行的看法。
后期,有专家关注并参与了话题讨论,归纳了“数据安全价值的四个阶段”得到大家的认同。鉴于此次采访用于《安全内参》,服务于千人计划的专家,我个人很荣幸能有机会把大家的观点再整理一下,共同探讨。
今天的介绍分三个部分,什么是“数据安全价值的四个阶段”;我们讨论的现实意义;现阶段有什么具体事情可以去做。
第一部分:数据安全价值的四个阶段
数据安全价值可以划分为——保安、保镖、管家、代理人。这四个阶段是历史递进关系,符合企业安全管理成熟度,适用于不同的应用场景,可以互补共存。
保安阶段,是以边界防护为重点,通过使用相对成熟的安全产品及策略对信息系统整体实施静态防护,不识别其内部数据及其价值。
这种方式往往出现在信息化初期,信息系统相对简单、规模较小。老三样安全产品及其派生产品非常有效,是最基础的安全设施,没有这些,数据安全将无从落脚。这种方式不太关注保护对象自身应用和数据的差异性,而把他们作为一个整体,提供统一的基础的防护。有点儿像小区的保安,“普通”的社区形同虚设,“高尚”社区门禁森严,诸多不便。这种方式的重点在于防外,进门时查来查去,进门后实际干什么就不管了。与所谓“90%的攻击来自于内部”的假设形成悖论。
今天,如果我们的复杂信息系统只采用这种方式,在某种程度上可能说明——其信息系统不重要,或管理成熟度不高,没有应用数据底账,未实现分级分类管理。
保镖阶段,以数据资源分级分类为基础,通过产品加服务的方式为信息化部门服务,对数据资源实施重点保护、适度保护,有固定的数据资源重要性的认定,
保镖阶段相比保安阶段有几个突出特征,首先认知数据重要性,只保护重要的,“放弃”不重要的。在“新视野”一文中提出了“1990原则”——核心数据1%、重要数据9%、一般数据90%。只对10%的数据实施重点保护,这是保镖模式的前提和核心。其二,具备感知能力,能够主动探查或侦听针对保护对象及访问者的行为。其三,具备“信息安全对抗能力”,是一种主动的防护方式。他知道谁在攻击雇主,并能采取一致的应对措施。
这些特征很像保镖——是对有重要价值的人和物采取重点保护措施,有敏锐的观察能力和明确的风险判定标准,有针对性的对抗机制和反制手段。这只能用于重要数据资产防护,如果把保镖理解成对所有数据资产的安全措施,那就不是保镖,而是保安plus或者变态保安,其成本和代价也是无法承担的。保镖模式的缺点在于,选定保护对象后实施的是最严格的无差异的保护措施,除了特许白名单其它一概拒绝。对雇主的价值观不了解也不关注,不够人性化、不够智能。
管家阶段,以数据资产价值分类,人员信任分级为基础,通过服务加产品的方式为数据管理部门服务,对数据资产实施权益保护和效益评价,有与管理者相一致的数据资产价值认定。
管家最大的特点一为信任度高,二为责任大权利也大。要有很强的学习能力和灵活的处置能力。他通过学习,要比东家更了解数据资产状况,进账出账都要管;要比东家更记得清亲朋好友,完全信任谁,完全不信任谁,谁在灰色地带需要以行为来判断许可。能基于资产价值、人员信任度和行为敏感度三个维度,采取有差异的防护措施。管家是没有数据资产处置权的,只有特定事项请示与处置执行权,以及常规事项重复执行的权利。所以,把特定事项变成常规事项的过程就是机器学习的过程,更是价值观学习的过程。
如果我们把保镖阶段比对为简单的强制访问控制,那么管家阶段就是通过机器学习逐步形成并完善访问控制关系的过程。对防护主体,管家不再刻板强调访问控制和强对抗,而是以请示、学习、记住、理解访问者和主体之间的关系,形成智能访问控制列表。
但这太难,因为复杂系统有庞大的多对多关系,历史上累积了大量信息,作为数据所有者都很难讲清其中的所有关系。这时候的最终的办法是学习(成为老管家),积累了一定关系后再进行控制。现在做安全防护,在安全模型实施后一周会把关系重新描绘出来,再做一个整体的行政审批和批量接受。这样下一阶段就会表现出来少量新的可以去管理的“问题”去请示、学习、记住、理解。历史封存、管住增量、逐步清理存量,这些都是要与管理配套实施措施。
代理人阶段,也称之为数据银行,以数据资本化运营基础,通过专业化的安全托管服务与数据资产所有者达成合作契约,代理数据资产权益,增值利益共享、安全责任共担。
我提出一种假设,不久的将来数据资源规模及价值会急剧扩大并日趋集中,可能会演化为被少部分人拥有和垄断的数据资本;另一方面,人们对数据资产价值的认知会觉悟,保护的要求更具刚性。同时,国家会出台法律保护数据私有权利,可能会出现有数据不敢用的现象。《纲要》就是要解决这一数据资源开发不足与无序滥用的矛盾;第三方面,数据泄露事件急剧攀升损失日趋严重,信息安全的对抗成本相对于一般的企业甚至是国际知名互联网企业已无法单独承受。这需要在数据资产所有者(个人、企业、政府)和数据资产使用者(也包括觊觎者)之间形成一套第三方的数据资产权益保护服务体制——数据银行。
这有点像银行的产生,即从个人把金条存在保管机构并交纳保管费,逐步发展为放在银行收取利息,而银行在其授信范围内放贷盘活资金,获取存贷款利息差,同时为资产所有者提供资产安全保障服务。那么数据银行能否在承担数据安全和回收责任的同时,将数据投放到社会,促成更高效的价值链条呢?大家可以在这个领域进行更为深入的探索。如果说今天第一代数据资本家已经初见端倪的话,第一代数据银行家来自于哪里也是个有趣的话题。
第二部分:我们讨论的现实意义
今天我们的讨论源于此前对数据资产权益保护的思考以及所提出的模型。目前这一版主要是在传统的网络环境下,只针对结构化数据(数据库)资产和传统的终端方式的模型。近几天,某国际互联网公司数据泄露事件曝光并持续发酵,我们应该同样去关注云环境下,全数据资产(结构化和非结构化数据),富终端方式(含移动终端和单兵设备)的模型。
因为我个人从业背景和知识结构所限,这一模型只是在关注以部委为代表的“要求驱动”,也可称为“合规性驱动”的安全模式。对于诸如银行那样的“利益驱动”模式,以及国家电网那样的“代价驱动”模式并不适用。
现有模型有以下几个定位:
一、是一个分工的模型,包括:数据资产所有者、安全管理人员、运维服务人员及数据资产的使用者。
二、是一个工作的平台,我们设计了专项清查(专项治理小组)、操作管理(数据资产操作人员)、运维管理(数据资产运维人员)、安全管理(数据资产安全管理人员)、权益保护(数据资产所有者)等5个模块。
三、是一个用安全数据来解决安全问题的模型。包括了以扫描设备为手段获得的数据资产全底账数据;以在线侦听设备和其协议分析功能获取的活跃资产的流量流向、人员行为、应用行为等数据;以堡垒机功能为基础,数据资产分级管控、人员信任分类管控、操作行为许可和操作行为声明模块后,形成的人员操作行为记录和行为许可数据(这种新一代的堡垒机我们可把它叫做可分类审计的操作行为管控系统)。
四、是一个实施导引和数据安全管控成熟度的模型。分为数据资产全数据库底账管理、重要数据库人员底账管理、核心数据库应用底账管理三个标志性阶段,同时引入机器学习和数据脱敏等具体方法和手段逐步提升数据安全管理的能力成熟度。
从用户角度而言,研究这些有利于我们了解自身的管理成熟度,把握安全工作的发展方向,找到阶段性的工作重点,有目的地去寻找所需要的产品和服务,实现从产品驱动到需求驱动的转变。从服务与产品提供商而言,研究这些有利于理解用户需求,满足用户需要,陪伴用户成长,进而服务国家引领安全行业发展。扭转目前问用户问主管部门,我们该做什么的不正常的局面。
第三部分:现阶段有什么具体事情可以做
模型本身需要随着社会的发展不断深入不断完善,指导我们逐步形成完整的产品与服务体系。同时,在具体实现方面不可追求大而全,应随需而动,走在前面,学会换位思考。这里举一个例子:
国办39号文件提出信息系统整合共享的战略布局,我和某些公司咨询过有无相关产品与服务。普遍反映是“没想到”、“看不懂”、“来不及”,认为已经错过了机会,只能提供一些简单服务协助工作。作为实际参与者,我个人认为39号文至少会需要以下几个阶段的工作,以及相对应产品支撑和服务保障:
一、自查清理阶段
目前,对于底账的梳理处于手工阶段,工作量之大超出想象,且不准确。需要资源扫描产品的支撑,需要资产补登记功能,完成目录形成与上报报告;换位到各单位信息化部门角度,这就是“数据资产普查登记”工具的基本需求。
二、核查整改阶段
文件下发了,如何在全国落到实处。上报的质量如何有无漏报,对于不重视的省份和行业怎么办,有没有成功经验可推广。换到管理者视角(可能是像国办或贵州大数据局这样的单位),这就是“数据资产核查整改系统的需求”。产品和“数据资产普查登记”技术是一样的,形式上可能是可以动的,多一个“申报情况导入”、“核查结果与申报数据比对”和“整改通知书下达”的功能。
三、底账常规维护阶段
如果用户每年都需要普查登记并接受核查整改,在少部分单位可能会产生常态化管理需求。可以协助其建立信息资产准入准出制度,并通过网络侦听设备掌握数据资产的使用情况(热图),开展准入登记,清理僵尸应用(准出)等。换到信息系统准入部门的角度,这就是“信息系统准入和使用率管理系统”的需求,包括:设备、人员、数据、应用,四方面准入、使用率和准出管理以及底账核查
四、社会效益、经济效益评价阶段
如果我们把流量侦听数据用得更充分一些,形成数据流量流向,访问数量,数据增长量,数据利用率等具体指标,一方面可以做计费系统或称社会效益评价系统。可以做一些排名评比之类的简单而受“欢迎”的应用;另一方面,如果我们肯换到发改委角度,就成了国家重要信息工程社会效益核查系统的需求(对照初设的社会效益承诺部分)。
五、数据资产权益保护阶段
只要数据资源想要“真正”整合共享了,同时就会出现强烈的数据安全要求,隐含着数据资产权益保护的需求。这时我们可以提出“1990原则”,对数据资产的“分级分类 、重点保护 、适度保护”等等观念、服务以及产品,才会涉及整个模型的实现问题。这里需要产品与服务应该提前到位,同时,也需要一些技术方面的突破。如:突破数据资产电子围栏技术,落实“纲要”提出的“实现业务应用与数据管理分离。统筹规划建设国家互联网大数据平台。逐步开展社会化交易型数据备份和认证,确保数据可追溯、可恢复。”等要求。
六、为国家安全服务
如果我们通过努力支持了39号文的落实,积累了社会实施经验并在关键技术上有所突破,就应该去关注和理解国家安全及主管部门的总体要求与布局,能够支撑下一个的“39号文”的出台。这才能形成了闭环,体现了科技的基础性、先导性和引领作用。
我们举例的很多内容和模型是对的上,而模型并不是为39号文设计的。今天,我们广大的手机用户,也正在面对这么复杂的网络社会环境时,也不满足于保安服务,也需要保镖、管家和代理人。需要网络时代数据资产权益保护者。
结束语
在“新视野”一文,我们提出了“数据暨世界、应用暨生活、安全暨社会”这15个字及其具体解释。其中,“安全暨社会”是指——在更广泛的概念下安全就是当前的社会关系在网络世界上的完整投影。回到今天的主题,“数据资产权益保护”就是当今现实社会中的资产所有制的投影,所以数据资产不可能长期地无序滥用,免费午餐即将结束,新的机会同时出现。今后争夺和交易的不是矿而是采矿权——数据资产使用权暨数据资产权益代理。同样,今天我们所谈的数据安全价值的四个阶段,也是现实社会中安全措施向网络世界转化的一个过程。社会只要还有未被完整描述和转化的人与人、人与物的关系,信息安全就有发展的空间。如此而已,仅供内部参考。
(原标题:对数据安全价值四个阶段的认知和实践)
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。