上一篇《数据安全工作太抽象?分享一种业务开展思路(一)思路篇》对数据安全工作的必要性、工作开展方式思路,如何围绕价值点分阶段开展,最终完成闭环的框架做了简单分享,本篇会先从“理资产”、“治风险”、“建体系”中的第一步“理资产”展开工作思路和工作步骤。
背景依据
回看过去企业的信息化程度不断加深,IT 系统的复杂度与开放度随之提升;伴随云计算、大数据、人工智能等新兴技术的飞速发展,数据作为支撑这些前沿技术存在与发展的生产资料,已经成为组织的核心资产,受到前所未有的重视与保护。随着数据成为资产,成为基础设施,组织通过数据组织生产力,数据成为国家发展的重要原生动力。当前,无论是数据和资产交易市场的形成,还是勒索病毒的演进,都在证明数据面临的风险越来越大。
在企业数字化转型的过程中,数据资产的价值和风险是两个核心考量因素。需要对数据资产的价值和风险进行细致的分析和管理,以确保数据资产能够为企业带来最大的经济效益,同时控制和降低潜在的风险。
还需依据法律法规如《网络安全法》、《数据安全法》、《个人信息保护法》、《关键基础设施保护条例》等国家、行业合规标准,辅助构建数据资产管理制度、管理责任主体责任、数据分类分级模型,提供风险监测、风险评估、应急处置等开展数据安全支撑闭环工作。
数据安全治理面临的主要挑战
- 数据资产规模大,家底不清,情况不明
数据资产往往分散存储在各单位各部门的“孤岛”上,部分业务数据零星的分布在各用户终端设备上,其数据资产规模大、高度分散,管理方式各不相同。同时,各“孤岛”数据组织形式、类型多种多样,数据进出、数据分类分级、存储等缺乏统一标准的管理机制和数据资产管理技术支撑手段。各类业务数据、业务部门等局部数据资产小家清楚,全局数据资产大家模糊,导致决策者、数据资产管理部门、信息安全与运维部门无法从全局上掌握重要数据分布、业务数据的变化、高价值数据使用情况、数据与账号及业务关联等数据核心管理信息。数据资产管理处于混沌状态,无法对数据资产进行有效管理和有针对性的对高价值数据制定合适的安全防护策略。
- 数据安全防护能力不足,数据全生命周期面临众多安全风险
近年来,通过网络安全建设的重视和推进,针对网络、平台、应用层面进行了卓有成效的安全建设。但已有的网络安全建设,难以深入到数据层面进行防护。数据在采集、传输、存储、处理、共享流转等全生命周期的多个阶段,仍面临众多安全风险。例如,数据在各部门、用户处采集时,面临数据源伪造、数据在前置机等环节泄露、数据中隐藏攻击指令等风险;在专网、互联网中传输时,面临传输数据监听泄密、中间人攻击的风险;数据存储时,面临由于缺乏完善的认证和访问控制措施、存储架构存在漏洞和基线配置安全隐患,导致的内部运维,外部开发人员窃取、破坏数据的风险,以及外部攻击入侵的风险;在数据内部使用和向外部共享阶段,也存在内部和第三方人员恶意操作、数据调用接口滥用、据共享外发泄密,甚至第三方接收者二次泄密的风险;数据销毁阶段,则面临数据在内存或硬盘中存在残留,造成数据泄密的风险。上述众多风险,极易导致含有关键业务数据和个人信息的大数据遭遇泄密、丢失、破坏等事故。
- 缺乏数据安全统一建设规范,数据安全事件权责难以划分
针对上述数据安全风险,并没有统一的数据安全防护建设标准规范,跟缺乏完备的数据安全防护、审计、检测、溯源技术手段。同时,数据整合、共享、利用中,数据提供方、数据采集共享方、数据使用方没有确定应尽的数据安全义务和责任。这导致数据安全事件出现时,缺乏技术手段来回溯事件发生过程、分析事件原因,更加难以明确事件责任方。导致数据安全事件无法有效处置,无法针对性加固。进一步导致数据提供方不愿、不敢提供数据,数据采集共享方不敢将高价值数据发布,进而阻碍数据共享、归集进程,影响数据安全建设。
- 数据安全管理存在风险
管理风险主要表现在安全组织的建设、安全管理策略和制度的制定与执行、人员的管理等方面。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理的安全风险,即使采用了各种先进的安全技术手段,重要数据仍然无法有效抵御所受到的各种安全威胁。管理层面的安全风险包括:组织架构不完善,即单位部门现有的机构设置、岗位设定、人员配备等不能完全满足数据集中、共享、交换中的安全需求;大量第三方运维、开发人员,导致管理难度加大;管理制度不全面,例如缺乏完善的制度策略体系,管理工作开展无据可依,随意性大,缺乏定期审查及评估制度,数据资产没有确定安全和保护级别,缺乏应急和事件灾害回复制度等。
- 人员数据安全能力、意识存在短板
先进的防护技术离不开人的使用,完善安全制度最终要靠人来实现,因此人员是整个数据安全中最为重要的一环。平台建设中人员方面的安全风险主要是因人员配置不足、稳定性不够、安全意识不够及安全操作经验不足而导致的安全问题。例如:大量的人为因素造成数据安全风险,例如弱密码,或没有设置密码;缺乏操作性强的行为规范制度,以及有效的技术控制和审计手段,使得数据访问、操作中存在“管理黑洞”;个人隐私和保密意识薄弱,将大量不宜公开的信息进行公开发布等。
典型业务场景下的数据安全风险
- 数据分类分级不准确导致数据泄露风险
数据的分类、分级不完善、不准确,容易导致后续的数据授权管控困难、数据安全防护策略不精准,造成数据泄漏风险。
在实际的应用环境当中,每个部门的数据类型繁杂且数量巨大,如果只通过人工的手段去进行数据的分级和分类标识工作,不但效率低下,同时也难免会产生误差。分类分级标识一旦发生错误,必然会导致敏感或重要数据的泄露风险。
哪里、有哪些类型的数据、有哪些是敏感数据,这些数据的敏感等级分别是什么?只有明确了保护的目标,才能针对安全风险进行有针对性的防护。敏感数据分布是资产梳理的关键一步,只有明确敏感数据资产都有哪些、在被哪些部门、哪些人员如何使用,才能真正保证数据在使用中的安全。
我国相关法律法规也要求对不同安全级别的数据需采取不同的安全保护措施与手段。大数据平台中的数据未进行分类分级,则会按照数据默认敏感等级进行安全保护,从而造成以下问题:首先,进行安全防护工作需要投入更大量的人力物力财力;其次,未分类数据中敏感级别低于默认敏感级别的数据会被过度保护,存在安全资源过度投入,防护过度也会导致系统运作效率的降低;另外,被默认级别保护的数据中还将含有大量敏感级别高于默认级别的数据,从而出现高敏感数据保护不足的风险。
- 数据明文传输导致数据泄露风险
数据传输过程中,如果不建立相应的数据传输安全措施,就无法确保传输过程中保障传输对象的准确、完整,以及传输过程中不会被非法窃取。各单位根据数据传输场景的不同,应建立相应的数据传输安全措施。
- 数据明文存储导致的数据泄露风险
数据存储的过程中可能存在着被窃取、被损坏的风险,因此要保障数据的完整性和保密性,应对重要的数据的摘要信息进行加密存储,由于数据库的存储架构中,数据以数据文件的形式明文存储在操作系统中,由于数据存储介质遗失,或者黑客和不怀好意的人直接通过操作系统获取数据库文件,都会造成数据大量泄露。
- 安全运维人员权限过高导致的数据泄露风险
运维人员通常掌握着网络、应用系统及数据库的最高权限,缺乏对运维人员的监管和访问控制措施,部分运维人员的恶意窃取或是无意中的误操作行为,都会导致数据的泄露风险发生,数据面临的访问权限问题主要有:员工被赋予过多的超出其工作所需的权限;反之,则是没有开启足够的权限;另外,权限还可能被恶意使用。每种数据库都有超级管理员账号,超级用户是数据库创建过程中的缺省用户,可以认为是数据库中的“造物主”,他们就像Unix系统的root用户或Windows的Adminstrator用户,有着至高无上的权力。当然,为了安全一般这种超级用户的口令都被掌握在极少数人手里,但是过度集中的权力同样也会带来安全问题,当超级用户拥有最高权力的情况下,意味着他可以做任何想做的事,并且不留下任何痕迹。因此还存在权限失控风险。
- 数据共享交换场景中的数据泄露风险
数据中台共享交换场景下数据出口众多且管理不到位,不具备相应的敏感数据泄露检测能力和数据共享的访问控制能力,对外发布数据缺乏数据脱敏能力,都是导致数据泄露的重要风险点。
数据共享往往通过restful API方式为业务应用提供数据服务,API提供了对于数据的访问权限,攻击者可能存在滥用或非法访问,从而导致数据资产被恶意爬取。目前缺少有效手段进行API安全管控。API请求来源是否合法,是否存在超授权范围访问调用,比如业务应用拿了接口后,进行二次封装;以及API调用过程中是否存在敏感数据访问。API的访问往往认证授权在应用层级,如何精确到用户层级的细粒度API调用数据访问监控审计。例如通过监控API的调用情况,识别出是否存在敏感数据非法访问,有针对性地进行API动态脱敏。
- 管理员疏忽导致数据库漏洞被利用风险
很多数据库管理员并没有及时修复漏洞,因为他们害怕补丁修复程序会对他们的数据库产生业务影响。但是现在,存在漏洞的数据库被攻击的风险比安装补丁的风险要高得多。
尽管意识到数据库安全的重要性,但开发者在开发、集成应用程序或修补漏洞、更新数据库的时候还是会犯一些错误,让黑客们有机可乘。
比如2003年的SQL Slammer蠕虫病毒可以在10分钟内感染超过90%的脆弱设备,该病毒可以在几分钟内感染破坏成千上万的数据库。通过利用在微软SQL Server数据库中发现的漏洞进行传播,导致全球范围内的互联网瘫痪。这种蠕虫的成功充分说明了保护数据库安全的重要性。不幸的是,由于缺乏资源和时间,大多数单位不会为他们的系统提供常规的补丁,因此,他们很容易遭受蠕虫攻击。
- 账号未统一纳管导致的账号安全风险
针对账号安全的攻击数不胜数,渗透用户账号是黑客最常用的攻击方式之一。攻击者在进行渗透攻击时,除了采用漏洞,很多攻击落脚点还是用户账号,通过弱密码、常用密码进行单点突破、横向移动和权限提升。据权威机构统计,80%的数据泄露都与账号失陷有关。
常见的普遍账号安全风险包含默认密码未改、长期未改密、幽灵账号、僵尸账号、后门账号、弱口令账号、提权账号、账号共用、员工离职、社工攻击、横向移动、异地登录和暴力破解等。
以上诸多风险都是长期存在的,因为账号的数量实在太多,种类太杂,没有数据的支撑很难对这些账号风险进行识别,更无法做到可视化的直观展现。这是我们过去长期在客户当中看到非常共性的问题。
账号安全通常会引发严重问题,包含敏感数据泄漏、非法篡改、越权访问、恶意操作、挖矿木马、肉鸡后门和敲诈勒索等。
- 开发运维环节数据泄漏风险
随着业务系统越来越复杂,而开发周期却越来越短,对开发和测试要求随之提高,比如对于业务系统的性能测试往往需要准备大量的高质量的数据,由于开发测试环境中使用生产数据造成的数据泄露,在各行各业都时有发生,2014年韩国发生三大发卡行由于开发测试环节泄露信用卡信息,一时轰动全球。运维人员使用数据库账号进行运维管理,该账号的权限有可能超出实际运维管理所需要的标准。如果对其缺少访问行为控制管理,运维人员技术层面上就可以进行与运维任务无关的操作。受利益驱动,运维人员篡改交易或者支付数据牟利,或者直接泄露数以亿计个人信息的案例也屡屡见诸报端。
- 审计线索不足,数据泄露无法追溯
监控整个组织中的数据访问是追查取证的重要手段,不断地检查数据库以及时发现任何异常之处非常有必要。无法监视数据操作合规性异常,无法收集数据库活动的审计详细信息,以及在数据泄露后无法进行溯源分析,这在许多层面上都构成了严重的组织风险。异常的数据治理行为(例如非法执行数据查询脚本)会导致隐私泄漏。如果没有分析审计手段,当异常行为发生时不能及时告警,异常行为发生后也无法追查取证。
当发生重大敏感数据泄漏事件后,必须要进行全面的事件还原和严肃的追责处理。但往往由于数据访问者较多,泄密途径不确定,导致定责模糊、取证困难,最后追溯行动不了了之。数据泄露溯源能力的缺乏极可能导致二次泄露事件的发生。
数据安全工作的价值分析
- 满足数据安全合规要求
依据数据安全法、个人信息保护法、关键基础设施保护条例等合规标准,辅助构建数据资产管理制度、管理责任主体责任、数据分类分级模型,提供风险监测、风险评估、应急处置服务支撑。
- 数据安全风险统一监测
进行数据库操作的分析和审计针对开发运维区、数据区、运用区、业务办公区,整合防护组件能力,结合数据安全运营服务精准识别和预警解决内部异常行为风险、外部攻击风险。
- 支撑构建完善数据安全体系
搭建技术平台作为中枢,贯彻数据发展目标,落地强耦合的数据安全管理体系、技术平台、运营服务,体系化建设和运行,整体输出防护能力和完整展现效果。
数据安全能力调研/风险评估
参考依据:
信息调研
- 数据处理者调研
数据处理者的基本情况包括但不限于:
- 单位名称、组织机构代码、办公地址、法定代表人信息、人员规模、经营范围、数据安全负责人及其职务、联系方式等基本信息;
- 单位性质,例如党政机关、事业单位、企业、社会团体等;
- 是否属于特定类型数据处理者,例如政务数据处理者、大型网络平台运营者、关键信息基础设施运营者等;
- 所属行业领域;
- 业务运营地区,开展数据处理活动所在国家和地区等;
- 主要业务范围、业务规模等;
- 数据处理相关服务取得行政许可的情况;
- 被评估单位的资本组成和实际控制人情况;
- 是否境外上市或计划赴境外上市及境外资本参与情况,或以协议控制(VIE)架构等方式实质性境外上市。
- 业务和信息系统调研
业务和信息系统情况包括但不限于:
- 网络和信息系统基本情况,包括网络规模、拓扑结构、信息系统等情况和对外连接、运营维护等情况以及是否为关键信息基础设施等情况;
- 业务基本信息,包括业务描述、业务类型、服务对象、业务流程、用户规模、覆盖地域、相关部门等基本信息;
- 业务涉及个人信息、重要数据或核心数据处理情况;
- 业务为政务部门或境外用户提供服务情况;
- 信息系统、App 和小程序情况,包括系统功能、网络安全等级保护备案和测评结论、入口地址、系统连接关系、数据接口、App及小程序名称和版本等;
- 数据中心和使用云平台情况;
- 接入的外部第三方产品、服务或 SDK 的情况,包括名称、版本、提供方、使用目的、合同协议等。
- 数据资产调研
梳理结构化数据资产(如数据库表等)和非结构化数据资产(如图表文件等),摸清数据底数,输出数据资产清单。涉及范围包括但不限于生产环境、测试环境、备份存储环境、云存储环境、个人工作终端、数据采集设备终端等收集和产生的数据。调研内容包括但不限于:
- 数据资产情况,包括数据资产类型、数据范围、数据规模、数据形态、数据存储分布、元数据等;
- 数据分类分级情况,包括数据分类分级规则、数据类别、数据级别、重要数据和核心数据目录情况等;
- 个人信息情况,包括个人信息种类、规模、敏感程度、数据来源、业务流转及与信息系统的对应关系等;
- 重要数据情况,包括重要数据种类、规模、行业领域、敏感程度、数据来源、业务流转及与信息系统的对应关系等;
- 核心数据情况,包括核心数据种类、规模、行业领域、敏感程度、数据来源、业务流转及与信息系统的对应关系等;
- 其他一般数据情况。
- 数据处理活动调研
针对评估对象和范围,梳理数据处理活动清单,验证或绘制数据流图。数据流图应描述数据流转各环节经过的相关方、信息系统,以及每个流动环节涉及的数据类型等。调研内容包括但不限于:
- 数据收集情况,如数据收集渠道、收集方式、数据范围、收集目的、收集频率、外部数据源、合同协议、相关系统,以及在被评估方外部公共场所安装图像采集、个人身份识别设备的情况等;
- 数据存储情况,如数据存储方式、数据中心、存储系统(如数据库、大数据平台、云存储、网盘、存储介质等)、外部存储机构、存储地点、存储期限、备份冗余策略等;
- 数据传输情况,如数据传输途径和方式(如互联网、VPN、物理专线等在线通道情况,采用介质等离线传输情况)、传输协议、内部数据共享、数据接口等;
- 数据使用和加工情况,如数据使用目的、方式、范围、场景、算法规则、相关系统和部门,数据清洗、转换、标注等加工情况,应用算法推荐技术提供互联网信息服务的情况,核心数据、重要数据或个人信息委托处理、共同处理的情况等;
- 数据提供情况,如数据提供(数据共享、数据交易,因合并、分立、解散、被宣告破产等原因需要转移数据等)的目的、方式、范围、数据接收方、合同协议,对外提供的个人信息和重要数据的种类、数量、范围、敏感程度、保存期限等;
- 数据公开情况,如数据公开的目的、方式、对象范围、受众数量、行业、组织、地域等;
- 数据删除情况,如数据删除情形、删除方式、数据归档、介质销毁等;
- 数据出境情况,是否存在个人信息或重要数据出境,如跨境业务、跨境办公、境外上市、使用境外云服务或数据中心、国际交流合作等场景的数据出境情况。
- 安全措施调研
调研已有安全措施情况,包括但不限于:
- 已开展的等级保护测评、商用密码应用安全性评估、安全检测、风险评估、安全认证、合规审计情况,及发现问题的整改情况;
- 数据安全管理组织、人员及制度情况;
- 防火墙、入侵检测、入侵防御等网络安全设备及策略情况;
- 身份鉴别与访问控制情况;
- 网络安全漏洞管理及修复情况;
- VPN 等远程管理软件的用户及管理情况;
- 设备、系统及用户的账号口令管理情况;
- 加密、脱敏、去标识化等安全技术应用情况;
- 3 年内发生的网络和数据安全事件、攻击威胁情况。如事件名称、数据类型和数量、发生原因、级别、处置措施、整改措施等,重大事件需提供事件调查评估报告;近 3 年发生的数据安全事件处置、记录、整改和上报情况;实际环境中通过检测工具、监测系统、日志审计等发现的威胁;近期公开发布的社会或特定行业威胁事件、威胁预警;其他可能面临的数据泄露、窃取、篡改、破坏/损毁、丢失、滥用、非法获取、非法利用、非法提供等安全威胁。
风险识别
针对各个评估对象,从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面,通过多种评估手段识别可能存在的数据安全风险隐患。已开展的检测评估工作报告,可在分析评估结果真实性、有效性的基础上视情采纳。
调研访谈表单工具(参考)
数据资产梳理
数据资产梳理是关键的一步,它涉及到对组织内数据资产的全面识别和分类。数据资产梳理的内容包括但不限于以下几个方面:
数据种类和量级:识别组织内所有类型的数据,包括个人数据、业务数据、重要数据等,并评估数据的量级。
数据分布:确定数据存储的位置,包括本地服务器、云存储或其他远程位置。
数据流动:理解数据在组织内部的流动路径,包括数据的收集、传输、处理、存储和共享等环节。
数据安全等级:根据数据的敏感性和重要性,对数据进行分类和分级,以便于实施相应的安全措施。
数据处理活动:梳理与数据相关的所有活动,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全风险:评估与数据资产相关的潜在风险,包括数据泄露、滥用、篡改等,并确定风险等级。
合规性要求:识别与数据资产相关的法律法规要求,确保数据处理活动符合合规性标准。
数据资产地图工具(参考)
数据安全风险等级(参考)
数据安全能力差距分析(参考)
数据安全重大安全风险(参考)
数据分类分级工具(参考)
数据活动风险表(参考)
重要数据目录(参考)
数据资产梳理及风险分析的价值
在实践中,数据资产梳理通常需要结合组织的具体业务和管理需求来进行,可能涉及到跨部门的合作和专业的数据管理工具。同时,数据资产梳理是一个持续的过程,需要随着组织业务的变化和数据环境的发展不断更新和维护。
数据资产梳理及风险分析的价值在于:
提高数据可见性:通过梳理,组织能够清晰地了解数据资产的分布和状态,为数据管理和保护提供基础。
加强数据治理:数据资产的清晰分类有助于制定更有效的数据治理策略,包括数据访问控制、数据质量保证和数据生命周期管理。
风险管理:识别数据资产的风险点,有助于组织采取预防措施,减少数据安全事件的发生。
合规性保证:确保数据处理活动符合相关法律法规,避免因违规而产生的法律责任和经济损失。
支持业务决策:通过数据资产的梳理,组织能够更好地理解数据的价值,支持业务决策和创新。
促进数据资产化:清晰的数据资产梳理有助于数据的资产化,为数据的交易和流通提供基础。
针对识别出的差距项开展风险治理工作是至关重要的。以下是工作开展的依据:
风险准则确立:首先,组织需要分析数据安全风险需求,识别关键业务及数据处理活动,制定相应的风险治理准则,以明确治理的对象和范围。
风险要素识别:围绕已确立的风险准则,开展数据安全风险要素的识别,识别数据资产在业务运行和数据处理活动中面临的威胁、缺陷和漏洞。
风险评估分析:对识别出的风险要素进行定性或定量分析,判断风险发生的可能性和影响程度,从而形成数据安全风险评估报告。
风险处置解决:建立数据安全风险处置原则和流程,实施相应的风险处置策略,并通过监控和提升策略有效性,降低风险发生的可能性或损失影响。
风险治理改进:建立风险治理改进机制,通过培训和考核提升团队的风险治理能力,持续优化组织的数据安全风险治理能力。
本篇总结,从“理资产”、“治风险”、“建体系”中的第一步“理资产”展开工作是一种科学的姿势,实事求是的发现数据资产风险,了解数据安全能力差距,洞察核心数据资产分布,为下一步数据安全治理工作的第二步“治风险”提供开展依据。下一篇将对“治风险”的思路展开分享。
如果反馈较好,会持续分享这个系列,把踩过的坑和服务落地过程中的有趣事进行分享。
也希望认识更多从事这个领域工作的朋友,在枯燥中碰撞灵感,共同探讨如何在数据安全工作中实现价值,欢迎私信交换联系方式。