Ponemon Institute是美国的一家致力于隐私、数据保护和信息安全政策的专业研究中心,每年都会发布网络安全相关的专业报告。2021年,Ponemon Institute在澳大利亚、巴西、法国、德国、印度、日本、墨西哥等17个国家及地区,对6610名个人进行调研,调研分析加密技术应用在过去16年的演变趋势,以及加密对组织安全态势的影响。第一次加密趋势研究是在2005年针对美国抽样的受访者进行,之后,Ponemon Institute扩大研究范围,时间跨度延伸到2020年,成为研究全球加密趋势的重要参考资料。遗憾的是,该报告样本数据未包含中国大陆地区,因此本文通过分析境外加密技术应用态势,对照分析境内加密技术应用现状,探究我国密码产业发展趋势,为密码与数据安全服务商以及有相关需求的企业提供帮助和借鉴。(关注本公众号,回复关键词“全球加密趋势”,下载Ponemon Institute 2021英文版研究报告以及中文翻译版报告)

1、应用层是数据安全防护重心

从数据流转的角度来讲,数据在应用层的价值点更高,加密防护的重点在于应用层。企业目前的 IT 架构,包含基础设施、软件平台以及业务应用等不同层级,企业数据在不同层之间高效流转,实现互联共享,为企业创造价值。数据越朝上层流动,价值点越多。数据在基础设施层,就是一些没有业务含义的二进制数字;在软件平台层,表现为各种形式的文件格式;在业务应用层,数据才具备了丰富的业务含义。从调研结果来看,在应用层部署安全模块成为很多企业的共同选择,这说明针对应用层的加密正成为全球很多国家的共识,同时基于应用层加密的技术也在趋于完善和成熟。

2、敏感数据的最大威胁来源:人员管理问题

对敏感或机密数据的最显著威胁是员工错误,类似的威胁来源还有临时或合约雇员、恶意的内部人员等,这些都属于人员管理问题。首先,建议企业重视和加强人员管理,规范人员的操作,加强人员的数据安全保护责任心。另外,随着《数据安全法(草案)》和《个人信息保护法(草案)》的二次审议稿发布,数据保护“有法可依”将进一步提前,企业可以加强对员工的“普法”教育,降低自身“合规风险”。最后,企业可以从技术角度出发,将数据加密与权限控制、脱敏等安全技术结合,做到权责到人可追溯,从技术架构建设方面有效规避重要数据发生泄漏的可能性。

3、加密关键特性:性能、密钥管理、合规

系统性能和延迟、密钥管理、政策执行是加密解决方案最需要注意的三个点。系统性能和延迟可以通过高性能密码来规避,保障用户使用密码技术后不影响效率和体验;密钥管理可以通过专业的智能管理系统来解决,系统应具备密钥安全存储、随机数产生、三层密钥体系、密钥管理、日志审计等功能;政策执行属于合规问题,随着数据安全防护相关法律法规趋于完善,各国企业数据加密的合规性正成为必选项,比如,大陆范围内,加密方案或产品最好支持SM系列算法加密运算,满足等保2.0、GB/T 39786等密评规范中的密码合规要求。此外,一个优秀的加密解决方案还应具备免开发改造、细粒度访问控制、密码控审一体化、丰富数据库类型兼容等特性。

4、数据发现是加密策略实施的最大挑战

加密策略成功实施的最大障碍是“如何发现敏感数据位于组织中的位置”。65%的受访者表示,发现敏感数据位于组织中的位置是第一大挑战,主要体现为企业重要数据资产的发现以及分级分类。针对敏感数据的发现问题,单纯靠人工去筛选,不仅费时费力,还有可能导致部分关键重要信息疏漏。因此,可以针对性建立“敏感数据智能发现平台”,通过“智能定位敏感数据分布”“动态监测敏感数据”“敏感数据分类分级”等技术手段,从根本上解决企业重要数据发现难的问题。然后根据相关行业的法规和标准,结合行业特性,对数据作系统性梳理,并根据定级要素、影响范围、影响对象、影响程度等维度,确定公开、私密、机密等数据敏感等级,对不同等级数据进行分类施策,保障数据的规范共享与高效应用。

5、密钥管理可以从制度技术两方面进行优化

密钥管理有多痛苦?平均56%的受访者认为密钥管理非常痛苦,其中69%的最高百分比疼痛阈值发生在西班牙,37%的最低疼痛阈值发生在法国。据数据显示,密钥管理困难的三个主要原因在于:(1)对密钥管理职能没有明确责任划分;(2)缺乏专业的技术人员;(3)密钥管理系统孤立或支离破碎。企业可以从两方面出发解决以上问题,首先,在密钥管理方面,设立明确岗位职责和相关人员,形成专业的密钥管理制度体系;其次,在关键密钥管理系统方面,采用或开发更专业、更系统化的密钥管理平台或产品,提供对密钥进行全生命周期管理的功能,包括密钥生成、密钥存储、密钥分发、密钥备份、密钥更新、密钥撤销、密钥归档、密钥恢复以及安全管理等,平台或产品建议拥有“支持KMIP协议”“基于业务的密钥使用审计”“提供多种应用业务级接口”“兼容各类密码机”“方便、易用的维护诊断技术”等特性。

6、云数据的安全如何保证?

随着云的普及,传统的IT架构正发生变化。企业很多业务系统都托管在云服务商处,日常的很多工作,比如HR、社保、报销、OA等工作事务的管理都有相应的SaaS服务可以采用,尽管云计算具有许多优点,但因为数据在物理上驻留于云服务提供商(CSP)中,不受数据所有者直接控制,有一定的安全威胁。在调研中,60%的受访者表示,他们的组织不管是否通过其他技术手段进行加密防护,都选择将敏感或机密数据传输到云中,另有 24%的受访者预计在未来一至两年内可能会将数据传输到云。这些发现表明云计算的好处超过了将敏感或机密数据传输到云的风险,但如何保证云数据的安全仍是一种挑战。

实现云加密最重要的三个特性是支持密钥管理的KMIP 标准(59%的受访者),SIEM 集成、日志可视化和分析(59%的受访者)和访问控制颗粒度(55%的受访者)。KMIP提供了加密系统与密钥管理系统之间的标准通信方式,通过KMIP技术标准的密钥管理器,企业或组织可以使用单个集中式平台来管理不同供应商的加密技术的密钥,并统一密钥管理策略和工作流程;SIEM、可视化和分析日志主要为了保证信息泄露后的事件分析和可追溯,相关加密方案建议支持日志管理、密钥全生命周期的可视化展现以及可独立部署的数据访问审计,实现科学有效的日志管理、事态分析,以及信息泄露后的可追溯;访问控制颗粒度方面,加密方案可以基于B/架构设计,通过可视化管理控制台进行加解密权限规则的设置,并针对结构化数据实现安全审计,提供“主体到应用内用户,客体到字段级”的安全能力,从而实现对企业内部人员的敏感数据访问最小化授权。

7、系统性的加密策略渐成企业刚需

系统性的加密策略正成为企业或组织的必选项。自2006年进行这项研究以来,在企业经营中系统全面采用加密策略的组织正稳定增加。反过来,没有加密计划或策略的组织比例则逐年降低。到2021年,采用系统性加密策略的公司数量已接近50%,可以预见,未来五年甚至更长时间,这个比例还会呈现持续增长态势。据相关统计(本数据来自“互联网安全内参”),2020年的全球网络攻击规模相比2019年增长迅速,公开范围一年内共报告3932起安全泄露事件,泄露记录数据高达370亿条,相比之下,2019年全球泄露记录为151亿条,很多企业或组织为此付出沉重代价。为了能够有效遏制数据泄露事件的增长,满足企业、组织的数据安全需求,系统性的加密策略正在成为企业刚需。

8、政策合规助力加密应用实施

德国和美国的加密策略流行程度最高。在本研究所代表的国家中,加密策略的平均采用率在50%左右,企业加密策略的流行程度各不相同,德国、美国、日本和荷兰报告的企业加密策略的流行程度最高。俄罗斯和巴西的受访者报告中,企业加密策略的采用率最低。相对大陆来讲,尤其是“十三五”期间,中国网络安全产业发展取得积极进展,2020年产业规模预计超过1700亿元(本数据来自“人民日报”),越来越多的企业开始主动接受数据安全服务,相关的加密策略和技术也在不断升级迭代。最新出台的“十四五”延续了国家对“安全建设”的重视,提出“统筹发展和安全,建设更高水平的平安中国”的规划目标,我们判断,在未来五年乃至更长时间,政策层面都将持续助力加密策略、技术的推广及应用。

9、用户、企业、政策三方驱动数据加密

加密的主要驱动力量来自于客户敏感信息保护、企业重要数据保护和政策合规性三方面。随着互联网产业崛起,以及大数据和人工智能的不断发展,个人信息“裸奔”现象在国内外时有发生,企业对客户/用户数据的加密实战化需求不断增加。目前,据调研结果分析,敏感或机密数据的显著威胁可分为三方面:客户敏感信息保护、企业重要数据保护,以及政策合规性。客户敏感信息代表客户的基本权益,一经泄露,对于客户的隐私和财产安全都将造成挑战;企业重要数据代表企业的核心利益,数据一旦被竞争对手获得,将可能导致企业在商业竞争中处于被动;政策合规性则代表各国政府对数据安全的重视和管理,数据泄露等事件的频发显然不利于社会健康发展。不管从客户角度,还是从企业本身的利益,亦或是从国家政策层面出发,对重要数据进行加密防护都是很有必要且具有前瞻性的举措。

10、数据安全市场还有较大潜力可挖

加密在大多数行业中都在被加速应用。结果表明,除通信、服务等行业外,大多行业的加密应用都在稳定增长,IT、运输、医药保健、制造、酒店、教育、零售、消费品、公共服务等行业,则有显著增长。映射到中国大陆,数据安全在IT、运输、医药保健、制造、酒店、教育、零售等领域的应用也在不断落实,国家对数据安全防护愈加重视,数据安全市场从整体来看有较大潜力可挖,与加密在全球行业的应用趋势基本保持一致。我们认为,大陆的数据安全产业规模在后续很长一段时间内,将呈现出稳定增长的态势,并向更多行业覆盖,这对数据安全服务商来讲,是一个利好。

当下全球范围内的数字化都在快速发展及下沉,一方面提高了客户满意度及运营效率,形成了竞争优势,但同时也增加了安全风险,全球没有哪个企业或者组织能够在该浪潮下“独善其身”。建议企业主动拥抱数据的安全防护,增加企业本身的重要数据保护能力、员工管理水平以及合规属性;数据安全服务商可以不断增加自身技术储备,不断探索新的防护理念,通过优质的产品或平台为企业的数据安全防护贡献力量,为国家的安全发展添砖加瓦。

注1:本文图表数据及计算方法均源自《2021 Global Encryption Trends Study》,如有疑问请查看原报告;

注2:下载的中文翻译版研究报告仅供参考,具体请参考英文版研究报告;

注3:本文如有侵权,请联系我们删除。

声明:本文来自炼石网络CipherGateway,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。