什麼是“以資料為中心的安全”?(一) —— 大家眼中的DCS
1、什麼是DCS
似乎在IT行業裡,大家都有過類似的感覺,那就是總有新名詞冒出來,大家討論的熱火朝天的同時,彼此對這個詞的含義理解並不相同。好多年後,大家才逐漸清晰的總結出了這個詞的具體含義。比如,大資料(Big Data)早在1983年就被提出來,在2011年進入行業視野,又過了好多年,人們才統一了認識,明確了大資料幾個“V”的特點。
在安全行業,這個現象同樣很常見。近幾年,資料安全領域經常出現的一個熱詞是 “以資料為中心的安全”,很多報告都用“以資料為中心的安全”區別“傳統的資料安全”,但卻很少有人具體講清楚“以資料為中心的安全”到底是什麼。因此,我們梳理了近十年國內外對“以資料為中心的安全”這一概念的介紹和理解寫出這篇文章,希望能對大家理解“什麼是以資料為中心的安全”有所幫助。
DCS是Data-centric Security的簡稱,即以資料為中心的安全。為便於閱讀,本文以下內容將統一使用DCS表示“以資料為中心的安全”。值得注意的是,有些文章提到的“以資訊為中心的安全”(Information-centricSecurity)在本文中也一併以DCS代替。本文的目的是探討DCS的具體含義,Data和Information的區別不在本文討論範圍內。
維基百科上對DCS的解釋是:
DCS是相比系統安全、網路安全、應用安全等更聚焦在資料自身安全的安全方法,並指出一個DCS模型具有4個關鍵元件,分別是:
- 發現:發現是指發現敏感資料等資料儲存在什麼位置的能力
- 管理:管理是指定義資料在不同情況下可訪問、修改、阻斷等策略的能力
- 保護:保護是指阻止敏感資料洩露或非授權使用的能力
- 監測:監測是指持續對資料使用異常行為監測發現的能力
MarketsandMarkets在《DATA-CENTRICSECURITY MARKET》報告中稱DCS市場規模將從2017年的20.6億美元增長到2022年的58.3億美元,其增長的主要動力來自於強勁的合規需求,其中亞太地區將成為增長最快的地區。
然而,目前行業內似乎還沒有對DCS形成統一的認識。於是我們參考了數十份資料,包括學術論文、產業研究報告、技術白皮書等資料,系統梳理並結合我們自己的實踐經驗形成本文,目的是與大家一同討論DCS的概念並統一對DCS的認識。
2、大家眼中的DCS
0x1:IBM:DCS的核心是資料分類
IBM是一家偉大的公司,很早就在很多技術領域發表過深刻的思考。
2006年,IBM的研究人員Sreedhar就已經提出了基於角色分析的DCS方法,用於處理物件被不同方法訪問時的安全問題。這個方法把角色作為重點考擦物件,並以角色一致為主要判別準則。
2009年,IBM又提出一個基於資料的安全模型,名為DCSM(Data-centric Security Model)。DCSM把資料、策略和角色區分開,通過自定義一套策略描述語言,通過策略把資料和角色關聯起來。DCSM是基於資料的商業價值進行制定策略,而不是基於傳統的IT安全規則。更重要的時,DCSM強調了DCS的核心就是資料分類,而且必須是自動化的資料分類。這一判斷非常準確,一直沿用至今。
IBM的觀點是,傳統的資料安全分類標籤如機密、專有、限制傳播、商業祕密等是不能滿足業務需求的,如果資料分類和業務流程不匹配,則分類越多,來帶的負面影響越多。所以IBM提出了新的資料分類方法,這個分類方法遵循三條原則:
- 資料分類一次完成
- 策略直接體現在分類標籤上
- 業務主管直接推進分類並直接看到執行結果
IBM最後還是強調DCS最核心的內容就是結構化資料的分類方法,同時也指出,資料如何有效分類是個大學問,需要對行業規範、公司標準、業務操作、各類文件、部門互動都非常熟悉的核心人員來主導分類。
0x2:Symantec:資料打標和資料加密是重中之重
Symantec提出了一個以資訊為中心的安全模型(Symantec Information Centric Security Module,簡稱ICSM)。這個模型包括兩個核心元件:
- 資料打標(Symantec Information Centric Tagging,簡稱ICT)
- 資料加密(Symantec Information Centric Encryption,簡稱ICE)
ICT和ICE都已在Symantec形成產品或解決方案。
ICT是針對郵件和檔案進行打標籤和加水印的分類器。ICE是基於雲的一整套加密方案,包括加密演算法、祕鑰管理、身份認證、使用者和檔案監測以及終端使用者加密工具。如果從Symantec的產品設計來看,還有Data Loss Prevention(DLP)和CloudSOC等產品。整套的資料安全產品在資料防護的準備、保護、監測和響應四個環節進行保護,具體下圖所示。
0x3:IDC:DLP是DCS的神經系統
IDC指出DCS是解決資料安全的最佳方案。資料具有三種主要的保護方式:
- 定義和分類
- 監測和強化治理策略
- 加密和混淆
資料防護的最佳方式就是將這三種方式有效的結合起來,而結合起來就是DLP、加密和訪問控制。其中,DLP是在DCS策略中像神經系統一樣重要。
0x4:Sirius:完整的DCS策略具有10個核心要素
Sirius Edge的一篇文章列出了一個完整的DCS必須具備的10個核心要素,分別是:
- 資料發現
- 資料分類
- 資料打標和資料水印
- DLP
- 資料視覺化
- 加密策略
- 增強的閘道器控制
- 身份管理
- 雲訪問管理
- 持續教育
值得一提的是,這10個要素中強調了持續教育這一非技術要素,提醒我們做資料安全防護的時候一定不能只盯著技術、盯著功能效能,而忽略了教育、培訓等非技術要素。
三、DCS離不開資料生命週期
DCS強調資料處於中心位置,如何體現中心位置呢?
這就需要站在資料的視角,把資料的完整生命週期(Data Life Circle)梳理出來,然後從資料生命週期的每個關鍵環節重新審視安全問題和解法。
通過資料生命週期來看待DCS並不是某一家獨有的觀點,而是很多機構共同支援的觀點。只不過,大家對資料生命週期的劃分數量和階段型別都不同。一些文章用DLCM(Data Life Circle Model的簡稱,資料生命週期模型)來表述資料的生命週期。為便於閱讀,本文統一使用DLCM表示資料生命週期,並用DLCM-X來區分不同的資料生命週期模型,其中X表示劃分的階段數量。
針對DLCM的討論和劃分有很多種,有些機構將資料生命週期分為5個階段,形成DLCM-5,有些則劃分成更多的階段,例如DLCM-6、DLCM-7、DLCM-10等。本文,我們僅介紹幾個代表性的DLCM。
0x1:DLCM-6
Securosis將資料生命週期劃分為6個階段,分別是:
- 建立
- 儲存
- 使用
- 分享
- 存檔
- 銷燬
而且,Securosis將這6個階段表示為單向流動,即從建立開始依次流動,直到銷燬結束,並在每個關鍵階段列出了對應的資料安全技術,如下圖所示。
圖中,資料分享階段的CMP技術是“Content Monitoring and Protection”的簡稱,即資料內容監測與防護技術,這是DLP的核心技術。
圖中剩餘關鍵技術都是常見技術,在本文不再詳細介紹。
0x2:DLCM-7
Bloomberg在《7 phasesof a data life cycle》一文中,將資料生命週期劃分為7個階段,分別是:
- 資料獲取
- 資料儲存
- 資料合成
- 資料使用
- 資料釋出
- 資料歸檔
- 資料清洗
這個7段分法中,比較有特色的是資料合成(Data Synthesis)。
資料合成是一種資料分析過程,主要指通過多種資料共同計算產出更多資料價值的過程。文章也提到,資料合成這個階段並不是常見的資料生命週期階段。資料合成是連線資料儲存和資料使用的中間階段,其中,對於資料最初的預處理是在資料儲存階段完成的,而與實際業務直接相關的資料計算都在資料使用階段完成。
0x3:DLCM-11
Uttaranchal University的一篇論文將DLCM劃分為11個階段,分別是:
- 收集
- 重要性判斷
- 使用者授權
- 分類
- 儲存
- 傳輸
- 存檔或轉換
- 釋出
- 備份
- 留存
- 評估或移除
DLCM-11增加了使用者授權階段,這一階段主要是通過訪問控制相關技術實現正確的主體訪問正確的資料。不過,使用者授權並不是一個數據概念,而是一個系統概念,出現在資料生命週期中並不多見。
此外,DLCM-11也標出了每個階段的風險等級,其中使用者授權、儲存、存檔或轉換這三個階段的風險等級最高。而且,文章提到的風險等級都是指“資料洩露”的風險,並沒有考慮“資料濫用”和“資料誤用”問題。
四、小結
本文前面介紹了IBM、Symantec等幾個機構對DCS的理解,不難看出,不同機構在不同時期對DCS的理解角度不同,關注的重點也不同。便於大家直觀理解各家DCS概念的區別,我們基於各家材料梳理形成了下表。其中,部分機構的DCS未在本文中展開介紹,感興趣的讀者可以根據參考文獻進一步瞭解。
大資料時代的資料安全是“舊瓶裝新酒”。
DCS(以資料為中心的安全)看上去是一個老的概念,但實際上是完全不同的新概念,所以不能用過去的思路理解今天的含義,也不能用過去的經驗來解決今天的資料安全問題。想要解決今天面對的資料安全問題,創新是必不可少的。
五、參考文獻
[1].《Data-centric security:Integratingdata privacy and data security》,IBM,2009
[2].《Data-Centric Security:RoleAnalysis and Role Typestates》,IBM, 2006
[3].《Symantec ICSM 15.0 Deployment Guide》
[4].《Information Centric Security Brief》, Symantec,2018
[5].《The Six Inconvenient Truths of Data-Centric Security》,IDC,2019
[6].《Information-Centric Security: Why Data Protection Isthe Cornerstone of Modern Enterprise Security Programs 》,IDC,2017
[7].《10 Keys to Data-Centric Security》,Sirius EDGE, 2016
[8].《A Guide on the Data Lifecycle》,Varonis, 2018
[9].《Data Security Lifecycle》,Securosis
[10].《Data Security Lifecycle 2.0》,Securosis
[11].《7 phases of a data life cycle》,Bloomberg,2015
[12].《Data Lifecycle Management Model Shows Risks andIntegrated Data Flow》, TechTarget, 2018
[13].《Data Security and Updation of Data Lifecycle in CloudComputing using Key-Exchange Algorithm》, UttaranchalUniversity,
[14].《DATA-CENTRIC SECURITY MARKET》,MarketsandMarkets,2017
[15].《Data-Centric Security: Reducing Risk at the Endpointsof the Organization》,IAPP,2014
[16].《Trends In Data Centric Security》,Securosis,2014
[17].《Data_Centric_Security:SevenBest Practices for Protecting Your Most Sensitive Data 》,TDWI,2016
[18].《Detect andProtect: A Data-Centric Approach to Security》,Informiatica, 2017
[19].《Data-Centric Security and Big Data》,Thales, 2018
[20].《WHITE PAPER:INFORMATION-CENTRICSECURITY》,global velocity,2014
[21].《Data Centric Security Management》,PWC,2014
[22].《Methodology for Decentralized Data lifecycleManagement》,Rest Assured,2018
[23].《White Paper: Data-centric Security vs. Database-levelSecurity》, Micro Focus
[24].《A BLUEPRINT FOR DATA-CENTRIC SECURITY》,PKWARE
[25].《The Forrester Wave™_ Data Security Portfolio Vendors,Q2 2019》,Forrester,2019