从数据安全建设顶层设计出发,提出“一个中心,四个领域,五个阶段”的数据安全体系建设思路。以数据安全防护为中心,在组织建设、制度流程、技术工具和人员能力四个领域同时开展建设工作,通过“知、识、控、察、行”五个步骤进行数据安全落地建设。
一、数据安全建设的三大难点
随着云计算、大数据、物联网、移动互联网、人工智能等新技术的发展,网络边界被不断打破,数字孪生、敏捷创新、安全合规驱动快速转型,社会和企业都面临着数字化转型带来的数据安全风险。
近年来数据泄露的安全事件频发,国家和机构对数据安全的重视程度不断提高,数据安全已经与关键信息基础设施一并成为影响国家稳定、民生安全及社会安全的关键因素。
1. 数据安全体系建设目标模糊、建设步骤不清晰
缺少数据安全体系建设指导方针:数据资产在许多环境下对可用性的要求极高,并且由于数据资产对流动性的依赖,如何在保障数据可用性与流动性的前提下落实对数据机密性与完整性的保护是企业所面临的重要问题。
缺乏数据安全体系建设经验:由于数据安全体系建设与传统信息系统安全建设存在着保护范围不同、保护对象不同、安全策略类型不同以及安全建设思路不同等差异,对于企业来说数据安全建设是一项全新的课题。
缺少合适的建设指导:由于我国的数据安全研究正处在逐步推进的阶段,暂时缺少直接有效的指导标准或行业最佳实践帮助企业明确数据安全体系建设的方法与步骤。
2. 数据安全组织和人员建设不完善
数据资产的权责不一致:数据通常来自于企业的业务部门,在业务部门使用,并且数据的所有权也常常属于业务部门,但由于数据安全策略有时会限制业务部门对数据使用的权力,而数据安全体系建设工作由安全部门主导,数据安全防护体系的建设很有可能受到来自于业务部门的阻力,数据安全体系建设工作推动困难。
缺乏有经验的数据安全人员:由于我国数据安全建设工作正处在起步阶段,企业安全团队缺少有数据安全经验的人员,这导致数据安全建设难以有效的执行。
3. 数据安全技术体系不健全
传统信息安全体系无法保护数据安全:有别与传统信息安全防护体系,由于数据安全防护体系将保护对象聚焦在“数据资产”这样的无形资产上,数据资产的机密性、完整性以及可用性与硬件资产存在着巨大差别,这导致传统信息安全防护体系通常不具备对数据安全的有效保护能力。
静态防护策略无法保护数据安全:通常一个信息系统中的硬件资产数量是有限的,且在没有重大的系统变更时不会发生显著变化,所以传统信息安全体系的安全策略的设计思路往往是静态的。而随着大数据技术的广泛应用,以及移动互联网应用的蓬勃发展,企业数据存储、处理平台所承载的数据量正在以极快的速度爆炸式增长,若仍以静态的视角看待数据资产势必无法应对数据量急剧增长带来的数据泄漏、数据损坏、数据篡改以及对数据主体造成影响等安全问题。并且由于数据资产对流动性的要求,仅考虑当前主体的静态防护策略显然无法有效保证数据的安全。
二、一个中心,四个领域,五个阶段
绿盟科技从数据安全建设顶层设计出发,提出“一个中心,四个领域,五个阶段”的数据安全体系建设思路。以数据安全防护为中心,在组织建设、制度流程、技术工具和人员能力四个领域同时开展建设工作,通过“知、识、控、察、行”五个步骤进行数据安全落地建设。绿盟科技数据安全体系建设思路贴合了《数据安全法》的相关要求。
在数据安全体系建设中,组织建设、制度流程、技术工具、人员能力四个领域都需要同步开展建设工作。组织层面,决策层、管理层、执行层必须在数据安全建设领域达成一致,数据安全建设工作必须得到组织高层的支持。组织高层在数据安全领域的战略目标应该能够被管理层和执行层实现。管理是技术的运营依据、技术是管理的落地保障。所以两者要相辅相成,缺一不可。
绿盟科技借鉴了Gartner的数据安全治理框架,“知、识、控、察、行”的绿盟科技数据安全治理方法论应运而生,让数据安全落地有声。
知:分析政策法规、梳理业务及人员对数据的使用规范,定义敏感数据。
识:根据定义好的敏感数据,利用工具对全网进行敏感数据扫描发现,对发现的数据进行数据定位、数据分类、数据分级。
控:根据敏感数据的级别,设定数据在全生命周期中的可用范围,利用规范和工具对数据进行细粒度的权限管控。
察:对数据进行监督检察,保障数据在可控范围内正常使用的同时,也对非法的数据行为进行了记录,为事后取证留下了清晰准确的日志信息。
行:对不断变化的数据做持续性的跟踪,提供策略优化与持续运营的服务。
三、数据安全整体建设五步走
1. 组织建设与数据梳理
在组织与制度设计方面,业务部门要深入参与数据资产梳理以及分级分类工作之中,因为只有业务部门是最了解数据价值与重要性的。因此需要自上而下形成高层牵头,横跨业务部门与安全部门的组织架构。由信息安全管理团队和数据业务管理团队共同商讨建立数据安全制度流程体系。制定好制度体系应该以文档化的方式进行落地管理并严格执行,这样才能更好地开展后续建设工作。
基于业务特点进行数据分类、数据分级。数据分类分级的准确清晰,是后续数据保护的基础。由于数据类型不同,对企业影响不同,我们建议根据《网络安全法》《数据安全法》《个人信息安全保护法》《信息安全技术 个人信息安全规范》的要求对个人信息和重要数据分开进行评估与定级,再按照就高不就低的原则对数据条目进行整体定级。
2. 数据全生命周期安全风险评估
结合数据分类分级要求,辨别人、环境、数据的风险。敏感数据发现与数据风险评估的工作要结合人工服务和专业工具共同完成。
绿盟科技通过对《信息安全技术 数据安全能力成熟度模型》的研究,整合出一套数据全生命周期安全风险评估方法。数据全生命周期安全风险评估从通用安全和各阶段安全两个层面进行数据风险检查,了解信息系统总体安全风险状况,对脆弱性的所有方面统一进行分析和评估,并提出整改意见,帮助客户建立快速响应机制,及时有效完成数据安全风险修复工作。
3. 数据安全纵深防护
针对数据安全的风险点,用户侧、终端侧、网络侧、业务侧以及数据中心,都要做好安全防护措施,外防攻击、防入侵、防篡改,内防滥用、防伪造、防泄露。最关键的是,对全部纵深防护环节进行整体控制,实现环境感知,可信控制和全面审计。通过数据安全运营平台整合多层次的纵深防护,及时发现问题,阻止安全问题。
4. 敏感数据监察分析
敏感数据监察分析、发现安全问题与异常事件。从用户、资产和数据的行为模式出发,利用5W1H分析模型来进行敏感数据行为分析,基于行为模式发现数据异常事件。用户行为分析与机器学习技术能够更好的识别数据安全风险,再加入数据挖掘与分析技术,在数据安全领域可以节省分析时间和分析量,提高分析数量和准确度。
基于历史的可信访问行为提取访问规则,利用各类算法进行行为聚类,形成可划分的访问行为簇并可视化呈现。通过这种图谱分析与可视化展示让管理者对于敏感数据访问情况,由一无所知转变为可视可管。
5. 优化改进与持续运营
随着业务的运行,数据也在不断变化,因此安全也要不断优化。为了应对变化,快速应对数据安全风险,必须对数据安全策略进行持续地优化改进与监督运营。
合规要求指导安全策略的设置,安全策略支撑合规治理要求的落地,二者相辅相成,配合上持续优化改进运营的“知、识、控、察、行”体系,实现持续自适应的数据安全防护能力。
绿盟科技数据安全整体建设思路提出了自上而下的数据管理体系,从数据安全治理到合规监管,从及时预警到风险态势,全方位的解决个人信息和重要数据在企业内的数据安全问题。
随着资产数据化和数据资产化,数据安全成为从大数据时代到云时代发展转变的产物,数据安全的最终落脚点在于数据应用和价值实现,从数据管控向数据价值转变,实现数据驱动业务发展。目前国内数据安全仅在法律法规层面有了方向性的指引,尚缺乏可执行的监管标准和业界最佳实践。必须不断从理论和实践层面完善数据安全建设水平,打造成熟的数据安全建设体系最佳实践,让数据发挥最大价值,从而推动市场经济高速发展。