一、前言
数据是对客观事物的性质、状态依据相互关系等进行记载的符号或符号的组合。数据的本质就是在连续的活动过程中,经过产生、加工、传输等环节完成记录,并不断指导业务活动持续开展的过程,所以数据的价值在次过程中得到了完整的体现,而传输交互与使用是数据价值的集中体现。数据安全是建立在价值基础上,实现数据准确的记录的同时完成安全交互和指定对象的加工与访问使用,防止数据被破坏、盗用及非授权访问。数据安全能力是指数据在流动过程中,组织为了保障数据的保密性、完整性、可用性而在安全规划、安全管理、安全技术、安全运营等方面所采取的一系列活动。
二、数据安全能力建设的驱动力
2.1 合规驱动
《网络安全法》、《数据安全法(草案)》《网络安全等级保护条例(征求意见稿)、《关键信息基础设施保护条例(征求意见稿)》、《数据安全管理办法(征求意见稿)》等国内法律法规中明确了组织在数据安全方面的合规要求。欧盟正式施行《通用数据保护条例》(简称GDPR),掀起了个人数据保护立法的改革浪潮。
2.2 业务驱动
伴随云计算、大数据、人工智能等新兴技术的飞速发展,数据作为支撑这些前沿技术存在与发展的生产资料,已经成为组织的核心资产,受到前所未有的重视与保护。数据成为资产,成为基础设施,数据驱动商业成为新的商业发展的最大创新源泉。以数据为中心的安全治理,需要把安全聚焦在数据本身,围绕数据的生命周期来建设安全能力,包括各个环节相关系统的安全情况、各个环节专门的数据安全产品和策略、安全运营、制度和管理体系设计、专业人员能力建设等。
2.3 风险驱动
数据生命周期指数据从创建到销毁的整个过程,包括采集、存储、处理、应用、流动和销毁等环节。通过对数据全生命周期各阶段进行针对性的风险分析,可以得出:
采集阶段
采集阶段主要的风险集中在采集源、采集终端、采集过程中,包括采集阶段面临的非授权采集、数据分类分级不清、敏感数据识别不清、采集时缺乏细粒度的访问控制、数据无法追本溯源、采集到敏感数据的泄密风险、采集终端的安全性以及采集过程的事后审计等。
存储阶段
存储阶段面临着数据分类分级不清、重要数据的保密性问题、重要数据缺乏细粒度访问控制的要求。
传输阶段
传输阶段主要是指数据在各业务平台、中各节点之间、各组件之间以及跨组织的数据传输,主要的风险在于传输时存在泄露问题。
处理阶段
处理简短面临的安全风险包括数据处理时缺乏访问控制、数据结果的访问接口缺乏控制、数据处理结果缺乏敏感数据保护措施、缺乏安全审计和数据溯源的能力。
交换阶段
数据交换阶段主要指数据最终通过提供给其他业务系统、用户使用。此时数据安全风险主要有数据交换和数据输出时未授权输出及交换,输出的数据在应用或终端存在安全泄露的问题。
销毁阶段
销毁阶段主要是指在获得用户的授权许可或用户请求后应对用户数据进行清除或销毁。
三、数据安全能力建设思路
3.1 数据安全能力建设目标
在分析数据安全在合规层面、业务层面和风险层面所面临的挑战,结合组织在数据安全目标和远景,融合业务、管理、技术、运营等方面的需求后,以数据为核心,聚焦数据安全生命周期,规划设计全局化和开放性的数据安全体系,提升数据安全管理融合能力,夯实数据安全技术底盘,构建数据安全运营场景落地,实现组织数据资产可视、数据血缘可溯、数据风险可控、数据威胁可管。
3.2 数据安全能力建设思路
随着组织业务的丰富和扩展,数据越来越多种多样,越来越庞大,相应的数据安全问题也变得越来越复杂。单独使用一、两种技术难以应对;此外,数据安全不仅是一个技术问题,还涉及法律法规、标准流程、人员管理等问题。因此,一套科学的数据安全实践体系对于组织来说是十分必要的。近年来,一些安全相关的机构纷纷提出数据安全的实践体系、方法论与解决方案。主要分为两类:一类是“由上而下”的数据安全治理体系;另一类是数据安全能力成熟度模型体系。
数据安全治理(Data Security Governance,DSG)最早由Gartner在2017安全与风险管理峰会上提出。在GartnerSummit2019进一步完善。Gartner认为数据安全治理是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标达成共识,确保采取合理和适当的措施,以最有效的方式保护数字资产。其安全治理框架如下图所示,一共分为5步,“由上而下”,从平衡业务需求、风险、合规、威胁到实施安全产品,为保护产品配置策略。
数据安全能力成熟度模型(Data Security Maturity Model,简称:DSMM),是一套数据安全建设中的系统化框架,是围绕数据的生命周期,并结合业务的需求以及监管法规的要求,持续不断的提升组织整体的数据安全能力,从而形成以数据为核心的安全框架。
3.3 数据安全能力建设框架
数据安全能力建设并非单一产品或平台的构建,而是覆盖数据全部使用场景的数据安全体系建设。因此,需要按步骤、分阶段的逐渐完成。数据安全能力建设并不是一个项目,而更像是一项工程。为了有效地实践数据安全能力,形成数据安全的闭环,我们需要一个系统化的数据安全能力建设框架。
整体来看,数据安全能力建设框架是以法律法规监管要求和业务发展需要为输入,在充分识别组织业务场景、风险现状的基础上,制定组织数据的分类分级标准,同时结合组织数据安全在管理、技术、运营维度的能力要求,满足数据生命周期各个过程域的安全。下面对四个能力维度的框架设计进行概要说明:
规划能力维度
数据安全最终是为组织的业务发展服务的,不能游离于业务之外或独立存在。在满足法律法规要求的前提下,数据安全能力建设须切合业务发展需要来开展,同时结合风险管理,制定数据分类分级标准,为管理、技术、运营能力建设提供指导。
管理能力维度
组织建设:指数据安全组织的架构建立、职责分配和沟通协作。组织可分为决策层、管理层和执行层等三层结构。其中,决策层由参与业务发展决策的高管和数据安全官组成,制定数据安全的目标和愿景,在业务发展和数据安全之间做出良好的平衡;管理层是数据安全核心实体部门及业务部门管理层组成,负责制定数据安全策略和规划,及具体管理规范;执行层由数据安全相关运营、技术和各业务部门接口人组成,负责保证数据安全工作推进落地。
制度流程:指数据安全具体管理制度体系的建设和执行,包括数据安全方针和总纲、数据安全管理规范、数据安全操作指南和作业指导,以及相关模板和表单等。
人员能力:指为实现以上组织、制度和技术工具的建设和执行其人员应具备的能力。核心能力包括数据安全管理能力、数据安全运营能力、数据安全技术能力及数据安全合规能力。根据不同数据安全能力建设维度匹配不同人员能力要求。
技术能力维度
数据安全技术能力建设工作并非从零开始,而是以组织基础设施安全建设为基础,围绕数据安全生命周期安全的各项要求,建立与制度流程相配套并保证有效执行的技术和工具,技术工具建议使用标准的数据安全产品或平台,也可以是自主开发的组件或工具,需要综合所有生命周期过程域进行整体规划和实现,且要和组织的业务系统和信息系统等进行衔接。同时,数据安全技术能力需要支撑运营能力的执行与监控,保证覆盖数据使用的各个场景中的数据安全需求。
运营能力维度
数据安全能力建设是一个长期持续的过程,需要在组织内持续性的落实数据安全的相关制度和流程,并基于组织的业务变化和技术发展不断的调整和优化,安全也是一个不断螺旋上升的过程,通过持续对数据生命周期内安全风险的监测,评估组织现有数据安全控制措施的有效性进行识别和判断,将数据安全策略、制度规程及技术工具在通过安全运营能力在组织内部的推广落地。
四、数据安全规划能力建设
4.1 业务场景识别
识别业务数据使用的场景,是数据安全能力建设的出发点,业务数据场景识别以数据生命周期为基础,通过对数据采集场景、数据存储场景、数据传输场景、数据处理场景、数据使用场景、数据销毁场景的分析,梳理资产、数据、用户、权限等要求,指导各个能力维度的建设。实现以场景化方式指导安全技术、管理、运营能力进行落地。
4.2 数据风险评估
数据安全风险评估从业务场景识别结果着手,以敏感数据为中心、以数据生命周期为主线、以敏感数据场景为着力点,关注敏感数据场景、承载敏感数据的业务流程、敏感数据流转、相应业务活动中涉及的各类业务执行人员及权限,分析并评估相关业务处理活动中存在的权限提升、信息泄露、用户冒用、数据篡改,行为抵赖等数据安全威胁及风险。
数据安全风险评估流程:
背景建立阶段:确定数据安全风险评估的对象和范围,对涉及业务数据的数据库、服务器、文档等进行相关信息的调查分析,并准备数据风险管理的实施。
风险评估阶段:根据数据安全风险评估的范围识别数据资产,分析业务系统数据所面临的威胁以及脆弱性,结合采用数据安全控制措施,在技术、管理和运营层面对业务系统数据所面临的风险进行综合判断,并对风险评估结果进行等级划分。
风险处理阶段:综合考虑风险控制的成本和风险造成的影响,从技术、管理、运维层面分析业务系统数据的安全需求,提出实际可行的数据安全措施。明确业务系统数据可接受的风险程度,采取接受、降低、规避或转移等控制措施。
批准监督阶段:包括决策和持续监督两部分。依据评估的结果和处理措施,判断能否满足数据的安全要求,决策层决定是否认可风险,并对业务数据相关环境的变化进行持续监督。
监控审核和沟通咨询贯穿于上述基本步骤,跟踪业务系统和业务数据的安全需求变化,对数据安全风险管理活动的过程和成本进行有效控制。
4.3 数据分类分级
数据分类级是数据安全能力建设中的一个关键部分,是建立统一、准确、完善的数据架构的基础,是实现集中化、专业化、标准化数据管理的基础。数据分类分级可以全面清晰地厘清数据资产,确定应采取的数据安全防护策略和管控措施,在保证数据安全的基础上促进数据开放共享。
数据分类
数据分类就是把具有某种共同属性或特征的数据归并在一起,通过其类别的属性或特征来对数据进行区别。换句话说,就是相同内容、相同性质的信息以及要求统一管理的信息结合在一起,而把相异的和需要分别管理的信息区分开来,然后确定各个模块之间的关系,形成一个有条理的分类系统。数据分类应在遵循系统性原则、规范性原则、稳定性原则、明确性原则、扩展性原则的基础上,综合考虑各业务场景中数据的属性和类别特征。例如将组织的各类数据分为组织管理数据、业务运营数据、网络及IT系统运维数据和合作伙伴数据等。
完成数据的分类后,需要数据的敏感程度对数据进行分级,数据分级应遵从依从性原则、可执行性原则、时效性原则、自主性原则、合理性原则、客观性原则,例如,根据数据的敏感级别,可将数据分为四个级别:极敏感级、敏感级、较敏感级、低敏感级。
对应数据分类,可形成组织的数据分类分级标准,结合数据生命周期内各个场景,对数据资产梳理、敏感数据发现及梳理,全面摸清数据分布底数,制定相应制度规范和采用技术工具相配合的方式对组织的数据进行安全管控,实现数据安全能力建设的目标。
五、数据安全管理能力建设
5.1 构建组织机构
由于数据安全与业务密不可分,因此,在建设数据安全能力体系过程中,从决策到管理,都离不开业务部门的参与和配合。设计数据安全的组织架构时,可按照决策层、管理层、执行层、员工和合作伙伴、监督层的组织架构设计。在具体执行过程中,组织也可赋予已有安全团队与其它相关部门数据安全的工作职能,或寻求第三方的专业团队等形式开展工作。
决策层
决策层是数据安全管理工作的决策机构,建议由数据安全负责人及其它高层管理人员组成,数据安全负责人是组织内数据安全的最终负责人。
管理层是数据安全组织机构的第二层,基于组织决策层给出的策略,对数据安全实际工作制定详细方案,做好业务发展与数据安全之间的平衡。
执行层
执行层与管理层是紧密配合的关系,其职责主要聚焦每一个数据安全场景,对设定的流程进行逐个实现。
员工和合作伙伴
范围包括组织内部人员和有合作的第三方的人员,须遵守并执行组织内对数据安全的要求,特别是共享敏感数据的第三方,从协议、办公环境、技术工具方面等做好约束和管理。
5.2 建立人员能力
数据安全的人员能力主要包括几个维度,数据安全管理能力、数据安全运营能力、数据安全技术能力和数据安全合规能力。
数据安全管理能力
目前大部分组织尚未正式开展数据安全体系建设,也较少有数据安全的专职职能岗位,对人员能力的培养也在起步阶段。但是随着组织对数据安全的重视度逐步提高,体系建设的诉求也越来越强,所以如何建设完整的数据安全体系,做好数据安全管理是组织面临的第一大问题。
数据安全运营能力
数据安全建设是一个长期持续的过程,需要在组织内持续性的落实数据安全的相关制度和流程,并基于组织的业务变化和技术发展不断的调整和优化,安全也是一个不断螺旋上升的过程,因此需要做好数据安全运营工作。
数据安全技术能力
数据安全的实现,需要技术和工具平台的支撑,来完成安全管控措施的构建,从而实现数据安全能力的建设。
数据安全合规能力
在数据安全领域,国内外越来越多的法律法规、标准逐步出台,合规工作成了数据安全领域建设的底线。
5.3 制定制度流程
制度流程需要从组织层面整体考虑和设计,并形成体系框架。制度体系需要分层,层与层之间,同一层不同模块之间需要有关联逻辑,在内容上不能重复或矛盾。
一级文件
方针和总纲是面向组织层面数据安全管理的顶层方针、策略、基本原则和总的管理要求等
二级文件
数据安全管理制度和办法,是指数据安全通用和各生命周期阶段中某个安全域或多个安全域的规章制度要求,
三级文件
数据安全各生命周期及具体某个安全域的操作流程、规范,及相应的作业指导书或指南,配套模板文件等。
四级文件
执行数据安全管理制度产生的相应计划、表格、报告、各种运行/检查记录、日志文件等,如果实现自动化,大部分可通过技术工具收集到,形成相应的量化分析结果,也是数据的一部分。
六、数据安全技术能力建设
6.1 数据安全采集
数据采集阶段主要的风险集中在采集源、采集终端、采集过程中,包括采集阶段面临的非授权采集、数据分类分级不清、敏感数据识别不清、采集时缺乏细粒度的访问控制、数据无法追本溯源、采集到敏感数据的泄密风险、采集终端的安全性以及采集过程的事后审计等。针对采集阶段面临的风险,主要是在基础安全能力的基础上,增加以下安全技术应对措施。
安全验证
安全验证包含采集对象验证和数据源的验证两个含义。采集对象验证指对被采集对象(包括设备、应用、系统)的认证,确保采集对象是可靠的,没有假冒对象。可以通过认证系统实现对采集对象的管理。数据源的验证是指保证数据源可信,保证数据源在采集传输过程中不被篡改和破坏。
数据清洗
数据清洗是发现并纠正数据文件中可识别错误的一道程序。该技术针对数据审查过程中发现的明显错误值、缺失值、异常值、可疑数据,选用适当方法进行“清洗”,使“脏”数据变为“干净”数据,有利于后续处理阶段得出可靠的结论。数据清洗还包括对重复记录进行删除、检查数据一致性。如何对数据进行有效的清洗和转换,使之成为符合数据处理要求的数据源,是影响数据处理准确性的关键因素。此外,从数据安全的角度考虑,采集的数据可能存在恶意代码、病毒等安全隐患,引入这样的数据将会给组织的数据平台带来严重的安全威胁。因此,在清洗阶段需要对可疑数据进行安全清洗,通过病毒过滤、沙盒验证等手段去除安全隐患。
数据识别
为了组织数据平台的有效管理,数据需要进行整体规划,按照数据的内容、格式等因素进行存储。因此在数据采集阶段,进行数据识别是非常必要的。结合组织分类分级标准,采用多种数据识别方法,如基于采集对象、基于数据格式等,自动化识别数据内容。
数据标签
为了实现数据后续的安全管理,可以给识别出的数据打上安全数据标签,后续可以根据数据标签实现存储、授权、控制等安全策略。数据标签有很多种,按照嵌入对象的格式可分为结构化数据标签、非结构化数据标签;按照标签的形式可分为嵌入文件格式的标签和数字水印。
6.2 数据安全加密
在数据存储和传输阶段,需要建立相关加密措施来保障数据在存储、传输过程中的机密性、完整性和可信任性。
数据存储隔离与加密
前置代理及加密网关技术
应用层改造加密技术
基于文件级的加解密技术
基于视图及触发器的后置代理技术
数据传输加密
组织首先应明确需要进行加密传输的场景,并非所有的数据都需要进行加密传输,通常需要进行加密传输的数据包括但不限于系统管理数据、鉴别信息、重要业务数据和重要个人信息等对机密性和完整性要求较高的数据。在定义好需要加密的场景后,组织应选择合适的加密算法对数据进行加密传输。由于目前加密技术的实现都依赖于密钥,因此对密钥的安全管理是非常重要的环节。
6.3 数据访问控制
为了保证在数据生命周期的各个阶段和不同场景下的数据的机密性和完整性,允许合法使用者访问数据资产,防止非法使用者访问数据资产,防止合法使用者对数据资产进行非授权的操作访问,往往需要对数据访问权限加以控制和管理。
针对用户对数据访问服务的安全使用要求的多样性,结合数据生命周期访问需求和特点,可以采用基于角色访问控制、基于风险的访问控制、基于属性访问控制等技术,通过制定基于主体属性和客体属性的细粒度访问控制授权策略来灵活设定用户对数据的使用权限,从而实现数据细粒度的访问控制。
基于角色的访问控制(RBAC)
角色是基于角色访问控制模型的核心概念,角色挖掘主要用于解决如何产生角色,并建立用户-角色、角色-权限的映射问题。相比于“自上而下”进行人为的角色设计,角色挖掘是“自下而上”地从已有的用户-权限分配关系中来自动化地实现角色定义和管理工作,以减小对管理员的依赖。因此,它能够有效缓解采用RBAC的数据应用中存在的过度授权和授权不足的现象。
基于风险的访问控制(BARAC)
当承载数据的系统处于较为稳定的环境中时,只需要根据需求对访问控制策略进行局部调整即可保证数据生命周期的安全,但对于承载数据的系统具有动态调整需求的组织而言,为了更好预估风险-利用平衡,需要根据实际需求对访问控制进行调整去适应新的环境,工作量大且不易试试。而基于风险的访问控制能够帮助组织更好的解决这类风险。基于风险的访问控制是根据数据分类分级以及数据资产面临的风险,针对访问者对不同类型和不同等级的数据资产的访问需求,综合分析访问者的角色和访问行为可能造成风险,进而判断对访问行为的允许或拒绝,实现动态地调整访问控制策略,以实现安全高效的访问控制。
基于属性的访问控制(ABAC)
基于属性的访问控制ABAC是“下一代”授权模型,在结构化语言中使用属性作为构建基石来定义并实施访问控制,提供上下文相关的细粒度动态访问控制服务。基于属性的访问控制把实体属性或实体属性组的概念贯穿于访问控制的整个过程,把所有与访问控制相关信息,例如实体采取的操作行为、访问请求及响应的时间节点、实体的地理位置当作主体、客体和环境的属性来统一建模,通过定义属性之间的关系描述复杂的授权和访问控制约束,在制定访问控制策略是不需要在根据用户的需求一个一个来制定,而是可以由主体、资源、环境、动作的属性的匹配与否来决定授权与否,具有很大的灵活性,解决了在复杂环境中的细粒度访问控制和大规模用户扩展问题。
6.4 数据泄漏防护
数据泄漏是一个逐步的过程,从信息数据生成的源头逐渐向外扩散,通常最终由非授权用户通过不同的边界途径传播到组织无法控制的外部环境,通过对数据->人->边界传播路径的分析,即数据源于业务系统,数据的下载和传播都是人为操作,需要通过边界(网络、终端、虚拟化等物理边界和逻辑边界)进行泄漏,所以,数据泄漏防护的核心思想就是沿着数据传递方向逐级进行防护,进而达到降低风险的效果。
数据泄露防护在数据资产分类的基础上,结合组织的业务流程和数据流向,构建完善的可能导致数据泄露各个环节的安全,提供统一解决方案,促进核心业务持续安全运行。为了保证数据在生命周期泄漏防护效果,可以采用的主要数据泄漏防护技术主要有三种:
数据加密技术
数据加密是过去十年国内数据泄漏防护的基本技术之一,包含磁盘加密、文件加密、透明文档加解密等技术,目前以透明文档加解密最为常。透明文档加解密技术通过过滤驱动对受保护的敏感数据内容进行相应参数的设置,从而对特定进程产生的特定文件进行选择性保护,写入时加密存储,读取文件时自动解密,整个过程不影响其他受保护的内容。加密技术从数据泄漏的源头对数据进行保护,在数据离开企业内部之后也能防止数据泄漏。但加密技术的秘钥管理十分复杂,一旦秘钥丢失或加密后的数据损坏将造成原始数据无法恢复的后果。对于透明文档加解密来说,如果数据不是以文档形式出现,将无法进行管控。
权限管控技术
数字权限管理(Digital Right Management,DRM)是通过设置特定的安全策略,在敏感数据文件生成、存储、传输的瞬态实现自动化保护,以及通过条件访问控制策略防止敏感数据非法复制、泄漏和扩散等操作。DRM技术通常不对数据进行加解密操作,只是通过细粒度的操作控制和身份控制策略来实现数据的权限控制。权限管控策略与业务结合较紧密对组织现有业务流程有影响。
基于内容深度识别的通道防护技术
基于内容的数据防泄漏(Data Loss Prevention,DLP)概念最早源自国外,是一种以不影响组织正常业务为目的,对组织内部敏感数据外发进行综合防护的技术手段。DLP以深层内容识别为核心,基于敏感数据内容策略定义,监控数据的外传通道,对敏感数据外传进行审计或控制。DLP不改变正常的业务流程,具备丰富的审计能力,便于对数据泄漏事件进行事后定位和及时溯源。
6.5 数据安全脱敏
敏感数据在使用过程中存在被非法泄露、被非授权篡改、假冒、非法使用等安全风险。而数据脱敏,即在保留数据原始特征的同时改变它的部分数值,避免未经授权的人非法获取组织敏感数据,实现对敏感数据的保护,同时又可以保证系统测试、业务监督等相关的处理不受影响,即在保留数据意义和有效性的同时保持数据的安全性并遵从数据隐私规范。借助数据脱敏,信息依旧可以被使用并与业务相关联,不会违反相关规定,而且也避免了数据泄露的风险。
目前数据脱敏的技术主要有三种:基于数据失真/扰乱技术、数据加密技术和数据限制发布技术。
基于数据失真/扰乱的数据脱敏技术
即通过数据清洗、数据屏蔽、数据交换等手段对数据进行修改或者转换,使敏感数据失真。数据失真/扰乱技术不同于数据加密技术,它是出于某些计算、分析和测试目的,需要保留原始数据的部分特征数据属性之间的关联性,而数据加密则是为了保密而对数据进行加密处理,数据加密具有可逆性,而数据脱敏不具有可逆属性。数据失真/扰乱技术特点是通过对原始数据的部分或全局修改,隐藏原始数据敏感信息。
基于数据加密的技术
即采用加密技术在数据发布过程中隐藏敏感信息。主要是通过公钥密码安全机制对数据值进行加密,防止数据隐私泄露。由于公钥密码机制实现了他方对原始数据的不可见性,可保证数据信息的无损失性,因此可保证数据准确的挖掘结果,但比较数据失真/扰乱方法,其计算和通讯代价都较高。公钥加密机制具有数据真实、无缺损,高度隐私保护的特点,且可逆、可重复,但是成本较高。
基于数据限制发布的技术
即根据具体情况有条件地发布数据。此技术主要用于对数据精度要求不高的场合,即在发布前根据原始数据的敏感性对数据分级,按照最小授权原则控制数据访问权限,如对部分字段限制发布、部分字段只允许部分权限较高的用户访问,从而降低数据泄露风险。这种技术适用性强,保证了数据的真实性,实现简单,但是存在一定程度的数据缺损和泄露风险。
数据脱敏的核心是实现数据可用性和安全性之间的平衡,既要考虑系统开销,满足业务系统的需求,又要兼顾最小可用原则,最大限度的敏感信息泄露。以上三种技术适合于不同的数据脱敏场景,在实际应用中可根据应用和环境不同选取合适的数据脱敏技术,从而形成有效的敏感数据保护措施。
6.6 数据安全审计
随着数据共享交换业务需求激增,数据安全责任主体增多,管理复杂度大,数据确权确责难度加。数据控制权的转移带来新的审计问题,由于数据处理各方对数据都具有访问权限,加上数据本身具有易复制、易扩散的特点,导致在发生数据泄露等安全事件时,往往难以界定安全责任。此外,复杂的数据流转,跨系统、跨组织的交换共享使得正常的访问行为的定义变得困难,并且数据流经环节越多数据溯源及管制难度越大。因此,数据安全审计需要由以系统为核心向以数据为核心进行转变。
数据采集阶段
数据采集阶段处于数据价值链的上游,通常涉及元数据操作和数据分类分级过程,这个过程会对后续的数据处理产生重要影响。因此,数据采集阶段的安全审计重点围绕这个过程展开。通过采集元数据操作日志,实现元数据操作的追溯审计,确保元数据操作的可追溯性。通过对数据分类分级的操作、变更过程进行日志记录和分析,定期通过日志分析等技术手段进行变更操作审计,确保数据分类分级过程的可追溯性。
数据传输阶段
数据传输阶段面临数据窃取、数据监听等安全风险,属于安全事件的频发阶段。尤其当传输过程涉及敏感数据时,如果安全控制措施采取不当,很有可能导致数据泄露事件发生。因此,数据传输审计需要重点关注传输安全策略的实施情况,及时发现传输过程中可能引发的敏感数据泄露事件
数据存储阶段
数据存储通常采用分布式技术实现,因此,数据存储阶段的安全审计需要具备分布式存储访问安全审计能力。同时,数据存储阶段的安全审计还需要解决数据的完整性保护问题,支持数据的动态变化和批量审计。
数据处理阶段
在数据处理阶段通常会涉及数据脱敏操作,通过按照脱敏规则对数据进行变形操作能够对敏感数据起到有效保护,脱敏后的数据会被进—步地应用到数据处理的各阶段,脱敏的效果会对整个数据价值造成较大影响。因此,数据处理阶段的安全审计重点关注脱敏处理过程,对数据脱敏策略和相关操作进行记录。
数据交换阶段
数据交换过程是数据安全审计过程的重点。在数据共享阶段的安全审计需要制定数据导入、导出、共享审计策略,对高风险的数据共享操作进行持续监控并形成审计日志。为数据共享阶段可能引发的安全事件处置、应急响应和事后调提供帮助,确保共享的数据未超出授权范围。
数据销毁阶段
在数据销毁阶段,安全审计重点关注对存储介质的访问使用行为记录和审计。对销毁介质的登记、交接过程等进行监控,形成审计记录供分析。同时,对数据销毁策略进行审计,记录数据删除的操作时间、操作人、操作方式、数据内容、操作结果等相关信息。
数据安全审计需要覆盖数据处理各参与方以及整个数据生命周期,制定覆盖系统行为和数据活动的安全审计策略与规程,明确审计对象、审计目的、审计内容、审计方法、审计频度、相关角色和职责、管理层承诺、供应链上各参与方协调、合规性分析等内容,建立数据安全审计规程与协调机制,确保审计事件的可追溯性。
6.8 数据安全销毁
数据销毁主要是指获得组织、用户的授权许可或请求后对数据进行清除或销毁。使用组织授权的技术和方法对敏感信息进行清除或销毁,保证无法还原,并且具备安全审计能力。数据安全销毁能够提供数据销毁过程的安全审计功能,审计覆盖到各系统每个用户,对数据销毁过程中的重要用户行为和重要安全事件保留审计日志并进行审计。应保证包括鉴别信息、敏感信息、个人信息等重要数据的存储空间被释放或重新分配前得到完全清除。
七、数据安全运营能力建设
7.1 数据资产管控
结合业务场景界识别结果,通过数据资产管控技术,建立面向统一数据调度方式,形成良性数据共享机制,提高数据置信度、优化模型合理性、数据流转更清晰,管理权责更明确,在以成效为导向的价值标准下,数据资产管控无疑将成为组织数据安全能力建设核心支点。
数据资产测绘识别
通过自动化的技术工具对组织的数据资产或实时数据流进行测绘,建立组织数据资产的全景视图,以组织数据资产分类标准为基础、以各业务系统数据为来源,依据组织业务规划,梳理组织各类数据的物理、业务、管理、资产属性信息,以及相应的信息化描述并以多视角、可视化展现,同时,通过构建组织数据全景视图,完善数据分类分级标准,描述数据资产属性,管理数据资产质量,为数据安全能力建设提供技术支撑。
敏感数据标记监控
依据数据分级标准,对组织的数据资产测绘中识别的各类数据进行敏感标识,对应用系统运行、开发测试、对外数据传输和前后台操作等数据生命周期各个环节,根据定义的敏感数据使用规则对数据的流转、存储与使用进行监控,及时发现违规行为并进行下一步处理。
数据资产血缘追溯
对每一个按照数据安全管理要求选定的数据资产,在遵循数据资产生命周期管理的原则下,由业务部门建立该数据资产形成的全过程业务模型,并进行数据流转节点标准化描述工作,整理每一个标准化节点的初始数据输入、处理过程、存储过程和传输过程等信息,并使用血缘追溯支撑工具将溯源信息进行维护,为溯源查询和后续的数据核查服务。
数据资产风险管理
数据资产风险评估管理能够全方位检测数据安全问题和数据平台存在的脆弱性问题,结合数据资产测绘、数据流转测试、数据平台漏洞、安全配置核查多方面的扫描和检测结果,进行风险评估分析,发现数据分类分级问题、敏感数据存储分布问题、敏感数据异常使用问题、数据组件安全漏洞问题、安全配置问题等。使组织能够快速发现安全风险,提早做安全规划,让数据风险可量化。
7.2 安全策略执行
组织在采取适当的技术手段的基础上,建立与组织数据安全策略一致的安全保护机制,执行各类流程和程序以维护和管理数据资产。
访问控制策略
根据组织的数据权限管理制度,基于组织数据分类分级标准规范,利用具备统一的身份及访问管理平台,建立不同类别和级别的数据访问授权规则和授权流程,实现对数据访问人员的统一账号管理、统一认证、统一授权、统一审计,确保组织数据权限管理制度的有效执行。
数据加密策略
根据组织数据加密管理制度,针对需要加密的场景确定加密的方案,通过加密产品或工具落实制度规范所约定的加密算法要求和密钥管理要求,确保数据传输和存储过程中机密性和完整性的保护,同时加密算法的配置、变更、密钥的管理等操作过程应具有审核机制和监控手段。
泄漏防护策略
以组织数据泄漏防护策略为基础,以敏感数据为保护对象,根据数据内容主动防护,对所有敏感数据的输入输出通道如邮件、网络、终端等多渠道进行监管,根据策略管控的要求进行预警、提示、拦截、阻断、管控及告警等,并通过强化敏感数据审核与管控机制以降低敏感数据外泄的发生几率及提升可追朔性。
安全脱敏策略
根据组织建立统一的数据脱敏制度规范和流程,明确数据脱敏的业务场景,以及在不同业务应用场景下的数据脱敏规则和方法,使用统一的具备静态脱敏和动态脱敏的功能的数据脱敏工具,根据使用者的职责权限或者业务处理活动动态化的调整脱敏的规则,并对数据的脱敏操作过程都应该留存日志记录,以审核违规使用和恶意行为,防止意外的敏感数据泄露。
安全审计策略
根据数据安全监控审计策略,利用数据安全审计工具,对组织内所有网络、系统、应用、数据平台等核心资产中的数据流动进行日志、流量审计,并进行风险识别与预警,以实现覆盖数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁各阶段审计过程。
备份恢复策略
根据数据服务可靠性和可用性安全保护目标,以数据备份恢复策略为指导,利用数据备份和恢复的技术工具,建立并执行数据复制、备份与恢复的操作规程,如数据复制、备份和恢复的范围、频率、工具、过程、日志记录规范、数据保存时长等,并根据定期检查和更新工作要求,如数据副本更新频率、保存期限等,确保数据副本或备份数据的有效性等。
7.3 持续安全监控
组织制定适当的活动,实施对内部数据资产面临的风险和组织外部的威胁情报的持续安全监控,确保能够准确地检测到异常和事件,了解其潜在影响,及时验证保护措施的有效性。
日志安全监控
通过对各种网络设备、安全设备、服务器、主机和业务系统等的日志信息采集,通过对日志中行为挖掘、攻击路径分析和追踪溯源等,实现对组织安全状况的可视化呈现和趋势预测,为后续的安全策略调整和联动响应提供必要的技术支撑。
流量安全监控
流量安全监控是围绕用户、业务、关键链路和网络访问等多个维度的流量分析,可以实现对用户和业务访问的精准分析,发现各类异常事件和行为,并建立流量的多种流量基线,为后续的安全策略调整和联动响应提供必要的技术支撑。
行为安全监控
行为安全监控是对组织内部和外部用户的行为安全分析,如异常时间登录非权限系统、异常权限操作、账号过期未更改、离职人员拷贝大量数据等,通过监控用户各类行为,准确找到用户行为之间的关联,对其访问轨迹、访问的内容和关注重点等进行分析,确保用户行为符合安全管理相关要求。
威胁情报监控
组织与外部组织合作获取威胁情报,情报内容包括漏洞、威胁、特征、行为等一系列证据的知识聚合和可操作性建议。威胁情报为组织的防御方式带来了有效补充,立足于攻方的视角,依靠其广泛的可见性以及对组织风险及威胁的全面理解,帮助组织更好地了解威胁,使组织能够准确、高效的采取行动,避免或减少网络攻击带来的数据资产损失。
7.4 应急响应恢复
组织制定并实施适当的活动,以便对检测到的数据安全事件采取行动,并恢复由于事件而受损的任何功能或服务,以减少数据安全事件的影响。
响应活动
组织根据不同业务场景面临的风险,制定有针对性的事件响应预案,明确应急响应组织机构和人员职责,建立事件响应过程中的沟通机制,协调内部和外部资源,在事件发生时执行和维护响应流程和程序,确保及时执行响应预案以防止事件扩展、减轻其影响并最终消除事件,通过从中吸取经验教训,改进组织安全策略以防止事件再次发生。
恢复活动
在组织各项响应活动执行完成后,需要评估事件的影响范围,按照事先制定的维护恢复流程和程序,协调内部和外部相关方资源,开展恢复活动以确保及时恢复受事件影响的系统或资产,并通过将吸取的经验教训纳入今后的活动,改进了恢复规划和进程。
7.5 人员能力培
组织的数据安全管理能力、技术能力、运营能力建设等推进落地终究离不开人的执行,组织内不同部门、不等层级及不同来源的员工,在不同场景下直接和间接地接触数据资产,所以风险始终存在于人身上,需要逐步提升人员的安全意识,加强人员的数据安全管理能力、数据安全运营能力、数据安全技术能力和数据安全合规能力。
从不同角度对组织人员能力培养需求进行分析,可以从三个方面开展:
意识培养
提高组织人员安全意识,建立人员安全意识培养的长效机制,逐步提升人员对数据安全威胁的识别能力,真正了解正在使用的数据的价值,充分认识到自己在组织数据安全中的重要角色及职责,并结合多种形式检验人员安全意识培养的成果。
技能培训
根据对组织的数据安全各方面所需人员的能力综合分析,明确组织人员技能培训的目标,制定科学合理的培训计划,按照先基础、后专业,先全面,后能力的递进关系,充分体现技能培训重点,全面提升人员的专业能力。
实践演练
为了满足组织对各类人员能力要求,需要开展以组织实际业务场景以及数据面临的安全风险为主题的各种实践模拟演练,通过对数据生命周期中的风险进行有效识别、分析和控制,从而提升人员安全意识和事件的安全处置能力。
八、总结
组织业务发展越来越依数据资产,在有效地利用数据,最大限度发挥大数据的价值的同时,也面临着数据带来的诸多安全隐患问题,如隐私泄漏,数据管理、数据可用性和完整性破坏等,确保数据资产的安全是目前重点关注的问题。组织通过开展数据安全规划活动,从合规性要求、业务自身安全要求和风险控制要求入手,根据业务的特点对各类场景进行识别和风险评估的结果,制定组织的数据的分类分级标准,并通过数据安全管理能力、数据安全技术能力、数据安全运营能力三个维度的建设,建立具有自优化特性的数据安全防护闭环控制体系,不断优化数据安全保护机制和方法,降低数据资产的风险,保障数据生命周期的安全可管可控。
参考文献
1.《 信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)
2. 《信息安全技术 大数据服务安全能力要求》(GB∕T 35274-2017)
2.《数据安全治理白皮书》(安华金和)
3.《数据安全能力建设实施指南》(阿里巴巴)
4.《数据安全白皮书2.0》(绿盟科技)