【精彩回顾】滴滴DSRC安全说——数据安全专场精彩分享全曝光

阅读量    103449 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

众所周知,阿里和华为很早就着手于数据安全建设,积累了丰富的实践经验。那么他们是怎么做数据安全的,有什么诀窍?

http://p7.qhimg.com/t0154834b5667e96a12.jpg

花椒直播回放:http://www.huajiao.com/l/99981236

部分演讲嘉宾PPT公开下载:https://share.weiyun.com/8a86c329c65025fc0dbd1fa1ffabb4ae 密码:ngIrAO


本期滴滴【安全说】很荣幸邀请到了,阿里巴巴集团数据安全总监郑斌(天明),以及华为中央软件院首席安全架构师李滨。两位顶级安全大咖将同场为您解读数据安全建设之道。


安全说介绍

滴滴信息安全部DSRC推出【安全说】(Information Security Talkshow)系列活动,与国内外顶级安全专家或白帽黑客分享交流。


本期主题

【安全说】第2期数据安全专场


精彩回顾

4月7日下午,滴滴【安全说】第2期数据安全专场于滴滴大厦成功举办。本次滴滴【安全说】,滴滴出行CTO张博特别到场参加,滴滴出行信息安全战略部副总裁弓峰敏全程参与,另外滴滴出行安全平台高级总监封朋成到场参加并主持专家H2H环节。

企业中存在着很多的系统和数据,安全工程师面临着各种不同的场景和需求。在大数据和物联网的环境下,数据安全建设有着新的挑战。那么如何应对挑战解决各类问题?如何避开数据安全建设中的坑?让我们跟随滴滴【安全说】,一起学习数据安全的建设方法。

第一部分:郑斌(天明)的议题分享

阿里巴巴集团数据安全总监郑斌(天明),分享了议题《阿里数据安全实践-深水区下的思考》。

http://p4.qhimg.com/t01c9ef25eee98e5311.png

数据安全已进入深水区

首先,天明描述了数据安全建设面临的情形,在大数据和物联网的环境下,数据安全不再只是系统的反入侵、文档的保密,数据安全要满足在不同业务场景下的脱敏要求、消费者交易共享的诉求、国家对于个人信息保护的要求和数据跨境流动的要求等等,这些都为数据安全建设带来了新的挑战。

天明提出,数据安全已经进入了深水区,现在数据安全和过去有五个很大的不同:

1. 数据的保密→(大)数据经济秩序的保障;

2. 注重系统的防护→聚焦数据内容本身的防护;

3. 更加适应大数据技术的特点;

4. 单一组织的保障→跨组织的联动;

5. 技术风险+操作风险→技术风险+操作风险+商业风险+法律风险。

数据安全建设的思路

其次,天明讲到阿里数据安全的思路是聚焦数据和聚焦数据生态。

聚焦数据,需要明确数据在哪里、数据是怎样的、谁在用数据、为什么用数据。聚焦数据生态,包括数据生产者/提供者、数据管理者/控制者、数据加工者、数据消费者。

数据安全能力成熟度模型(DSMM)

然后,天明介绍了阿里借鉴DMM而产生的数据安全能力成熟度模型(DSMM),帮助企业评估自身数据安全能力,并且参与了各项标准的制定。DSMM基于数据生命周期各阶段和全生命周期的安全域。

用户个人信息和用户隐私信息的区别

在这部分天明提到,个人信息不等同于隐私信息,个人信息>隐私信息, 隐私信息是动态变化的。用户隐私保护框架重点在收集、使用、存储、共享。

在分享的最后,天明强调数据安全的建设是利己利人的,良好的产业环境需要大家共同努力,积极配合监管,参与标准的制定,也需要自律。

第二部分:李滨的议题分享

华为中央软件院首席安全架构师李滨,分享了议题《企业数据安全保护框架》。

http://p2.qhimg.com/t0155fa91e7650682ac.png

一张图的秘密

在分享开篇,李滨列出了一张图,由米兰大教堂+清明上河图集市组成,李滨说:谁能看懂这张图基本就懂了5-6成数据安全保护的内容。这张图代表了数据安全建设中最经典的两个场景,左边的教堂是规范和有序的,代表企业应用场景;相反右边的集市是不规范和无序的,代表日常办公场景。感兴趣的童鞋可以深入研究下。 

李滨用新能源设备制造企业的情景,以这家公司的信息安全经理小明为例,结合小明的困惑、小明的思考、小明的行动这三个方面向我们介绍了企业数据安全框架的建设。

小明的困惑

小明的困惑,主要介绍典型的场景和问题。做数据安全先谈场景,不谈场景就是耍流氓。

一个话题一个场景无法涵盖所有的场景。现在在一个企业中,主要是两种场景,典型的关系数据库层级式场景和日常非结构化数据办公的场景。李滨强调只有进行场景分析,并了解业务流程和业务的价值,了解数据流及生命周期之后才能有效的实施数据安全方案。

http://p8.qhimg.com/t01cef56cb236d2732e.png

企业内部有很多关键数据,每天都有关于数据的问题找到小明,其中 A-E是不同场景下的典型问题; F-H是非典型的变态问题,投入成本和产出不合理的,要规避和拒绝 ; I-J是挖坑问题 ,是有潜在的法律/责任风险,或者处于流程模糊地带。处理不好惹一身骚,或者处理过程会产生衍生风险。而最后一个问题(总裁说:我觉得上面的人都靠不住),暗示潜在的企业文化背景可能是最大的坑。 

小明的思考

穷则思变,小明开始思考解决办法。小明的思考,主要介绍数据安全的基本概念、模型和方法。

每种不同格式、不同来源的数据的处理方式和分级是不同的。不同的类型适用不同的安全技术。同时,数据的分级要合规,不仅要符合行业规定和法律法规,还要考虑数据供应方和使用方的要求。

http://p1.qhimg.com/t01894e6cf1566c8b23.png

同时要明确数据的生命周期,李滨将数据的生命周期分为7个阶段:产生、获取→传输→存储→使用→共享→归档→销毁。思路方法就是先发散再汇聚。针对每个阶段,数据资产要进行风险威胁分析。针对每项威胁,可能会有若干项解决问题的机制,找出共通的部分,总结出针对某类数据安全的解决方案。

http://p7.qhimg.com/t0171082800d5f365d6.png

在这之后要建立数据安全治理架构,共分为五个层级:

1. 首先,符合法规、标准及外部要求;

2. 其次,在此基础上制定策略,重点是得到管理层的承诺与支持,再建立各项方针;

3. 再次,建立各级组织,数据安全绝对不只是IT部门/安全部门的职责,要在整个公司建立各级组织。安全部门的主要职责是提供标准、框架、技术以及进行监督发现异常事件,数据安全需要全员参与并明确各级职责;

4. 然后,制定相应流程;

5. 最后,是底层技术的支持。

这五个环节是相辅相成的,缺一不可。

小明的行动

小明是个行动派,一切想明白后就着手行动。小明的行动,主要介绍项目案例。

谈到项目实施,李滨借用了毛主席的策略 “深挖洞、高筑墙、缓称王”,分为四个步骤:资产的清理和分类分级、整个方案的调研和设计、场景匹配,管控方案的实施、后续持续优化。

数据安全建设的难点来源于人的懒和傻

分享介绍后很多童鞋对李滨进行提问。其中李滨重点谈到,数据安全建设的难点很大程度来源于人自身的缺点→懒和傻,业务不懂安全、安全不懂业务,沟通和交流就显得尤为重要。白帽单线作战,而企业的安全工程师却是双线作战。安全部门不能既做裁判员又做运动员,安全部门定规则,业务部门具体对数据进行分级。实践中一定会发生定级偏高或偏低的状况,要容忍这个状况,慢慢进行调整。

第三部分:专家H2H

最后一个环节是专家H2H(high to high),滴滴出行安全平台高级总监封朋成与两位嘉宾进行了深入的对话。

http://p4.qhimg.com/t01e090bb057a5b038e.png

1、朋成:数据安全建设中最困难的是什么?

天明:最困难的是老板的决心,没有老板的支持就没有后续的行动。做安全不能只用防守的角度,应该攻守兼备,要站在业务方思考,思考如何帮助主营业务发展,才能和boss视角一致,才能获得支持。网络安全法出来了,安全有一票否决权,但是不能乱用,要和业务站在一起。

李滨:有一个技术难点,到现在都没有解决好,‘大规模分布式系统下面的权限和访问控制,策略的归一和分发问题’,欢迎大家反馈交流。

2、朋成:在数据泄露的处理中有哪些经验方法?

李滨:首先看事件的源头, 已经泄露出去被发现报过来的,通过已有的记录去查。最终处理方式要归责,领导负连带责任;内部有潜在迹象的,做辅助性的调查,必要时采取一些敏感行为的监控手段。

天明:不断增加控制点的防护;不能覆盖的情况下,通过SRC尽早发现问题,尽早识别做阻断;跟上下游生态共建数据安全。

3、朋成:面对未来的挑战,数据安全建设有哪些借鉴给整个行业的经验?

李滨:首先一定看场景,不同场景差别很大。

1. 企业日常办公场景,文件集中管控做DRM,辅助做DRP、web网关检测,非常重要的领域辅助做加密;

2. IT类企业里面,考虑组织的接受程度,在终端做集中管控,在服务器端考虑辅助工具,减少开发运维人员对系统的接触,减少攻击面和泄露面;

3. 一般业务系统,做好数据生命周期分析,在每个环节做好分析和控制;

4. 大数据和数据库,在网关的地方建立检测和脱敏的机制。

天明:总体从三个方面来说,

1. 方法上围绕数据的生命周期;

2. 从数据内容上来说,在个人信息的保护上有一些共同的方法,在网安法第4章提到,所分享的数据不能识别到一个自然人,可以一起探讨技术;

3. 在实践成熟的时候,可以共同制定一些标准,规范整个产业的行为。

在本期【安全说】最后,朋成感谢两位嘉宾进行了精彩的分享,感谢各位友商、各位白帽子的参加和支持。让我们期待下一期滴滴【安全说】。


举办时间

2017年4月7日13:30签到


举办地点

北京市海淀区东北旺西路8号院尚东数字山谷B区2号楼5-05分享厅

议程安排

http://p3.qhimg.com/t01f4b03437338f1948.png

嘉宾介绍

华为中央软件院首席安全架构师:李滨

李滨,一个信息安全道路上的践行者。

现任华为中央软件院首席安全架构师,负责华为云计算领域PAAS平台、云操作系统、数据库和大数据的安全架构设计和解决方案交付工作。

在近二十年的信息安全工作实践生涯中,李滨在云计算、信息安全治理、企业安全架构和安全工程化方法等领域积累了丰富的经验,并持有多项信息安全专业认证如CCSP、CISSP-ISSAP、CISM、CISA、PMP、ITIL、VCP等。

http://p4.qhimg.com/t01624d0fc6ad104e35.jpg

阿里巴巴集团数据安全总监:郑斌   花名天明

个人信息保护官/数据安全总监/数据大学校长。

16年大型企业数据应用体系建设和数据安全管理经验,所服务的客户覆盖互联网、金融、电信、能源、制造等多个行业。服务过的客户如:全球最大电子商务企业、中国四大商业银行、中国最大财产险和寿险公司、中国最大移动运营商、中国最大电网公司、中国最大白色家电制造企业、全球著名汽车制造企业等。

于2011年加入阿里巴巴,2013年加入阿里巴巴数据委员会,负责组建阿里巴巴集团数据安全工作小组;专注于阿里巴巴集团业务数据化和数据业务化过程中所产生的数据安全风险研究与改进,推动了阿里巴巴集团内部数据安全管理能力的提升和生态圈数据共享/开放安全秩序的建立。

近年来专注于大数据、云计算环境下数据安全、用户隐私保护、数据跨境的研究和实践。

http://p9.qhimg.com/t01c65e3a33dc4366cc.jpg


加入【安全说】

滴滴【安全说】正式开启对外报名。欢迎感兴趣的童鞋积极参加~

http://p5.qhimg.com/t013ee3f62fce688363.png

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多