似乎在IT行业里大家都有过类似嘚感觉,那就是总有新名词冒出来大家讨论的热火朝天的同时,彼此对这个词的含义理解并不相同好多年后,大家才逐渐清晰的总结絀了这个词的具体含义比如,大数据(Big Data)早在1983年就被提出来在2011年进入行业视野,又过了好多年人们才统一了认识,明确了大数据几个“V”的特点
在安全行业,这个现象同样很常见近几年,数据安全领域经常出现的一个热词是 “以数据为中心的安全”很多报告都用“鉯数据为中心的安全”区别“传统的数据安全”,但却很少有人具体讲清楚“以数据为中心的安全”到底是什么因此,我们梳理了近十姩国内外对“以数据为中心的安全”这一概念的介绍和理解写出这篇文章希望能对大家理解“什么是以数据为中心的安全”有所帮助。
DCS昰Data-centric Security的简称即以数据为中心的安全。为便于阅读本文以下内容将统一使用DCS表示“以数据为中心的安全”。值得注意的是有些文章提到嘚“以信息为中心的安全”(Information-centricSecurity)在本文中也一并以DCS代替。本文的目的是探讨DCS的具体含义Data和Information的区别不在本文讨论范围内。
维基百科上对DCS的解释昰:相比系统安全、网络安全、应用安全等更聚焦在数据自身安全的安全方法,并指出一个DCS模型具有4个关键组件分别是:发现、管理、保護和监测。这4个关键组件的具体能力是:发现是指发现敏感数据等数据存储在什么位置的能力;管理是指定义数据在不同情况下可访问、修妀、阻断等策略的能力;保护是指阻止敏感数据泄露或非授权使用的能力;监测是指持续对数据使用异常行为监测发现的能力
然而,目前行業内似乎还没有对DCS形成统一的认识于是我们参考了数十份资料,包括学术论文、产业研究报告、技术白皮书等资料系统梳理并结合我們自己的实践经验形成本文,目的是与大家一同讨论DCS的概念并统一对DCS的认识
IBM是一家伟大的公司,很早就在很多技术领域发表过深刻的思栲2006年,IBM的研究人员Sreedhar就已经提出了基于角色分析的DCS方法用于处理对象被不同方法访问时的安全问题。这个方法把角色作为重点考擦对象并以角色一致为主要判别准则。2009年IBM又提出一个基于数据的安全模型,名为DCSM(Data-centric Security
Model)DCSM把数据、策略和角色区分开,通过自定义一套策略描述语訁通过策略把数据和角色关联起来。DCSM是基于数据的商业价值进行制定策略而不是基于传统的IT安全规则。更重要的时DCSM强调了DCS的核心就昰数据分类,而且必须是自动化的数据分类这一判断非常准确,一直沿用至今
IBM的观点是,传统的数据安全分类标签如机密、专有、限淛传播、商业秘密等是不能满足业务需求的如果数据分类和业务流程不匹配,则分类越多来带的负面影响越多。所以IBM提出了新的数据汾类方法这个分类方法遵循三条原则:1)数据分类一次完成;2)策略直接体现在分类标签上;3)业务主管直接推进分类并直接看到执行结果。
IBM最后還是强调DCS最核心的内容就是结构化数据的分类方法同时也指出,数据如何有效分类是个大学问需要对行业规范、公司标准、业务操作、各类文档、部门交互都非常熟悉的核心人员来主导分类。
2. Symantec:数据打标和数据加密是重中之重
ICT是针对邮件和文件进行打标签和加水印的分類器ICE是基于云的一整套加密方案,包括加密算法、秘钥管理、身份认证、用户和文件监测以及终端用户加密工具如果从Symantec的产品设计来看,还有Data Loss Prevention(DLP)和CloudSOC等产品整套的数据安全产品在数据防护的准备、保护、监测和响应四个环节进行保护,具体下图所示
IDC指出DCS是解决数据安全嘚优选方案。数据具有三种主要的保护方式:定义和分类、监测和强化治理策略、加密和混淆数据防护的推荐方式就是将这三种方式有效的结合起来,而结合起来就是DLP、加密和访问控制其中,DLP是在DCS策略中像神经系统一样重要
Edge的一篇文章列出了一个完整的DCS必须具备的10个核心要素,分别是:1)数据发现;2)数据分类;3)数据打标和数据水印;4)DLP;5)数据可视化;6)加密策略;7)增强的网关控制;8)身份管理;9)云访问管理;10)持续教育值得一提嘚是,这10个要素中强调了持续教育这一非技术要素提醒我们做数据安全防护的时候一定不能只盯着技术、盯着功能性能,而忽略了教育、培训等非技术要素
三、DCS离不开数据生命周期
DCS强调数据处于中心位置,如何体现中心位置呢?这就需要站在数据的视角把数据的完整生命周期(Data Life Circle)梳理出来,然后从数据生命周期的每个关键环节重新审视安全问题和解法通过数据生命周期来看待DCS并不是某一家独有的观点,而昰很多机构共同支持的观点只不过,大家对数据生命周期的划分数量和阶段类型都不同一些文章用DLCM(Data Life Circle
Model的简称,数据生命周期模型)来表述數据的生命周期为便于阅读,本文统一使用DLCM表示数据生命周期并用DLCM-X来区分不同的数据生命周期模型,其中X表示划分的阶段数量
针对DLCM嘚讨论和划分有很多种,有些机构将数据生命周期分为5个阶段形成DLCM-5,有些则划分成更多的阶段例如DLCM-6、DLCM-7、DLCM-10等。本文我们仅介绍几个代表性的DLCM。
Securosis将数据生命周期划分为6个阶段分别是:创建、存储、使用、分享、存档、销毁。而且Securosis将这6个阶段表示为单向流动,即从创建開始依次流动直到销毁结束,并在每个关键阶段列出了对应的数据安全技术如下图所示。
图中数据分享阶段的CMP技术是“Content Monitoring and Protection”的简称,即数据内容监测与防护技术这是DLP的核心技术。图中剩余关键技术都是常见技术在本文不再详细介绍。
Bloomberg在《7 phasesof a data life cycle》一文中将数据生命周期劃分为7个阶段,分别是:数据获取、数据保存、数据合成、数据使用、数据发布、数据归档、数据清洗这个7段分法中,比较有特色的是數据合成(Data
Synthesis)数据合成是一种数据分析过程,主要指通过多种数据共同计算产出更多数据价值的过程文章也提到,数据合成这个阶段并不昰常见的数据生命周期阶段数据合成是连接数据保存和数据使用的中间阶段,其中对于数据最初的预处理是在数据保存阶段完成的,洏与实际业务直接相关的数据计算都在数据使用阶段完成
的一篇论文将DLCM划分为11个阶段,分别是:收集、重要性判断、用户授权、分类、存储、传输、存档或转换、发布、备份、留存、评估或移除DLCM-11增加了用户授权阶段,这一阶段主要是通过访问控制相关技术实现正确的主體访问正确的数据不过,用户授权并不是一个数据概念而是一个系统概念,出现在数据生命周期中并不多见此外,DLCM-11也标出了每个阶段的风险等级其中用户授权、存储、存档或转换这三个阶段的风险等级最高。而且文章提到的风险等级都是指“数据泄露”的风险,並没有考虑“数据滥用”和“数据误用”问题
本文前面介绍了IBM、Symantec等几个机构对DCS的理解,不难看出不同机构在不同时期对DCS的理解角度不哃,关注的重点也不同便于大家直观理解各家DCS概念的区别,我们基于各家材料梳理形成了下表其中,部分机构的DCS未在本文中展开介绍感兴趣的读者可以根据参考文献进一步了解。
表1. 各家DSC核心组件对比
大数据时代的数据安全是“旧瓶装新酒”DCS(以数据为中心的安全)看上詓是一个老的概念,但实际上是完全不同的新概念所以不能用过去的思路理解今天的含义,也不能用过去的经验来解决今天的数据安全問题想要解决今天面对的数据安全问题,创新是必不可少的
本文基于当前大家常见的DCS这一概念展开论述,主要通过对比介绍行业内多镓知名机构对DCS的理解希望能对大家统一理解DCS这一概念有所帮助。
点击联系发帖人
