喜报 | 炼石入选首批“切面联盟技术合作伙伴计划”
2024年7月27日,正值切面联盟成立一周年之际,第二届切面联盟会议AOTA2024在北京举办。本次会议由切面联盟与蚂蚁集团联合主办,旨在探讨数字世界安全可持续发展的可行路径和具体措施。会议向联盟成员同步了生态建设成果和切面技术升级进展,并邀请行业嘉宾共同交流切面落地应用案例。会议同时宣布“切面联盟技术合作伙伴项目”正式开启,并揭晓了首批入选企业名单。炼石作为安全平行切面联盟成员,凭借“基于切面技术的免改造数据安全”产品特色和创新实践,入选首批“切面联盟技术合作伙伴计划”。切面联盟秘书长、蚂蚁集团基础安全副总经理邱喆彬与炼石网络创始人、CEO白小勇现场签署了合作备忘录。
不负重托 共谋切面技术与原生安全范式发展目标
本次切面联盟会议邀请了国家信息中心原首席工程师、研究员李新友和长江学者,中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋到会致辞。李新友指出,切面联盟要牢牢把握国家需求和市场需要,要围绕切面技术开展原生安全建设,要在数据安全领域发力,尤其是数据安全治理体系的建设上。他还呼吁联盟继续推进相关标准研究,让联盟各成员拥有对话的基础,共同推动切面技术的创新和应用。
左晓栋为参会嘉宾解读了近期发布的《互联网政务应用安全管理规定》《国家网络身份认证公共服务管理办法》,他表示,新的政策要求将带来新的网络安全需求,创造了新的市场空间,需要更加有效的新技术。切面等创新可靠技术应当考虑如何更好地融入国家网络空间安全基础设施,提供更安全的服务。
切面联盟理事长,蚂蚁集团副总裁、首席技术安全官韦韬回顾总结了过去一年联盟的建设成果,并对未来发展方向做了展望。韦韬表示,网络空间安全是行业数字化转型的核心竞争力之一,网络安全行业正在从合规导向走向效果导向。虽然面临着阶段性困难,长期市场规模有望随着数字化经济发展达到万亿级别。
但目前作为数字化转型的实体,企业这样的“数字生命体”自身的基础设施往往缺乏安全对抗能力。一方面体现在传统安全对抗与治理能力的效能不足,已无法应对愈发复杂、高级的攻击手段;另一方面,在安全能力愈发贴近业务的情况下,传统缺乏协同的安全产品无法提供足够的稳健运行保障,业务与安全之间的信息危机不断出现。所以,安全产品除了提供最核心的安全防护能力之外,还需要对自身产品的可靠性、稳定性提供充足的自证,并确保线上运行稳定可靠。
平行切面能够为网络安全、数据安全领域的三大商业模式即“合规模式”“实战模式”“保险模式”提供业务创新与安全范式变革能力,进一步还通过打造切面底座保障能力、质量认证流水线、灰度监控应急三板斧保障等多重机制,向切面联盟伙伴和行业客户提供高效能、可对抗、有韧性的数字生命体安全基础设施,全面提升企业数字生命体的韧性和可对抗性。
韦韬还提到,新的一年切面联盟加速推动切面生态产品的落地,以平行切面基础平台作为切面生态产品底座,通过切面联盟技术合作伙伴计划试点,打通切面生态的技术、标准和产品体系,做好产品和服务的稳定性、安全性保障,与各联盟成员、行业伙伴共同推进切面产业生态建设。
蚂蚁集团顾为群介绍,创新技术的应用推广生命周期中,往往面临着产业生态上的巨大鸿沟,制约着创新技术和产品的发展和推广。切面联盟宣布开启“切面联盟技术合作伙伴”计划,旨在携手合作伙伴共同繁荣切面生态,共同打造客户可信赖的原生安全解决方案,因此也称为“跨越鸿沟”计划。本计划首批建设方向涵盖数据安全、应用安全、欺骗防御和软件供应链安全,入选的技术合作伙伴将基于切面框架开发相关安全产品,提供易部署、低侵入、有韧性、安全可靠的切面应用,加上蚂蚁集团提供的稳定可靠的一体化安全切面基础设施平台,共同组成基于切面技术的原生安全解决方案。后续切面联盟还将通过产品技术认证等方式检验切面产品的的稳定性、安全性和可靠性,进一步保障产品质量。
炼石免改造数据安全方案
免改造数据安全,繁荣切面生态发展。炼石入选首批“切面联盟技术合作伙伴计划”,将与联盟携手建立双赢、可持续发展的合作模式,基于切面框架,依托免改造数据安全实战防护经验与优势,锚定密码与数据安全二元属性,打造“一套技术底座、三条产品线”,即:免改造技术引擎平台、国密合规产品、实战防护产品、数据流通合规产品,以及专业数据安全保障服务,跨越“主路密码、旁路审计难以形成统一平台”技术鸿沟,大幅降低安全与业务的融合成本,实现密码与数据安全能力的一体化交付,形成防绕过的数据安全实战保护机制。未来,炼石将拓展和丰富具备灵活交付多重安全能力、易部署易扩展的切面安全产品,推动多样化的切面研发和实践成果落地应用,夯实切面开发框架和切面底座,为切面生态发展贡献力量。
安全与业务纽结缠绕,改造成本抵消安全增益陷入两难。在实践应用中,炼石发现数据安全建设最大痛点在于,安全机制和业务处理纽结缠绕、难以改造。例如,个人信息与重要数据保护主要是面向应用的功能型安全需求,容易遇到业务与安全研发排期不吻合,业务团队技术与响应跟不上;功能型安全需求要在应用中融合实现,但改造应用成本高、风险大、周期长;数据保护不落实,则合规风险越来越大、因泄露导致的业务风险会快速累积等问题。放眼数字化转型及数字经济产业发展,不仅是CPU、操作系统、数据库等基础软件的升级,涉及广泛行业应用软件亟待升级替换是更大的市场空间,比如制造业的PLM/MES/ERP软件、医疗行业HIS软件、金融行业应用软件、能源行业应用软件、交通行业应用软件等等。这些巨大存量的应用软件普遍缺失内建安全机制,缺乏有效手段增强数据安全能力,因为无法破解开发改造模式成本极高、影响业务连续性,还有源代码维护等技术可行性挑战。这也意味着,应用改造带来的高难度、高风险、长周期,再叠加复杂的数据安全能力,使得企业投入成本在一定程度上抵消了安全带来的增益,企业数据安全建设面临“不改有风险、强改会要命”的两难困境。因此,准确把握安全形势变化新特点新趋势,创新特色数据安全才是关键。
创新免改造密码与数据安全产品矩阵
(1)免改造技术引擎平台
以免改造技术引擎平台为底座,实现安全能力精准高效投送。免改造技术引擎平台核心能力是对流动数据的高覆盖率识别与控制,免改造交付多重安全能力,易部署易扩展,实现安全与业务有机融合。针对数据在不同处理环节的免改造控制面,施加防绕过动态保护,实现横向可覆盖广泛应用,纵向可叠加多阶安全能力。不论是纵深安全防护,还是新技术威胁对抗,均可持续性地消减攻击的威胁能力,提高攻击者攻击成本。构建网络、平台、数据高度联动的整体防御能力:同样具有灵活机动(安全模块敏感部署、快速应用)、综合能力强(安全能力作用于数据控制点)、威慑效果好(多层安全防御),可贴合业务,致力于成为用户提升实战能力的重要支撑,为数据流转提供有效保护。
(2)三条数据安全产品线
炼石打造“一套技术底座、三条产品线”,通过可兼容Java、C/C++、.NET等的免改造模块、兼容主流应用框架/数据库的轻改造SDK模块、兼容MySQL、SQLServer、Mongo等免改造代理模块,夯实数据安全技术防护底座。
1)国密合规产品
政策法规谋篇布局,密评密改加速推进。密码作为保障数字化时代数据安全最有效、最可靠、最经济的关键核心技术和基础支撑,在数字化转型与发展过程中发挥重要作用。但是,目前密码应用存在不广泛、不规范、不安全等问题,迫切需要商用密码应用安全性评估进一步规范商用密码应用和管理、维护网络和数据安全、赋能数字经济,护航中国式现代化发展。国家高度重视商用密码应用安全性评估在各领域的落实推进,在各行业、各地区颁布了大量的密评相关政策标准,明确了重要网络与信息系统密码建设要求。
密改四件套,轻松过密评。炼石作为专业的“一站式密改敏捷交付厂商”,结合最新密评政策标准文件,针对国密合规场景,推出“密改四件套”产品,以及一站式密改“70+分”、“90+分”套餐,实现应用系统免改造接入即可实现合规升级。密改四件套主要包括国密VPN网关产品、密码认证网关产品、应用加密盒子产品和服务器密码机。其中,国密VPN网关产品主要解决网络和通信安全测评项;密码认证网关产品主要解决应用和数据安全测评项;应用加密盒子产品主要解决应用和数据安全测评项、设备和计算安全测评项;服务器密码机主要提供基础加解密算力与密管能力。炼石密改方案广泛适用于政府、金融、交通、电信、医疗、教育、工业、能源、商业等多行业客户,支撑保障关基、等保三级、政务等重要网络与信息系统“三同步、一评估”建设。
2)实战防护产品
免改造数据安全产品体系,灵活交付多重安全能力。炼石自研免改造的全面数据保护产品,依托免改造引擎平台,构建覆盖识别、防护、检测、响应、追溯等安全能力模块的数据安全实战防护产品体系,具有应用架构兼容多、免改造应用交付快、密码安全一体化防护好、安全建设成本省、适应业务数据流向管控准等优势,覆盖事前事中事后的安全防控,为用户数据安全体系建设提供技术支撑,防范化解重大安全风险,增强数据安全保障能力。
数据资产管理系统:炼石数据资产管理系统是一款数据资产自动识别发现、敏感数据自动分类分级管理、自动化打标签的安全产品,具有支持数据结构类型多、识别速度快、易用性高、通用性强等特点。产品适用于工业企业、电信企业、互联网企业、党政机关等客户,开展内部数据资产识别梳理、定位数据资产分布、辅助数据分类分级建设、满足监管检测等场景,有效地解决了企业对数据资产摸底及管理的工作需求。产品系统采用多层架构设计,具备样本数据抽取、敏感数据存储识别与定位、分类分级处理及可视化展现等功能,实现了统一的、全量的敏感数据存储分布可视化管理,用户可以在同一平台系统下实现多个业务系统的敏感数据存储识别与安全检测。
数据加密系统:炼石数据加密系统是针对应用系统做保护的、可敏捷实施的数据安全产品。只需配置级部署,应用无需再进行任何源代码修改,即可实现任意指定字段的数据库存储加密(防范内部IT人员、外部黑客等),同时实现结合登录用户身份的数据动态脱敏和审计(防范内部业务人员越权),产品适用典型场景包括政企客户的个人信息保护、企业商业秘密保护,政府、央企、金融等行业数据安全合规改造等。
数据脱敏系统:炼石数据脱敏系统将数据抽取进行脱敏处理后,下发至测试库。开发、测试、培训、分析人员可以随意取用测试数据,并进行读写操作,脱敏后的数据与生产环境隔离,满足业务需要的同时保障生产数据库的安全,静态脱敏可以概括为数据的“搬移并仿真替换”。炼石数据脱敏系统通过屏蔽、变形、替换、随机、格式保留加密(FPE)等多种算法,针对不同数据类型进行数据掩码扰乱,并可将脱敏后的数据按用户需求,装载至不同环境中。
数据检测响应系统:炼石数据检测响应系统可结合切面数据捕获后,分析业务上下文访问数据;引入GA算法优化检测模块,提升安全规则精确性,降低误报率;根据置信分析策略,进行阻断、审计、执行模块数据安全检测。产品引入GA算法,改变了传统网络安全中针对海量安全日志“不作为,难作为”的情境,利用智能算法,提高了工作效率,保证数据资产不被泄露、被窃取,实现统一的、全量的攻击数据分析、审计、阻断的可视化管理,用户可以在炼石数据安全主平台下,简单扩展外挂分析引擎,实现多个业务系统的数据安全攻击全检测和审计。
数据审计追溯系统:炼石数据审计追溯系统是一款在对结构化数据和非结构化数据进行数据资产管理、数据接口管理的基础上针对企事业单位数据共享和使用场景,利用安全插件模块或安全代理模块,实现对明暗数字水印嵌入和提取验证功能的安全产品,具有支持数据结构类型多、嵌入速度快、易用性高、通用性强等特点。产品利用高性能加密算法对目标数据接收者特征分发唯一密钥和随机数,保证水印提取时,水印的唯一性和可区别性。同时,高性能算法保证水印嵌入过程最小化感知,结合数据接口、文件共享接口,不改变原有业务工作模式,提高工作效率,保证数据资产权益和可追溯性,避免简单无限制数据分发利用可能造成的数据产权流失、安全责任混乱等场景,有效地解决了企业对数据资产保值增值的同时,满足数据确权和数据安全保护的需求。
数据安全合规系统:炼石数据安全合规系统是一款协助DPO、安全部门、中小规模组织开展数据安全合规治理,落实加密、去标识化技术,维护用户数据安全权益,满足法律法规以及上级监管考核检查的安全产品,具有支持多样化的作业矩阵、低代码的工作流程设计、可视化的全景管理等特点。产品适用于中小规模企业事业单位,比如市区(县)级党政机关、中小规模互联网公司、集团子(分)公司、派出机构等客户,开展数据安全合规性管理或治理等场景,有效地解决了企业对数据保护的工作需求。
3)数据流通合规产品
当下,数据已成为企业间可以交易的商品,但在交易后一直存在的“数据失控”问题困扰着数据所有者:数据的接收方有没有对数据进行滥用?对方有没有再次将数据外发给第三方?接收方使用数据的有效期如何控制?这些问题出现的根结是,数据的所有者仅赋予对方数据的使用权而非所有权,并且要按照预期约定来限制对方的使用权。现行的做法是双方通过签订协约的方式,约束数据使用者的行为,但数据的所有权实际是失控的。数据不得不共享的前提下,必须从技术上实现对合作伙伴使用数据的行为进行控制,防止数据滥用、防止数据泄露给第三方,维护数据所有者的利益。
炼石自研数据跨域管控平台,轻改造模式下落地数据可见不可转。产品核心基于TDF(可信数据格式)技术,TDF是一种数据对象编码规范,用于启用数据标记和加密安全功能。数据跨域管控技术可以实现在数据由所有者提供给使用者之后,数据仍然可以按照所有者预先制定的规则被使用者所使用,防止使用者滥用数据,只能在双方约定的范围内使用数据,并且可以实现在没有经过授权的情况下,无法再向第三方转移数据,实现数据所有权和使用权的分离。基于TEE技术,将密码与安全堡垒技术结合,实现跨域数据管控方案落地,结合加密和密钥管控技术,使用数据时必须借助专用软件或硬件设备,可防止数据被滥用以及已解密数据非法外泄。
专业数据安全保障服务
炼石服务能力助力安全工程化建设。炼石持续组建专业高效的技术和服务队伍,打造4项通用服务和2项专项咨询服务,让数据安全防护成效实现“1+1>2”,可支撑开展分类分级、合规检查、风险评估、安全审计、个人信息安全影响评估、商用密码应用咨询等专项工作,满足数据安全领域技术咨询、合规建设及决策建议等诉求,提高国家基础信息网络和重要信息系统的数据安全保障能力。
分类分级服务:通过调研和梳理业务系统主要数据流转和核心业务应用功能,逐步建立数据流向清单和数据应用清单,配合炼石自研数据资产扫描工具,为政企客户数据资产管理提供全景化、动态化数据分类分级服务。
合规检查服务:围绕数据全生命周期管理,根据业务系统数据资产重要程度、安全需求以及法律法规、监管要求,细化规则、落地支撑评估检查,对数据安全管理现状、技术管控能力进行全面评估和提升。评估内容包括机构人员建设情况、基本制度完善情况、技术能力保障情况、数据全生命周期管控情况等方面。
风险评估服务:对标行业主管、上级单位数据安全保护要求,通过收集数据、过程文档等材料,分析数据活动存在的安全风险,并结合数据安全管理制度、数据保护技术和产品、数据常态运营等方面存在的脆弱性、威胁、资产重要性等,开展定性/定量风险评估,确定风险优先级,形成数据安全风险评估报告。
安全审计服务:针对敏感数据安全,建立审计实施体系,完善审计流程,开展定期审计工作。针对操作审计,通过对关键数据操作审计,重点检查数据操作过程的合规情况,并借助分级审计机制提高审计效率;针对合规审计,由专业审计团队执行,重点检查数据安全流程和工作的执行情况。
个人信息安全影响评估服务:主要参考国家标准《信息安全技术 个人信息安全规范》中的相关要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁和丢失。
商用密码应用咨询服务:包含密码技术咨询、密码合规整改和密码测评协同等服务,适用于政府、金融、交通、电信、医疗、教育、工业、能源、商业等多行业客户开展商用密码合规性评估工作,支持企事业单位信息系统“三同步”管理。
京ICP备16012549号 Copyright © CipherGateway. 版权所有
