李昊原
数据安全有多重要?想象一家智能物流公司,由于派单的数据库或是机械手扫码的数据被篡改,让你期待已久的包裹被派送到了另一个地方去,你该多恼火?而实际中可能出问题的数据不止這些,物流公司每天都要交互大量的数据,与买家和卖家、分销商和中间物流、终端的应用接口等,这其中很多信息是敏感的。比如你的地址和联系方式,更大范围来讲,你的生活习惯、喜好、行为轨迹等个人画像,也许这家公司的内部人员查看下你的数据,就会变得比你多年的朋友还了解你。
层出不穷的电信诈骗、越来越聪明的黑产者,都让人觉得信息时代毫无隐私可言,处处是陷阱;对于企业,自己的业务数据被偷走,损失自不用说。5月25日实施的《通用数据保护条例》(GDPR),用户的数据丢失也将带来严重的后果——2000万欧元的罚款就算是巨头也吃不消——腾讯已停止了QQ在欧洲的服务:而在正式实施的第一天,Facebook和谷歌便遭到了起诉。
数据是企业重要的资产,难免会引来觊觎,不只来自外部,内部的漏洞甚至“内鬼”也兼有之。而在数字化、互联网的时代,万物互联,内外的界限也很模糊,如许多用于企业内部的应用,实际服务的终端却是在外网上。
作为一家成立了22年的公司,Commvault已连续七年荣膺Gartner“数据中心备份和恢复解决方案”魔力象限领导者殊荣。Commvault亚太区企业解决方案架构师李可告诉《IT经理世界》,在一年多前,公司就在为GDPR做准备。
“很多人以为只需要上一个软件或者系统就可以万事大吉,但他们忽略了欧盟GDPR的重要要求,是每个企业必须要有一个管理框架。”李可说,购买软件并不能解决数据保护的问题,企业要有数据安全观,这需要有统一化的管理视角和平台,以分析自己的数据类型、收集渠道、管理流程、中间环节、存储、分级、使用和分享等。“欧盟之所以给了一年的宽限期,就是希望企业用这段时间来建立制度,并用软件和系统去告诉客户自己是如何改变的。”
在企业数据安全的不同象限,Commvault更集中在侦测、使用访问、存储和恢复上。李可介绍,比如针对勒索病毒的进攻,除了常规的自动检测、设置蜜罐等,Commvault会对数据进行备份保护,确保备份数据的隔离和安全,在数据丢失时进行恢复,并对数据自动化脱敏。“我们的底线,是设想所有的防御都已经被攻破的情况下,如何在被感染的环境下守住企业的数据。”
而要做到这一点,最重要的原则就是做到“多副本、完全隔离、副本间不存在自动化的复制关系。”李可说,企业要尽可能地切割数据和生产的关系,“以前的高可用、多副本,其实跟生产环境是在同一个地方,我们通过隔离切割和权限的转变,形成类似于保险库的方式。”其次,是对物理和逻辑隔离权限的重新切分,让数据不会因为单个网络或应用而被入侵者溯源找到。“比如有三个备份,(入侵者)他没办法关联,意味着不可能一下子破坏或获取,使得我们有机会进行恢复——类似于地下防空洞。”
李可曾经收到过一封来自Commvault客户之一的公安系统的感谢信,对方的关键数据由于物理性的丢失,只能通过备份从异地拷贝进行恢复。这种方式虽然看起来“老旧”,但在攻击突破安全系统的时候,可能就是企业数据的最后一道防线。
《网络安全法》实施已有一年,有关个人隐私数据保护的立法也正在进行时,全球范围内,对企业数据安全(是的,即使个人隐私数据,终归也会落脚在企业身上)的重视激励了安全市场的增长。
Commvault大中华区总经理王波曾参与国家级重大信息系统项目的规划和编纂,他总结了未来安全市场三个可能的重要增长点。首先是来自合规性的管控,“我们看到不同的国家、区域,由政府驱动的合规性要求越来越多,比如欧盟的GDPR,这让我们在数据保护的命题下,可以做的事情也越来越多。”他同样认为,合规性要求实际并非技术层面的需求,而是管理层面的需求——但管理层面的需求最终要靠技术的方式来解决,并促进市场增长。
以往在缺少合规性要求的时候,许多企业会将数据安全问题视为企业管理上的问题而选择规避,“现在很多组织已经在设置新的岗位,叫DPO(Data Protection Officer)数据保护官,承担数据保护合规的责任,这在以前是不需要的。”王波说。
比如Commvault就专门针对GDPR研发了解决方案,可以帮助企业发现和搜索相关的个人可识别信息(PII信息)的存放,提供统一视图,以实现GDPR要求的环节:包括发现数据、识别数据和保证删除等。“对很多企业来讲,他们认为数据存放在数据库或系统里面,就是那几张表,保护数据就是保护好表,删除数据就是去掉几行,但实际上大量的隐私数据是存放在过程数据中,以文件或者邮件、甚至图片的形式存在。在进入系统用于分析后,比如在Hadoop平台上,又会变成新的格式,企业实际是做不到对这些数据保证识别和删除的。”李可举例某个全球的云服务商,当长时间在它的系统存放数据后,它甚至没办法对这些数据做到按需调取和删除。
其次是互联网的发展,王波将互联网比喻成催化剂,把以往被认为非显性或不存在的需求,以爆发性的方式被激发了。“比如,以前除了摄影师,没有人会整天随手带着相机拍照,但现在每个人都有智能手机,像素又很高,每个消费者拍摄的大量的数码照片最终可能会保存到本地存储或云平台。”类似的被互联网激发的需求,比如网购、打车、外卖等,最终都需要相应的存储平台来对其进行支撑,而云平台也需要数据保护解决方案。由此就不难理解,为什么做互联网的腾讯会有项尖的七大安全实验室,而搜索出身的360,最终成了安全公司。可以预见的是,在未来,互联网激发的需求只会更多,而不会减少。
第三个领域是工业及制造业。工业互联网、工业4.0、智能制造等概念的提出,将促进工业及制造业领域对数据管理产生新的需求。“在过去一两年中,我们发现制造业领域的需求变得越来越旺盛。”王波说,之前来自制造业的数据保护需求被认为只来自于最终的销售、财务等系统,而在生产的过程中,很少会有企业考虑对过程数据进行保护。随着企业通过分析过程数据,看到数据在解决质量缺陷、改进工艺等方面应用的价值,也逐渐产生了保护过程数据的强烈需求,这在以前是不存在的。
与之相对应的是,工业企业在数据安全上的相对落后。有报道称,对工业互联网安全水平进行评估,只有4%-5%的企业认为处于领先水平,20%左右的企业表示已经建立起比较标准的框架,而超过70%的企业,还处于初始阶段甚至完全没意识。“但令人担忧的是,他们的业务量并不少。”
王波“很多组织已经设置数据保护官(DPO),承担数据保护合规的责任,这在以前是不需要的。”