众安在安全建设方面的积累,包括安全资质,等保三级、ISO27001的合规、软件能力成熟度的认证,自研的安全产品也获得了相应的销售许可,并且我们积极参与到信息安全行业的标准建设、区块链行业的建设。今年,众安科技获评“2021安在新榜中国市场网络安全大众点评百强榜”,安全技术能力获得了行业认可。
二、新数字经济的数据安全建设难题
众安作为互联网化的企业,目前朝着新数字经济的方向发展,我们面临的建设难题与解决办法可供大家参考。
另一方面是随着技术和业务的创新发展,数据安全管控变得越来越复杂,比如云计算应用,以及AI和大数据开发。业务的互联网化,比如金融、保险、教育、家居、电商、社交、车联网、IoT等都在进行互联网化转型,针对互联网的数据泄漏新风险,比如恶意爬虫、黑产团伙、web应用漏洞成为数据泄漏的主要途径。企业办公协同,疫情催生了很多远程办公需求,但是很多企业老旧的制度和工具难以对新型工具进行管控,这一块也是存在很大风险。
三、数据安全管理建设实践
我们的数据安全建设工作思路是聚焦以数据安全为中心的安全建设,安全体系的建设都是围绕着数据安全,并且在数据安全管理和数据安全技术防控并重的方式。数据安全管理方面,我们有一个数据安全管理矩阵,从能力维度、场景维度和管理执行维度建设安全管理。技术方面,从技术架构维度,包括网络层、终端层、基础设施层、业务应用,无论在任何层次,我们都会对所有数据进行分级分类控制,同时在技术执行层面会引入技术进行识别、保护、检测、响应及处置。
无论是数据安全,还是信息安全管理,自上而下是非常关键的。自上而下而下分为两类,一个是管理意志的“自上而下”,因为信息安全建设最重要的是领导层的支持,高层领导的支持是安全管理建设的成功基石。另一类自上而下是制度先行或安全体系先行,比如ISO27001或等保的合规要求,可以很好地辅助我们做数据安全体系的建设。基于制度,才能落实相应的技术或者手段,完成数据安全的建设工作。
权责明确、赏罚分明是落地信息安全制度的重要因素,在很多企业,有安全管理制度,但是执行度不够,导致很多制度只停留在了纸面。众安的实践是从员工入职、权限变更、转岗以及离职,整个在职周期我们都有相应的制度和流程进行数据安全管控。在数据安全管控时,我们会有赏罚和权责的明确,比如执行层面,IT团队和信息安全团队会落实相应的工具或系统。在识别层面,主要是依靠信息安全团队的监控和数据分析。在处置层面,通过HR团队、法务团队、廉政团队对违规行为进行处罚,形成威慑力,能够很好地落地信息安全管理制度。另外还有内审团队做整个流程的监督和合规性审查。
为什么这里会提运维自动化因为运维自动化可以有效降低人为因素导致的信息安全风险,这也是众安在快速和安全中衍生出来的一个平台和解决方案——DevSecOps全流程管控,我们可以做到开发人员几乎无法接触到数据库或各种关键设施的帐号和密码,他只需要开发,后续所有流程都是全自动的,包括安全检查、漏洞扫描、数据库变更等等,全都是自动化操作,这样可以避免人为导致的信息安全风险。
这里有一个很简单的例子,大家可能都会听到安全左移的概念,就是把安全风险和漏洞控制在开发阶段,我们这边有一个很好的实践,很多代码配置,比如数据库密码以及各种云服务帐号,这些账号配置如果明文给到开发者,很容易被泄漏出去。我们有自己的加密SDK,让所有开发人员使用统一的SDK,开发者只能拿到加密后的账号配置,并且加密的配置都有我们自己的标识,如果这些数据泄漏出去,我们能够很快通过公开代码仓库,比如GitHub或者其他仓库,能够快速监控到被泄漏的配置,大大提升监测数据泄漏的效率,同时也降低了因为员工疏忽导致的敏感数据泄漏的风险。
另外一点也是整个众安的核心生产力之一,即由数据中台。众安的业务很快速,自动化业务加速、数据驱动决策、智慧经营等。我们通过数据中台进行数据的安全管控,措施包括包括数据分级、脱敏显示、访问控制和审批、封闭环境开发等。通过该方式,有效的确保我们能够在确保隐私数据安全的基础上,进行数据开发,业务创新。
四、数据安全技术防控建设实践
首先介绍一下众安的技术防控地图,我们把安全分成好几个区域,包括办公室数据安全、运维分析数据安全、生产数据安全、业务应用数据安全。办公环境有DLP数据防泄漏,我们有网络层数据防泄漏、终端层数据防泄漏、网络准入和VPN、用户行为分析,也有BYOD,BYOD我们使用的是最福利APP,在一个独立,安全的APP上进行安全快速地办公。运维分析数据安全有“堡垒机”、DevSecOps研发一体化平台、绿洲数据运维管理平台以及刚才介绍的数据中台。再其次,生产数据也有很多“黑科技”,有可能帮助在座各位有效管控大家的数据安全。
我们现在介绍一下众安办公数据安全的“黑科技”——LOCKetDLP。
办公数据安全有很多难点,识别难、分类难、防护难、管理难,我们有自己的一套基于用户行为分析的数据防泄漏解决方案,运用大数据技术,通过分析企业员工的终端行为及网络行为,准确识别数据泄漏风险并且阻断,包括数据识别、数据分级分类、数据泄漏防护以及员工行为管控。同时也会做员工离职审计,或者员工出现零星式泄漏都能识别出来。
LOCKetDLP方案特点,包括多维度数据采集及防控、海量数据存储及分析、基于用户行为的风险识别。
LOCKetDLP还提供了网络层数据安全管控的网关,提供上网行为管理、加密流量管理、数据防泄漏,安全取证功能。
运维和分析数据安全方面,我们有绿洲数据运维管理系统,统一运维生产环节的数据库,数据库管理量大、安全是最重要的。数据安全对数据库有很多要求,比如合规、高效、智能,同时要保证安全。绿洲数据安全管理系统,可以理解为既开放给DBA专家做日常运维,同时又开放给开发人员或数据分析人员,登上去之后有统一的权限管控、统一的脱敏策略以及安全告警、审计功能。一方面所有的数据库资产能统一管控,另一方面管控时可以进行统一脱敏以及数据分级管理,有数据库的权限审批和数据库的数据定级,同时有数据审计。
数据脱敏管理系统,就是前面提到的数据中台中一个重要组成部分,它提供了动态脱敏,在实时查询时进行脱敏,以及静态脱敏,比如从数据库将数据批量拉到数据中台的大数据平台,可以提供静态脱敏的能力。动态脱敏存在于数据库和应用、数据中台之间,进行自动化脱敏。动态脱敏对于用户来说变动非常小,只要接入中间层的代理就可以实现了。静态脱敏是额外一台服务抽取数据,用户只需要发布脱敏任务即可。
我们自研了一套LOCKetXDBC动态数据库安全管理系统,基于TDDL技术理念,众安研发了XDBC动态数据库安全管理系统,它其实是一套中间件加一个管理系统的一整套解决方案,一方面提供分布式数据库处理能力,通过XDBC技术能够动态分库分表,把所有数据分布式存储在多个节点,这样就能提升性能、存储能力,同时成本又很低。另一方面,我们把安全的能力引入了进来,有效保证解决数据在云端存储的安全难题。XDBC提供了SDK接入模式和代理接入模式,满足不同的开发改造需求。SDK接入模式需要一些开发成本,代理接入模式完全不需要开发成本,同时我们的加密是对接加密机的,可以满足等保、密码法的合规要求。
基于这一套系统,我们可以做精细化的数据权限管理,比如应用A完全是加密的内容,应用B是脱敏的内容,应用C是完全明文的内容,可以通过不同的应用配置不同的权限,能够有效管控数据安全。另外它有一个优势,如果通过代理模式,可以不用开发,改造成本非常低,而且提供加密、脱敏、审计一体化的能力,同时可以兼容主流的关系型数据库,比如SQLLite、MySQL、SQLSever、PostgreSQL、DB2、Oracle、HBASE以及国产数据库TIDB。
云存储数据安全,这一块要着重讲一下,我们引入LOCKetFS云存储动态家民网关,为了满足很多开发人员改造的复杂度,我们把它做成配置化,不需要接入额外代码,只需要简单配置,就可以自动把敏感数据存储在云端。
web应用防火墙,很多企业WAF主要是用来防护生产的应用,随着互联网化,我们的WAF是分布式的、不同环境的,无论是内网、外网,它是任何地方都可以进行防护。同时,它提供web攻击防护、BOT反爬管理,用户行为采集我们也会在WAF上做,基于用户行为去做数据防泄漏分析和告警。通过动态安全防护,我们可以对爬虫进行人机识别,限制因为爬虫导致数据泄漏。WAF提供了自适应的用户行为审计功能,很多企业在等保测评中有一些业务系统需要做行为审计,但是很多业务系统没有这个功能,安全工程师去推动时,很多开发者都不愿意排期。我们这套系统可以满足,只要有需要,任何一个应用接入我们的网关,只要配置一下,它就可以完全各种审计功能。
同时,它是一个专业的SLB,可以分布在私有云、阿里云、腾讯云或其他云,只要有一个管理台,即可管控所有的网站,可以大大提升效率,降低成本。
这两天,一则#盗学生信息人大毕业生被刑拘#新闻冲上热搜,引发热议。中国人民大学毕业生马某,在读硕士研究生期间通过非法技术手段,盗取了近几届学生的个人信息,并制作成网页供任何人随意浏览,甚至能够给该校女学生的颜值打分。*据网上爆料,这个名叫“RUCIRFACE”的颜值打分网站疑似包含了该校从2014级
“新起点新战略共赢数安蓝海”2023年4月在首届渠道高峰论坛上美创通过一系列革新之举传递了坚定渠道化战略的决心2023年5月步履不停,加速渠道战略下沉与全国各地伙伴更深入沟通,互信赋能美创2023百城巡展正式启航5月23日,美创2023百城巡展·北京首站成功举办,100余家北京区域合作伙伴相聚,同奏
近日,由统信软件与龙芯中科联合主办,电子工业出版社华信研究院与北京信息化协会信息技术应用创新工作委员会支持的“2023通明湖论坛信息技术基础底座创新发展分论坛”在北京正式举办。会上,UOS主动安全防护计划(UAPP)2023授牌仪式正式举行,瑞数信息正式成为UAPP成员单位。UAPP授牌仪式当前,以
5月11日,在由今日保主办的“2023中国保险中介高峰论坛”上,“2023今日·保险中介榜”正式揭晓,元保集团创始人兼CEO方锐荣膺“年度保险中介杰出人物”称号,成为该奖项三位得主中,唯一一名跨界自互联网领域并运用科技创新服务保险行业的领军者。这标志着成立仅三年的元保集团,作为互联网保险新锐,受到了
近日,海泰方圆《数字政府密码应用与数据安全合规性建设指南》(以下简称《指南》)顺利通过专家评审。会议邀请来自中国信息协会、北京电子科技学院、中国电子技术标准化研究院、中国科学院信息工程研究所、水利部信息中心的专家对该《指南》进行评审。作为牵头编写企业,海泰方圆高级副总裁Zoe柳及数据安全事业部总经理