当前,我国连续出台一系列关于数据安全的法律法规,从立法到执法,监管的步伐日益加速,数据安全的法律体系雏形渐成。在安全合规趋紧的当下,各组织加强数据安全能力建设已是势所必然。
数据安全能力是指数据在流动过程中,组织为了保障数据的保密性、完整性、可用性而在安全规划、安全管理、安全技术、安全运营等方面采取的一系列活动。
对此,如何建设数据安全能力,将围绕数据安全能力建设的驱动力、数据安全能力建设、数据安全规划能力建设、数据安全管理能力建设、数据安全技术能力建设、数据安全运营能力建设等方面作分享。
在分析数据安全在合规层面、业务层面和风险层面所面临的挑战,融合业务、管理、技术、运营等方面的需求后,需实现组织数据资产可视、数据血缘可溯、数据风险可控、数据威胁可管。
随着组织业务的丰富和扩展,数据越来越多种多样,越来越庞大,相应的数据安全问题也变得越来越复杂。近年来,一些安全相关的机构纷纷提出数据安全的实践体系、方法论与解决方案。主要分为两类:一类是“由上而下”的数据安全治理体系;另一类是数据安全能力成熟度模型体系。
数据安全治理从平衡业务需求、风险、合规、威胁到实施安全产品,为保护产品配置策略。
数据安全能力成熟度模型围绕数据的生命周期,并结合业务的需求以及监管法规的要求,持续不断的提升组织整体的数据安全能力,从而形成以数据为核心的安全框架。
数据安全能力建设并非单一产品或平台的构建,而是覆盖数据全部使用场景的数据安全体系建设。为了有效地实践数据安全能力,形成数据安全的闭环,我们需要一个系统化的数据安全能力建设框架。
识别业务数据使用的场景,是数据安全能力建设的出发点,业务数据场景识别以数据生命周期为基础,通过对数据采集场景、数据存储场景、数据传输场景、数据处理场景、数据使用场景、数据销毁场景的分析,梳理资产、数据、用户、权限等要求,指导各个能力维度的建设。实现以场景化方式指导安全技术、管理、运营能力进行落地。
数据安全风险评估从业务场景识别结果着手,以敏感数据为中心、以数据生命周期为主线、以敏感数据场景为着力点,关注敏感数据场景、承载敏感数据的业务流程、敏感数据流转、相应业务活动中涉及的各类业务执行人员及权限,分析并评估相关业务处理活动中存在的权限提升、信息泄露、用户冒用、数据篡改,行为抵赖等数据安全威胁及风险。
数据分类级是数据安全能力建设中的一个关键部分,是建立统一、准确、完善的数据架构的基础,是实现集中化、专业化、标准化数据管理的基础。数据分类分级可以全面清晰地厘清数据资产,确定应采取的数据安全防护策略和管控措施,在保证数据安全的基础上促进数据开放共享。
在建设数据安全能力体系过程中,从决策到管理,都离不开业务部门的参与和配合。设计数据安全的组织架构时,可按照决策层、管理层、执行层、员工和合作伙伴、监督层的组织架构设计。
数据安全的人员能力主要包括几个维度,数据安全管理能力、数据安全运营能力、数据安全技术能力和数据安全合规能力。
制度流程需要从组织层面整体考虑和设计,并形成体系框架。制度体系需要分层,层与层之间,同一层不同模块之间需要有关联逻辑,在内容上不能重复或矛盾。
数据采集阶段主要的风险集中在采集源、采集终端、采集过程中,包括采集阶段面临的非授权采集、数据分类分级不清、敏感数据识别不清、采集时缺乏细粒度的访问控制、数据无法追本溯源、采集到敏感数据的泄密风险、采集终端的安全性以及采集过程的事后审计等。
在数据存储和传输阶段,需要建立相关加密措施来保障数据在存储、传输过程中的机密性、完整性和可信任性。
为了保证在数据生命周期的各个阶段和不同场景下的数据机密性和完整性,允许合法使用者访问数据资产,防止非法使用者访问数据资产,防止合法使用者对数据资产进行非授权的操作访问,往往需要对数据访问权限加以控制和管理。
针对用户的不同需求,可以采用基于角色访问控制、基于风险的访问控制、基于属性访问控制等技术,通过制定基于主体属性和客体属性的细粒度访问控制授权策略来灵活设定用户对数据的使用权限,从而实现数据细粒度的访问控制。
数据源于业务系统,数据的下载和传播都是人为操作,需要通过边界(网络、终端、虚拟化等物理边界和逻辑边界进行泄漏,所以,数据泄漏防护的核心思想就是沿着数据传递方向逐级进行防护,进而达到降低风险的效果。
敏感数据在使用过程中存在被非法泄露、被非授权篡改、假冒、非法使用等安全风险。而数据脱敏,即在保留数据原始特征的同时改变它的部分数值,避免未经授权的人非法获取组织敏感数据。借助数据脱敏,信息依旧可以被使用并与业务相关联,不会违反相关规定,而且也避免了数据泄露的风险。
目前数据脱敏的技术主要有三种:基于数据失真/扰乱技术、数据加密技术和数据限制发布技术。
数据控制权的转移带来新的审计问题,由于数据处理各方对数据都具有访问权限,加上数据本身具有易复制、易扩散的特点,导致在发生数据泄露等安全事件时,往往难以界定安全责任。因此,数据安全审计需要由以系统为核心向以数据为核心进行转变。
数据销毁主要是指获得组织、用户的授权许可或请求后对数据进行清除或销毁。使用组织授权的技术和方法对敏感信息进行清除或销毁,保证无法还原,并且具备安全审计能力。数据安全销毁能够提供数据销毁过程的安全审计功能,审计覆盖到各系统每个用户,对数据销毁过程中的重要用户行为和重要安全事件保留审计日志并进行审计。
结合业务场景界识别结果,通过数据资产管控技术,建立面向统一数据调度方式,形成良性数据共享机制,提高数据置信度、优化模型合理性、数据流转更清晰,管理权责更明确,在以成效为导向的价值标准下,数据资产管控无疑将成为组织数据安全能力建设核心支点。
组织在采取适当的技术手段的基础上,建立与组织数据安全策略一致的安全保护机制,执行各类流程和程序以维护和管理数据资产。
组织制定适当的活动,实施对内部数据资产面临的风险和组织外部的威胁情报的持续安全监控,确保能够准确地检测到异常和事件,了解其潜在影响,及时验证保护措施的有效性。
组织制定并实施适当的活动,以便对检测到的数据安全事件采取行动,并恢复由于事件而受损的任何功能或服务,以减少数据安全事件的影响。
组织的数据安全管理能力、技术能力、运营能力建设等推进落地终究离不开人的执行,组织内不同部门、不等层级及不同来源的员工,在不同场景下直接和间接地接触数据资产,所以风险始终存在于人身上,需要逐步提升人员的安全意识,加强人员的数据安全管理能力、数据安全运营能力、数据安全技术能力和数据安全合规能力。