數據安全能力建設思路
一、前言
數據是對客觀事物的性質、狀態依據相互關系等進行記載的符號或符號的組合。數據的本質就是在連續的活動過程中,經過產生、加工、傳輸等環節完成記錄,并不斷指導業務活動持續開展的過程,所以數據的價值在次過程中得到了完整的體現,而傳輸交互與使用是數據價值的集中體現。數據安全是建立在價值基礎上,實現數據準確的記錄的同時完成安全交互和指定對象的加工與訪問使用,防止數據被破壞、盜用及非授權訪問。數據安全能力是指數據在流動過程中,組織為了保障數據的保密性、完整性、可用性而在安全規劃、安全管理、安全技術、安全運營等方面所采取的一系列活動。
二、數據安全能力建設的驅動力
2.1 合規驅動
《網絡安全法》、《數據安全法(草案)》《網絡安全等級保護條例(征求意見稿)、《關鍵信息基礎設施保護條例(征求意見稿)》、《數據安全管理辦法(征求意見稿)》等國內法律法規中明確了組織在數據安全方面的合規要求。歐盟正式施行《通用數據保護條例》(簡稱GDPR),掀起了個人數據保護立法的改革浪潮。
2.2 業務驅動
伴隨云計算、大數據、人工智能等新興技術的飛速發展,數據作為支撐這些前沿技術存在與發展的生產資料,已經成為組織的核心資產,受到前所未有的重視與保護。數據成為資產,成為基礎設施,數據驅動商業成為新的商業發展的最大創新源泉。以數據為中心的安全治理,需要把安全聚焦在數據本身,圍繞數據的生命周期來建設安全能力,包括各個環節相關系統的安全情況、各個環節專門的數據安全產品和策略、安全運營、制度和管理體系設計、專業人員能力建設等。
2.3 風險驅動
數據生命周期指數據從創建到銷毀的整個過程,包括采集、存儲、處理、應用、流動和銷毀等環節。通過對數據全生命周期各階段進行針對性的風險分析,可以得出:
采集階段
采集階段主要的風險集中在采集源、采集終端、采集過程中,包括采集階段面臨的非授權采集、數據分類分級不清、敏感數據識別不清、采集時缺乏細粒度的訪問控制、數據無法追本溯源、采集到敏感數據的泄密風險、采集終端的安全性以及采集過程的事后審計等。
存儲階段
存儲階段面臨著數據分類分級不清、重要數據的保密性問題、重要數據缺乏細粒度訪問控制的要求。
傳輸階段
傳輸階段主要是指數據在各業務平臺、各節點之間、各組件之間以及跨組織的數據傳輸,主要的風險在于傳輸時存在泄露問題。
處理階段
處理階段面臨的安全風險包括數據處理時缺乏訪問控制、數據結果的訪問接口缺乏控制、數據處理結果缺乏敏感數據保護措施、缺乏安全審計和數據溯源的能力。
交換階段
數據交換階段主要指數據最終通過提供給其他業務系統、用戶使用。此時數據安全風險主要有數據交換和數據輸出時未授權輸出及交換,輸出的數據在應用或終端存在安全泄露的問題。
銷毀階段
銷毀階段主要是指在獲得用戶的授權許可或用戶請求后應對用戶數據進行清除或銷毀。
三、數據安全能力建設思路
3.1 數據安全能力建設目標
在分析數據安全在合規層面、業務層面和風險層面所面臨的挑戰,結合組織在數據安全目標和遠景,融合業務、管理、技術、運營等方面的需求后,以數據為核心,聚焦數據安全生命周期,規劃設計全局化和開放性的數據安全體系,提升數據安全管理融合能力,夯實數據安全技術底盤,構建數據安全運營場景落地,實現組織數據資產可視、數據血緣可溯、數據風險可控、數據威脅可管。
3.2 數據安全能力建設思路
隨著組織業務的豐富和擴展,數據越來越多種多樣,越來越龐大,相應的數據安全問題也變得越來越復雜。單獨使用一、兩種技術難以應對;此外,數據安全不僅是一個技術問題,還涉及法律法規、標準流程、人員管理等問題。因此,一套科學的數據安全實踐體系對于組織來說是十分必要的。近年來,一些安全相關的機構紛紛提出數據安全的實踐體系、方法論與解決方案。主要分為兩類:一類是“由上而下”的數據安全治理體系;另一類是數據安全能力成熟度模型體系。
數據安全治理(Data Security Governance,DSG)最早由Gartner在2017安全與風險管理峰會上提出。在GartnerSummit2019進一步完善。Gartner認為數據安全治理是從決策層到技術層,從管理制度到工具支撐,自上而下貫穿整個組織架構的完整鏈條。組織內的各個層級之間需要對數據安全治理的目標達成共識,確保采取合理和適當的措施,以最有效的方式保護數字資產。其安全治理框架如下圖所示,一共分為5步,“由上而下”,從平衡業務需求、風險、合規、威脅到實施安全產品,為保護產品配置策略。
數據安全能力成熟度模型(Data Security Maturity Model,簡稱:DSMM),是一套數據安全建設中的系統化框架,是圍繞數據的生命周期,并結合業務的需求以及監管法規的要求,持續不斷的提升組織整體的數據安全能力,從而形成以數據為核心的安全框架。
3.3 數據安全能力建設框架
數據安全能力建設并非單一產品或平臺的構建,而是覆蓋數據全部使用場景的數據安全體系建設。因此,需要按步驟、分階段的逐漸完成。數據安全能力建設并不是一個項目,而更像是一項工程。為了有效地實踐數據安全能力,形成數據安全的閉環,我們需要一個系統化的數據安全能力建設框架。
整體來看,數據安全能力建設框架是以法律法規監管要求和業務發展需要為輸入,在充分識別組織業務場景、風險現狀的基礎上,制定組織數據的分類分級標準,同時結合組織數據安全在管理、技術、運營維度的能力要求,滿足數據生命周期各個過程域的安全。下面對四個能力維度的框架設計進行概要說明:
規劃能力維度
數據安全最終是為組織的業務發展服務的,不能游離于業務之外或獨立存在。在滿足法律法規要求的前提下,數據安全能力建設須切合業務發展需要來開展,同時結合風險管理,制定數據分類分級標準,為管理、技術、運營能力建設提供指導。
管理能力維度
組織建設:指數據安全組織的架構建立、職責分配和溝通協作。組織可分為決策層、管理層和執行層等三層結構。其中,決策層由參與業務發展決策的高管和數據安全官組成,制定數據安全的目標和愿景,在業務發展和數據安全之間做出良好的平衡;管理層是數據安全核心實體部門及業務部門管理層組成,負責制定數據安全策略和規劃,及具體管理規范;執行層由數據安全相關運營、技術和各業務部門接口人組成,負責保證數據安全工作推進落地。
制度流程:指數據安全具體管理制度體系的建設和執行,包括數據安全方針和總綱、數據安全管理規范、數據安全操作指南和作業指導,以及相關模板和表單等。
人員能力:指為實現以上組織、制度和技術工具的建設和執行其人員應具備的能力。核心能力包括數據安全管理能力、數據安全運營能力、數據安全技術能力及數據安全合規能力。根據不同數據安全能力建設維度匹配不同人員能力要求。
技術能力維度
數據安全技術能力建設工作并非從零開始,而是以組織基礎設施安全建設為基礎,圍繞數據安全生命周期安全的各項要求,建立與制度流程相配套并保證有效執行的技術和工具,技術工具建議使用標準的數據安全產品或平臺,也可以是自主開發的組件或工具,需要綜合所有生命周期過程域進行整體規劃和實現,且要和組織的業務系統和信息系統等進行銜接。同時,數據安全技術能力需要支撐運營能力的執行與監控,保證覆蓋數據使用的各個場景中的數據安全需求。
運營能力維度
數據安全能力建設是一個長期持續的過程,需要在組織內持續性的落實數據安全的相關制度和流程,并基于組織的業務變化和技術發展不斷的調整和優化,安全也是一個不斷螺旋上升的過程,通過持續對數據生命周期內安全風險的監測,評估組織現有數據安全控制措施的有效性進行識別和判斷,將數據安全策略、制度規程及技術工具在通過安全運營能力在組織內部的推廣落地。
四、數據安全規劃能力建設
4.1 業務場景識別
識別業務數據使用的場景,是數據安全能力建設的出發點,業務數據場景識別以數據生命周期為基礎,通過對數據采集場景、數據存儲場景、數據傳輸場景、數據處理場景、數據使用場景、數據銷毀場景的分析,梳理資產、數據、用戶、權限等要求,指導各個能力維度的建設。實現以場景化方式指導安全技術、管理、運營能力進行落地。
4.2 數據風險評估
數據安全風險評估從業務場景識別結果著手,以敏感數據為中心、以數據生命周期為主線、以敏感數據場景為著力點,關注敏感數據場景、承載敏感數據的業務流程、敏感數據流轉、相應業務活動中涉及的各類業務執行人員及權限,分析并評估相關業務處理活動中存在的權限提升、信息泄露、用戶冒用、數據篡改,行為抵賴等數據安全威脅及風險。
數據安全風險評估流程:
背景建立階段:確定數據安全風險評估的對象和范圍,對涉及業務數據的數據庫、服務器、文檔等進行相關信息的調查分析,并準備數據風險管理的實施。
風險評估階段:根據數據安全風險評估的范圍識別數據資產,分析業務系統數據所面臨的威脅以及脆弱性,結合采用數據安全控制措施,在技術、管理和運營層面對業務系統數據所面臨的風險進行綜合判斷,并對風險評估結果進行等級劃分。
風險處理階段:綜合考慮風險控制的成本和風險造成的影響,從技術、管理、運維層面分析業務系統數據的安全需求,提出實際可行的數據安全措施。明確業務系統數據可接受的風險程度,采取接受、降低、規避或轉移等控制措施。
批準監督階段:包括決策和持續監督兩部分。依據評估的結果和處理措施,判斷能否滿足數據的安全要求,決策層決定是否認可風險,并對業務數據相關環境的變化進行持續監督。
監控審核和溝通咨詢貫穿于上述基本步驟,跟蹤業務系統和業務數據的安全需求變化,對數據安全風險管理活動的過程和成本進行有效控制。
4.3 數據分類分級
數據分類級是數據安全能力建設中的一個關鍵部分,是建立統一、準確、完善的數據架構的基礎,是實現集中化、專業化、標準化數據管理的基礎。數據分類分級可以全面清晰地厘清數據資產,確定應采取的數據安全防護策略和管控措施,在保證數據安全的基礎上促進數據開放共享。
數據分類
數據分類就是把具有某種共同屬性或特征的數據歸并在一起,通過其類別的屬性或特征來對數據進行區別。換句話說,就是相同內容、相同性質的信息以及要求統一管理的信息結合在一起,而把相異的和需要分別管理的信息區分開來,然后確定各個模塊之間的關系,形成一個有條理的分類系統。數據分類應在遵循系統性原則、規范性原則、穩定性原則、明確性原則、擴展性原則的基礎上,綜合考慮各業務場景中數據的屬性和類別特征。例如將組織的各類數據分為組織管理數據、業務運營數據、網絡及IT系統運維數據和合作伙伴數據等。
完成數據的分類后,需要數據的敏感程度對數據進行分級,數據分級應遵從依從性原則、可執行性原則、時效性原則、自主性原則、合理性原則、客觀性原則,例如,根據數據的敏感級別,可將數據分為四個級別:極敏感級、敏感級、較敏感級、低敏感級。
對應數據分類,可形成組織的數據分類分級標準,結合數據生命周期內各個場景,對數據資產梳理、敏感數據發現及梳理,全面摸清數據分布底數,制定相應制度規范和采用技術工具相配合的方式對組織的數據進行安全管控,實現數據安全能力建設的目標。
五、數據安全管理能力建設
5.1 構建組織機構
由于數據安全與業務密不可分,因此,在建設數據安全能力體系過程中,從決策到管理,都離不開業務部門的參與和配合。設計數據安全的組織架構時,可按照決策層、管理層、執行層、員工和合作伙伴、監督層的組織架構設計。在具體執行過程中,組織也可賦予已有安全團隊與其它相關部門數據安全的工作職能,或尋求第三方的專業團隊等形式開展工作。
決策層
決策層是數據安全管理工作的決策機構,建議由數據安全負責人及其它高層管理人員組成,數據安全負責人是組織內數據安全的最終負責人。
管理層是數據安全組織機構的第二層,基于組織決策層給出的策略,對數據安全實際工作制定詳細方案,做好業務發展與數據安全之間的平衡。
執行層
執行層與管理層是緊密配合的關系,其職責主要聚焦每一個數據安全場景,對設定的流程進行逐個實現。
員工和合作伙伴
范圍包括組織內部人員和有合作的第三方的人員,須遵守并執行組織內對數據安全的要求,特別是共享敏感數據的第三方,從協議、辦公環境、技術工具方面等做好約束和管理。
5.2 建立人員能力
數據安全的人員能力主要包括幾個維度,數據安全管理能力、數據安全運營能力、數據安全技術能力和數據安全合規能力。
數據安全管理能力
目前大部分組織尚未正式開展數據安全體系建設,也較少有數據安全的專職職能崗位,對人員能力的培養也在起步階段。但是隨著組織對數據安全的重視度逐步提高,體系建設的訴求也越來越強,所以如何建設完整的數據安全體系,做好數據安全管理是組織面臨的第一大問題。
數據安全運營能力
數據安全建設是一個長期持續的過程,需要在組織內持續性的落實數據安全的相關制度和流程,并基于組織的業務變化和技術發展不斷的調整和優化,安全也是一個不斷螺旋上升的過程,因此需要做好數據安全運營工作。
數據安全技術能力
數據安全的實現,需要技術和工具平臺的支撐,來完成安全管控措施的構建,從而實現數據安全能力的建設。
數據安全合規能力
在數據安全領域,國內外越來越多的法律法規、標準逐步出臺,合規工作成了數據安全領域建設的底線。
5.3 制定制度流程
制度流程需要從組織層面整體考慮和設計,并形成體系框架。制度體系需要分層,層與層之間,同一層不同模塊之間需要有關聯邏輯,在內容上不能重復或矛盾。
一級文件
方針和總綱是面向組織層面數據安全管理的頂層方針、策略、基本原則和總的管理要求等
二級文件
數據安全管理制度和辦法,是指數據安全通用和各生命周期階段中某個安全域或多個安全域的規章制度要求,
三級文件
數據安全各生命周期及具體某個安全域的操作流程、規范,及相應的作業指導書或指南,配套模板文件等。
四級文件
執行數據安全管理制度產生的相應計劃、表格、報告、各種運行/檢查記錄、日志文件等,如果實現自動化,大部分可通過技術工具收集到,形成相應的量化分析結果,也是數據的一部分。
六、數據安全技術能力建設
6.1 數據安全采集
數據采集階段主要的風險集中在采集源、采集終端、采集過程中,包括采集階段面臨的非授權采集、數據分類分級不清、敏感數據識別不清、采集時缺乏細粒度的訪問控制、數據無法追本溯源、采集到敏感數據的泄密風險、采集終端的安全性以及采集過程的事后審計等。針對采集階段面臨的風險,主要是在基礎安全能力的基礎上,增加以下安全技術應對措施。
安全驗證
安全驗證包含采集對象驗證和數據源的驗證兩個含義。采集對象驗證指對被采集對象(包括設備、應用、系統)的認證,確保采集對象是可靠的,沒有假冒對象。可以通過認證系統實現對采集對象的管理。數據源的驗證是指保證數據源可信,保證數據源在采集傳輸過程中不被篡改和破壞。
數據清洗
數據清洗是發現并糾正數據文件中可識別錯誤的一道程序。該技術針對數據審查過程中發現的明顯錯誤值、缺失值、異常值、可疑數據,選用適當方法進行“清洗”,使“臟”數據變為“干凈”數據,有利于后續處理階段得出可靠的結論。數據清洗還包括對重復記錄進行刪除、檢查數據一致性。如何對數據進行有效的清洗和轉換,使之成為符合數據處理要求的數據源,是影響數據處理準確性的關鍵因素。此外,從數據安全的角度考慮,采集的數據可能存在惡意代碼、病毒等安全隱患,引入這樣的數據將會給組織的數據平臺帶來嚴重的安全威脅。因此,在清洗階段需要對可疑數據進行安全清洗,通過病毒過濾、沙盒驗證等手段去除安全隱患。
數據識別
為了組織數據平臺的有效管理,數據需要進行整體規劃,按照數據的內容、格式等因素進行存儲。因此在數據采集階段,進行數據識別是非常必要的。結合組織分類分級標準,采用多種數據識別方法,如基于采集對象、基于數據格式等,自動化識別數據內容。
數據標簽
為了實現數據后續的安全管理,可以給識別出的數據打上安全數據標簽,后續可以根據數據標簽實現存儲、授權、控制等安全策略。數據標簽有很多種,按照嵌入對象的格式可分為結構化數據標簽、非結構化數據標簽;按照標簽的形式可分為嵌入文件格式的標簽和數字水印。
6.2 數據安全加密
在數據存儲和傳輸階段,需要建立相關加密措施來保障數據在存儲、傳輸過程中的機密性、完整性和可信任性。
數據存儲隔離與加密
前置代理及加密網關技術
應用層改造加密技術
基于文件級的加解密技術
基于視圖及觸發器的后置代理技術
數據傳輸加密
組織首先應明確需要進行加密傳輸的場景,并非所有的數據都需要進行加密傳輸,通常需要進行加密傳輸的數據包括但不限于系統管理數據、鑒別信息、重要業務數據和重要個人信息等對機密性和完整性要求較高的數據。在定義好需要加密的場景后,組織應選擇合適的加密算法對數據進行加密傳輸。由于目前加密技術的實現都依賴于密鑰,因此對密鑰的安全管理是非常重要的環節。
6.3 數據訪問控制
為了保證在數據生命周期的各個階段和不同場景下的數據的機密性和完整性,允許合法使用者訪問數據資產,防止非法使用者訪問數據資產,防止合法使用者對數據資產進行非授權的操作訪問,往往需要對數據訪問權限加以控制和管理。
針對用戶對數據訪問服務的安全使用要求的多樣性,結合數據生命周期訪問需求和特點,可以采用基于角色訪問控制、基于風險的訪問控制、基于屬性訪問控制等技術,通過制定基于主體屬性和客體屬性的細粒度訪問控制授權策略來靈活設定用戶對數據的使用權限,從而實現數據細粒度的訪問控制。
基于角色的訪問控制(RBAC)
角色是基于角色訪問控制模型的核心概念,角色挖掘主要用于解決如何產生角色,并建立用戶-角色、角色-權限的映射問題。相比于“自上而下”進行人為的角色設計,角色挖掘是“自下而上”地從已有的用戶-權限分配關系中來自動化地實現角色定義和管理工作,以減小對管理員的依賴。因此,它能夠有效緩解采用RBAC的數據應用中存在的過度授權和授權不足的現象。
基于風險的訪問控制(BARAC)
當承載數據的系統處于較為穩定的環境中時,只需要根據需求對訪問控制策略進行局部調整即可保證數據生命周期的安全,但對于承載數據的系統具有動態調整需求的組織而言,為了更好預估風險-利用平衡,需要根據實際需求對訪問控制進行調整去適應新的環境,工作量大且不易試試。而基于風險的訪問控制能夠幫助組織更好的解決這類風險。基于風險的訪問控制是根據數據分類分級以及數據資產面臨的風險,針對訪問者對不同類型和不同等級的數據資產的訪問需求,綜合分析訪問者的角色和訪問行為可能造成風險,進而判斷對訪問行為的允許或拒絕,實現動態地調整訪問控制策略,以實現安全高效的訪問控制。
基于屬性的訪問控制(ABAC)
基于屬性的訪問控制ABAC是“下一代”授權模型,在結構化語言中使用屬性作為構建基石來定義并實施訪問控制,提供上下文相關的細粒度動態訪問控制服務。基于屬性的訪問控制把實體屬性或實體屬性組的概念貫穿于訪問控制的整個過程,把所有與訪問控制相關信息,例如實體采取的操作行為、訪問請求及響應的時間節點、實體的地理位置當作主體、客體和環境的屬性來統一建模,通過定義屬性之間的關系描述復雜的授權和訪問控制約束,在制定訪問控制策略是不需要在根據用戶的需求一個一個來制定,而是可以由主體、資源、環境、動作的屬性的匹配與否來決定授權與否,具有很大的靈活性,解決了在復雜環境中的細粒度訪問控制和大規模用戶擴展問題。
6.4 數據泄漏防護
數據泄漏是一個逐步的過程,從信息數據生成的源頭逐漸向外擴散,通常最終由非授權用戶通過不同的邊界途徑傳播到組織無法控制的外部環境,通過對數據->人->邊界傳播路徑的分析,即數據源于業務系統,數據的下載和傳播都是人為操作,需要通過邊界(網絡、終端、虛擬化等物理邊界和邏輯邊界)進行泄漏,所以,數據泄漏防護的核心思想就是沿著數據傳遞方向逐級進行防護,進而達到降低風險的效果。
數據泄露防護在數據資產分類的基礎上,結合組織的業務流程和數據流向,構建完善的可能導致數據泄露各個環節的安全,提供統一解決方案,促進核心業務持續安全運行。為了保證數據在生命周期泄漏防護效果,可以采用的主要數據泄漏防護技術主要有三種:
數據加密技術
數據加密是過去十年國內數據泄漏防護的基本技術之一,包含磁盤加密、文件加密、透明文檔加解密等技術,目前以透明文檔加解密最為常。透明文檔加解密技術通過過濾驅動對受保護的敏感數據內容進行相應參數的設置,從而對特定進程產生的特定文件進行選擇性保護,寫入時加密存儲,讀取文件時自動解密,整個過程不影響其他受保護的內容。加密技術從數據泄漏的源頭對數據進行保護,在數據離開企業內部之后也能防止數據泄漏。但加密技術的秘鑰管理十分復雜,一旦秘鑰丟失或加密后的數據損壞將造成原始數據無法恢復的后果。對于透明文檔加解密來說,如果數據不是以文檔形式出現,將無法進行管控。
權限管控技術
數字權限管理(Digital Right Management,DRM)是通過設置特定的安全策略,在敏感數據文件生成、存儲、傳輸的瞬態實現自動化保護,以及通過條件訪問控制策略防止敏感數據非法復制、泄漏和擴散等操作。DRM技術通常不對數據進行加解密操作,只是通過細粒度的操作控制和身份控制策略來實現數據的權限控制。權限管控策略與業務結合較緊密對組織現有業務流程有影響。
基于內容深度識別的通道防護技術
基于內容的數據防泄漏(Data Loss Prevention,DLP)概念最早源自國外,是一種以不影響組織正常業務為目的,對組織內部敏感數據外發進行綜合防護的技術手段。DLP以深層內容識別為核心,基于敏感數據內容策略定義,監控數據的外傳通道,對敏感數據外傳進行審計或控制。DLP不改變正常的業務流程,具備豐富的審計能力,便于對數據泄漏事件進行事后定位和及時溯源。
6.5 數據安全脫敏
敏感數據在使用過程中存在被非法泄露、被非授權篡改、假冒、非法使用等安全風險。而數據脫敏,即在保留數據原始特征的同時改變它的部分數值,避免未經授權的人非法獲取組織敏感數據,實現對敏感數據的保護,同時又可以保證系統測試、業務監督等相關的處理不受影響,即在保留數據意義和有效性的同時保持數據的安全性并遵從數據隱私規范。借助數據脫敏,信息依舊可以被使用并與業務相關聯,不會違反相關規定,而且也避免了數據泄露的風險。
目前數據脫敏的技術主要有三種:基于數據失真/擾亂技術、數據加密技術和數據限制發布技術。
基于數據失真/擾亂的數據脫敏技術
即通過數據清洗、數據屏蔽、數據交換等手段對數據進行修改或者轉換,使敏感數據失真。數據失真/擾亂技術不同于數據加密技術,它是出于某些計算、分析和測試目的,需要保留原始數據的部分特征數據屬性之間的關聯性,而數據加密則是為了保密而對數據進行加密處理,數據加密具有可逆性,而數據脫敏不具有可逆屬性。數據失真/擾亂技術特點是通過對原始數據的部分或全局修改,隱藏原始數據敏感信息。
基于數據加密的技術
即采用加密技術在數據發布過程中隱藏敏感信息。主要是通過公鑰密碼安全機制對數據值進行加密,防止數據隱私泄露。由于公鑰密碼機制實現了他方對原始數據的不可見性,可保證數據信息的無損失性,因此可保證數據準確的挖掘結果,但比較數據失真/擾亂方法,其計算和通訊代價都較高。公鑰加密機制具有數據真實、無缺損,高度隱私保護的特點,且可逆、可重復,但是成本較高。
基于數據限制發布的技術
即根據具體情況有條件地發布數據。此技術主要用于對數據精度要求不高的場合,即在發布前根據原始數據的敏感性對數據分級,按照最小授權原則控制數據訪問權限,如對部分字段限制發布、部分字段只允許部分權限較高的用戶訪問,從而降低數據泄露風險。這種技術適用性強,保證了數據的真實性,實現簡單,但是存在一定程度的數據缺損和泄露風險。
數據脫敏的核心是實現數據可用性和安全性之間的平衡,既要考慮系統開銷,滿足業務系統的需求,又要兼顧最小可用原則,最大限度的敏感信息泄露。以上三種技術適合于不同的數據脫敏場景,在實際應用中可根據應用和環境不同選取合適的數據脫敏技術,從而形成有效的敏感數據保護措施。
6.6 數據安全審計
隨著數據共享交換業務需求激增,數據安全責任主體增多,管理復雜度大,數據確權確責難度加。數據控制權的轉移帶來新的審計問題,由于數據處理各方對數據都具有訪問權限,加上數據本身具有易復制、易擴散的特點,導致在發生數據泄露等安全事件時,往往難以界定安全責任。此外,復雜的數據流轉,跨系統、跨組織的交換共享使得正常的訪問行為的定義變得困難,并且數據流經環節越多數據溯源及管制難度越大。因此,數據安全審計需要由以系統為核心向以數據為核心進行轉變。
數據采集階段
數據采集階段處于數據價值鏈的上游,通常涉及元數據操作和數據分類分級過程,這個過程會對后續的數據處理產生重要影響。因此,數據采集階段的安全審計重點圍繞這個過程展開。通過采集元數據操作日志,實現元數據操作的追溯審計,確保元數據操作的可追溯性。通過對數據分類分級的操作、變更過程進行日志記錄和分析,定期通過日志分析等技術手段進行變更操作審計,確保數據分類分級過程的可追溯性。
數據傳輸階段
數據傳輸階段面臨數據竊取、數據監聽等安全風險,屬于安全事件的頻發階段。尤其當傳輸過程涉及敏感數據時,如果安全控制措施采取不當,很有可能導致數據泄露事件發生。因此,數據傳輸審計需要重點關注傳輸安全策略的實施情況,及時發現傳輸過程中可能引發的敏感數據泄露事件
數據存儲階段
數據存儲通常采用分布式技術實現,因此,數據存儲階段的安全審計需要具備分布式存儲訪問安全審計能力。同時,數據存儲階段的安全審計還需要解決數據的完整性保護問題,支持數據的動態變化和批量審計。
數據處理階段
在數據處理階段通常會涉及數據脫敏操作,通過按照脫敏規則對數據進行變形操作能夠對敏感數據起到有效保護,脫敏后的數據會被進—步地應用到數據處理的各階段,脫敏的效果會對整個數據價值造成較大影響。因此,數據處理階段的安全審計重點關注脫敏處理過程,對數據脫敏策略和相關操作進行記錄。
數據交換階段
數據交換過程是數據安全審計過程的重點。在數據共享階段的安全審計需要制定數據導入、導出、共享審計策略,對高風險的數據共享操作進行持續監控并形成審計日志。為數據共享階段可能引發的安全事件處置、應急響應和事后調提供幫助,確保共享的數據未超出授權范圍。
數據銷毀階段
在數據銷毀階段,安全審計重點關注對存儲介質的訪問使用行為記錄和審計。對銷毀介質的登記、交接過程等進行監控,形成審計記錄供分析。同時,對數據銷毀策略進行審計,記錄數據刪除的操作時間、操作人、操作方式、數據內容、操作結果等相關信息。
數據安全審計需要覆蓋數據處理各參與方以及整個數據生命周期,制定覆蓋系統行為和數據活動的安全審計策略與規程,明確審計對象、審計目的、審計內容、審計方法、審計頻度、相關角色和職責、管理層承諾、供應鏈上各參與方協調、合規性分析等內容,建立數據安全審計規程與協調機制,確保審計事件的可追溯性。
6.8 數據安全銷毀
數據銷毀主要是指獲得組織、用戶的授權許可或請求后對數據進行清除或銷毀。使用組織授權的技術和方法對敏感信息進行清除或銷毀,保證無法還原,并且具備安全審計能力。數據安全銷毀能夠提供數據銷毀過程的安全審計功能,審計覆蓋到各系統每個用戶,對數據銷毀過程中的重要用戶行為和重要安全事件保留審計日志并進行審計。應保證包括鑒別信息、敏感信息、個人信息等重要數據的存儲空間被釋放或重新分配前得到完全清除。
七、數據安全運營能力建設
7.1 數據資產管控
結合業務場景界識別結果,通過數據資產管控技術,建立面向統一數據調度方式,形成良性數據共享機制,提高數據置信度、優化模型合理性、數據流轉更清晰,管理權責更明確,在以成效為導向的價值標準下,數據資產管控無疑將成為組織數據安全能力建設核心支點。
數據資產測繪識別
通過自動化的技術工具對組織的數據資產或實時數據流進行測繪,建立組織數據資產的全景視圖,以組織數據資產分類標準為基礎、以各業務系統數據為來源,依據組織業務規劃,梳理組織各類數據的物理、業務、管理、資產屬性信息,以及相應的信息化描述并以多視角、可視化展現,同時,通過構建組織數據全景視圖,完善數據分類分級標準,描述數據資產屬性,管理數據資產質量,為數據安全能力建設提供技術支撐。
敏感數據標記監控
依據數據分級標準,對組織的數據資產測繪中識別的各類數據進行敏感標識,對應用系統運行、開發測試、對外數據傳輸和前后臺操作等數據生命周期各個環節,根據定義的敏感數據使用規則對數據的流轉、存儲與使用進行監控,及時發現違規行為并進行下一步處理。
數據資產血緣追溯
對每一個按照數據安全管理要求選定的數據資產,在遵循數據資產生命周期管理的原則下,由業務部門建立該數據資產形成的全過程業務模型,并進行數據流轉節點標準化描述工作,整理每一個標準化節點的初始數據輸入、處理過程、存儲過程和傳輸過程等信息,并使用血緣追溯支撐工具將溯源信息進行維護,為溯源查詢和后續的數據核查服務。
數據資產風險管理
數據資產風險評估管理能夠全方位檢測數據安全問題和數據平臺存在的脆弱性問題,結合數據資產測繪、數據流轉測試、數據平臺漏洞、安全配置核查多方面的掃描和檢測結果,進行風險評估分析,發現數據分類分級問題、敏感數據存儲分布問題、敏感數據異常使用問題、數據組件安全漏洞問題、安全配置問題等。使組織能夠快速發現安全風險,提早做安全規劃,讓數據風險可量化。
7.2 安全策略執行
組織在采取適當的技術手段的基礎上,建立與組織數據安全策略一致的安全保護機制,執行各類流程和程序以維護和管理數據資產。
訪問控制策略
根據組織的數據權限管理制度,基于組織數據分類分級標準規范,利用具備統一的身份及訪問管理平臺,建立不同類別和級別的數據訪問授權規則和授權流程,實現對數據訪問人員的統一賬號管理、統一認證、統一授權、統一審計,確保組織數據權限管理制度的有效執行。
數據加密策略
根據組織數據加密管理制度,針對需要加密的場景確定加密的方案,通過加密產品或工具落實制度規范所約定的加密算法要求和密鑰管理要求,確保數據傳輸和存儲過程中機密性和完整性的保護,同時加密算法的配置、變更、密鑰的管理等操作過程應具有審核機制和監控手段。
泄漏防護策略
以組織數據泄漏防護策略為基礎,以敏感數據為保護對象,根據數據內容主動防護,對所有敏感數據的輸入輸出通道如郵件、網絡、終端等多渠道進行監管,根據策略管控的要求進行預警、提示、攔截、阻斷、管控及告警等,并通過強化敏感數據審核與管控機制以降低敏感數據外泄的發生幾率及提升可追朔性。
安全脫敏策略
根據組織建立統一的數據脫敏制度規范和流程,明確數據脫敏的業務場景,以及在不同業務應用場景下的數據脫敏規則和方法,使用統一的具備靜態脫敏和動態脫敏的功能的數據脫敏工具,根據使用者的職責權限或者業務處理活動動態化的調整脫敏的規則,并對數據的脫敏操作過程都應該留存日志記錄,以審核違規使用和惡意行為,防止意外的敏感數據泄露。
安全審計策略
根據數據安全監控審計策略,利用數據安全審計工具,對組織內所有網絡、系統、應用、數據平臺等核心資產中的數據流動進行日志、流量審計,并進行風險識別與預警,以實現覆蓋數據采集、數據傳輸、數據存儲、數據處理、數據交換、數據銷毀各階段審計過程。
備份恢復策略
根據數據服務可靠性和可用性安全保護目標,以數據備份恢復策略為指導,利用數據備份和恢復的技術工具,建立并執行數據復制、備份與恢復的操作規程,如數據復制、備份和恢復的范圍、頻率、工具、過程、日志記錄規范、數據保存時長等,并根據定期檢查和更新工作要求,如數據副本更新頻率、保存期限等,確保數據副本或備份數據的有效性等。
7.3 持續安全監控
組織制定適當的活動,實施對內部數據資產面臨的風險和組織外部的威脅情報的持續安全監控,確保能夠準確地檢測到異常和事件,了解其潛在影響,及時驗證保護措施的有效性。
日志安全監控
通過對各種網絡設備、安全設備、服務器、主機和業務系統等的日志信息采集,通過對日志中行為挖掘、攻擊路徑分析和追蹤溯源等,實現對組織安全狀況的可視化呈現和趨勢預測,為后續的安全策略調整和聯動響應提供必要的技術支撐。
流量安全監控
流量安全監控是圍繞用戶、業務、關鍵鏈路和網絡訪問等多個維度的流量分析,可以實現對用戶和業務訪問的精準分析,發現各類異常事件和行為,并建立流量的多種流量基線,為后續的安全策略調整和聯動響應提供必要的技術支撐。
行為安全監控
行為安全監控是對組織內部和外部用戶的行為安全分析,如異常時間登錄非權限系統、異常權限操作、賬號過期未更改、離職人員拷貝大量數據等,通過監控用戶各類行為,準確找到用戶行為之間的關聯,對其訪問軌跡、訪問的內容和關注重點等進行分析,確保用戶行為符合安全管理相關要求。
威脅情報監控
組織與外部組織合作獲取威脅情報,情報內容包括漏洞、威脅、特征、行為等一系列證據的知識聚合和可操作性建議。威脅情報為組織的防御方式帶來了有效補充,立足于攻方的視角,依靠其廣泛的可見性以及對組織風險及威脅的全面理解,幫助組織更好地了解威脅,使組織能夠準確、高效的采取行動,避免或減少網絡攻擊帶來的數據資產損失。
7.4 應急響應恢復
組織制定并實施適當的活動,以便對檢測到的數據安全事件采取行動,并恢復由于事件而受損的任何功能或服務,以減少數據安全事件的影響。
響應活動
組織根據不同業務場景面臨的風險,制定有針對性的事件響應預案,明確應急響應組織機構和人員職責,建立事件響應過程中的溝通機制,協調內部和外部資源,在事件發生時執行和維護響應流程和程序,確保及時執行響應預案以防止事件擴展、減輕其影響并最終消除事件,通過從中吸取經驗教訓,改進組織安全策略以防止事件再次發生。
恢復活動
在組織各項響應活動執行完成后,需要評估事件的影響范圍,按照事先制定的維護恢復流程和程序,協調內部和外部相關方資源,開展恢復活動以確保及時恢復受事件影響的系統或資產,并通過將吸取的經驗教訓納入今后的活動,改進了恢復規劃和進程。
7.5 人員能力培
組織的數據安全管理能力、技術能力、運營能力建設等推進落地終究離不開人的執行,組織內不同部門、不等層級及不同來源的員工,在不同場景下直接和間接地接觸數據資產,所以風險始終存在于人身上,需要逐步提升人員的安全意識,加強人員的數據安全管理能力、數據安全運營能力、數據安全技術能力和數據安全合規能力。
從不同角度對組織人員能力培養需求進行分析,可以從三個方面開展:
意識培養
提高組織人員安全意識,建立人員安全意識培養的長效機制,逐步提升人員對數據安全威脅的識別能力,真正了解正在使用的數據的價值,充分認識到自己在組織數據安全中的重要角色及職責,并結合多種形式檢驗人員安全意識培養的成果。
技能培訓
根據對組織的數據安全各方面所需人員的能力綜合分析,明確組織人員技能培訓的目標,制定科學合理的培訓計劃,按照先基礎、后專業,先全面,后能力的遞進關系,充分體現技能培訓重點,全面提升人員的專業能力。
實踐演練
為了滿足組織對各類人員能力要求,需要開展以組織實際業務場景以及數據面臨的安全風險為主題的各種實踐模擬演練,通過對數據生命周期中的風險進行有效識別、分析和控制,從而提升人員安全意識和事件的安全處置能力。
八、總結
組織業務發展越來越依數據資產,在有效地利用數據,最大限度發揮大數據的價值的同時,也面臨著數據帶來的諸多安全隱患問題,如隱私泄漏,數據管理、數據可用性和完整性破壞等,確保數據資產的安全是目前重點關注的問題。組織通過開展數據安全規劃活動,從合規性要求、業務自身安全要求和風險控制要求入手,根據業務的特點對各類場景進行識別和風險評估的結果,制定組織的數據的分類分級標準,并通過數據安全管理能力、數據安全技術能力、數據安全運營能力三個維度的建設,建立具有自優化特性的數據安全防護閉環控制體系,不斷優化數據安全保護機制和方法,降低數據資產的風險,保障數據生命周期的安全可管可控。
參考文獻
1.《 信息安全技術 數據安全能力成熟度模型》(GB/T 37988-2019)
2. 《信息安全技術 大數據服務安全能力要求》(GB∕T 35274-2017)
2.《數據安全治理白皮書》(安華金和)
3.《數據安全能力建設實施指南》(阿里巴巴)
4.《數據安全白皮書2.0》(綠盟科技)
