2023年7月13日,由中国计算机学会主办,中国计算机学会抗恶劣环境计算机专委会、江苏省企业联合会、江苏省互联网协会、中国计算机学会南京会员活动中心联合承办的“2023(第六届)CCF自主可控计算机大会”在江苏南京盛大开幕。本次会议以“共建自主可控信创基础,同促数智安全融合发展”为主题,全国政产学研用各界嘉宾齐聚一堂,共话信创产业发展新思路,同创自主可控技术应用新局面。炼石网络创始人、CEO白小勇受邀出席,并发表《信息化升级中的数据安全挑战与应对》的主题演讲。
关注炼石的本公众号(或从微信中搜索公众号:炼石网络CipherGateway)并后台回复关键词“炼石就是数据安全070”,即可打包下载《信息化升级中的数据安全挑战与应对》主题演讲PDF版高清文件。
信创安全升级进入新阶段
信息化安全升级打响攻坚战。信息安全政策制定提供战略方向,促进经济制度不断完善,实现公平与双赢价值呈现帕累托改进(Pareto Improvement)经济学特征。从帕累托经济学原理看信息化安全演进阶段,可归类和推演出三个时期、一个转折点。2000-2015年为美国科技引领的全球化期,以数字证书为例,基于RSA等国外算法的PKI产品,占据国内网站的绝大部分市场占有率,此时自主可控等政策处于酝酿期。2015年迎来内循环转折点,从2013年开始,随着斯诺登陆续曝光美国“棱镜计划”和不断披露的“后门”事件,我国“十三五”规划中战略性提出自主可控战略方针,随着后续中美贸易摩擦不断升级,在信息技术领域暴露出“卡脖子”风险。因此,完善技术和产业供应链、改变受制于人的局面已成为体系化的坚定共识。2015年至2030年进入信息化安全升级扶持期,“十四五”国家信息化规划,创新引领高质量发展,政府出台相关政策补贴供给市场创新。信息化安全产业技术创新加速推进,应用推广和市场体系进一步增强。2030年之后信息化安全升级进入领先期,在政策加持下,自主可控体系驱于完善,产业链和供应链安全体系基本形成完整闭环,从技术、产品、应用、市场议价等层面形成较强综合竞争力,为数字经济提供基础支撑。
重要数据保护呼唤免改造
从艰难防守者的视角审视数据安全增益。从攻防对抗的角度来看,一如游戏中最高级别的BOSS,最终都难逃被玩家打败的命运,道高一尺,魔高一丈,如果攻击者投入足够多的资源,理论上最终总能窃取到目标数据。甚至退一步看,假定技术上做到了无懈可击,但重金之下必有勇夫,数据也可以被人为泄露。因此,艰难的防守者或许永远无法构建出“绝对安全的防线”。但是,攻防对抗就像战争,其实本身就是双方消耗资源,好的防护手段是“十则围之、五则攻之”,创造局部优势以获得更好的战损比。防守方则需要评估技术手段、排序优先,用更少成本、消耗攻击者更多成本。进而,基于现实重新去思考其数据防护的价值所在,虽然无法杜绝数据泄露,但是可以积极采取技术防护手段,使攻击者对数据的窃取成本高于数据获利,从而让攻击者失去意义,这就是“有效的数据保护”。
密码安全融合实现一体化
免改造应用数据安全方案,在旁路上会部署数据安全管理平台,主路上在数据流转控制点上对结构化和非结构化数据进行精准控制识别和保护。针对结构化数据,免改造应用可实现面向运维侧防范应用外数据威胁,存储加密防范内部DBA、外包、黑客;面向用户侧防范应用内数据访问威胁,事前动态脱敏防范业务人员越权访问,事中风险监测预警业务人员风险操作,事后审计追溯业务人员数据泄露,形成密码安全一体化的防护体系。针对非结构化数据,可将安全控制点部署到内核态或用户态,通过逐文件逐密钥的文件透明加密,掌握对于文件读写的控制权,实现落盘加密、读盘解密、访问审计等。
创新免改造的数据保护能力矩阵。炼石积极探索数据安全纵深防御理念和实践,坚持原创自研和持续迭代,打造“一平台:数据安全主平台,多模块:识别、防护、检测/响应、恢复、审计/追溯等安全能力模块”的数据安全产品矩阵,覆盖数据在不同处理环节的免改造控制点,实现横向可覆盖广泛应用,纵向可叠加多阶安全能力。创新免改造的数据保护能力矩阵,能够在数据控制点上,施加防绕过动态保护,致力于成为用户提升实战能力的重要支撑。一方面可实现面向用户重建安全规则,只有符合权限的用户,才能访问到其应该使用的数据;结合业务场景的风险监测;可定责到人的高置信审计。另一方面,面向运维重构数据边界,没有任何人能从应用后台获取敏感数据明文信息。如此,攻击者既无法直接从运维侧获取敏感数据,也无法从用户侧获取未授权的敏感数据,让数据流转与安全防护兼得。目前,炼石已构建了成熟标准化产品与交付体系,能够满足个人信息保护、商业秘密保护、数据安全合规改造、国密合规改造等业务场景需求。
炼石免改造方案交付快、兼容广、防护全、管控准。交付快,通过免改造应用增强数据安全保护能力,实现敏捷交付。兼容广,适应广泛应用架构,如JAVA、C等主流开发语言、兼容开放协议的关系型数据库和非关系型数据库、兼容Linux/信创OS/Windows等。防护全,密码安全一体化,炼石免改造数据安全产品面向应用系统,在应用层以数据为抓手实现数据安全保护,达到“密码安全一体化”的实战防护。管控准,灵活适应业务数据流向,炼石免改造数据安全产品可以打造以应用为单元的细粒度保护;炼石数据安全控制点模块,可根据业务数据流向,灵活配置加密、解密、脱敏等安全规则,在OLAP等复杂数据分析场景下可提供精细的数据流转权限控制;进一步的,产品模块可以获取到当前应用内访问者的身份信息,从而实现“主体到人、客体到字段”的细粒度访问控制。