韧性数据安全体系缘起与三个目标 |CEO专栏
今年4月,美创科技在数据安全领域的新探索——“韧性”数据安全防护体系框架正式发布亮相。
为帮您更深入了解“韧性数据安全”,我们特别推出专栏“构建适应性进化的韧性数据安全体系”,CEO柳遵梁亲自执笔,进行系列解读分享。
首期文章重点介绍:为什么需要在网络安全体系之外重建新的数据安全体系、韧性数据安全体系的三大目标。更多内容将陆续呈现,请持续锁定。
作 者 ⎪ 柳遵梁
为什么需要在网络安全体系之外
重建新的数据安全体系?
在传统网络安全中,由外而内的多层纵深防御体系是当前的主流安全体系。但是在近几年的数据安全实践中,我们越来越感知到数据安全很难成为纵深防御体系的一部分,或者说数据安全需要独立构建新的安全体系来适应数据安全的诉求。
高价值的数据资产
高价值数据泄露所造成的巨大损失,让用户很难承受其带来的破坏性,韧性和弹性会成为数据安全体系的核心诉求,以降低风险为基础理念的网络安全体系很难承载数据安全的目标。网络总是会被突破的必然性和高价值资产遭遇损失的巨大破坏力之间构成无法解决的冲突和矛盾。
极端复杂性的数据生态系统
高达几百几千亿行以上的记录或者文档,高达几万到几百万的对象,每行记录或者每个文档都相互不同,不同对象之间交错复杂的行为关系。每个记录和对象在不同的生命周期又具有不同的访问态势。这种数据资产的高度复杂性是无法简化为一个或者多个对象来进行安全管理的。复制和广泛的分布又让这个极端复杂性数据生态系统进一步变得错综复杂。
入侵防御或攻防仅仅是数据安全的一部分
网络安全围绕着入侵和防御展开。不同于网络安全,数据安全广泛分布在用户的每一步业务和运维操作之中,数据安全是围绕着日常操作的安全性展开的。
数据是会流动能流动而且是好流动的
不同于其他IT资产,数据资产是会流动、能流动而且是好流动的。就如同水往低处流一样,数据会本能从高安全区域向低安全区域流动。数据的流动不仅仅是流动,而且是复制的流动。复制的流动让数据安全具有极端的复杂性,网络安全的静态纵深防御体系对于复制的流动安全无所适从。
韧性数据安全体系的
三个目标
-
韧性和弹性(Resilience)
-
适应性进化(Adaptive Evolution)
-
复杂系统的可见性(Visibility and Insight)
韧性和弹性
在一个有毒的充满恶意的环境中保持持续运行或者局部运行的能力
我们总是会遭遇各种外部和内部的压力,网络总是会被突破。一个韧性安全系统需要保证各种破坏性的恶意行为总是和资产目标保持一定的隔离,即使在完全恶意的环境中也需要保持最低限度的数据和业务的安全运行能力。
快速干预和恢复如初
只要给予足够的时间,即使一个具备超强韧性的系统都最终会遭遇毁灭性的破坏。快速的感知、干预和恢复是韧性系统的必要组成部分。
在彻底遭遇失败的底线防御,确保最坏情况下的数据可恢复能力
在漫长的时间范围里,由于各种灾害和网络攻击遭遇彻底性失败是不可避免的。韧性和弹性的系统要保持足够的冗余能力以支持数据和系统快速重建。
适应性进化
有限指导下的复杂身份、资产和相互作用的安全策略适应性进化
面对无限复杂的身份、资产和相互作用,我们没有能力做到精确掌控和跟踪。适应性进化的安全策略让系统可以持续快速的更新安全策略以保证持续变化的未来安全。
有限指导下的复杂身份和资产的全生命周期安全策略适应性进化
海量资产和身份的全生命周期的安全策略变化我们同样无法掌控,需要通过适应性进化来持续保障身份和资产全生命周期的安全。
有限适当的人工干预控制不利方向的突变
在任何时候,突变总是小概率发生的。小概率事件的突变介入让我们可以有效的控制安全事件的发生以及控制安全策略的演变方向。
适应性进化带来了整体的确定性和局部的不确定性,这种依赖于历史活动和关系会极大的增强系统的韧性。
复杂系统的可见性
通过人的眼睛、知识和智慧补充体系的不足,让人成为安全体系的关键发展环节
看得到才能看得见,充分可见性和强大看见的能力可以让人成为安全体系的关键发展环节和推动力量。
通过可见性不断推动更优系统的反馈
韧性系统需要看见能力的及时干预,可见性驱动的快速干预是构建韧性系统的关键组成部分。