现代数字化企业已然成为持续演变和进化的数字生命体,其架构复杂性的爆炸性增长,正加速形成企业内部数字化基因的代差积累。如何在数字基因动态演进的过程中实现原生安全范式,是网络安全行业面临的共同挑战。在此背景下,新一轮网络安全技术正在孕育兴起。
2023外滩大会于9月7日在上海开幕。蚂蚁集团和《信息安全研究》杂志社联合主办的“网络安全见解论坛”在9月8日成功召开,以“开启原生安全范式,护航网络空间安全”为主题,聚焦“原生安全新范式”,共同探讨原生安全理念探索和实战分析,用创新理念与技术建设安全可持续的数字世界。炼石网络创始人、CEO白小勇受邀参与该论坛,并基于多个行业的数据安全实战经验,以“切面技术升级范式,落地原生数据安全”为主题发表了相关见解。
数据安全始于业务终于业务
“数据入表”开启数字经济新时代。财政部《企业数据资源相关会计处理暂行规定》,将数据入财务报表并体现其真实价值与业务贡献,对数据资源确认范围和会计处理适用准则等作出规定,2024年1月1日起施行。“数据入表”有利于显化数据资源价值(“数据入表”的价值和意义可对标2002年施行的“土地入表”),提升企业数据资产意识,激活数据市场供需主体的积极性,增强数据流通意愿,为企业对数据进行深度开发利用提供动力。同时,建立数据资源入表机制能够有效带动数据采集、清洗、标注、评价、资产评估等数据服务业发展,激发数字经济发展活力。在数据的市场化配置中,数据在要素市场的价值不断释放,此过程中,数据安全、技术支撑和组织保障需进行同步构建。
从业务视角重新思考数据安全。数据这种新型生产要素,是实现业务价值的主要载体,数据只有在流动中才能体现价值,而流动的数据必然伴随风险且风险无处不在。传统认为,安全和业务是关联的,有时候对立。但换个角度,安全其实也是一种业务需求,“传统业务需求”侧重于“希望发生什么”,而“安全需求”则侧重于“不希望发生什么”,从而确保“发生什么”。数据安全需求重点是机密性(防止被偷窃)、完整性(防止被篡改)和原真性。其中,原真性涉及数据原始的真实性问题,在生成式人工智能出现后更为突出。结合到企业或机构的信息系统中,数据安全则来自于业务处理中的风险映射。落地数据安全,必须将数据安全能力融入复杂的业务流程中。时间维度上,数据在收集、存储、使用、加工、传输、提供和公开等处理活动中都会有相应的安全需求;空间维度上,数据在基础设施层、平台层以及应用层之间流转,不同层次又意味着不同颗粒度的防护需求。 进一步地,静态数据本身就有多种安全需求,例如企业内部通讯录,本身就具有信息类别、公开程度、人员属性等。当数据在共享流转开发利用的时候,动态数据其实提出了更丰富的安全需求。可以发现,凡是有数据流转的业务场景,都会有数据安全的需求产生。由于数据安全需求源自业务处理的风险映射,安全边界也就取决于业务边界,而今天的数据复杂处理场景几乎没有边界,使得数据安全需求也很难有边界且极为复杂。
改造成本抵消数据安全增益
从艰难防守者的视角审视数据安全增益。从攻防对抗的角度来看,一如游戏中最高级别的BOSS,最终都难逃被玩家打败的命运,道高一尺,魔高一丈,如果攻击者投入足够多的资源,理论上最终总能窃取到目标数据。甚至退一步看,假定技术上做到了无懈可击,但重金之下必有勇夫,数据也可以被人为社工泄露。因此,艰难的防守者或许永远无法构建出“绝对安全的防线”。但是,攻防对抗就像战争,其实本身就是双方消耗资源,好的防护手段是“十则围之、五则攻之”,创造局部优势以获得更好的战损比。防守方则需要评估技术手段、排序优先,用更少成本、消耗攻击者更多成本。进而,基于现实重新去思考其数据防护的价值所在,虽然无法杜绝数据泄露,但是可以积极采取技术防护手段,使攻击者对数据的窃取成本高于数据获利,从而让攻击者失去意义,这就是“有效的数据保护”。
承载数据的业务载体在持续演进升级。十多年前,承载数据的业务载体是以网络终端为主,面向文档文件,数据安全建设的重点也是围绕着网络和终端去侧重展开。 而今天信息化蓬勃发展,数据共享流转带来价值,业务载体也逐步演进为以应用系统为主,应用系统也会在企业信息化整体建设中占据最大比例预算。企业应用一般分为两类,一类是以安全为主导的“重安全应用”,需要不惜一切代价力保安全,可以仅仅为了安全需求而进行高成本重构;另一类是以业务为主导的“普通应用”,这类应用占比90%以上,安全需求是融合于常规业务应用中,和大量业务流程扭结缠绕,比如石油管网坐标信息,很敏感却又难以定密。当面向以业务为主导的普通应用开展数据安全建设,不论是加密脱敏、检测响应还是审计追溯,本质属于面向应用的功能性安全需求,需要在应用中融合实现,然而实际部署时会发现,数据安全的覆盖面和整个数据处理流程交织在一起,而通过改造应用以增强数据安全的成本极高,无法落地。尤其是对庞大复杂的存量应用系统进行改造,犹如给高速行驶的汽车更换轮胎,面临风险大、成本高、周期长、以及运行中断的巨大挑战。
安全建设思路转向聚焦以数据为中心。以网络攻防对抗为中心的安全,正在转向为“侧重以数据为中心的安全”,与之匹配的安全技术也从“外挂式”演进为“原生式”。美国《国防部云战略》白皮书中提出,历史上信息安全一直聚焦在边界防御,即限制网络边界访问,但因为今天数据被充分共享,传统的边界被打破了,所以美国国防部将安全从边界防御,转向聚焦保护数据和服务。在建设路径上,回顾经典网络安全攻击模型MITRE.ATT&CK,全称是对抗性的战术、技术和通用知识,以网络攻防为视角,通过防漏洞、堵漏洞的应对方式保护数据。但是今天网络漏洞在所难免,因此直接对数据本身的保护是更有效率的机制。对标ATT&CK框架,炼石尝试从“以数据为中心”的角度提出DTTACK(以数据为中心的战术、技术和通用知识)技术框架,不是网络、服务器或应用程序安全性的模型,更强调数据本身的安全性,并从对数据的“应对式”防护,向“主动式”防护转变,重视从业务风险映射视角列举数据保护需求,可以为信息化建设、企业业务架构设计提供数据安全能力参考。DTTACK选取六大战术作为基本结构:IDENTIFY(识别)、PROTECT(防护)、DETECT(检测)、RESPOND(响应)、RECOVER(恢复)、COUNTER(反制),以及治理作为补充手段。两大框架相互关联、依赖、叠加演进,形成“网络与数据并重的新安全建设”,这也成为当下企业安全建设的主流思路。
应用改造成本抵消安全增益陷入两难困境。在数字化转型及数字经济产业发展中,不仅是CPU、操作系统、数据库等基础软件的升级,涉及广泛行业应用软件亟待升级替换是更大的市场空间,比如制造业的PLM/MES/ERP软件、医疗行业HIS软件、金融行业应用软件、能源行业应用软件、交通行业应用软件等等。这些巨大存量的应用软件普遍缺失内建密码安全机制,缺乏有效手段增强密码安全能力,因为无法破解开发改造模式成本极高、影响业务连续性,还有源代码维护等技术可行性挑战。这也意味着,应用改造带来的高难度、高风险、长周期,再叠加复杂的数据安全能力,使得企业投入成本在一定程度上抵消了安全带来的增益,企业数据安全建设面临“不改有风险、强改会要命”的两难困境。
数据处理转变数据安全范式
数据利用伴随人类文明几千年,当下成为经济增长强劲动能。数据开发利用伴随人类文明发展几千年,如苏美尔人的原始楔形文字泥板(约公元前3000年)、殷商甲骨文(约前1600年),数据的利用见证了人类文明的变迁。数据处理技术在当代迎来技术革命。数据处理与数据安全技术相辅相成,数据处理技术的发展带动着数据安全技术的变革。从技术发展角度来讲,随着云计算、边缘计算、人工智能等技术的发展和深度应用,数据处理技术在当代正迎来技术革命。
回归数据处理技术栈,解构数据安全范式。1962年,美国著名的科学哲学家托马斯·库恩在他的著作《科学革命的结构》中系统阐述了范式的概念。范式的本质是一种理论体系和理论框架的总称,由基本的定律、理论应用等构成一个整体,范式的存在为研究人员提供了具有指引性的纲领,而原生安全范式则是对安全问题本源的认知以及对该领域的实践指导。因此,我们在思考数据安全范式如何去做的时候,需要回归到数据处理技术栈,比如,密码技术就可以覆盖到数据处理的各个关键环节,从而保障数据处理的安全高效。炼石梳理总结了20种密码应用防护模式,能够覆盖数据处理的身份鉴别及密钥管理、数据传输(通信安全)、数据存储(数据资产安全)、数据使用(数据共享与安全兼得)等场景。进一步来看,数据处理技术栈与数据安全技术相结合,就等于构建了覆盖数据处理各环节数据安全风险的技术防护体系。
切面技术落地原生数据安全
切面技术打开数据安全“五维空间”。如果说OVTP可溯范式(Operator-Voucher-Traceable Paradigm,即OVTP)、NbSP零越范式(Non-bypassable Security Paradigm,即NbSP)等原生安全范式是对安全问题本源“道”的探索,切面技术则是实现这些安全机制的全新方“法”体系。二者相辅相成,让安全理念得以落地。 “切面”作为面向企业数字生命体的新一代安全基础平台,能够通过插装或者AOP机制融入业务应用系统,并且通过将切面安全应用逻辑与业务应用逻辑解耦,从而实现安全与业务的快速平行迭代。针对数据安全落地时的应用改造难点,炼石打造AOE面向切面数据安全技术,在数据流动的切面上重建安全规则,部署安全控制点,避免大规模改造代码,降低成本,实现安全与业务在技术上解耦,但又在能力上融合。免改造应用数据安全方案,在旁路上会部署数据安全管理平台,主路上在数据流转控制点上对结构化和非结构化数据进行精准控制识别和保护。针对结构化数据,免改造应用可实现面向运维侧防范应用外数据威胁,存储加密防范内部DBA、外包、黑客;面向用户侧防范应用内数据访问威胁,事前动态脱敏防范业务人员越权访问,事中风险监测预警业务人员风险操作,事后审计追溯业务人员数据泄露,形成密码安全一体化的防护体系。针对非结构化数据,可将安全控制点部署到内核态或用户态,通过逐文件逐密钥的文件透明加密,掌握对于文件读写的控制权,实现落盘加密、读盘解密、访问审计等。
创新免改造的数据保护能力矩阵。炼石积极探索数据安全纵深防御理念和实践,坚持原创自研和持续迭代,打造“一平台:数据安全主平台,多模块:识别、防护、检测/响应、恢复、审计/追溯等安全能力模块”的数据安全产品矩阵,覆盖数据在不同处理环节的免改造控制点,实现横向可覆盖广泛应用,纵向可叠加多阶安全能力。创新免改造的数据保护能力矩阵,能够在数据控制点上,施加防绕过动态保护,致力于成为用户提升实战能力的重要支撑。一方面可实现面向用户重建安全规则,只有符合权限的用户,才能访问到其应该使用的数据;结合业务场景的风险监测;可定责到人的高置信审计。另一方面,面向运维重构数据边界,没有任何人能从应用后台获取敏感数据明文信息。如此,攻击者既无法直接从运维侧获取敏感数据,也无法从用户侧获取未授权的敏感数据,让数据流转与安全防护兼得。目前,炼石已构建了成熟标准化产品与交付体系,能够满足个人信息保护、商业秘密保护、数据安全合规改造、国密合规改造等业务场景需求。
炼石免改造方案兼容多、交付快、防护好、成本省。兼容多,适应大多数的企业应用架构,如JAVA、C等主流开发语言、兼容开放协议的关系型数据库和非关系型数据库、兼容Linux/信创OS/Windows等。交付快,通过免改造应用增强数据安全保护能力,实现敏捷交付。防护好,密码安全一体化,炼石免改造数据安全产品面向应用系统,在应用层以数据为抓手实现数据安全保护,基于“密码安全一体化”,覆盖事前事中事后,实现“主体到人、客体到字段”的细粒度实战防护。成本省,免改造技术在建设期节约了应用系统的开发改造成本,在运维期通过灵活策略节约应用系统的规则适配成本。
