国家级|美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》
2024-12-20
全球数据跨境流动合作倡议
2024-11-22
世界互联网大会|美创数据库保险箱(DBSafe)发布!
2024-11-21
世界互联网大会|美创数据认知与分类分级系统(AICogniSort)重磅发布!
2024-11-21
美创案例|盐城公积金管理中心数据安全创新实践
2024-11-15
存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API安全 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务“韧性”数据安全体系,是美创科技在数据安全的最新探索。 特设专栏“构建适应性进化的韧性数据安全体系”中,首期文章(点击此处跳转),我们重点介绍了韧性数据安全体系的三个目标:韧性和弹性、适应性进化、复杂系统的可见性。 本期内容将探讨——“韧性”数据安全体系的原则和组成。更多内容将陆续呈现,请持续锁定。
作 者 ⎪ 柳遵梁
韧性数据安全体系的原则
确定性锚点和由内而外的防御 安全事件总是在未来发生,未来具有高度的不可预测性和不确定性,即使是简单的历史事件重现也很少完全相同。观察必须具备支点,在不断变化的时间洪流中,只有依赖确定性锚点来支撑对未来事件的观察并判断安全性,以确定性锚点为基础由内而外构建防御体系。寻找确定性锚点是数据安全体系的基本任务。 简洁的复杂 复杂多变的物理环境、极端复杂性的数据生态系统、碎片化的安全场景诉求、极为快速的安全事件响应等各方面都在要求我们尽可能保持简洁。只有简洁才可以隔离复杂性,驾驭复杂性。 适应性进化 无论是资产还是身份,都随着时空环境发生访问模式上的变化,都随着生命周期的演进呈现出不同的特征。通过适应性进化不断拓展安全模式,检测突变并控制突变。 携毒生存 与狼共舞 网络总是会被突破,边界也总是会被突破,我们需总是要假设数据和业务运行在充满恶意的环境之中,总是要考虑底线防御措施(最坏的事情发生了之后该怎么办?)。 方便性和干扰性的妥协 当安全总是以干扰性方式存在,高度依赖于安全管理的时候,安全将永远得不到保证。复杂性密码体系的失败,教训我们安全必须在方便性和干扰性之间取得妥协。 有限理性的人 安全本质上是人的安全。我们需要认识到人是理性和非理性的混合体,凡是和人相关的任何行动都具有高度的不确定性,凡是人深度参与的系统必然是复杂性系统,具有一定程度的不可认知性。 以重大威胁作为防御基础目标 在一个高度复杂性的数据生态体系,低烈度的错误和意外的频繁发生是基本特征,也是韧性体系的基本特征。数据安全体系以重大威胁为防御目标,低烈度安全事件是防御重大威胁的必要组成部分。 攻防的非对称性 入侵和防御具有高度不对称性。我们讲天时、地利、人和,入侵方(无论是外部还是内部)具有毫无争议的天时与人和优势,防御方唯一可以依赖的就是地利,内部入侵甚至地利的优势都被充极大程度的弱化。充分利用地利,并利用地利制造人和安全体系是重点需要考虑的。
韧性数据安全体系的组成
网络安全:网络安全是第一道边界,把数据安全事件从大概率事件转化为小概率事件。 身份和身份安全:以人为中心的身份安全体系,构建以身份为基础的第二道边界。 资产和资产安全:以资产为中心的资产安全体系,构建以资产为中心的防御堡垒和有序流动。 运行保障安全:以故障、资源消耗和排队为中心的运行安全体系,从临界反应角度来检测和响应安全风险。 底线防御安全:当数据资产目标被完全破坏或者部分破坏的情况下,构建最后防线以保障极限生存能力。 适应性动态风险:以资产和身份的不断相互作用构建适应性进化生态,通过突变来检测风险。 多层级快速响应:从封闭边界到看见反馈的不同层级的快速响应系统。 看见驱动安全:从看得到到看得见,通过看见提高人的能力,并把人的能力贯入到安全体系。 全流量和日志采集:全网的流量和日志采集,为数据安全和拓展分析奠定基础。 安全数据中心:有组织的存储来自于全流量和日志采集的安全数据。 统一控制平面或者切面:统一的一般性形式规则构建许可。 全场景安全导入和法规遵循:面向碎片化的安全场景,让碎片化场景导入韧性安全体系。 暴露面评估和修复:通过收敛和隐藏暴露面来降低安全风险,在红后效应中获胜。