【专家分享】360亿方云高献光:安全赋能,重新定义企业文件安全管理

2021-12-31 15:48:55  来源:

摘要:作为中国CIO领域的极具影响力的互联网行业盛会,2021年12月10-12日,“第七届中国行业互联网大会暨CIO班16周年年会”在北京召开。
关键词: 360亿方云
作为中国CIO领域的极具影响力的互联网行业盛会,2021年12月10-12日,“第七届中国行业互联网大会暨CIO班16周年年会”在北京召开。本次大会由电子工业出版社和CIO时代联合主办,《中国信息化》杂志社协办,新基建创新研究院作为智库支持单位。本次大会汇聚了数智时代的顶尖行业专家、研究学者、优秀CIO群体和科技服务商,聚焦大会主题“数字化赋能产业大变革”纷纷发表重要观点。
\ 
在12月11日的安全专场论坛中, 360亿方云政企产品技术总监高献光发表主题演讲——《安全赋能,重新定义企业文件安全管理》,与大家一起探讨企业文件安全管理新趋势。以下是演讲实录:
 
各位嘉宾大家下午好,我是来自360亿方云的高献光。我今天分享的题目是安全赋能、重新定义企业文件的安全管理。
   大家最近一直在提数字化转型,数字化转型其中有一块关键的环节就是数据,数据包含结构化数据、非结构化数据,据统计,企业数据中非结构化数据占据了整个存储的80%。因此我今天主要围绕非结构化数据的安全管理进行展开。首先我会从政策层面和目前对应非结构化数据存在的安全问题,作为第一点。第二,我们重新定义的文件安全到底是什么。第三,我们针对当前文件安全存在的问题,我们的解决方案是什么。第四,以两个案例进行展开。
 
    第一,从政策层面。刚才大家提到数据安全提升到国家的战略级别,以《国家安全法》作为总纲,以数据安全法、网络安全法、个人隐私保护法作为细则,从数据采集到数据的存储、到数据的流转、到数据的归档,我们对应这个数据的完整流程已经存在于各行各业。近期大家应该有个非常明显的感知,就是各个网站系统、各个应用的APP,对于个人信息的收集都进行了调整,以往我们在打开APP时发现需要我们进行授权,那这是从政策层面。
    亿方云在这么多年对客户的了解过程中,我们发现客户在文件安全层面存在诸多的问题:第一从企业内部来看,企业内部有重要的文件,如果缺乏监管,员工有意无意中的行为可能会将文件泄露,这是在企业内部。与此同时,员工离职的时候会把大量的文件带走,这对于企业来讲是重要的文件损失。并且企业和外部的合作伙伴进行协作的过程中,如果分享出去的文件不受管控,那么对于文件的安全应该如何保障?
第二,基于政策和文件安全存在的问题,我们重新定义了文件安全。
\ 
    2020年亿方云加入360集团,360具有非常强大的安全层面的技术实力和资源。亿方云作为文件的存储和协作平台,有50万+的客户和对用户场景的洞察和理解,基于这样的原因形成了借助360安全大脑能力,构建成从本地到云端、到全面的安全体系。这个图中间是非结构化数据中台,它一方面可以存储企业内部各种非结构化数据,如文档、视频、音频、图片、数据。与此同时企业内部有各种各样的业务系统,业务系统流转过程中有各种各样的附件,这样的附件如何在非结构化数据中台流转的同时保证它的安全呢?答案是在非结构化数据终端的底部就是360安全大脑,基于360安全大脑的赋能,针对用户场景构建了从云端到本地到外发的体系。
    在云端有基础的权限管控,包括敏感行为的审批,包含了敏感内容的识别。在本地我们实现从云端的文件落地全部进行加密的存储,包含了对应用层面的管控,防拷贝截屏打印。在外发环节,我们外发权限管控和分享下载水印,通过这样的方式有效的加强安全外发的模式。
    我们知道每个应用程序在电脑中,都有应用程序的生命周期,这个生命周期包含了应用的创建,包含了应用的运行,包括了应用的销毁。同样对于一个文件来说,它从文件的生成到流转到沉淀也有一个周期。文件生成之后,我们对于文件进行切片,切片的同时把切片形成的文件加密存储,进而达到文件的分散存储在各个系统里,这是文件的存储层面。另外一个在文件流转,采用全链路的加密传输,与此同时我们可以对落地前的文件进行分享管控。第三个就是文件的归档,对于文档多副本可以存储,与此同时也可以对于文件的历史版本进行回溯。这是安全体系设计的第一个理念。
    第二个理念就是这次疫情期间,我们一开始大家感受到对于疫情的处理都是无序的,有了应急事项的管控,从事前、到事中到事后的完整流程体系,包含对应各块应急的处理,我们完成了对应的闭环。同样在文件安全事故发生之后,我们从对应的事前预防、事中管控到事后的追溯,我们也增加了完整的安全体系。比如事前,我们可以对访问文件系统的IP包含设备进行管理,包含对上传的文件进行查毒。在事中可以对用户在本地终端上所有的操作行为,比如说对于一些敏感文件的下载提前告知、提前预警,进而达到文件不落地的目标。事后我们可以通过安全审计,比如说用户的操作日志,比如说文件的对应的水印进行溯源,这是我们的两个产品理念。
第三,安全管理方案的解决之道。
\ 
    安全体系里可以看到,这几步是我们安全的组织,包括我们的制度和评估体系。在每个企业内部都有对应的独立的信息安全部,通过信息安全部和这个企业行业特征和企业特点,可以组建对应的制度和对应的安全评估体系。基于这样的制度和对应的安全组织之后,其实就是我们整个对应软件层面的安全能力。在中间层其实就是我们的本地云端和外发的安全能力,从左依次是文件全生命周期的管理、全流程事前、事中、事后的防控体系。与此同时有了这样的场景之后,我们基于各个行业的特征和各个行业的特点,孵化出我们对应的安全管理解决方案。安全关系解决方案包含了跟IM协同安全体系,包含了跟360安全浏览器形成的文件不落地解决方案,包含了“零信任”文档管理,包含了结合网摆渡设备形成的网摆渡解决方案,包括文档证书的文档签名解决方案。这就是围绕我们的产品能力和解决方案进行展开。
    1、本地的文件安全。亿方云强大的能力就是同步盘,通过这个同步盘的能力把它下载到不同的终端设备上。对于普通的企业网盘来说,文件同步带来工作方便的同时,其实也带来了安全隐患,就是员工一旦离职,对应的文件就会被员工带走。我们通过对本地文件加密,员工在职期间可以正常的使用、预览、编辑文档,他一旦离职,落到本地的文件都是加密的,这样本地的文件就能得到有效的管控。
    与此同时大家能感知到的,我们经常在本地办公的过程中,我们经常会用微信,对我们一些重要的资料文件进行截图,截图之后就可以传输到外网。在这种情况下,我们就可以通过我们的安全截屏,企业微信也好或者其他的工具也好,它截屏之后全部是黑白的,这样的机密文件是无法发出去的。与此同时我们也会对本地的文件增加一些水印,可以有效的起到震慑作用。协同过程中,如何防止本地文件的复制,我们拷贝禁用,包括本地的打印。这样云盘不会成为本地文件泄露的出口。
    2、关于云端的安全。亿方云一方面是存储,另一方面是协同,在云端我们提供了在线协同的工具,这样的话对于用户来说无须本地安装这样的软件,比如说我们经常用的word、excel、ppt都可以在亿方云的云端进行编辑,编辑的同时我们还会在云端经常在线预览等功能,这也会成为泄露的入口,我们可以增加水印,对于编辑的文件禁止复制。同样对于在云端受管控的文件,可以自动触发流程审批,如果说对于一个用户来说想要复制、移动、下载这个文件,那会自动推送一个信息给他的上级主管,上级主管审批完之后他才能下载,这就是对应的在云端的文件不落地。
    与此同时提到了我们的安全合规。云盘作为统一存储的空间,一旦有对应的不安全或者不合规的文件存在其中,就很容易扩散。针对这种场景,我们定义了敏感词库,我们通过自定义在后台,根据用户的场景和用户的行业设置敏感词库,对于用户在云盘上上传的文件,或者说它存量的文件,我们可以定期自动化的进行扫描,一旦发现对应的文件匹配到这条规则,我们就可以把文件归档到隔离区,与此同时我们会发送一条消息,通知其本人。这样的话我们就可以有效的同隔离病毒一样把对应的文件达到隔离目标。
    另外就是云查毒。勒索病毒是全球活跃的病毒类型之一。对应的我们在国内外的企业,因为勒索病毒造成损失的新闻也不少见。亿方云本身有自身的场景引擎,我们加入360集团以后,我们把360的查毒引擎也加入到我们亿方云对应的云盘能力里,我们通过360云查毒的能力,无论是对应的查毒的准确性,还是查毒的速率都得到了有效的提升。
    3、我们在发现企业协作过程中,除了在企业内部之间的流转之外,其实很重要的一块就是跟企业外部的沟通。企业外部协作过程中,传统的方式可以对对应的文件设置密码。今年我们在文件密码的基础上增加了一个新的能力就是安全外发包,我们把需要分享出去的文件进行了安全沙箱,通过文件加密存储到安全沙箱里,我们对于安全沙箱设置对应的策略,我们可以设置对应这个文件它的打开次数,进而达到有效的防护这个文件被我对应的下一个合作伙伴分享出去的目标。
    与此同时我们发现在一些政企、医疗、金融行业,他们对应的内部网络环境比较复杂,有研发端、有销售端,也有对应HR办公的网络,复杂的网络环境下我们如何实现高效的文件协同和办公呢?基于这样的场景,我们推出了内外网协同的解决方案。我们在内网有内网云盘,在外网有外网云盘,在中间增加了网闸设备,既可以通过逻辑隔离也可以通过物理隔离,进而提升了企业内部协同的效率,又保障了企业内部的网络安全。
    有了对应安全层面的能力,我们为了更加简化中小型企业对于安全层面的要求,我们今年下半年推出了文件安全一体机,针对文件安全一体机是软硬一体的设备,通过这样软硬一体的设备,我们可以快速的把我们本地的安全、云端的安全、外发的安全应用于企业的安全体系中。我们发布的一体机有两种:一种是企业有对应的机房,那就是机架一体机。如果企业没有独立的机房那就使用塔式一体机,单台可以支撑500名用户的使用,可存储空间8TB,可扩展至24TB。随着企业人数的扩展,可以横向增加台数。对应的CPU是10核,内存是16GB。这是软硬一体机的解决方案。当前这种一体机主要是采用混合云的模式,对应的用户需要碎片化的存储,存储都是放在用户本地,对应我们的安全能力一部分放云端,一部分放在一体机里面。
    这是我们整个从本地到云端、到外发的安全能力。基于本地、云端、法的安全能力,结合行业特点和用户需求对应出了解决方案:
    第一个方案就是IM协同,我们可以跟360下面的织语协同,大家都会用微信,我们经常把文件发到群体,群里人都可以看到文件,甚至把文件转发出去,这样就成为文件泄露的入口。现在把IM里的文件一键保存到云盘,云盘的文件快速的分享到IM中,因为云盘本身有对应的文件权限管理体系和从本地到云端到外发的安全管控体系,这样的话就能达到对应IM中间的文件有效的管控。
    与此同时跟360安全浏览器进行结合,因为企业内部除了这些文件之外还有自建的各种各样的业务系统,业务系统里面会流转各种各样的文件,我们通过跟360安全浏览器结合,企业内部的各种业务系统都必须要通过360安全浏览器进行访问,我们也是存到云盘里。
第三块跟零信任构成了零信任的文档管理。包括跟沃通证书构建成了文档签名。跟防火墙构建成了内外网摆渡的方案。
\ 
    然后是跟360安全浏览器形成的文件不落地的方案。这个客户内部有各种各样的业务系统,把云盘引入的同时一方面做存储,另一方面要把云盘作为业务系统文件的统一存储中心。基于这样的场景,用户在访问对应的业务系统的时候,对应的文件通过360安全浏览器因为下载拦截,360安全浏览器把这个请求下发到云盘,企业把这个文件转存到这个用户的个人空间里。转存之后360安全浏览器会把文档的编辑和协作能力开放给360安全浏览器,对于业务系统用户来说就可以通过360安全浏览器正常的去访问和预览对应的当前文件,进而达到这样的一个文件不落地的目标。这是我们目前在最近落地的项目,和360安全浏览器进行结合。
    稍微总结一下安全能力的优势。跟传统的数据防泄露的厂商对比,我们对应的门槛儿更低,从3到5年的小团队,到上万人的大型集团我们都可以支撑。第二个就是适配移动办公。第三个我们跟云端无缝融合,我们注重互联网的产品体验,因为在安全和效率之间的平衡,肯定是要做一些取舍的。同时我们是适配公有云、混合云和私有云的模式,这样的话我们对于不同用户的不同需求、不同场景都可以完整的兼容最后一块我们对于安全的投入不是小打小闹,我们是持续的、不断的迭代360安全能力,进而不断的迭代对应的场景。
    第四,分享两个典型的案例
    第一个就是教育培训行业的。教育培训行业有一个特点,它跟外贸行业非常像,就是核心资产就是课件,随着员工离职或者是员工去创业就把课件带走。我们引入了文件不落地的方案,针对文件落地进行加密,对应到加密文件,用户在职期间是可以正常访问,一旦离职这些文件都是秘文,就无法观看,这样有限的防止企业文件泄露的风险。
    第二个是制造行业对应的风险管控。这个制造行业有两个核心诉求,他有研发团队和市场团队,对于内部的研发出完产品之后,会把对应的产品安装到客户现场做实施,在这个过程中会涉及到从研发内容的产品,就是自己的源代码也好、安全包也好,需要流转到对应的客户现场,这个过程中会涉及到多个部门、多个环节审批,包括多个网络之间的安全管控。同样在现场发现了我们产品层面存在的问题,它要把一些日志从外网传输到内网供研发进行排查,这样同样会存在从内网到外网的过程。这个环节中我们通过内网摆渡解决方案,实现从外网到内网、从内网到外网流转的速率,大大提升了效率。另外大家知道产品,最终产品生产都是供应商来完成的,供应商完成的过程中,文件一旦通过分享传到供应商那里,供应商很快下载到这个文件之后,可能会成为一个泄露的入口,我们引入了安全外发包的能力。另外我们对于行业客户的文件进行加密,通过安全沙箱把文件加到安全沙箱里,在安全沙箱里设置对应的管控策略,设置打开次数,设置文件有效期,甚至可以设置文件打开次数达到一定期限之后这个文件自动销毁,进而达到企业文档外发风险的管控。
    以上就是我整个分享的内容,谢谢大家!
第三十四届CIO班招生
北达软EXIN网络空间与IT安全基础认证培训
北达软EXIN DevOps Professional认证培训
责编:baxuedong

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。