王燕楠 杭州美創(chuàng)技術(shù)經(jīng)理

　　首先，展開數(shù)據(jù)安全話題之前，我們先有一個(gè)逃避不了的概念，就是黑客，不管我們?cè)谥暗谋热缦窬W(wǎng)絡(luò)安全也好，或者應(yīng)用安全也好的領(lǐng)域，還是說到現(xiàn)在我們說針對(duì)個(gè)人數(shù)據(jù)安全和個(gè)人的信息安全的討論也好，都回避不了這樣一個(gè)角色，就是黑客。我們其實(shí)可以把黑客從我們?cè)缙诘浆F(xiàn)在的發(fā)展，其實(shí)可以拉一個(gè)橫軸去看的話，其實(shí)就是從最早期的一些，比如只會(huì)用一些像工具類的或者說像一些掃描類的工具，然后去進(jìn)行一些嗅探，進(jìn)行一些漏掃，進(jìn)行一些探測(cè)。然后到慢慢的，出現(xiàn)了初級(jí)和中級(jí)的黑客，可以通過一些工具和自己寫的POS的腳本，在不同的場(chǎng)景去針對(duì)一些漏洞進(jìn)行利用。然后再到高級(jí)的，比如我們自己去挖掘的系統(tǒng)漏洞，或者wep層面的漏洞，去進(jìn)行利用。再到后期可能說會(huì)更高級(jí)的，比如說技術(shù)也好，或者說手段也好。但是不管從我們初期的腳本小子，還是高級(jí)的黑客，其實(shí)核心是在于對(duì)數(shù)據(jù)的控制權(quán)。這是我的一個(gè)總結(jié)。

　　這句話里面有兩個(gè)關(guān)鍵點(diǎn)，第一個(gè)是不法者；第二個(gè)是數(shù)據(jù)控制權(quán)。因?yàn)椴环ㄕ卟粌H僅是指外部的黑客，也是像下午其他嘉賓也講到，我們內(nèi)部的一些家賊，或者內(nèi)部人員這樣一個(gè)竊取，也是特別重要的。然后的話，另外一個(gè)就是數(shù)據(jù)的控制權(quán)，為什么說是數(shù)據(jù)的控制權(quán)？因?yàn)椴还苁峭獠康暮诳腿ネㄟ^一些漏洞也好，或者通過一些弱點(diǎn)也好拿到我們數(shù)據(jù)，這個(gè)是拿到數(shù)據(jù)的一個(gè)權(quán)限。然后的話，他通過植入一些木馬或者一些惡意程序去進(jìn)行一些挖礦，或者說是進(jìn)行一些分布式Devdaps，這個(gè)恐怕是對(duì)我們主機(jī)也好，或者對(duì)數(shù)據(jù)的服務(wù)器也好的一個(gè)控制權(quán)。包括比如說像后續(xù)數(shù)據(jù)的一些采集，尤其是現(xiàn)在，比如說我們一些虛擬貨幣的流行，以及比如說像勒索病毒的傳播，其實(shí)也是對(duì)數(shù)據(jù)的一個(gè)控制權(quán)。他只要拿到了這個(gè)權(quán)限，我能夠進(jìn)行加密，那OK，你的這個(gè)數(shù)據(jù)就可以拿到，至于解密的話，你花錢就可以了。

　　然后的話，現(xiàn)在DT時(shí)代的到來，數(shù)據(jù)已經(jīng)成為企業(yè)一個(gè)核心資產(chǎn)，就是這個(gè)DT時(shí)代的話，我如果沒記錯(cuò)應(yīng)該是前兩年馬云提出來的。之前我們討論的更多是一些數(shù)字化轉(zhuǎn)型等等的，其實(shí)現(xiàn)在慢慢的從我們最早期的信息化到現(xiàn)在的話，包括展望未來也好，其實(shí)對(duì)數(shù)據(jù)的一個(gè)利用和一個(gè)提取和如何用數(shù)據(jù)去最大化量化客戶的價(jià)值，這個(gè)其實(shí)已經(jīng)是一個(gè)，相信在現(xiàn)在已經(jīng)有很多企業(yè)在做了。包括現(xiàn)在我們大家知道的抖音，或者說一些短視頻類的，其實(shí)它就是根據(jù)你個(gè)人的一些日常訪問的數(shù)據(jù)的習(xí)慣，然后去預(yù)測(cè)你未來的一個(gè)消費(fèi)也好，或者說行為也好的一個(gè)趨勢(shì)。

　　所以的話，對(duì)傳統(tǒng)來看的話，我們數(shù)據(jù)資產(chǎn)的話，像最早期的話，我們都認(rèn)為數(shù)據(jù)是靜態(tài)的，比如說OK，我這個(gè)數(shù)據(jù)就是我企業(yè)里面走出去，包括像最早的一些安全類的防護(hù)，其實(shí)很多時(shí)候大家都是在邊界去類似搭積木的形式，不斷的把攻擊者的門檻給提的很高。

　　但是的話，到現(xiàn)在和未來的話，數(shù)據(jù)慢慢從我們一個(gè)可明確和可控制的這樣一個(gè)范圍內(nèi)的話，去慢慢轉(zhuǎn)換成一個(gè)逐步開放，甚至說需要去通過一些大數(shù)據(jù)也好，或者說通過一些數(shù)據(jù)交換也好，然后去形成更多的一些交換場(chǎng)景。所以的話，數(shù)據(jù)在未來的過程中一定是處于動(dòng)態(tài)的，這個(gè)動(dòng)態(tài)不僅僅是說我們企業(yè)內(nèi)部，也更多是我們企業(yè)外部的一些數(shù)據(jù)。

　　然后的話，我這兒總結(jié)了一個(gè)老問題，一個(gè)新挑戰(zhàn)。

　　老問題，傳統(tǒng)我們基于特征防護(hù)的力不從心，這個(gè)的話，比如從wep也好，或者通過IDS也好，或者IPS也好，其實(shí)很多都是傳統(tǒng)的一些基于特征的一些防護(hù)。但是基于特征的防護(hù)的話，現(xiàn)在已經(jīng)慢慢的跟不上我們企業(yè)自身的需求，所以這也是一個(gè)新的問題。包括傳統(tǒng)的防護(hù)措施不適用，這里的不適用并不是說傳統(tǒng)的防護(hù)措施沒有效果，而是說傳統(tǒng)的防護(hù)不能適應(yīng)客戶業(yè)務(wù)的增長(zhǎng)，或者說客戶對(duì)安全的一個(gè)需求。

　　新挑戰(zhàn)，剛才也提到了，就是網(wǎng)絡(luò)不斷的開放性，因?yàn)槲磥淼囊粋€(gè)趨勢(shì)一定是，每家數(shù)據(jù)一定會(huì)拿出來，甚至說一份數(shù)據(jù)應(yīng)用在多個(gè)業(yè)務(wù)系統(tǒng)里面，甚至說我企業(yè)的一部分?jǐn)?shù)據(jù)，然后去拿到和其他的一些公司也好，或者說是一些第三方也好進(jìn)行一個(gè)數(shù)據(jù)交換，或者是一個(gè)大數(shù)據(jù)的分析，然后再回收也好，一定是越來越開放的。

　　包括現(xiàn)在攻擊者專業(yè)化程度和隱秘性也越來越高，因?yàn)樽罱囊恍狳c(diǎn)事件，比特幣不說了，比如最近一些勒索的病毒，包括一些虛擬貨幣的一個(gè)流行，已經(jīng)讓我們的攻擊成本和獲取利潤(rùn)的一個(gè)能力遠(yuǎn)遠(yuǎn)的比之前的網(wǎng)絡(luò)安全時(shí)代高很多。因?yàn)橹暗脑?，?duì)于一個(gè)黑客來說，他首先要拿到我們的像網(wǎng)站的漏洞，然后再去拿到我們內(nèi)網(wǎng)資源的一些漏洞，最終拿到我們數(shù)據(jù)庫(kù)里數(shù)據(jù)的這樣一個(gè)目的。但是現(xiàn)在的話，可能不需要去這么做，可能他只要嗅探到我們關(guān)鍵的一些基礎(chǔ)設(shè)計(jì)和一些資源，對(duì)這個(gè)資源有了控制權(quán)之后，就可以達(dá)到他的目的。所以這是我們面臨的新的挑戰(zhàn)。

　　這個(gè)也是我們從合規(guī)的層面去做的一些分析，就是通過去年歐盟的GDPR，包括到今年的《等保2.0》，上個(gè)月剛發(fā)布的，包括現(xiàn)在的《個(gè)人信息保護(hù)法（草案）》都是逐漸去強(qiáng)調(diào)個(gè)人數(shù)據(jù)和企業(yè)數(shù)據(jù)的重要性，我相信這也是未來的趨勢(shì)。未來如果一個(gè)企業(yè)對(duì)于自己數(shù)據(jù)不夠重視的話，不管是在業(yè)務(wù)的增長(zhǎng)也好，還是說在自己的一個(gè)發(fā)展也好，一定會(huì)是一個(gè)阻力。

　　第二部分，我們杭州美創(chuàng)對(duì)于數(shù)據(jù)安全，我們是2005年成立的，也14年了主要聚焦在數(shù)據(jù)安全領(lǐng)域，我們的一些積累和經(jīng)驗(yàn)。因?yàn)閿?shù)據(jù)的話，剛才也提到了，我們數(shù)據(jù)是流動(dòng)的，我們把數(shù)據(jù)應(yīng)用的場(chǎng)景和范圍去進(jìn)行一個(gè)分析，我們可以得出，比如我們一份數(shù)據(jù)，我們?cè)跇I(yè)務(wù)系統(tǒng)里面，包括運(yùn)維的角度，包括從交換中心和我們現(xiàn)在很多的公司都有大數(shù)據(jù)的一個(gè)運(yùn)營(yíng)中心，其實(shí)它會(huì)應(yīng)用到很多的場(chǎng)景里。然后再根據(jù)不同的范圍，也可以把數(shù)據(jù)分為，比如完全放在互聯(lián)網(wǎng)上去跑的數(shù)據(jù)，包括可能會(huì)在我們一個(gè)企業(yè)中，比如內(nèi)部的一些運(yùn)營(yíng)系統(tǒng)會(huì)共享到的一些數(shù)據(jù)，然后的話，還有一部分就是我們最早完全內(nèi)網(wǎng)才能綁的那些數(shù)據(jù)。通過對(duì)這些數(shù)據(jù)不同的應(yīng)用場(chǎng)景和范圍的分析，我們得出了一個(gè)，當(dāng)然這個(gè)箭頭指的是防護(hù)的一些手段，主要就是我們要針對(duì)不同的場(chǎng)景和范圍進(jìn)行有針對(duì)性的一個(gè)防護(hù)。比如說咱們數(shù)據(jù)庫(kù)本身，數(shù)據(jù)的存儲(chǔ)，像剛剛邵主任也提到了，我們整個(gè)生命周期數(shù)據(jù)的保護(hù)都是特別重要的。

　　因?yàn)闀r(shí)間關(guān)系，在這里只跟大家分享一下我們?cè)跀?shù)據(jù)安全比較重點(diǎn)領(lǐng)域的心得。

　　首先是數(shù)據(jù)安全，第一步就是分級(jí)分類，這個(gè)剛剛邵主任也提到了，我們做數(shù)據(jù)安全首先第一步我們要知道我們的敏感，或者時(shí)間我們核心的數(shù)據(jù)在哪里？如果一個(gè)企業(yè)連自己核心數(shù)據(jù)在哪都不知道的話，就無從談起防護(hù)了。

　　我這里介紹幾個(gè)維度：

　　1、以表格列為基礎(chǔ)的敏感數(shù)據(jù)分類；像剛才邵主任也提到了，我們可以以傳統(tǒng)的，在傳統(tǒng)橫向的基礎(chǔ)上，加上縱向的分級(jí)分類。

　　2、以Schema級(jí)別的敏感數(shù)據(jù)分類；

　　3、以業(yè)務(wù)為單元的敏感數(shù)據(jù)分類；因?yàn)槲覀儾煌臉I(yè)務(wù)系統(tǒng)里面，可能說數(shù)據(jù)的級(jí)別也是不一樣的，有些比如在我們內(nèi)部的ERP里面有大量的一些數(shù)據(jù)，但是每個(gè)列的數(shù)據(jù)可能它的級(jí)別都不一樣，所以也可以針對(duì)不同的業(yè)務(wù)單元去進(jìn)行一個(gè)分級(jí)分類。

　　除了對(duì)數(shù)據(jù)的分級(jí)分類之外的話，我們也要做到對(duì)特權(quán)用戶的訪問控制，這個(gè)資源庫(kù)什么意思呢？因?yàn)槲覀儗?duì)數(shù)據(jù)分級(jí)分類之后的話，我們就可以針對(duì)不同級(jí)別的數(shù)據(jù)進(jìn)行一個(gè)重點(diǎn)的防護(hù)，比如說我們沒有做一些管控的話，可能任何一個(gè)帳號(hào)都可以訪問到我數(shù)據(jù)庫(kù)里任何表和字段，但是如果我針對(duì)不同的業(yè)務(wù)單元做的業(yè)務(wù)劃分和防控之后，只有一些管理員才能訪問到我核心數(shù)據(jù)，一些開發(fā)測(cè)試可以訪問到一些半機(jī)密的數(shù)據(jù)，普通的員工可能只能訪問一些公開的數(shù)據(jù)。所以說分級(jí)分類是數(shù)據(jù)安全的第一步。

　　這一頁(yè)講的就是我們?cè)跀?shù)據(jù)安全里面內(nèi)控安全的重要性，因?yàn)榘踩珡膬?nèi)部視角和外部視角去劃分的話，像我們防火墻也好，IDS，包括態(tài)勢(shì)感知，其實(shí)它更多的是防范了一個(gè)外部的風(fēng)險(xiǎn)。但是內(nèi)部的這些風(fēng)險(xiǎn)的話，往往會(huì)被我們一些企業(yè)的運(yùn)營(yíng)人員，或者CSO所忽視。因?yàn)槭孪任乙步佑|過一些客戶，銀行的客戶，可能在外部的防范上花了很多錢，基本上市面上能買的產(chǎn)品都上了，但是在內(nèi)部的防范上，這一塊更多的去通過一些管理的手段，或者說是一些人為的手段去進(jìn)行控制。

　　所以內(nèi)控這一塊，從剛才說的分級(jí)分類，到我們不同角色的一個(gè)企業(yè)內(nèi)部的人員，比如我們業(yè)務(wù)人員，然后我們的一些安全人員，包括我們的領(lǐng)導(dǎo)層的一些人員，通過不同人員的分類，然后去建立一個(gè)準(zhǔn)入的機(jī)制，就是說這個(gè)角色通過一些像準(zhǔn)入的一些手段，這里舉一個(gè)例子，比如說通過一些多因子身份認(rèn)證，比如說像轉(zhuǎn)證書，或者說像現(xiàn)在比較火的FMA這樣一種辦法進(jìn)行一個(gè)準(zhǔn)入。并且在準(zhǔn)入過程中，去進(jìn)行一些對(duì)安全層面的一些管控，怎么理解呢？比如說我低權(quán)限的用戶，允許你去做一些操作，但是的話，我會(huì)進(jìn)行一些管控，比如說你這個(gè)操作的話，是有一些前提的。包括我們也可以進(jìn)行一些工具類的驗(yàn)證，比如說一些可信的一些應(yīng)用和一些我們企業(yè)內(nèi)部可以信任的一些程序也好，應(yīng)用也好，然后我們?nèi)ミM(jìn)行一個(gè)分析，然后的話，除此之外的一些用戶和一些工具，我們都給他禁掉，這是是比較細(xì)的一些措施。

　　接著剛才提到的準(zhǔn)入控制去說，比如從我們一個(gè)普通用戶，因?yàn)閭鹘y(tǒng)的一些防護(hù)可能只有帳號(hào)和密碼，但是的話，如果只有帳號(hào)和密碼的話，可能只需要我通過社工或者弱口令的拆解就可以拿到。比如通過第三方多因子認(rèn)證的話，就比較困難，然后通過多因子身份認(rèn)證，剛才提到了我們可以針對(duì)不同的行為操作定義不同的一個(gè)級(jí)別，比如你如果想看到很核心的，比如一個(gè)企業(yè)的財(cái)務(wù)信息，人員工資信息，這個(gè)時(shí)候只有固定的高層，你擁有一個(gè)權(quán)限去看，然后其他人的話，你是看不到這個(gè)數(shù)據(jù)的。

　　然后的話，這里列舉了一些準(zhǔn)入的機(jī)制，比如說除了在傳統(tǒng)的帳號(hào)密碼之外，比如通過我們應(yīng)用的工具，然后主機(jī)的IP地址，以及一些機(jī)器指紋，還有一些個(gè)人證書或者UK等等一些方式進(jìn)行一個(gè)認(rèn)證。當(dāng)然這一塊的話，像剛才京東云也提到了，其實(shí)現(xiàn)在這個(gè)準(zhǔn)入的機(jī)制還是蠻多的，所以的話，我們客戶可以根據(jù)我們自己的需求，去定制一些適合自己的認(rèn)證方式。

　　然后的話，除了對(duì)身份認(rèn)證要做增強(qiáng)之外，我們一個(gè)危險(xiǎn)的管控，因?yàn)槲覀償?shù)據(jù)庫(kù)是數(shù)據(jù)的載體，所以針對(duì)數(shù)據(jù)庫(kù)里面數(shù)據(jù)的一些操作，我們要進(jìn)行更細(xì)化的一個(gè)分析。我們大家也知道，前幾年應(yīng)該是2016年還是2015年，攜程出了一個(gè)事情，它的DPA直接把攜程的數(shù)據(jù)庫(kù)給物理刪除了，直接刪掉了。針對(duì)一些表啊，包括像剛才我提到的一些物理刪除的操作，這些操作其實(shí)都是很敏感的，極其敏感的，甚至在我們正常業(yè)務(wù)過程中的話，基本上是用不到的。針對(duì)這種操作的話，我們就可以把你的這個(gè)操作的一個(gè)權(quán)限給調(diào)高，只有固定的某一個(gè)人或者兩個(gè)人可以進(jìn)行操作，其他的話，都給它禁掉。

　　比如像一些比較常見的，像一些多批量的選擇操作的話，比如有很多業(yè)務(wù)要用到，可能你沒辦法去禁掉這樣一個(gè)語(yǔ)言或者這樣一個(gè)字段，我可以根據(jù)顆粒度更細(xì)化的操作，比如說像五千行或者一萬行去進(jìn)行一個(gè)限制。通過對(duì)顆粒度很細(xì)化的劃分，然后去達(dá)到一個(gè)對(duì)，比如我們數(shù)據(jù)庫(kù)里面數(shù)據(jù)的一個(gè)管控。

　　然后第三塊的話，就是我們提到了流動(dòng)數(shù)據(jù)的一個(gè)管控，因?yàn)槲覀儸F(xiàn)在基本上每個(gè)企業(yè)的數(shù)據(jù)基本上，尤其是互聯(lián)網(wǎng)公司，數(shù)據(jù)肯定是流動(dòng)的，比如它不同的一些業(yè)務(wù)也好，或者說是一些場(chǎng)景也好，沒有一家公司說我這個(gè)數(shù)據(jù)就在我數(shù)據(jù)庫(kù)里面，然后其他的數(shù)據(jù)交換，基本上沒有，很少。尤其現(xiàn)在數(shù)據(jù)來源又很多，比如我們結(jié)構(gòu)化數(shù)據(jù)里面存在傳統(tǒng)的數(shù)據(jù)庫(kù)里面，比如現(xiàn)在有很多做數(shù)據(jù)倉(cāng)庫(kù)，包括了數(shù)據(jù)倉(cāng)庫(kù)，包括了大數(shù)據(jù)的分級(jí)平臺(tái)，這個(gè)的話都是很常見的，包括我們一些非結(jié)構(gòu)化數(shù)據(jù)，比如文本啊、報(bào)表之類的。其實(shí)我們的數(shù)據(jù)在我們?nèi)粘Ｆ髽I(yè)的過程中，都是處于流動(dòng)的狀態(tài)。所以的話，我們要對(duì)流動(dòng)的數(shù)據(jù)進(jìn)行一個(gè)管控。

　　管控的話，其實(shí)在這塊的話，我這邊應(yīng)該是少了一個(gè)說明，就是在流動(dòng)過程中的話，我們要針對(duì)不同數(shù)據(jù)的級(jí)別和一個(gè)方式進(jìn)行一個(gè)管控。這里的話，主要針對(duì)的是我們數(shù)據(jù)庫(kù)里面的結(jié)構(gòu)化數(shù)據(jù)的一個(gè)管控，就是比如我們?cè)谏a(chǎn)端到第三方的一些數(shù)據(jù)交換，或者說是到我們其他的，比如說像測(cè)試UAT這種環(huán)境，包括到一些其他的需要利用我們數(shù)據(jù)場(chǎng)景，我們需要進(jìn)行一些漂白和數(shù)據(jù)的脫敏，這個(gè)的話，我們常見到。包括一些像非結(jié)構(gòu)化數(shù)據(jù)里面，像我們的文本，我們的一些報(bào)表也是需要經(jīng)過里面一些關(guān)鍵信息進(jìn)行脫敏以后，去進(jìn)行一個(gè)利用和使用。

　　這是我們的業(yè)務(wù)數(shù)據(jù)安全，業(yè)務(wù)數(shù)據(jù)安全的話，其實(shí)怎么說呢？提這個(gè)業(yè)務(wù)數(shù)據(jù)安全廠商也蠻多的，也不是一個(gè)新的概念了。我這邊總結(jié)了一下，在業(yè)務(wù)系統(tǒng)里面，可能會(huì)出現(xiàn)的一些問題。從我們應(yīng)用層面代碼的一些漏洞、缺陷，然后到我們業(yè)務(wù)邏輯的一些缺陷，以及業(yè)務(wù)授權(quán)的一些顆粒度粗糙。其實(shí)這些缺陷都是黑客常見的攻擊的手段，比如業(yè)務(wù)邏輯漏洞，可以通過越權(quán)類的利用去進(jìn)行一些通過低權(quán)限去獲得高權(quán)限的一些數(shù)據(jù)。

　　然后包括對(duì)業(yè)務(wù)監(jiān)控的這樣一個(gè)缺失，就是比如說我對(duì)我正常業(yè)務(wù)中的一些異常的數(shù)據(jù)進(jìn)行一個(gè)監(jiān)測(cè)，其實(shí)這一塊的話，也是一個(gè)很重要的。因?yàn)楹芏鄷r(shí)候比如說像我們的一些正常的業(yè)務(wù)，可能會(huì)涉及到一些財(cái)務(wù)啊，包括一些像我們個(gè)人身份的一些敏感的信息，如果我們對(duì)這些數(shù)據(jù)的監(jiān)控有缺失的話，很可能會(huì)導(dǎo)致一些慘痛的代價(jià)。

　　像之前的話一個(gè)案例，比如說在一個(gè)銀行，哪個(gè)銀行不提了，在轉(zhuǎn)賬的時(shí)候，它對(duì)身份認(rèn)證邏輯有問題，比如你轉(zhuǎn)賬十塊錢，其實(shí)是可以轉(zhuǎn)賬十萬的，就是類似這樣一個(gè)操作，當(dāng)然你賬戶里沒有十萬，如果只有十塊錢的話就只能轉(zhuǎn)十塊了，就是對(duì)業(yè)務(wù)邏輯的一個(gè)監(jiān)測(cè)。

　　另外，我們對(duì)業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)如何進(jìn)行一些細(xì)致化的管理？包括可能之前我見到一些客戶，因?yàn)閿?shù)據(jù)量很大，很多動(dòng)輒幾個(gè)T甚至幾十個(gè)T的數(shù)據(jù)，管理起來的話很麻煩。

　　這是我總結(jié)的一些業(yè)務(wù)數(shù)據(jù)安全里面常會(huì)遇到的一些問題。

　　這是我們?cè)跇I(yè)務(wù)安全中一些實(shí)踐，比如說我們會(huì)通過一些基于我們大數(shù)據(jù)的一些建模，包括我們對(duì)業(yè)務(wù)系統(tǒng)的一些精細(xì)化的了解，然后去進(jìn)行一些長(zhǎng)期的學(xué)習(xí)，然后的話，我們就可以針對(duì)我們業(yè)務(wù)系統(tǒng)中的敏感數(shù)據(jù)進(jìn)行一個(gè)及時(shí)的發(fā)現(xiàn)。比如說我們?cè)谖覀兤髽I(yè)內(nèi)部的一個(gè)系統(tǒng)里面，這些系統(tǒng)里面有哪些數(shù)據(jù)？這些數(shù)據(jù)里面哪些很敏感，哪些很重要去進(jìn)行一個(gè)梳理。

　　第二塊就是一個(gè)異常行為的檢測(cè)，當(dāng)我們知道我們的數(shù)據(jù)在哪，敏感數(shù)據(jù)有哪些的時(shí)候，我們還要對(duì)我們這些業(yè)務(wù)系統(tǒng)中的這些敏感數(shù)據(jù)進(jìn)行一個(gè)及時(shí)的監(jiān)測(cè)，這里我列舉了一些常見的監(jiān)測(cè)項(xiàng)，比如像我們的一些帳號(hào)的越權(quán)，包括一些僵尸帳號(hào)，包括帳號(hào)復(fù)用的操作。

　　第三個(gè)是對(duì)業(yè)務(wù)數(shù)據(jù)的審計(jì)和事后的追溯，一旦我們?cè)跇I(yè)務(wù)系統(tǒng)中發(fā)現(xiàn)異常的一些操作和違規(guī)的一些行為，我們可以第一時(shí)間進(jìn)行告警，甚至阻斷。

　　剛才提到的更多是內(nèi)部安全，這個(gè)是外部的風(fēng)險(xiǎn)，這個(gè)其實(shí)還是比較常規(guī)的，一個(gè)數(shù)據(jù)庫(kù)防火墻，但是針對(duì)這個(gè)場(chǎng)景的話，我想提一點(diǎn)，因?yàn)槲覀冊(cè)诔Ｒ姷谋热缦駑ep，wep是一個(gè)很常見的在邊界的一個(gè)安全設(shè)備，然后它和數(shù)據(jù)防火墻的區(qū)別就是因?yàn)槲覀兊膚ep很多時(shí)候在邊界，所以的話，黑客雖然說我們?cè)谶吔绲谋局谋容^高，但是一旦黑客攻陷了這個(gè)堡壘之后，其實(shí)是很容易拿到我們核心的服務(wù)器也好，或者說是數(shù)據(jù)庫(kù)里面的數(shù)據(jù)也好，是很容易的。

　　所以我們需要改變傳統(tǒng)的一些認(rèn)知，就是除了在邊界去做一些防護(hù)之外的話，我們是不是可以在我們終端，我們?cè)谖覀兊臄?shù)據(jù)庫(kù)的前置也去做同樣的類似這樣的一個(gè)檢測(cè)和操作。

　　然后的話，這塊指的是一個(gè)核心數(shù)據(jù)加密，前面的兩位嘉賓也提到了我們針對(duì)不同的一些數(shù)據(jù)的一些級(jí)別，進(jìn)行一些管控，然后的話，這個(gè)加密的話也是同樣的，我們針對(duì)像我們分類分級(jí)之后核心的一些數(shù)據(jù)進(jìn)行一個(gè)加密。然后對(duì)一些比如可以公開的，或者說是半公開的數(shù)據(jù)進(jìn)行一個(gè)訪問行為上的管控。然后通過加密的話，去實(shí)現(xiàn)當(dāng)黑客攻陷了我們數(shù)據(jù)庫(kù)以后，然后想脫庫(kù)的時(shí)候，他其實(shí)是看不到真實(shí)的信息的，他看到的是我們加密后的字段，這樣的話也能夠防止我們的數(shù)據(jù)被別人拿不走。

　　然后就是我們關(guān)于美創(chuàng)科技的一個(gè)簡(jiǎn)介，美創(chuàng)科技是2005年成立的，到現(xiàn)在是有14個(gè)年頭了，我們公司主要業(yè)務(wù)也是在數(shù)據(jù)安全這一塊，不像我們一些友商涉及的領(lǐng)域比較廣，像應(yīng)用安全、網(wǎng)絡(luò)安全、終端安全，很多涉及，我們只是聚焦在數(shù)據(jù)安全這個(gè)領(lǐng)域。所以相對(duì)來說還比較小眾的，但是我們堅(jiān)信數(shù)據(jù)安全這個(gè)未來的市場(chǎng)還是比較大的。

　　也可以看到，這是我們產(chǎn)品的一個(gè)體系，就是通過在內(nèi)控安全以及數(shù)據(jù)外部的安全，以及數(shù)據(jù)流動(dòng)的安全和業(yè)務(wù)一致性安全中的一些產(chǎn)品和手段。

　　這個(gè)是我們一些客戶的情況，雖然公司時(shí)間怎么說呢，14年吧，15年，說短不短，說長(zhǎng)不長(zhǎng)，但是基本上我們服務(wù)的客戶和案例反饋還是比較好的。所以在這里也是希望能夠跟大家多探討一些關(guān)于數(shù)據(jù)安全領(lǐng)域的話題，共同去讓我們的數(shù)據(jù)安全和信息安全能夠更好的發(fā)展，也希望不管是我們企業(yè)也好，還是我們國(guó)家的監(jiān)管單位也好，我們一起去推動(dòng)這個(gè)行業(yè)更健康更高效的發(fā)展。