官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
数据到底属于谁
咱们都说信息化的时代,数据就是财富,数据就是资产,这个比喻甚好,表明的更多是数据的重要性。但是从特性上比起来,数据相比金钱更具特殊性。对于个人来讲,钱包里的钞票,银行账户里的余额,独属于自己,其它人看不见摸不着,更别说随意使用。
但是数据这家伙,它并不具备独占性,你说它到底属于谁吧,都很难界定。比如我在淘宝上买了一件衣服,产生了一条订单数据,这里面数据可丰富了,有你的姓名、家庭地址、电话号码、商品内容,这么多数据,你说到底属于淘宝这个平台呢,还是属于你个人呢。主观意愿上,消费者自然认为数据都是自己的隐私,属于自己,但问题就来了,数据是淘宝平台产生的,同时商家还得使用,物流快递小哥也得看见,小区快递驿站也得复核,你说属于你吧,你压根没有控制权。
淘宝订单数据
这么一看吧,说是数据就是财富,浅层次来看,这压根就不是个人的财富,它可以是淘宝的财富,因为这条数据帮助淘宝更加了解了你的兴趣爱好;它可能是物流公司的财富,因为它帮助物流公司知道了你,哪天物流想做本地生活的业务,其它同城配送新业务的时候,就可以方便的给你发营销短信;它可能是小区驿站的财富,通过它驿站知道了业主的所有联系信息,哪天小区其它业主向驿站打听哪里可以租个车位的时候,还能直接把驿站作为信息中转站了。
谁最有能力保护数据,谁就有责任保护数据安全
数据在情理上属于个人,在保护的责任上属于机构或者企业,这也是国家各类法律法规指向的对象。(《数据安全法》,《网络安全法》,《个人信息保护法》)。
个人数据不光存在于公开的这些应用或者平台里面,在企业内部,各类员工都有可能接触并处理这些数据,除了制定严格的操作规范和流程,企业也不遗余力地采用各种技术手段来保护个人隐私数据的安全。这里面值得津津乐道到,就是层出不穷的各类所谓数据不落地的技术方案。
数据不落地,大致意思就是,(企业)允许你(员工)使用数据,但是你(员工)就是拿不走这些数据。企业和员工的心态,就如同过年红包的拉锯战一般。
数据不落地的定义和目标
广义上讲,凡是有固定载体、不会瞬间消失的持久化数据都是落地数据,例如存储在硬盘上的数据。与之对应,存储在内存中或在网络中传输的、使用完毕就会消失的数据就是不落地数据。在企业内部,员工无需下载到本地设备即可进行编辑和处理的数据,都可以理解为不落地数据。
数据不落地方案之云桌面
这不是一篇科普文章,能耐心看到此处的读者,应该也不需要再普及云桌面的定义了。还有很多近似的叫法,产品差异上是有的,本质却是不变的,比如 DaaS(Desktop As A Service)、VDI、虚拟桌面、远程桌面。在一个独立的Windows桌面环境里使用内部系统,处理文档,编写源代码,通过封禁 USB 和网络通信的措施,来保障数据出不了这个桌面环境。
整体特点来分几个关键词总结,全面、贵、卡、重。
安全效果 | 全面,客户端软件,Web应用都能管,能写文档,能写源代码 |
|---|---|
内网系统 | 能管 |
外网系统 | 管不了 |
价格 | 贵,软件要授权费用,还得准备一堆服务器 |
性能 | 卡,相比本地电脑永远是卡,国产虚拟化协议也较为国外落后 |
实施与运维 | 重,服务器管理,网络配置,瘦客户端管理,日常运维 |
适用群体 | 有钱的,泛政府,泛金融,汽车,教育,安全重于效率的 |
数据不落地之沙箱(Sandbox)
这是零信任安全理念在国内的,中国特色落地方案。早期的沙箱,单指运行在操作系统中的轻量级虚拟机,软件运行其中,不影响外层操作系统。甚至可以类比上面的云桌面,内层逻辑一直,也是建立一个隔离的处理数据的环境,只不过这个隔离环境一个在云端,这个是在终端电脑里,实现技术也不一样。早期这类技术应用场景是在病毒分析上,就是安全人员把病毒木马放进这个沙箱来分析,防止病毒破环外层的本地电脑。现在各个安全企业为了迎合数据安全的热度,开始转变思路把这类技术用在了数据防泄漏场景里。
沙箱(Sandbox),又叫沙盘,网络编程虚拟机执行环境,是一个虚拟系统程序,通过驱动层或应用层重定向技术在终端上创建一个与个人环境完全逻辑隔离的环境,实现对沙箱中运行的软件(应用程序)所有系统操作的管控,并能对沙箱中运行的软件(应用程序)实施通信加密、落地文件加密、内外网络访问隔离、剪切板控制、外设管控、程序管控、文件外发管控等数据保护功能。直接转载了如下文章,从技术角度对沙箱的分析很全面了。
https://www.freebuf.com/articles/endpoint/355519.html
安全效果 | 全面,客户端软件,Web应用都能管,能写文档,能写源代码 |
|---|---|
内网系统 | 能管 |
外网系统 | 管不了 |
价格 | 适中 |
性能 | 本地体验优秀 |
实施与运维 | 重,需要配合网络配置,终端兼容性问题多,软件适配问题多,电脑配置要求高 |
适用群体 | 游戏行业源码保护,素材保护 |
数据不落地之透明加解密
透明加解密指的是,在用户操作数据的过程中,由加密软件自动的将数据要存储的时刻进行加密,在使用的时刻进行自动解密。以防止数据在非正常使用的时候被泄露的可能。对应的安全产品,有针对数据库的,也有针对终端文件的。常见的还是针对终端文件的,数据库层的动态加解密,一般不敢贸然使用,任何不稳定因素都有可能造成业务瘫痪和数据永久损失,风险太大。
数据库的透明加解密
终端文件的透明加解密效果,比如以一个Word文档为例,存在磁盘上是实际加密的,员工打开一个加过密的文档去编辑使用的时候,会在内存里自动解密,员工正常使用,感受不到任何影响。但是当试图通过微信,QQ等把文件发出去的时候,不会触发解密过程,发出去的只是加过密的文件,对方接收到了也没有任何意义。
这样的产品存在也有 20 多年的时间了,目前各个传统的安全公司基本都是标配产品,但在国内鼻祖级别的还是 IP-Guard 这一家。
安全效果 | 不全面,不分软件类型,但只能管理非结构化数据 |
|---|---|
内网系统 | 能管 |
外网系统 | 能管 |
价格 | 适中 |
性能 | 本地体验优秀 |
实施与运维 | 适中 |
适用群体 | 制造业,图纸等非结构化数据为主,场景直观 |
数据不落地之浏览器内核安全
这是一种全新的模式,其还是依托云计算的大背景。一切都上云,如今各个企业里主要的业务系统都在云端,数据在云端,应用在云端。企业办公也越来越依托线上的办公模式,线上写文档,线上开会,线上协同。也就意味着数据都在云端了,新的办公形态需要新的安全解决方案,一切的数据访问都逐渐收口到浏览器,那么基于浏览器内核的安全保护,和数据不落地方案,是一种迎合时代和敢于安全创新的尝试。
这块可供参考的资料并不多,因为市面上仅有一家企业在做这块内容,其技术门槛和方向和传统的模式也完全不一样。推荐大家关注。
数影星球 - 下一代数字办公空间,帮助企业降本增效、安全办公
安全效果 | 不全面,能管理结构化和非结构化数据,但是不能管理终端客户端软件系统 |
|---|---|
内网系统 | 能管 |
外网系统 | 能管 |
价格 | 适中 |
行能 | 本地体验优秀 |
实施与运维 | 轻量,无软件适配,无终端适配,无软件冲突 |
适用群体 | 所有企业 |
计算数据不落地
以上讲诉的都是针对企业办公类的,员工操作数据的,不落地方案,还有另外一块是针对计算数据不落地的场景和方案,指的是在线上或者说在服务端进行大批量数据计算的场景,比如 同态加密、多方计算、SGX 等等,另起篇章再为介绍。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
数据安全
- 14 文章数
- 24 关注者