官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
近年来,数据安全非常火,但数据安全落地难也是共识。毕竟信息安全的方方面面均与数据安全存在关联,并不存在一个纯数据安全的动作来把数据安全搞定。因此,把信息安全的各个子领域与数据安全交叉的部分搞透彻,对数据安全的落地必将产生巨大的推动作用,笔者在国舜股份从事开发安全领域工作多年,抛砖引玉,今天就先讨论讨论开发安全与数据安全的交叉,看开发安全如何推动数据安全。
一.开发安全与数据安全的交叉基础概念
在进行详细的讨论之前,先探讨两个数据安全与开发安全交叉的关键话题,帮助我们准确理解相关基础概念。
(一)全生命周期 VS 全生命周期
开发安全讲究的是软件全生命周期,包含系统的需求、设计、编码、测试、部署、运维、废弃全过程;数据安全讲究的是数据全生命周期,包括数据的采集(生成)、传输、存储、处理、交换、销毁全过程。
从表面看,数据安全的全周期其实都体现在软件全生命周期的运维阶段,但实际上软件全周期的需求、设计、编码、测试、部署、废弃的每个阶段,都深深影响到数据的安全。
(二)数据资产的“黑盒 VS 白盒”
大部分数据资产都是机构自建的,按理来说,应该对数据的分布、存储一清二楚,但事实上,现在机构信息系统都是多头架构,几十上百甚至上千个系统通过各种对接构成,里面的数据流转非常复杂,数据的存储、分布也就不清楚了。
对照这种数据的实际状况,绝大部分数据安全解决方案是基于数据存储、分布不清楚,整体IT系统是个黑盒来架构的,其数据资产的管理也是基于黑盒,通过一些工具去抓取流量中的数据,以此来分析、发现现有的数据存储、分布情况,构成数据资产管理的基础。
但是黑盒管理毕竟是有局限性,你永远判断不了资产管理是否覆盖了所有的关键数据,你的数据安全能力是不确定的。
数据安全发展到一定阶段,一定要基于白盒,即整体的数据分布、存储是清晰透明的,在此基础上构建的数据安全方案才可能是完备的、收敛的、可验证的。黑盒的相应手段可以作为监测工具来利用,而不能作为数据安全的基础来构建。
如果一旦确定白盒的数据分布基础假设,开发安全就尤为重要。只有在开发阶段就进行数据分类、分级,对数据资产进行充分的备案、注册,建立配套的安全机制,数据安全的整体方案才能构建,可以说数据安全在开发安全领域的应用,是黑盒假设的数据安全方案提升到白盒假设的数据安全方案的前提和基础。
通过以上两个话题的讨论,我们大概能够了解开发安全与数据安全的相互关系。到应用环节,在开发安全领域内应用数据安全,无非是通过安全需求、安全设计来实现数据安全的要求,通过安全测试来验证数据安全的实现质量。
二.开发安全推动数据安全路径
开发安全推动数据安全的出发点是数据安全的法规、技术规范等。数据安全的法律法规很多,这是笔者前不久收集的一个法规清单:
- 《数据安全法》
- 《个人信息保护法》
- 《网络安全法》
- 《关键信息基础设施安全保护条例》
- 《工业和信息化领域数据安全管理办法(试行)》
- 《信息安全技术网络数据处理安全要求 (GB/T 41479-2022)》
- 《数据管理能力成熟度评估模型 (GB/T36073—2018)》
- 《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)
- 《信息安全技术 个人信息安全影响评估指南(GB/T 39335—2020)》
- 《基础电信企业数据分类分级方法(YD/T3813-2020)》
- 《基础电信企业重要数据识别指南(YD/T 3867-2021)》
- 《电信网和互联网数据安全评估规范(YD/T 3956-2021)》
- 《金融数据安全数据生命周期安全规范(JR/T-0223-2021)》
- 《金融数据安全 数据安全分级指南(JRT 0197-2020)》
笔者通过对以上文献的分析,感觉《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)(以下简称DSMM),最能完整地概括数据安全的各方面要求。以DSMM的内容,尝试在开发安全领域落地,将有力推动数据安全落地。
(一)DSMM简介
DSMM是数据安全能力成熟度模型(Data Security Capability Maturity Model)的简称,其架构图如下:
图:DSMM架构
DSMM的架构由以下三个维度构成:
1.安全能力维度
安全能力维度明确了组织在数据安全领域应具备的能力。包括组织建设、制度流程、技术工具和人员能力。
2.能力成熟度等级维度
数据安全能力成熟度等级划分为五级,具体包括:1级(非正式执行级),2级(计划跟踪级),3 级(充分定义级),4级(量化控制级),5级(持续优化级)。
3.数据安全过程维度
(1)数据安全过程包括数据生存周期安全过程和通用安全过程;
(2)数据生存周期安全过程具体包括: 数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全 6 个阶段。
可以说DSMM比较完整地概括了数据安全相关的能力,那么这些能力在信息系统建设中体现了哪些安全需求呢?
(二)DSMM之安全需求
DSMM中的安全需求从实现来说分为两类:第一类是针对企业的整体要求,比如应该建立数据分类分级规范,拥有某项能够发现数据资产的工具等;另外一类是在具体建设业务系统中,需要遵循的数据安全要求,比如敏感数据通讯要加密、数据操作要记日志等。
1.第一类安全需求
第一类安全需求主要有两个:
1.完善的数据安全管理制度,包括数据分类分级、数据全生命周期管理、数据管理的组织与人员等等,这部分不是本文的重点,在此略过。
2.一套数据安全的管理系统。主要功能就四个:
a)数据资产管理
b)数据资产的自动化发现、自动化分类、自动化分级
c)数据质量分析
d)数据安全分析、溯源
从功能需求来看,DSMM还是基于黑盒假设来构建的数据安全能力。
这里面b)的功能是核心功能、基础功能。
现在资产自动化发现的技术就是流量发现,随着流量分析的技术越来越先进,自动化发现的分析能力也越来越先进。但该技术的效果好不好,除分析技术本身以外,还有两个关键因素:
(1)流量能不能抓到,抓不抓得全
现在的网络拓扑太复杂,尤其是会在局部构成小的工作域,工作域之间的访问非常复杂,想要把流量抓全几乎是不可能的。相对来说,把对外接口的流量抓全相对简单些,对外流量也是数据泄露的重要渠道,这部分性价比也很突出,可以作为流量抓取的重点。
(2)流量加密能不能破解
随着数据安全工作的深入,通讯安全的水平提升明显,很多机构内部也严格要求加密通讯,比如不允许使用http,代之以https。一旦数据加密不能破解(也不应该被破解)该功能最终效果会越来越差。
考虑到DSMM分为五级,三级以前还可通过数据资产发现的模式来推动数据安全,三级以后就应该慢慢转变,最终发展为基于白盒假设的方向,数据资产也以注册、备案方式来保证完整,黑盒作为监测、抽查发挥补充作用。
2.第二类安全需求
第二类的安全需求需要通过分散的项目中来实现,更加难以操作和管理。
DSMM的PA构成比较复杂,既有能力域方面的差别,组织建设、制度流程、技术工具和人员能力不同能力域的PA,也有级别上的差别。笔者分析认为,从能力域角度,项目型安全需求集中体现在制度流程部分;从级别上看,以等级3为标准,最能反应当下开发安全有所开展机构的安全要求。笔者按照等级3的假设,自动包含等级2的要求,酌情引入等级4的要求,经过对制度流程能力域PA的分析,总结了14条应该在日常项目建设中考虑的安全需求:
安全 | PA | 说明 | 等级 | 制度流程 | 需求 |
数据采集安全 | PA01数据分类分级 | 基于法律法规以及业务需求确定组织内部的数据分类分级方法,对生成或收集的数据进行分类分级标识。 | 等级1:非正式执行 | 制度流程:组织未在任何业务建立成熟稳定的数据分类分级,仅根据临时需求或基于个人经验,对部分数据进行了分类或分级(BP.01.01)。 | 应按照数据分类分级原则将系统的有关数据进行分类分级,并备案到数据资产管理系统中;(对应BP.01.06) |
等级2:计划跟踪 | 制度流程:应根据业务特性和外部合规要求,对核心业务的关键数据进行分类分级管理(BP.01.03)。 | ||||
等级3:充分定义 | 制度流程: | ||||
等级4:量化控制 | |||||
等级5:持续优化 | 制度流程:应定期评审数据分类分级的规范和细则,考虑其内容是否完全覆盖了当前的业务,并执行持续的改进优化工作(BP.01.13); | ||||
PA02数据采集安全管理 | 在采集外部客户、合作伙伴等相关方数据的过程中,组织应明确采集数据的目的和用途,确保满足 | 等级1:非正式执行 | 制度流程:未在任何业务建立成熟稳定的数据采集安全管理,仅根据临时需求或基于个人经验对个别数据采集进行安全管理(BP.02.01)。 | 应明示个人信息采集的目的、方式和范围,并经被采集人同意。(对应BP.02.04) | |
等级2:计划跟踪 | 制度流程: | ||||
等级3:充分定义 | 制度流程: | ||||
等级4:量化控制 | 制度流程:应明确数据采集安全管理效果的评估方式,如数据采集安全管理在业务的覆盖率、制度流程执行效果、数据采集授权率等(BP.02.15)。 | ||||
等级5:持续优化 | 制度流程:数据采集安全管理应持续优化,持续跟踪数据采集安全管理执行效果、新业务产生的需求、行业新技术和最佳应用、合规新要求新变化等(BP.02.18)。 | ||||
PA03数据源鉴别及记录 | 对产生数据的数据源进行身份鉴别和记录,防止数据仿冒和数据伪造。 | 等级1:非正式执行 | 应采取合理方式记录数据的来源,建立数据溯源机制。(对应BP.03.03\BP.03.06\BP.03.03.10) | ||
等级2:计划跟踪 | 制度流程:核心业务系统的在线数据采集和外部第三方采集,均应建立了相应机制执行数据源的鉴别和记录(BP.03.03); | ||||
等级3:充分定义 | 制度流程:应明确数据源管理的制度,对组织采集的数据源进行鉴别和记录(BP.03.06)。 | ||||
等级4:量化控制 | 制度流程: | ||||
等级5:持续优化 | 制度流程:应对数据源鉴别方式和分类方法进行持续的改进,基于业务的发展变化以及行业最佳应用,提升数据源管理的成效(BP.03.13)。 | ||||
PA04数据质量管理 | 建立组织的数据质量管理体系,保证对数据采集过程中收集/产生的数据的准确性、一致性和完 | 等级1:非正式执行 | 在数据的采集、清洗、转换等过程后,应对数据质量检测(包括检测数据格式、数据完整性、数据一致性等)(对应BP.03.03\BP.03.06\BP.03.03.10) | ||
等级2:计划跟踪 | 制度流程:在核心业务中应将数据质量管理或监控作为必要的环节(BP.04.03)。 | ||||
等级3:充分定义 | 制度流程: | ||||
等级4:量化控制 | 制度流程: | ||||
等级5:持续优化 | |||||
数据传输安全 | PA05数据传输加密 | 根据组织内部和外部的数据传输要求,采用适当的加密保护措施,保证传输通道、传输节点和传输 | 等级1:非正式执行 | 应明确数据传输的安全控制措施,包括传输通道加密、数据内容加密、签名验签、身份鉴别、数据传输接口安全等,对采用加密方式的需完整描述密钥的全周期安全机制;(对应BP.05.03/BP.05.07/BP.05.013) | |
等级2:计划跟踪 | 制度流程:应根据合规要求和业务性能的需求,核心业务明确业务中需要加密传输的数据范围和加密算法(BP.05.03)。 | ||||
等级3:充分定义 | 制度流程: | ||||
等级4:量化控制 | 制度流程:应在数据分类分级定义的基础上,明确提出对不同类型、级别的数据的加密传输要求,包含对数据加密算法的要求和密钥的管理要求(BP.05.13)。 | ||||
等级5:持续优化 | |||||
PA08逻辑存储安全 | 基于组织内部的业务特性和数据存储安全要求,建立针对数据逻辑存储、存储容器等的有效安全 | 等级1:非正式执行 | 应明确数据的存储安全,访问控制机制等,包括各类数据存储系统的账号权限管理、访问控制、日志管理、加密管理、版本升级等方面的控制(对应BP.07.03/BP.07.06/BP.08.06/BP.08.07/BP.08.13) | ||
等级2:计划跟踪 | |||||
等级3:充分定义 | 制度流程: | ||||
等级4:量化控制 | 制度流程: | ||||
等级5:持续优化 | 制度流程:应定期审核数据库的安全配置情况和权限分配情况,并改进优化相关配置和角色权限包的内容(BP.08.20)。 | ||||
PA09数据备份和恢复 | 通过执行定期的数据备份和恢复,实现对存储数据的冗余管理,保护数据的可用性。 | 等级1:非正式执行 | 对于重要系统,应明确系统的RPO和RTO目标;应明确数据的备份和恢复机制,包括备份和恢复的范围、频率、工具、过程、日志记录、数据保存时长等(对应BP.09.07) | ||
等级2:计划跟踪 | 制度流程:业务团队应明确数据备份和恢复的制度(BP.09.03)。 | ||||
等级3:充分定义 | 制度流程: | ||||
等级4:量化控制 | 制度流程: | ||||
等级5:持续优化 | 制度流程:应密切关注国内外数据备份和恢复的优秀解决方案,适当地采纳并用于组织内部的数据备份和恢复工作(BP.09.31)。 | ||||
数据处理安全 | PA10数据脱敏 | 根据相关法律法规、标准的要求以及业务需求,给出敏感数据的脱敏需求和规则,对敏感数据进行 | 等级1:非正式执行 | 应明确数据的脱敏范围和脱敏方法,对于开发测试需要使用生产数据的,应建立对应的脱敏算法处理生产数据,保证敏感数据不可还原导致数据泄露。(对应BP.10.08/BP.10.09/BP.10.16) | |
等级2:计划跟踪 | 制度流程:在核心业务中,应对业务中涉及的数据脱敏需求进行分析,明确脱敏的流程和方法(BP.10.04)。 | ||||
等级3:充分定义 | 制度流程: | ||||
等级4:量化控制 | 制度流程: | ||||
等级5:持续优化 | |||||
PA11数据分析安全 | 通过在数据分析过程采取适当的安全控制措施,防止数据挖掘、分析过程中有价值信息和个人隐私 | 等级1:非正式执行 | 对于数据分析功能,应明确构建数据仓库、建模、分析、挖掘、展现等方面安全控制措施,明确个人信息保护、数据获取方式、访问接口、授权机制、分析逻辑、分析结果等安全控制措施;(对应BP.11.03/BP.11.06) | ||
等级2:计划跟踪 | 制度流程: | ||||
等级3:充分定义 | 制度流程: | ||||
等级4:量化控制 | |||||
等级5:持续优化 | 制度流程:应跟踪新业务需求、国内外法律法规变化和技术发展变化,持续调整和改进数据分析安全管理效果(如改进数据分析的个人隐私保护方案)(BP.11.19)。 | ||||
PA14数据导入导出安全 | 通过对数据导入导出过程中对数据的安全性进行管理,防止数据导入导出过程中可能对数据自身 | 等级1:非正式执行 | 应明确数据导入导出的安全策略,包括可导入导出的位置、授权、流程控制等;(对应BP.14.07) | ||
等级2:计划跟踪 | 制度流程:应明确核心业务数据导入导出安全制度或审批流程(BP.14.03)。 | ||||
等级3:充分定义 | 制度流程: | ||||
等级4:量化控制 | |||||
等级5:持续优化 | 制度流程:组织应及时跟进业务相关的法律法规的更新和产业内的优秀做法,定期评估导入导出服务组件和导入导出通道的安全性,对数据导入导出的风险控制方案进行持续的优化调整(BP.14.20)。 | ||||
数据交换安全 | PA15数据共享安全 | 通过业务系统、产品对外部组织提供数据时,以及通过合作的方式与合作伙伴交换数据时执行共享 | 等级1:非正式执行 | 应明确数据共享的原则和安全规范,明确数据共享内容范围和数据共享的管控措施(对应BP.15.06); | |
等级2:计划跟踪 | 制度流程:应明确核心业务数据共享安全评估机制,可从共享目的合理性、共享数据的范围和合规性、共享方式的安全性、共享后管理责任和约束措施等方面进行评估(BP.15.03)。 | ||||
等级3:充分定义 | 制度流程: | ||||
等级4:量化控制 | 制度流程: | ||||
等级5:持续优化 | 制度流程:组织应及时跟进业务相关法律法规的更新和产业内的优秀做法,定期评估数据共享机制、服务组件和共享通道的安全性,对数据共享的风险控制方案进行持续的优化调整(BP.15.19)。 | ||||
PA16数据发布安全 | 在对外部组织进行数据发布的过程中,通过对发布数据的格式、适用范围、发布者与使用者权利和 | 等级1:非正式执行 | 对于数据发布,应明确数据发布的安全控制机制,包括数据公开的内容、范围等(对应BP.16.06/BP.16.07) | ||
等级2:计划跟踪 | 制度流程:应明确核心业务数据公开发布的安全制度和审核流程(BP.16.03)。 | ||||
等级3:充分定义 | 制度流程: | ||||
等级4:量化控制 | 制度流程: | ||||
等级5:持续优化 | |||||
PA17数据接口安全 | 通过建立组织的对外数据接口的安全管理机制,防范组织数据在接口调用过程中的安全风险。 | 等级1:非正式执行 | 对于存在对外数据接口的,应明确数据接口安全控制策略,包括规定使用数据接口的安全限制和安全控制措施,如身份鉴别、访问控制、授权策略、签名、时间戳、安全协议等(BP.17.07) | ||
等级2:计划跟踪 | 制度流程:核心业务或系统应定义数据接口安全策略(BP.17.03)。 | ||||
等级3:充分定义 | 制度流程: | ||||
等级4:量化控制 | |||||
等级5:持续优化 | |||||
通用安全过程域 | PA27监控与审计 | 针对数据生存周期各阶段开展安全监控和审计,以保证对数据的访问和操作均得到有效的监控和 | 等级1:非正式执行 | 应明确对各类数据访问和操作记录日志,日志记录内容包括操作人IP、用户等可数据,操作动作和操作数据对象,操作结果等信息。(对应BP.27.05) | |
等级2:计划跟踪 | 制度流程:核心业务应建立数据安全风控或审计监控相关规则,如对数据生存周期各阶段的数据访问和操作进行监控的方案(如实时监控、定期批量监控等)(BP.27.03)。 | ||||
等级3:充分定义 | 制度流程: | ||||
等级4:量化控制 | |||||
等级5:持续优化 |
第二类安全需求才是开发安全工作的重点,后续章节针对前面章节中的第二类安全需求。
(三)DSMM之安全设计
具体的安全设计当然是千变万化,但为更好实现安全需求,应该对其中的一些安全需求建立标准的安全设计方案。
序号 | 需求 | 安全设计支撑 |
1 | 应按照数据分类分级原则将系统的有关数据进行分类分级,并备案到数据资产管理系统中;(对应BP.01.06) | 建立1-5级数据保护的通用保护标准安全防护方案(DS-001); |
2 | 应明示个人信息采集的目的、方式和范围,并经被采集人同意。(对应BP.02.04) | 参考DS-001 |
3 | 应采取合理方式记录数据的来源,建立数据溯源机制。(对应BP.03.03\BP.03.06\BP.03.03.10) | 参考DS-001 |
4 | 在数据的采集、清洗、转换等过程后,应对数据质量检测(包括检测数据格式、数据完整性、数据一致性等)(对应BP.03.03\BP.03.06\BP.03.03.10) | 参考DS-001 |
5 | 应明确数据传输的安全控制措施,包括传输通道加密、数据内容加密、签名验签、身份鉴别、数据传输接口安全等,对采用加密方式的需完整描述密钥的全周期安全机制;(对应BP.05.03/BP.05.07/BP.05.013) | 建立传输加密的标准方案,包括: |
6 | 应明确数据的存储安全,访问控制机制等,包括各类数据存储系统的账号权限管理、访问控制、日志管理、加密管理、版本升级等方面的控制(对应BP.07.03/BP.07.06/BP.08.06/BP.08.07/BP.08.13) | 建立数据库的标准安全防护设计方案(DS-005); |
7 | 对于重要系统,应明确系统的RPO和RTO目标;应明确数据的备份和恢复机制,包括备份和恢复的范围、频率、工具、过程、日志记录、数据保存时长等(对应BP.09.07) | 建立数据的标准灾备方案(DS-006) |
8 | 应明确数据的脱敏范围和脱敏方法,对于开发测试需要使用生产数据的,应建立对应的脱敏算法处理生产数据,保证敏感数据不可还原导致数据泄露。(对应BP.10.08/BP.10.09/BP.10.16) | 参考DS-002、DS-003 |
9 | 对于数据分析功能,应明确构建数据仓库、建模、分析、挖掘、展现等方面安全控制措施,明确个人信息保护、数据获取方式、访问接口、授权机制、分析逻辑、分析结果等安全控制措施;(对应BP.11.03/BP.11.06) | 建立 大数据的标准安全防护方案(DS-007) |
10 | 应明确数据导入导出的安全策略,包括可导入导出的位置、授权、流程控制等;(对应BP.14.07) | 建立数据导出标准安全管控方案(DS-008) |
11 | 应明确数据共享的原则和安全规范,明确数据共享内容范围和数据共享的管控措施(对应BP.15.06); | 建立数据共享标准安全管控方案(DS-009) |
12 | 对于数据发布,应明确数据发布的安全控制机制,包括数据公开的内容、范围等(对应BP.16.06/BP.16.07) | 建立数据发布标准安全管控方案(DS-010) |
13 | 对于存在对外数据接口的,应明确数据接口安全控制策略,包括规定使用数据接口的安全限制和安全控制措施,如身份鉴别、访问控制、授权策略、签名、时间戳、安全协议等(BP.17.07) | 建立对外接口的标准安全防护方案(DS-011) |
14 | 应明确对各类数据访问和操作记录日志,日志记录内容包括操作人IP、用户等可数据,操作动作和操作数据对象,操作结果等信息。(对应BP.27.05) | 无 |
全部需求统计下来,应该建立13个标准的安全设计方案,可以更好支撑安全设计。
(四)DSMM之安全验证
数据安全方面的需求都很难实现自动化测试,还是以手工测试验证为主,在验证访问控制有效性方面,渗透测试人员会结合一些渗透测试工具。具体安全验证部分内容如下表:
序号 | 需求 | 方式 | 安全测试内容 |
1 | 应按照数据分类分级原则将系统的有关数据进行分类分级,并备案到数据资产管理系统中;(对应BP.01.06) | 人工 | 专家对标标准方案,验证设计方案的完备性; |
2 | 应明示个人信息采集的目的、方式和范围,并经被采集人同意。(对应BP.02.04) | 人工 | 专家对标标准方案,验证设计方案的完备性; |
3 | 应采取合理方式记录数据的来源,建立数据溯源机制。(对应BP.03.03\BP.03.06\BP.03.03.10) | 人工 | 对数据记录检查,看是否记录数据源,记录是否准确; |
4 | 在数据的采集、清洗、转换等过程后,应对数据质量检测(包括检测数据格式、数据完整性、数据一致性等)(对应BP.03.03\BP.03.06\BP.03.03.10) | 人工 | 按照数据质量要求,检查数据质量是否满足要求 |
5 | 应明确数据传输的安全控制措施,包括传输通道加密、数据内容加密、签名验签、身份鉴别、数据传输接口安全等,对采用加密方式的需完整描述密钥的全周期安全机制;(对应BP.05.03/BP.05.07/BP.05.013) | 人工 | 专家对标标准方案,验证设计方案的完备性; |
6 | 应明确数据的存储安全,访问控制机制等,包括各类数据存储系统的账号权限管理、访问控制、日志管理、加密管理、版本升级等方面的控制(对应BP.07.03/BP.07.06/BP.08.06/BP.08.07/BP.08.13) | 人工 | 专家对标标准方案,验证设计方案的完备性; |
7 | 对于重要系统,应明确系统的RPO和RTO目标;应明确数据的备份和恢复机制,包括备份和恢复的范围、频率、工具、过程、日志记录、数据保存时长等(对应BP.09.07) | 人工 | 专家对标标准方案,验证设计方案的完备性; |
8 | 应明确数据的脱敏范围和脱敏方法,对于开发测试需要使用生产数据的,应建立对应的脱敏算法处理生产数据,保证敏感数据不可还原导致数据泄露。(对应BP.10.08/BP.10.09/BP.10.16) | 人工 | 专家对标标准方案,验证设计方案的完备性; |
9 | 对于数据分析功能,应明确构建数据仓库、建模、分析、挖掘、展现等方面安全控制措施,明确个人信息保护、数据获取方式、访问接口、授权机制、分析逻辑、分析结果等安全控制措施;(对应BP.11.03/BP.11.06) | 人工 | 专家对标标准方案,验证设计方案的完备性; |
10 | 应明确数据导入导出的安全策略,包括可导入导出的位置、授权、流程控制等;(对应BP.14.07) | 人工 | 专家对标标准方案,验证设计方案的完备性; |
11 | 应明确数据共享的原则和安全规范,明确数据共享内容范围和数据共享的管控措施(对应BP.15.06); | 人工 | 专家对标标准方案,验证设计方案的完备性; |
12 | 对于数据发布,应明确数据发布的安全控制机制,包括数据公开的内容、范围等(对应BP.16.06/BP.16.07) | 人工 | 专家对标标准方案,验证设计方案的完备性; |
13 | 对于存在对外数据接口的,应明确数据接口安全控制策略,包括规定使用数据接口的安全限制和安全控制措施,如身份鉴别、访问控制、授权策略、签名、时间戳、安全协议等(BP.17.07) | 人工 | 专家对标标准方案,验证设计方案的完备性; |
14 | 应明确对各类数据访问和操作记录日志,日志记录内容包括操作人IP、用户等可数据,操作动作和操作数据对象,操作结果等信息。(对应BP.27.05) | 人工 | 人工检查日志记录是否缺失,是否完整 |
(五)其他数据安全规范与DSMM关系
除DSMM外,其他的数据安全规范同样重要,在开发安全中也有广泛应用。以数据分类分级为例,DSMM只是规定需要分类分级,并由对应的保护措施,但怎么进行分类分级,怎么分正确、合理并没有提及,这就要靠其他数据安全规范。如果是银行,就要参考《金融数据安全 数据安全分级指南(JRT 0197-2020)》制定数据分类分级标准;如果是运营商,就要参考《基础电信企业数据分类分级方法(YD/T3813-2020)》制定数据分类分级标准,这些都是保障安全需求进一步细化的关键。
小结:数据安全是信息安全整体工作的结果,离不开其他领域安全的支持。数据安全虽然体现在系统运营阶段,但其根基却在系统开发阶段。以笔者在国舜股份多年开发安全经历来看,从开发阶段全面重视数据安全,把数据安全左移,在安全需求、安全设计、安全测试阶段充分重视数据安全,是助力数据安全从黑盒走向白盒,真正具备DSMM的三级、四级甚至五级水平的关键和必由之路。
- 0 文章数
- 0 关注者