數(shù)據(jù)安全之航

      一、一張卡片，十八載艱辛

       邁科龍為什么會做數(shù)據(jù)安全？

       這個問題無數(shù)次被各位領導、客戶、好奇的朋友們問起。其實緣由很簡單，這一切結(jié)緣于一張二十年前的小卡片，準確地說，這是一張上世紀90年代在計生系統(tǒng)廣泛使用的計劃生育育齡婦女信息登記卡。1982年，計劃生育被確立為我國的基本國策，那時，每一育齡婦女的生育與家庭信息都存儲在這張小卡片上。計劃生育政策一開始就被部分西方國家用來攻擊我國人權、抹黑我國政府，更令人發(fā)指的是有人蓄意竊取了一張育齡婦女登記卡，用它在某國國會作證，指證我國政府不講人權、藐視人權，這給我國政府的聲譽在國際上造成了極其惡劣的影響，往事不堪回首。早在1996年，大家就深深感到：計劃生育是天下第一難事，人口計劃生育事業(yè)跨越式發(fā)展必須走“人口計生信息化”這一道路。然而，信息化必將導致人口與計劃生育數(shù)據(jù)的大集中，人口計生數(shù)據(jù)安全風險徒增。一張卡片流出，引起一次指證，千萬張卡片的信息泄露，足以讓中國政府淹沒在國際社會的口水之中，更加可怕的是人口計生數(shù)據(jù)一旦被敵對勢力得手，將給我國經(jīng)濟、社會造成不可估量的損失，人口計生數(shù)據(jù)安全就成了一個十分突出問題。

       如何在利用信息化手段促進人口計生事業(yè)發(fā)展的同時保證人口計生數(shù)據(jù)免遭泄露，尋求一種怎樣的技術方法為計生信息化保駕護航以杜絕蓄意分子竊取人口計生數(shù)據(jù)進行惡意活動？作為全國人口信息化最大的市場份額占領者，保護好人口計生數(shù)據(jù)，負有義不容辭的責任。這種責任，驅(qū)使我們對數(shù)據(jù)安全方法與技術開始進行了廣泛而深入的探索與研究。從1998年開始，我們的技術團隊先后從數(shù)據(jù)使用終端、數(shù)據(jù)訪問、數(shù)據(jù)交換與隔離、數(shù)據(jù)庫結(jié)構及數(shù)據(jù)透明加密、數(shù)據(jù)安全存儲（災備），數(shù)據(jù)安全智能管控等各方面著手進行專項、精細、持續(xù)的研究。2003年，首次獲得2項信息安全發(fā)明專利授權，后來又獲得了信息安全多項發(fā)明專利授權，其中《一種軟件保護方法》于2006年獲得“中國專利優(yōu)秀獎”。以自主知識產(chǎn)權技術為支撐，借助于我們多年在全國人口計劃生育信息化市場份額穩(wěn)居首位的優(yōu)勢，一系列以安全發(fā)明專利為核心技術的數(shù)據(jù)安全軟件，以依存于人口與計劃生育信息系統(tǒng)的形式，應用于全國20多個?。ㄊ校┘捌渌鶎俑骷売嬌鷻C構，擁有覆蓋了大半個中國的10多萬用戶。我們不斷地改進、完善產(chǎn)品和技術，逐步建立了成熟、可靠的計生數(shù)據(jù)安全保護體系。

       進入2012年后，信息化普及率以迅雷不及掩耳之勢覆蓋各行各業(yè)，信息系統(tǒng)已成為各行業(yè)必不可缺的工具，使用者近6億人。特別是隨著大數(shù)據(jù)、云平臺的開放與應用，數(shù)據(jù)安全已然成為各行業(yè)應用者所面對的最突出問題，這些問題時刻危及國家的政治、經(jīng)濟、國防及人民財產(chǎn)安全。為此，我們將數(shù)據(jù)安全技術從人口計生應用程序中剝離，進行數(shù)據(jù)安全普適、多功能、高性能、高可靠等方面的研究，成果就是今天展現(xiàn)在大家面前的數(shù)據(jù)安全全方位保護方案及支撐該方案的數(shù)據(jù)安全系列產(chǎn)品（12大類，80余種產(chǎn)品）。產(chǎn)品覆蓋了數(shù)據(jù)安全的各方面（各環(huán)節(jié)），產(chǎn)品種類多、針對性強、核心技術自主可控、產(chǎn)品質(zhì)量高，可以為客戶提供個性與共性并用的專業(yè)服務。

       18年的持續(xù)研究，18年的厚積薄發(fā)，18年的數(shù)據(jù)安全實踐，從初心從事信息安全到現(xiàn)在，我們團隊已研究提出并踐行了一套行之有效的數(shù)據(jù)安全全方位保護方案，并提供與之相配套的、適用于不同應用場景的、規(guī)格不一的個性、共性產(chǎn)品及服務。

      二、數(shù)據(jù)安全是核心、丟了數(shù)據(jù)失了魂

       過去，在信息化發(fā)展的早期，人們往往認為信息安全主要是防止網(wǎng)絡病毒、網(wǎng)絡攻擊、網(wǎng)頁篡改、網(wǎng)絡阻塞等破壞信息系統(tǒng)之行為，故信息安全的視野都集中于網(wǎng)絡邊界安全。在這一誤導下，用戶把90%以上的精力和財力投在網(wǎng)絡邊界安全上。很少有人去關注信息系統(tǒng)中的數(shù)據(jù)安全。眾所周知，網(wǎng)絡攻防是此消彼漲，道高一尺，魔高一丈的博弈，新技術出來了，已有的網(wǎng)絡安全技術就失效，于是再尋找新技術來防，新技術又被更新的技術攻克，如此循環(huán)……人們已經(jīng)習慣了這種貓抓老鼠的游戲了。一種錯誤的下意識的思維就是做好了網(wǎng)絡邊界安全，就高枕無憂了。于無聲處聽驚雷，美國特工斯諾登爆料：有的國家不斷地竊取其他國家信息，監(jiān)視其他國家及其公民的活動。這時全世界才煥然大悟：信息安全不僅僅是網(wǎng)絡邊界安全，數(shù)據(jù)安全才是核心，數(shù)據(jù)是信息系統(tǒng)的靈魂。網(wǎng)絡攻擊的目標是什么？斬首——獲取數(shù)據(jù)。數(shù)據(jù)是一個國家政治、國防、經(jīng)濟、文化，社會發(fā)展及人民生活活動之抽象表達，數(shù)據(jù)已成為核心資產(chǎn)，是最重要的財富。在非戰(zhàn)爭時期，盜竊數(shù)據(jù)已成為最大的危害活動。相反，網(wǎng)絡邊界安全或破壞信息系統(tǒng)已不是危害活動的主體表現(xiàn)形式。更可惡的是，偷了數(shù)據(jù)，還留一個記號，開多一個后門，以便源源不斷地竊取數(shù)據(jù)。數(shù)據(jù)安全形勢十分嚴重，不可不察。

       我們研究了數(shù)據(jù)的類型（表現(xiàn)方式）、分布、流向及應用方式。數(shù)據(jù)類型上可分為結(jié)構化數(shù)據(jù)、非（半）結(jié)構化數(shù)據(jù)、視頻數(shù)據(jù)與音頻數(shù)據(jù)等四大類。數(shù)據(jù)的目標針對性以結(jié)構化數(shù)據(jù)為最高，其每一個數(shù)據(jù)項都有非常明確的指向，數(shù)據(jù)項之間的相互關聯(lián)，隱含著事物的內(nèi)在聯(lián)系，這些結(jié)構化數(shù)據(jù)多以信息系統(tǒng)之數(shù)據(jù)庫的形式而存在。研究表明，超過78%的敏感數(shù)據(jù)存在數(shù)據(jù)庫中，98%的敏感數(shù)據(jù)的泄露是通過數(shù)據(jù)庫被竊的。顯而易見，數(shù)據(jù)庫系統(tǒng)安全成為數(shù)據(jù)安全的首要目標。然而，非結(jié)構化數(shù)據(jù)（如文件、圖片、程序、音頻等）均含有極其重要的信息，一旦泄露，竊取者會從這些數(shù)據(jù)中抽取出為他所用的信息，并采取惡意行動。隨著信息技術的迅猛發(fā)展，從單機（獨立用戶）、局域網(wǎng)、廣域網(wǎng)到云計算，新技術日新月異。數(shù)據(jù)的分布面十分廣，它既存在于應用端（終端），又存在于局域網(wǎng)、遍及廣域網(wǎng)，今后，更趨向集中于云上，信息技術越先進，數(shù)據(jù)的安全風險就越大。相反，人們對數(shù)據(jù)安全的憂慮，會阻礙新技術的應用，如云計算在云數(shù)據(jù)安全沒有獲得保障以前，很少有人愿意把自己的數(shù)據(jù)放在公有云之上。怎樣才能真正保護數(shù)據(jù)的安全呢？我們只分析了數(shù)據(jù)類型、分布是不夠的，還要看看數(shù)據(jù)的流動方向（路徑）。數(shù)據(jù)流動的路徑可歸結(jié)為：①終端內(nèi)；②網(wǎng)絡（局域網(wǎng)或廣域網(wǎng)）與終端之間；③局域網(wǎng)（廣域網(wǎng)）之間；④終端與云之間；⑤云與云之間。做好了數(shù)據(jù)在各流通環(huán)節(jié)及各環(huán)節(jié)上的載體的數(shù)據(jù)安全和數(shù)據(jù)應用安全，就能真正實現(xiàn)對數(shù)據(jù)全方位的保護。

      三、扎好籬笆墻，不怕狗來鉆

       -----構建安全、高效的數(shù)據(jù)存儲、應用、交換（共享）的數(shù)據(jù)安全保護體系

       狗要從籬笆墻鉆進院子里來偷食，一定是籬笆沒扎牢。數(shù)據(jù)安全亦同。扎好數(shù)據(jù)安全的籬笆墻，就是要對數(shù)據(jù)分布的地方、數(shù)據(jù)出現(xiàn)的各環(huán)節(jié)（路徑）、及數(shù)據(jù)的應用（含應用者）做好數(shù)據(jù)的安全保護?？偨Y(jié)18年來人口計生數(shù)據(jù)保護的經(jīng)驗，深入地研究數(shù)據(jù)安全的基礎理論及其關鍵技術，我們提出了數(shù)據(jù)安全全方位保護方案（如圖所示）包括： 

     （一）終端數(shù)據(jù)安全

       主要內(nèi)容有：生物特征身份認證；定點授權（捆綁機器）；終端文件加密與解密；CA認證（電子證書）。

     （二）數(shù)據(jù)應用安全

       數(shù)據(jù)（包括結(jié)構化、非結(jié)構化數(shù)據(jù)、音頻及視頻等）透明加解密，訪問控制，事件審計，數(shù)據(jù)庫的主動防御與自動阻斷。

     （三）數(shù)據(jù)資產(chǎn)及敏感數(shù)據(jù)管理

       對數(shù)據(jù)庫的安全性進行持續(xù)探測分析，并對數(shù)據(jù)庫進行定期掃描，分析與報告數(shù)據(jù)庫的安全狀況。尋找信息中的敏感數(shù)據(jù)，對敏感數(shù)據(jù)采取安全措施。

     （四）數(shù)據(jù)交換安全

       為滿足各部門進行數(shù)據(jù)安全共享或數(shù)據(jù)被他人使用而進行的安全交換。在不同密級網(wǎng)絡環(huán)境和不同信息系統(tǒng)中（包括等保、分保網(wǎng)絡或互聯(lián)網(wǎng)），為了協(xié)同工作必須滿足：1）高密系統(tǒng)從低密系統(tǒng)獲取數(shù)據(jù)；2）高密系統(tǒng)向低密系統(tǒng)提供降密級數(shù)據(jù)；3）高密系統(tǒng)跨密級從低密系統(tǒng)獲取數(shù)據(jù)；4）高密系統(tǒng)跨密級向低密系統(tǒng)提供降密級數(shù)據(jù)；5）相同（或不同）密級（或無密級）的信息系統(tǒng)之間相互交換數(shù)據(jù)的需求，實現(xiàn)協(xié)同作業(yè)。

     （五）數(shù)據(jù)存儲（災備）安全

       數(shù)據(jù)透明加密后，在安全認證和訪問控制下，備份在客戶指定的地點，包括快照，塊級壓縮，完整或增量備份等。

     （六）信息安全設備的智能管控平臺

       實時監(jiān)控、收集、分析和關聯(lián)整個IT環(huán)境中分散的安全設備和應用系統(tǒng)的安全狀況與事件；進行關聯(lián)分析，精準的找出安全隱患；能夠根據(jù)分析結(jié)果，自動制定相應的安全策略；提交安全策略至安全管理中心進行審核，審核通過后將安全策略自動下發(fā)應用到各安全設備執(zhí)行。

       雖然我們用了18年的時間，不斷探索，不斷實踐，不斷研究，提出了上述的解決方案，但我們誠惶誠恐，唯恐考慮不周，還請您提出寶貴意見，我們將不勝感激。我想弱弱的對您說，我們不僅樂意依據(jù)您的需求，為您制定相適應的數(shù)據(jù)安全解決方案，我們還十分期盼為您提供實現(xiàn)數(shù)據(jù)安全全方位保護方案所需要的、滿足您個性需求的各類安全產(chǎn)品（詳見邁科龍集團：數(shù)據(jù)安全領航者—信息安全技術、產(chǎn)品與服務），如能為您的數(shù)據(jù)安全的保護建言獻策，我們會感到無上的榮耀。感謝您的閱讀。