觀察 | 攝像頭暗藏貓膩 人臉識別存安全隱患
01 數據安全的定義
根據《數據安全架構設計與實戰》一書的定義,狹義的數據安全往往指保護靜態存儲級的數據以及數據泄漏防護等。廣義的數據安全則是基于“安全體系以數據為中心”的立場,泛指整個安全體系側重于數據分級以及敏感數據全生命周期的保護,數據安全更加接近于一種控制目的。
一般讀者都會困惑于數據安全和信息安全異同。實際上,狹義的信息安全是為“防止敏感信息的不當擴張”。如根據國際標準化組織(ISO)對信息安全的定義,信息安全是為數據處理系統建立和采取的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因而遭到破壞、更改和泄漏。而廣義的信息安全則突出“安全體系架構以信息為中心”,強調安全管理體系。
早期,信息安全、網絡安全和數據安全存在一個由大到小包含的層次,而現在信息安全有狹義化的趨勢,多數情況下有被網絡空間安全所覆蓋的趨勢;而數據安全更接近安全的目標,安全體系隨著數據的傳輸而擴展,大部分被網絡空間安全覆蓋,個別部分如長臂管轄權除外。
02 以數據安全為中心的安全控制體系
數據安全更接近安全的目標,要圍繞其建立完善的安全控制體系,大體分為三個步驟:首先要對組織內的數據資產及相關信息資產進行識別和分級,建立對應數據分級級別相適應的控制措施;然后分配組織內各個部門單位對應數據資產的職能角色;最后確定各個角色相關的所有權、管理權或使用權等相關權責,對碰觸逾越安全基線的事件行為觸發問責機制。
1.信息與數據資產的識別與分級
數據安全的重點是在整個數據生命周期中保護信息,首先就需要對數據信息進行安全分類,其中不僅是數據的分級,還包括處理數據的物理系統、存儲數據的介質、以及軟件權限進行分級等等,所有數據安全管控的后續操作都應基于合規合理的分類相應推進。換句話說,如果一臺PC正在處理絕密數據,那么這臺計算機也應被歸類為絕密資產。同樣,如果內部或外部驅動器等介質保存絕密數據,該介質也應被歸類為絕密資產。軟件訪問權限亦是如此。
實施信息與數據資產的識別和分級步驟一般包括:
1)定義敏感數據。敏感數據是任何非公開或非機密的信息,包括機密的、專有的、受保護的或因其對組織的價值或按照現有的法律法規而需要組織保護的任何類型的數據。主要有:個人身份信息、受保護的健康信息和專有信息,其中任何有助于企業或組織保持競爭優勢的數據(如軟件代碼、產品設計計劃、流程、知識產權等)等。
2)定義數據分級。數據分級工作需要通過組織業務細分、主體明確、數據歸類、級別判定等流程加以實現,是數據安全保護的基礎。2021年6月10日,我國《中華人民共和國數據安全法》正式頒布,其中第三十一條規定“各地區、各部門應當按照數據分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。”數據安全法的頒布,把安全控制的頂層建筑提升到了國家安全的層面,要求各組織和企業依據數據的相對價值來確定分級標準和安全策略,并依據不同的數據敏感程度制定不同的保護策略,在對標國家安全和法律的基礎上,建立組織內重要數據目錄保護制度,保障重要敏感數據的安全。下圖就是一個對標國家政府安全級別的分級示例。
3)定義信息資產分級。這里指的信息資產主要指數據概念外的信息系統、物理系統等實體資產,這些資產的分級應與數據分級相匹配,如物理系統、存儲介質、軟件環境等要素要與數據安全標的相銜接,不能簡單生硬切割,應采用統一價值口徑進行安全措施的對等匹配,并保證覆蓋完整,才能保證信息資產和數據資產的管理邊界清晰,并且措施合理、覆蓋全面。
2.確定對應數據安全的控制措施
定義數據和資產分級后,要就確定安全控制措施(制度、流程、機制和技術)。如使用對稱/非對稱加密保護動態/靜態數據、保證硬件環境(溫度或濕度)符合數據存儲條件、使用適當的技術手段結束數據生命周期等。確定了這部分安全控制,分別就對數據資產、信息資產初步建立了一個對應控制關系,形成了一個資產保護目錄的雛形。
3.數據和信息資產的確權
明確數據的權屬關系是數據安全治理的難點。數據的采集、存儲、傳輸、處理、使用等每一個環節都與數據權屬有直接關系。在數據采集階段,過度采集用戶隱私數據的行為非常普遍,缺乏合理的授權制度和有效的約束措施將形成“過度收集”,如近期某頭部輸入法軟件就因過度收集個人隱私信息而被巨額罰款。在數據存儲階段,數據如果脫離所有者的掌握和相關部門的監管,收集者的權力就會被過度放大。在數據傳輸階段,倒賣用戶數據的事情時有發生。在數據處理階段,對數據集進行處理加工所得出的新數據歸誰所有尚沒有定論。在數據使用階段,由數據產生的經濟效益如何分配還欠缺適用的理論指導。
換言之,沒有數據確權,數據安全的控制基線就難以確定,安全標準也就無從談起。產生這些數據權屬問題的重要原因,就是數據作為一種重要資源,在法律上并沒有被賦予資產屬性,數據的所有權或產權沒有被廣泛認可。《中華人民共和國數據安全法》正式頒布后,雖然在一定程度上確定了數據安全的法規頂層建筑,但針對數據確權尚未有深入的處理細則。
雖然數據確權現階段難以完全實現,但我們可以參考CISSP官方指南的描述管中窺豹,初步構思一個藍圖,先確定組織內的角色,再針對角色職能分配權力和責任:一般來說,組織內面向信息資產的主要角色有數據所有者、系統所有者、業務所有者、數據使用者、管理員、托管員和用戶。
其中,數據所有者最終負責對數據進行分級、標記和保護;系統所有者負責管理處理數據的系統;業務所有者控制數據處理流程并確保系統能為組織創造價值;數據使用者通常是組織處理數據的第三方實體;管理員根據數據所有者提供的準則授予對數據的訪問權限;托管員接受數據所有者的委托負責日常數據的正確存儲并保護數據;用戶訪問系統中的數據。映射到商業銀行體系中,數據所有者往往是業務部門;系統所有者通常來說是業務系統主管部門,一般來說系統所有者和數據所有者是相一致的,但也有數據和系統所有權相分離的情況;數據使用者可以是企業內其他參與數據處理的部門,也可以是第三方外部公司;管理員負責系統內訪問數據人員的權限設置和特權,通常由數據管理部門、內控管理部門和IT部門共同扮演;托管員是銀行物理系統機管部門和運維部門;用戶則可能是終端、員工、客戶和其他外部人員。
4.制定安全人員的管理策略
不論單位組織內的數據分級如何準確、資產保護目錄如何完備、安全管控技術如何先進、角色分配和數據確權如何明晰,但只要管理流程有人的參與,就必定是數據安全管理體系內最薄弱的一環。因此,建立一套完整的數據安全團隊的人員建設和管理策略必不可少,從招聘、能力建設直到實施管控,務必全面覆蓋。
一是制定嚴密的入職程序,在預備階段審查候選人的能力、背景,在勞務關系建立階段確定保密和雇傭協議的具體細節;二是組織需要根據崗位職責、人員角色,明確相應的能力要求,建設安全團隊人員的能力培養機制。三是通過職責分離、崗位輪調、權限管理和績效考核等手段,將數據安全管控實施過程中人的不確定降到最低。四是重視數據安全人員的離職程序,對離職人員在職期間接觸到的有形/無形資產進行清理和滅失,同時實行離職審計制度。五是關注外包商風險控制,對合作中的數據交換進行合規、隱私和賠償細則進行明確約定。
03 小結
一是數據分級是數據安全的基礎,在數據安全法的基礎下建立重要數據目錄保護制度,保障了重要敏感數據的安全,能為等級保護制度提供支撐基礎,也有助于防控數據風險、保障數據交易、釋放數據價值。二是數據確權是數據安全的重點和難點,確權有助于明確數據安全治理的部門、推進組織內外的數據公開化,也是數據價值評估體系和數據交易制度的必要條件。三是客觀把握數字化轉型中發展和安全的平衡。數據確權的確有利于數據安全的落地,但也客觀減緩了數據在組織內外的流動性,增厚組織內的體制壁壘。過早、過嚴、過窄地進行數據確權,反而可能會抑制業務發展。在明確安全基線和保證發展速度的天平上,數據安全治理體系尚有很長一段路要走。
