买股票怎么加杠杆佰朔资本介绍-k线图形态24种经典图解-【东方资本】,股票配资交易app,配资炒股比例国家规定是多少,配资在线平台排行榜

提交需求
*
*

*
*
*
立即提交
點擊”立即提交”,表明我理解并同意 《美創科技隱私條款》

logo

    產品與服務
    解決方案
    技術支持
    合作發展
    關于美創
    申請試用
      韌性數據安全體系組成:資產和資產安全|CEO專欄
      發布時間:2023-06-27 閱讀次數: 1575 次

      由美創科技CEO柳遵梁親自執筆的專欄“構建適應性進化的韌性數據安全體系”,旨在深入剖析美創在數據安全的最新探索實踐——“韌性”數據安全體系。

      圖片

      身份安全一小步,數據安全一大步。上期內容(點擊此處跳轉),重點分享了韌性數據安全體系的重要組成和支撐要素——身份和身份安全。


      本期內容將繼續對“韌性”數據安全體系的組成展開詳細探討——資產和資產安全。更多內容將陸續呈現,請持續鎖定。


      作 者 ? 柳遵梁



      圖片

      ▲ 韌性數據安全體系的組成



      資產和資產安全


      以資產為中心的安全體系

      資產在網絡中具備毋庸置疑的確定性,只要我們愿意付出精力,甚至可以做到資產管理的精確性。


      這種毋庸置疑的確定性給予安全體系建設極大的支撐點,特別是只有資產被傷害了,所有的所謂安全風險才會演變為安全事件。也就是說只要資產是受到管理的,那在發生的安全事件之中資產是不可旁路的,無論中間經歷如何復雜、如何高級,最終都會在資產端表達出全部真相。


      以資產為中心,由內而外構建防御堡壘是數據安全的自然選擇,在這里安全體系將具備最大的地利。另外由于資產端的可到達性障礙,我們甚至可以在這里由地利而贏得人和的支持。

      資產的擁有人

      數據是由人和業務產生,天生具有owner屬性。每一條記錄,每一個文檔都有自己的owner,不同的記錄,不同文檔由不同的owner。同時數據又關系到公共利益和數據生態系統,往往更新和銷毀操作需要審批,比如自己種的樹雖然屬于自己所有,但是卻不自動具備砍伐權,砍伐需要申請和核準。


      我們可以簡單的把數據分為owner、group、other、level、area、private、public、transparent等不同標簽的數據。


      數據主要分兩類:人的數據和機器數據,人的數據是基于記錄的,機器數據則是基于記錄集合的。


      • owner:本人生成的數據,本人缺省可以訪問本人的所有數據。 

      • owner+private:本人私密數據,除了本人之外只有特殊環境才允許其他人訪問。

      • group:部門主管可以訪問部門內的所有非私密數據。

      • group+private:部門主管可以部門內的所有數據,包括私密數據。

      • other:部門其他人可以訪問部門數據,但是不允許訪問部門主管數據。

      • level:領導可以訪問下屬私密數據之外的數據。


      • area:可以訪問本區域同級別一級以下的數據。

      • public:公開數據,所有人可以訪問。

      • transparent:上級強制可以訪問下屬的私密數據。

        

      通過資產的擁有人屬性可以天然的和以人為中心的身份系統關聯。


      對于機器數據,我們可以通過把機器轉化為機器所在的部門,讓部門天然成為機器數據的owner,從而轉變為人的數據執行管理。

      資產的委托處理

      委托處理而不是本人處理是數據處理的基本形態。委托處理以數據集合的方式的進行,委托對象為:組織+業務程序+業務邏輯。簡單委托為組織處理會帶來比較大的安全風險敞口,委托給業務邏輯可以最大程度的收斂風險敞口。

      資產的分類分級

      分類分級是數據安全和資產安全的自然訴求,也是數據安全法、個人信息保護法的內在要求。所有的數據使用和處理必須滿足合法和合規性訴求。

      資產的邊界

      當資產以全開放式裸露訪問和使用,資產安全的成本將無比高昂或者資產安全將無從談起。資產全開放式裸露訪問類同于我們在廣場上放了100斤黃金,人人可接觸,人人可操縱,人人可拿走。


      從最基本的資產安全而言,我們需要構建資產的邊界,規定在資產上可以執行什么操作,不可以執行什么操作。資產邊界讓資產安全從全開放式風險收斂到資產邊界上,任何非邊界上的行為都是非預期的,不符合規范的。資產的邊界不僅可以收斂了風險,而且可以進一步規定資產邊界是如何開放的。

      資產內容、主體和資產相互作用的拓撲生態

      資產的復雜性讓資產無法以一個簡單的整體看待,資產內容、主體以及之間復雜的相互作用形成了及其復雜的數據資產生態。這種復雜拓撲生態意味著資產安全不僅僅是依賴資產邊界的外部壓力驅動的,同時也取決于復雜的內部相互作用。

      數據資產的三種不同表現形態

      總體而言,資產的生存有三種基本形態,或者說是一個核心,兩個分支。數據的本質是內容,使用和處理都是基于數據的內容,內容就是數據表現形態的核心。但是內容無法在虛空中存在,必須具有承載內容的媒介和載體,必須在物理領域存在。復制的流動是數據的天然屬性,流動是基于內容的流動,復制品或者流動是內容的另一種的存在形式。


      數據資產的三種不同表現形態我們分別表達為:訪問計算(內容)域、物理域(存儲域)、流動域。數據資產在訪問域、物理域、流動域表現出各自特點的安全場景和訴求,我們表達為訪問域安全、物理域安全和流動域安全。

      資產全生命周期和適應性進化

      數據資產具有明顯的生命周期特點,即使是復制品也具有同樣的特點。數據資產的全生命周期變現為:生成、活躍、次活躍、歸檔、銷毀。在生成和銷毀之間不是一次性,而是表現為周而復始,在次活躍和歸檔期都有可能因為特殊原因重新變得活躍。


      數據資產會具有明顯適應性進化能力,使部分數據隨著時間推移不斷的在擴張其價值范圍和價值頻率,使部分數據不斷冷卻。在承認適應性進化的合理性基礎之上,突變是永遠需要被控制的。突變大部分情況是不合理的,小部分突變是期望的。突變的稀缺性讓我們從安全角度可以進行突變控制,而不會影響合理突變的預期工作。

      資產的主要數據活動處理和數據處理全生命周期

      數據安全法》和《個人信息保護法》明確了數據的各種處理活動,并且處理活動還在不斷擴展和延伸。對于數據任何在內容、形式和空間上的變化,我們都表述為數據處理或者數據活動。


      收集、存儲、使用、加工、傳輸、供給、公開、銷毀、委托、出境等,各種數據處理活動都可以認為作用在數據資產的一核心兩分支,也就是訪問域、物理域和流動域之上。數據處理的全生命周期安全事實上由訪問域安全、物理域安全和流動域安全構成。

      數據資產的真實性和機密性

      當前數據資產的真實性和機密性是數據安全的基本訴求。真實性要求從數據生成以來的每次變更都是可追溯和確認的,機密性要求數據資產具有明確的副本數量和副本所有者。

      源頭數據合規性和確權

      數據來自于各個領域,部分源頭數據的合規性會決定整體數據使用的合規性性質。從數據的角度出發,每一份數據都需要標記他的源頭以及合規性檢查。數據具有明確的違規傳播特征,只要在數據流動的某個環節是不合規的甚至是非法,基本意味著其下游所有環節都是不合規或者是非法的。


      在數據不斷被要素化的今天,確權是一個核心環節。如果源頭數據合規性無法保證和追溯,確權的基本邏輯就無法演繹。

      人和數據資產之間的安全邏輯隔離

      任何重要的數據資產都不允許人直接操縱,作為資產安全的基本準則。通過安全邏輯隔離把裸露在廣場上的黃金不斷收斂風險敞口,數據資產通過多層次隔離不同層度的暴露風險面,并通過資產邊界建立起資產安全的收斂范圍。充分利用地利構建的看不見的圍欄、按照指定道路和次序訪問數據資產是資產隔離安全邏輯的一種基本手段。

      資產生態和安全

      資產生態是以資產內容為核心,以形式為組織,并把內容和形式延展到物理域和流動域。主要通過隔離和收斂的方式實現安全的資產生態系統。


      • 訪問域安全:通過身份、資產邊界和資產內容復雜拓撲關系實現內容資產基于全生命周期的的使用和處理活動安全。


      • 物理域安全:通過封閉邊界為主要手段實現數據在物理存儲上的安全,讓數據在物理上避免被被破壞、銷毀和泄露。物理域安全在各種公有云、政務云、私有云和托管idc等非受控物理環境中避無可避,可以說沒有物理域安全防御措施就沒有數據安全。


      • 流動域安全:通過區分界內流動,邊界流動,境內流動和邊境流動來實現在不同安全等級之間的數據流動,同時把復制品或者交易品納入訪問域安全和物理域安全的管理范疇。通過約束數據天然的開放式的無序流動屬性,以身份構建范圍邊界,讓數據在可信域之間有序流動。

      隱私和重要數據的訪問計算和流動的特殊要求

      隱私和重要數據明確原則要求:原始數據不出域,數據可用不可見。這不僅僅是隱私處理的問題,而且還是明確的數據安全問題。


      這個基本原則明確三點要求:


      • 隱私原始數據處理權利只能而且必須只能賦予給算法和邏輯,不能授予給組織和個人。


      • 隱私和重要原始數據處理必須只能在安全主機或者終端上處理。


      • 隱私和重要原始數據只能在可信身份之間流動。


      未納管資產的觀測

      由于資產分布的復雜性,組織有時無法明晰或者至少無法在資產非活動期明晰資產的狀況,也就是存在著部分脫離管理的數據資產。


      脫離管理的數據資產,意味著組織無法衡量這部分數據資產可能帶來的風險,可能會把組織帶往完全不可抵抗的深淵。組織需要在各出口網絡上、網絡聚散地以及主要的數據資產域部署觀測器,以發現未納入管理資產。

      誘餌資產和飛蛾撲火

      誘餌資產是充滿價值的虛假資產,誘導入侵者在誘餌資產上探索。入侵者在很大程度上是一個耳目失聰的路人或者在沙漠中爬涉的旅客,迫切的需要路標和目標,誘餌在很大程度上提供了這個需要,讓入侵者在迷茫中尋找到慰藉。

      資產治理

      極度復雜的數據資產如果不通過資產治理,甚至連簡單的資產分布和測繪都無法完成,更不用說其他復雜的拓撲和相互作用了。

      資產和韌性

      數據資產是網絡中最為確定性的存在,所有的偽裝在接觸數據的時候最終都會剝去。數據是數據安全的起點,以數據資產為中心,由內而外建立防御堡壘。這種由內而外的防御堡壘體現出韌性的基本特點,越靠近目標數據資產,確定性就越高。只要我們可以構建起這種以身份為標識的逐次抵抗的由內而外防御體系,體系自然就會表現出強大的韌性。

      上一條:三項認可,數據庫透明加密獲“年度優秀密碼產品獎”
      下一條:美創科技當選中國網絡安全產業聯盟第四屆常務理事單位
      免費試用
      服務熱線

      馬上咨詢

      400-811-3777

      回到頂部