2014年3月,在北京舉行的一場大數據產業會議上,阿里巴巴創始人馬雲在主題演講中說:“人類正從IT時代走向DT時代。”作爲一個企業家,馬雲的“直覺”很準,他預見到未來是一個數據時代。確實,大數據今天已經深入人們生活和工作的方方面面。
數據,是這個時代的“石油”。
對許多企業來說,數據的價值越來越重要。在這個時代,企業傳統的經營模式逐漸“落伍”,其節奏無法跟上外部快節奏的變化。想要生存?想要發展?企業應該考慮的是:我如何在這種不確定的複雜環境中生存下去,逐漸壯大。
雖然這裏沒有一個完整的答案,但有一條肯定是必選項:企業要懂數據、善用數據。
未來,或許每一家企業都是一個大數據公司。
既然數據很重要,那數據安全則是重中之重。簡單說,數據安全是數據這座大廈的“根基”,根基不穩,大廈危矣,後果可能是“樓塌人亡”。
因此,對企業而言,數據安全建設是必要舉措。但是,關於數據安全建設,我們卻有很多疑問:
數據和數據安全是什麼關係?在企業安全中,數據安全處於何種地位?企業數據安全的建設思路是什麼?數據安全建設面臨哪些常見難點?如何平衡數據安全建設和業務之間的關係?…
抱着一系列的疑問,InfoQ記者採訪了OTA 巨頭攜程信息安全高級經理章錦成。今年10月,他將在QCon全球軟件開發大會(上海站)2019分享題爲《攜程數據安全建設實踐》的演講。
企業數據安全建設思路:抓大放小,從源頭切入
提起企業數據安全建設,很多人“不知所措”。在章錦成看來,數據安全建設就幾個步驟:
第一,梳理數據和數據流轉鏈路。即數據在哪裏,有哪些人或系統可以接觸到數據。
第二,根據數據鏈路上各節點的應用場景,分析可能存在的風險。主要從兩個方向分析:一是合規性,是否符合監管要求、遵循用戶隱私政策;二是防泄漏,是否存在直接或間接的數據風險。
第三,根據不同的場景及風險點,設計不同的解決方案。遵循最小化使用原則,控制數據的使用範圍。不能控制的,做好監控審計,確保數據的使用在可監控、可審計的範圍內。
第四,持續運營,不斷優化安全方案。
這個思路在實際操作中,還需要掌握一些技巧。據章錦成介紹,攜程體量大,每天都會產生海量數據。
2018年,攜程全年淨營業收入爲310億元,集團總交易額(不包括天巡在內)達到7250億元人民幣(1050億美元),超過國際在線旅業巨頭Expedia 2018年GMV 1000億美金。因此,從規模上看,攜程已經成爲OTA行業的全球老大。
章錦成說,“如果不掌握好方法,光是數據梳理,就夠我們抓瞎了(東北話,即亂着急,不知所措)。”
因此,總原則是“抓大放小”,從源頭切入。首先,數據範圍上,攜程選擇從手機號、證件號和郵箱這類用戶敏感數據切入,從數據庫這個“源頭”開始梳理。
在風險治理上,優先解決問題概率高或風險危害高的風險點。
此外,“‘團結一切可以團結的力量’,補充安全資源的不足。方案設計上,能‘搭車’的儘量搭其他團隊的‘車’。產品運營上,可以制定運營流程和操作規範,能下放的儘量下放,做好安全審計。”他補充說。
攜程的數據安全建設實踐
我們以攜程爲例,看看這家OTA行業巨頭是怎麼做的。
簡單說,數據安全建設是圍繞數據生命週期的各個環節設計解決方案。
數據生命週期,數據從產生,會經歷採集、存儲、建模、分析和變現五個階段。
在存儲方面,攜程建立了一套數據分類分級制度和工具。在DB建表時,要求開發對各字段打上相應的密級和標籤。
同時,章錦成稱安全團隊還設計了一套中心化敏感數據加解密系統。各業務線數據採集後涉及敏感數據,必須接入這套加解密系統,存儲(數據)入庫前必須加密。
並且,爲確保各業務線嚴格遵守這個原則,他們還開發了一套敏感數據掃描系統,定期掃描數據庫中的新數據。一旦發現明文,自動通知開發同學進行整改。
一旦數據加密入庫,中心化加解密的好處就體現出來。
他說,“一方面,我們只要管控好數據的解密權限,就能輕鬆掌握數據的訪問動向。另一方面,不管是應用系統的解密,還是人工解密,都需要經過安全的審批和授權,我們也就掌握到業務團隊做安全需求的主動權。”
據悉,他提到的“中心化敏感數據加解密系統”,系統開發上線3個月,實際落地2年多。
“我在做數據安全項目,產品開發、上線都比較順利,難的是推動業務部門接入。”章錦成說。
一旦企業開始做數據安全建設,會發現有很多“坑”等着踩,這些“坑”包括:
1.有哪些重要數據,流經哪些系統,哪些員工可以獲取到,沒人講得清楚;
2.數據太分散,業務需求各式各樣,安全流程無法落地;
3.業務變化太快,歷史問題沒解決,新業務又要火速上線;
4.黑樣本太少,安全策略如何制定,能否覆蓋到實際安全問題;
5.業務部門太強勢,安全項目偷工減料,達不到預期效果;
6.安全預算不夠,要堵的窟窿太多,資源完全不夠用。
在攜程的數據安全建設中,章錦成坦承,“確實走過不少彎路,特別是一些大型數據安全項目的落地上。”
如何去解決這些問題?在他看來,可以分爲三步:
第一,說服管理層,自上而下推動。章錦成指出,這種說服既可以通過自己公司已經發生的事件或業內同行的案例出發,也可以從監管合規的角度切入,陳述利害。
第二,安全方案的設計,一定要充分考慮用戶體驗(用戶指接入安全方案的業務團隊)。一方面,儘量簡化接入步驟,以“Don‘t make me think"爲原則,提供接入組件或SDK。另一方面,多下基層,瞭解業務團隊當前現狀,安全要求不能定得太高。可以根據不同業務反饋的難易程度,由易到難,設置一、二、三期目標,讓有資源的團隊走得更遠,沒資源的團隊不至於放棄治療。
第三,項目推動前,明確項目驗收標準,最好提供驗收工具,讓業務團隊自行驗證是否滿足安全要求,降低過多的溝通成本。
讓我們進一步來看看攜程的數據安全架構。
章錦成說,“簡單說,我們的數據安全架構是以敏感信息保護爲中心,構建各類防護產品。”
首先,源頭上給數據打上相應密級和標籤,加密存儲入庫。集中控制敏感數據的解密權限,一方面制定策略和模型實時監控應用系統和人工數據解密異常,另一方面從解密節點切入,摸清明文數據的訪問源頭並理清其流轉鏈路。
DB層訪問,通過DB日誌審計的方式,實時監控涉敏DB的查詢行爲,及時發現其中的異常鏈接、異常SQL、異常查詢返回數等並進行干預。
應用層訪問,通過流量鏡像捕獲其中涉敏url或api,自動提交越權測試工具測試。同時,從IP、設備指紋、目標url、用戶賬號等維護制定不從策略,實時監控API遍歷、員工違規查詢等行爲。
數據倉庫層,通過提供針對敏感數據的維表方式,嚴格限制敏感數據解密,禁止明文數據落地,從根源上杜絕敏感數據泄露的可能性。
終端上,部署DLP產品,對數據外發行爲進行實時監控和攔截。
企業數據安全建設的兩個階段
數據安全建設一:從0到1
作爲攜程信息安全高級經理,章錦成有着10多年信息安全從業經驗,主導了攜程數據安全從0到1的建設。
從0到1,最初或許來自一本書《Zero to One:Notes on Starups,or How to Build the Future》。人們談“從0到1”,將其視爲一個從無到有,從0到1創造市場的過程。
如果放到數據安全建設上,從0到1同樣對數據安全人員有着重要的啓發。
在章錦成看來,公司需要思考爲什麼要成立數據安全團隊,公司對數據安全防護的期望是什麼。
對攜程而言,最大的期望就是沒有數據泄露,同時符合監管要求。
他說,“從0到1階段,我們圍繞數據放泄露展開。要完成這個目標,首先,要明確需要保護的數據範圍,比如我們的重點是保護用戶隱私和商業祕密這兩類數據;其次,理清這些數據的採集源頭,數據血緣,做好分類和標記;最後,根據不同場景制定不同安全方案,比如數據展示脫敏、數據存儲加密、數據庫操作審計和終端防泄漏等等。”
數據安全建設二:從1到N
邁過從0到1的階段,就進入從1到N。
章錦成說,“從1到N的重點是精細化運營,不斷迭代優化安全方案,提高防禦的廣度和深度。”
此外,最好讓安全下沉到業務,拉着業務團隊一起做數據安全。
以UEBA爲例,攜程也在做,也嘗試過一些商業方案,收集許多業務日誌和流量,怎麼從這些數據中找出異常,怎麼快速覈實異常。
“比如,系統監控某位員工訂單查詢量高於歷史基線,某臺PC上登錄多個賬戶等,經常出現我們覺得有異常的業務覺得挺正常,但業務覺得有問題,反倒沒有通知出來。所以,我覺得在設計數據安全產品時,要考慮到產品的賦能能力,能支持業務團隊自行運營。
UEBA,全稱User Entity Behavior Analytics,即用戶實體行爲分析。它誕生於2014年。Gartner率先提出UBA(用戶行爲分析)的概念,旨在應對日益增長的內部威脅。後來,實體(Entity)被引入UBA,並逐步演進成UEBA。
當然,他還提到容易被忽視的一點:安全文化建設,安全意識宣傳和習慣養成。
如何平衡業務和數據安全建設的關係?
上文,我們以攜程爲例,探討了企業數據安全建設的實踐。不過,有些關鍵問題,我們需進一步探討。
對互聯網企業來說,數據是企業發展的一項重要無形資產。並且,數據分析、價值挖掘能力已經成爲互聯網企業的核心競爭力。
數據和數據安全是一個什麼關係?在章錦成看來,數據安全的目的是爲了確保數據能更安全地服務於企業,在利用數據滿足業務需求的同時,規避可能存在的安全風險。
他表示,”我覺得數據和數據安全應當作爲一個整體去看待,數據安全是圍繞數據生命週期中採集、傳輸、存儲、處理和銷燬等各個環節展開安全防護,即數據安全建設貫穿於數據整個生命週期。“
不過,對企業而言,業務最優先。在他看來,做安全的目的是爲了給業務提供安全保障,脫離業務談安全是毫無意義的。
不過,他也坦承,“安全在一定程度上會影響效率。在安全和效率之間找到一個最佳平衡點是門藝術。”
只要業務在發展,資源必然不夠。因此,原則還是“抓大放小”。
具體說來,首先,不管如何利用數據價值,必須嚴格遵守公司的數據安全紅線,比如用戶隱私政策。在安全紅線內,可以讓業務團隊去量化忽略安全的收益有多大,安全團隊可以計算忽略安全控制後出現安全問題的概率有多大。
另外,公司確定要做的安全項目,做的時候不要留坑,不要欠債。“實踐證明,安全債的利息是非常高的。”他說。
最後,做安全的要多站在業務角度去考慮安全問題,方案儘量輕。思想上,不要把自己跟業務對立,尊重業務,業務部門一旦理解安全需求,它們有可能找到更合理、更高效的解決方案。
在QCon上海2019的演講中,章錦成老師將詳解攜程數據安全相關技術方案和架構,帶你瞭解攜程是如何展開數據安全建設的,踩過哪些坑,如何規避,點此查看詳情。