安华金和付蓉洁：数据安全赋能新零售价值增长

【牛透社】7月21日，由崔牛会主办的“重构人货场·引爆新零售”——2018中国企业互联网夏季峰会在杭州纳德自由酒店召开,现场安华金和副总裁付蓉洁就「数据即资产——数据安全赋能新零售价值增长」与与会嘉宾进行了分享交流。 https://v.qq.com/x/page/y0733a8kk9u.html

安华金和副总裁 付蓉洁

以下是付蓉洁的演讲实录（略有删减） 数据的重要性不言而喻，如何通过数据安全助力新零售的业务增长，是当下企业关注的重点。 新零售所涉及到 O2O、全渠道、无界零售等整个链条中是以数字化为基础，而数据将贯穿在整个链条中。 “重构人货场”，也是更好缩短人与消费者之间的距离，以消费者、以人为本，让消费体验更加良好。 “人”的背后是数字、数据，是每一个标签也是用户画像、商业机密，甚至它可以是整个商业价值的核心。数据就是资产，如何让资产得到合理的保护在安全的状态下得到合理的使用。新零售以“人”为核心，过去认为最可信的人，也会成为安全的风险源。 近几年安全事件是屡见不鲜比如零售商超门店包括大型商场都有储值卡、充值卡这其中会有数据被篡改、旧卡被复用、激活、充值等，在这个场景中内部IT和外部制卡人员进行“串通”，形成巨大的利益链条，这给零售商户无论是财产还是商业信誉都带来巨大损失。 再比如物流企业，物流从发货到收货，数据每个节点的流转非常丰富，安华金和曾经给某物流公司做数据泄密的风险点分析发现，它的许多数据都是透明的，一旦有业务人员越过权限包括内部人员误操作都会给企业带来损失。 同样，在互联网巨头中，虽然有许多的IT人员并且技术高，但这样的数据泄密其实也有，特别是随着互联网+业态的出现给生活和购物体验带来便利的同时它的风险也是加剧的。 以新零售为例，现在做线上线下O2O的结合，APP、PC端、第三方接口越来越丰富，这些数据越来越接触核心的业务库，这些数据可以被应用、调取，在这个过程当中数据的风险是多方面。 比如网商系统线上线下已经打通；比如在地图导航中有酒店、餐饮服务的推荐，这些数据之间是互通、打透、流转，这个过程中也有相应的风险产生。 另外，IT老问题依然存在，过去的IT架构中比如数据库自带的漏洞对于零售企业而言无法及时打补丁；第二，传统网络安全是边界防护，而现在数据的流转已经打破边界概念，没有办法从内部解决安全问题； 第三，内部对于人员不同权限、操作的风险管控都会存在问题，从运维、内部管控来讲，获取数据的渠道是多方面的。   面对以上企业特别是零售企业所遇到数据安全问题，如何减少或者避免数据安全泄漏的问题？ 新零售或者传统企业讲数据安全比如电商ERP、分销管理系统、库存管理、OA协同、SCRM等不是指系统安全。数据安全的本质在哪？数据流动过程中才有价值，如何让他们在系统当中、流转过程当中安全地被使用，这才是数据安全的本质。如何安全、谁应该保护它，有没有得到合理的防护，这是数据安全的核心。 针对数据安全，安华金和提出一套整体关于数据安全如何建设的方法和体系。安华金和十年中一直在专注数据安全的领域，从未改变过。 从数据本身开始哪些是数据，哪些是敏感数据，这两个之间有差别，做安全的要知道数据分布、流向、被使用场景和环境。在业务访问时，在测试以及BI分析时，一直在运维过程当中，和分发、共享数据的过程当中，安全到底是什么，如何做，如何得到一个有效的保护措施。 在数据的全程使用过程中，有没有对操作行为、使用行为、数据访问行为进行监控、审计，发现其中的异常，建立这基线，去保证使用的合规、风险的预判，这是要贯穿到数据安全的整个链条当中的事情。 新零售以“人”为本，以“人”为本的数据保护应该如何做？分为三步：第一步，对个人信息对数据的定位，就是数据放在哪我们要知道； 第二步，对数据建立标签，哪些是隐私数据，哪些是要保护的数据，它划分哪个业务单元中； 第三步，建立像财务台账一样的数据清单，然后才能称很好地防护和管理。对数据进行梳理、分级别、分类，然后对访问数据的人进行分级分类，对使用和共享这些数据的行为进行分类分级，根据重要程度建立数据资产的台账，然后去做这样的级别鉴定。 第二，对数据的使用状况进行监控，数据“静”下来是没有价值的，数据只有在使用中，才会让它的价值最大显现化。比如仓储快递人员去看订单，你会发现他在查看过程当中，如果是即将离职人员，他平常看数据也就是每天看十条数据，当有离职想法时，每天看100条，这时候可以通过其异常举动，来控制风险。 另外，对于危险行为的及时监控，通常内部的运维人员或者DBA拥有大量的权限，假如误操作的增删改，很可能一列的数据都没有了。所以整个的过程里，梳理完成了敏感数据分布到底在哪儿，数据流向怎样，要针对敏感数据如何做实时的监控监管，这是整体的数据安全态势的分布。 再让我们看一下，数据如何得到有效的保护，从业务侧、运维侧、共享侧、以及分析侧等几个场景来看。 业务侧涉及到前端的门店、快递人员、存货人员，他们访问数据时，通过数据库的防火墙技术，给人员行为做建模。对于他们的访问行为和操作行为不断实时跟踪、分析，去建立这样一套针对业务人员的业务模型。 当这种业务模型形成的时候，出现了一些异常访问，企业就会发现，当然在这个过程中，也是不断被刺激优化的过程，建立针对于用户使用的黑白名单。把异常的拦截在外，把正常的通行过去。在运维侧，他的行为、权限远远大于业务人员，因为用户做的事情有很多读写改还有批量操作，权限大、行为多样、灵活多样，所以对数据影响的行数也是多种多样的。 这时候针对他的操作行为和权限，要有很好的把握。当他是授权用户合法放行可以看到后台相关数据，可以调取，如不是则会被拒绝掉。另外，针对敏感数据还会做审批流，只有审核通过以后才能拿到数据。。 在共享侧，基于资产台账做敏感数据的发现。抽取出后，针对这些数据做脱敏，最后从生产库把数据拿出来放到开发环境当中、测试环境当中或者放到BI，对商业分析过程当中，对会员的数据、营销的数据进行分析。 在做数据调取过程当中去分析、去分发，要给业务人员做前端的数据呈现。不同的权限用户，看到的场景是不一样。如果有权限看到的数据是真实的，没有授权的就是星号或者替换的方式去实现的。 在全程过程当中，安华金和在零售行业有大量的数据中心，对渠道的分析、人的分析、对场、货的分析都有。根据访问行为、操作行为，按照不同的方式把它记录下来。如果它是合规操作，那么只做记录。 如果它是非法操作或者高危操作，要给予实时告警。另外，针对攻击行为进行报告，会实时对数据的访问进行监控，这些日志调取出来，进行实时进行分析。 总结一下，针对以“人”为中心的数据安全怎么做？ 第一步，个人信息梳理。对这些信息定位，建立资产台账。 第二步，个人信息动态监控。这里面包括来源、使用热度、访问路径、危险行为操作。 第三步，个人信息防护。在业务侧、运维侧、共享侧、分发侧、核心存储侧，都要做防护措施。 是我们以人为中心的数据安全防护的三步走。 这是我们在零售业的部分案例，因为安华金和是全行业的，我们针对全国20多个部委做了十多个，金融从央行、国有行、股份行都有，支付更多了，还有申通、圆通、光明乳液、苏宁、华润等等，都是我们的客户。 会后大家关心他们的安全怎么做、怎么防御，可以和我们的技术人员交流。最后简单介绍一下安华，我们专注十年，一直都是以数据安全为核心。 现在的主营业务分几个部分，一个是本地数据中心的数据安全防护产品，另外在云端，针对公有云、私有云、混合云我们的提供的方案能力。还有数据安全治理的整体咨询与解决方案，这一部分是我们的主营。 十年前大家连安全都少提，更别说数据安全了。那个时候我们的口号，只做数据安全。到了一定阶段的时候，不仅仅是数据库安全。 今天我们做的事，是DB，让数据使用更安全。我们希望在这个层面上，为用户创造更多的价值。我们所有产品都是自己研发的，拥有国家专利技术，和国家很多部委和央企进行一些联合研究的工作。 安华有国内最早、也是唯一的一个数据库攻防漏洞研究实验室。在国际研究领域里面，我们目前为止中国唯一提名的Gratere5大数据被推荐的厂商，这是没有通过公共关系去操作的。 我们作为网信办数据安全治理的组长单位，和阿里巴巴在数据安全成熟度模型上也有战略合作。这是我们的全线产品，目前为止12款，每年迭代更新。针对数据安全提供完整的解决方案，最后祝愿大家，业务发展的时候，不要忘了数据的重要性。 “B2B实战特训营”码上报名8月24开营  有干货 有实战