数据安全实践指南
上QQ阅读APP看书,第一时间看更新

2.2 数据无罪,治理之过

如上所述,过去几年间,大型数据泄露事件层出不穷,就数据泄露事件的起因分析结果来看,既有黑客的攻击,更有内部工作人员的信息贩卖、离职员工的信息泄露、第三方外包人员的交易行为、数据共享第三方的泄露、开发测试人员的违规操作等。

数据本无罪,防范有缺失。这些复杂的泄露途径无一不在证明:传统的网络安全以抵御攻击为中心、以黑客为防御对象的策略和安全体系的构建,在大数据时代的数据安全保护领域,依然存在较大的安全缺陷,在大数据视角下,以传统网络安全为中心的安全建设,需要向以数据为中心的安全策略转变,而传统的数据治理框架和方法也应与时俱进,在原有基础上增加数据安全治理的相关策略。

2.2.1 数据治理

目前国内外有关组织和各大机构针对数据治理提出了不同的概念,究其本源,基于这些概念想要实现的还是进行有效的数据管理,提升数据价值,实现数据对业务的价值体现最大化。

我国信息技术服务标准(ITSS)体系中的《信息技术服务治理第5部分:数据治理规范》中,将数据治理定义为数据资源及其应用过程中相关管控活动、绩效和风险管理的集合。

在《信息技术大数据术语》(GB/T 35295—2017)和《数据管理能力成熟度评估模型》(GB/T 36073—2018)中,将数据治理定义为对数据进行处置、格式化和规范化的过程,是数据和数据系统管理的基本要素,涉及数据全生命周期管理,包括静态、动态、未完成状态和交易状态。

中国银保监会发布的《银行业金融机构数据治理指引》明确指出,(行业内的)数据治理是指银行业金融机构通过建立组织架构,明确董事会、监事会、高级管理层及内设部门等各级组织职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥数据价值的动态过程。

国际标准化组织的IT服务管理与IT治理分技术委员会(ISO/IEC JTC1/SC40)给出的关于数据治理的概念主要建立在IT治理的基础上,将ISO/IEC 38500的IT治理框架和模型应用于数据治理,认为数据治理是IT治理的一个子集或子域,可通过持续的评价、指导和监督,平衡数据技术及其流程中的风险和收益,实现企业治理目标。换句话说就是,数据治理是数据在产生价值的过程中,治理主体对其进行评估、指导和监督的活动集合。

国际数据管理协会(DAMA)关于数据治理的概念主要建立在数据管理的基础上,他们认为数据治理是数据管理的核心,是对数据资产行使权力和控制的活动集合(包括计划、监控和执行),可用于指导所有其他数据管理功能的执行,从更高的层次执行数据管理。

国际数据治理研究所(DGI)认为,数据治理和数据管理是两个完全独立的概念,并将数据治理定义为对数据相关事项做出决策和行使职权的活动,具体定义为:一套信息相关过程的决策与问责体系,根据商定的模型执行,这些模型描述了谁可以根据什么信息在什么时间和情况下用什么方法采取什么样的行动。

国际知名IT咨询与研究机构Gartner认为,数据治理是一套决策权规范和问责框架,用于确保数据和分析在评估、创建、使用及控制过程中做出适当的行为。

如前所述,数据治理主要着眼于对数据有关的人员、制度流程及技术能力进行统一管控,以实现数据价值的最大化。该出发点明确且合理,但随着大数据时代的数据爆发,任何与数据相关的安全隐患都可能造成严重的数据泄露等安全事件,而传统的网络安全建设架构亦疏于对数据安全视角的管控,导致数据治理+传统网络安全架构这一组合在当下的大数据时代存在极大的安全威胁,因而无论是数据治理,还是传统网络安全架构,都需要做出一定的调整,以增强数据安全管理和技术防范能力。

基于这样的思路和视角,在数据治理方面,数据安全治理的概念应运而生。

2.2.2 数据安全治理

数据安全治理可以简单理解为在数据治理的“数据价值论”之上,利用数据治理所拥有的管理制度、框架体系和技术工具,针对数据安全能力提升而做的加强框架。

针对数据安全治理,国内外各研究机构的思路不一而足。

1. Gartner:DSG

数据安全治理的理念最早由Gartner正式提出,在Gartner 2017安全与风险管理峰会上,分析师Marc-Antoine Meunier在名为“2017年数据安全态势”的演讲中提及了“数据安全治理”(Data Scurity Governance,DSG)的概念,Marc将其比喻为“风暴之眼”,以此来形容数据安全治理在数据安全领域的重要地位及作用。

Gartner认为,数据安全治理绝不仅仅是一套用工具组合而成的产品级解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,从而确保采取合理、适当的措施,以最有效的方式保护信息资源,同时,数据安全治理还应具备以下流程。

步骤1:确保业务需求与安全(风险/威胁/合规性)之间的平衡。

这里需要考虑如下5个维度的平衡:经营策略、治理、合规、IT策略和风险容忍度,这也是治理队伍开展工作前需要达成统一的5个关键要素。

步骤2:划分数据优先级。

对数据进行分级分类,以此对不同级别的数据采取合理的安全措施。

步骤3:制定策略,降低安全风险。

我们可以从如下两个方向考虑如何实施数据安全治理:一是明确数据的访问者(指应用用户或数据管理人员)、访问对象和访问行为;二是基于这些信息制定不同的、有针对性的数据安全策略。

步骤4:使用安全工具。

数据是流动的,数据结构和形态会在整个生命周期中不断变化,因此需要采用多种安全工具支撑安全策略的实施。Gartner在DSG体系中提出了实现安全和风险控制的5个工具:Crypto、DCAP、DLP、CASB和IAM,这5个工具分别对应于5个安全领域,其中可能包含多个具体的技术措施。

步骤5:同步策略配置。

同步策略配置主要针对DCAP的实施而言,集中管理数据安全策略是DCAP的核心功能,而无论使用访问控制、脱敏、加密、令牌化中的哪种措施,都必须注意应让数据访问和使用的安全策略保持同步下发,策略执行对象应包括关系型数据库、大数据类型、文档文件、云端数据等数据类型。

2. 微软:DGPC

针对数据安全治理,微软提出了专门强调隐私、保密和合规的数据安全治理框架(DGPC),希望企业和组织能够以统一的跨学科的方式来实现以下3个目标,而非组织内不同部门独立实现。

  • 传统的IT安全方法侧重于IT基础设施,即通过边界安全与终端安全进行保护。这种方法存在很大的问题,因此,微软DGPC的第一个目标就是重点加强对存储数据的保护,并随基础设施移动,让保护更到位。
  • 传统安全软件往往仅具备有限的隐私保护功能和措施,因此微软认为在建设隐私相关保护措施时,应在现有措施上构建更多的安全保护功能和措施,而非对现有功能和措施进行重复建设。微软DGPC认为,传统安全软件所不具备的安全保护功能和措施包括能实时获取客户对第三方共享的收集、处理等行为的信息,并能够实时地对客户行为流程进行保护,同时,当流程中出现已知风险行为时能够进行处理。
  • 数据安全和数据隐私合规责任可通过一套统一的控制目标和控制行为进行合理化处理,以满足合规原则。

数据安全治理框架与企业现有的IT管理和控制框架(如COBIT),以及ISO/IEC 27001/27002和支付卡行业数据安全标准(PCI DSS)等协同工作。数据安全治理框架围绕3个核心能力领域进行组织,涵盖了人员、流程和技术这三大部分。

3. 国内数据安全治理委员会

国内数据安全治理委员会认为,数据安全治理是以“让数据使用更安全”为目的,通过组织构建、规范制定、技术支撑等要素共同完成的数据安全建设的方法论。其核心内容包括如下4点。

  • 满足数据安全保护(Protection)、合规性(Compliance)、敏感数据管理(Sensitive)这3个需求目标。
  • 核心理念包括分级分类(Classfiying)、角色授权(Privilege)、场景化安全(Scene)等。
  • 数据安全治理的建设步骤包括组织构建、资产梳理、策略制定、过程控制、行为稽核和持续改善等。
  • 核心实现框架包括数据安全人员组织(Person)、数据安全使用的策略和流程(Policy & Process)、数据安全技术支撑(Technology)这三大部分。

4. 国家标准:数据安全能力成熟度模型(DSMM)

2019年8月30日,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988—2019)正式成为国标对外发布,并已于2020年3月正式实施。正式发布前,这项标准已在全国23个行业、40多家企业试点。

如图2-1所示,DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,生命周期分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全这6个阶段。DSMM从组织建设、制度流程、技术工具、人员能力这4个安全能力维度的建设进行综合考量,将数据安全成熟度划分成5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级和持续优化级,形成一个三维立体模型,全方位地对数据安全进行能力建设。

0

图2-1 DSMM评估维度示意图

(1)能力成熟度等级维度

在能力成熟度等级维度上,DSMM共分为5个等级,具体说明如下。

1级(非正式执行)

主要特点:数据安全工作是随机、无序、被动执行的,主要依赖于个人,经验无法复制。

组织在数据安全领域未执行相关的有效工作,仅在部分场景或项目的临时需求上执行,未形成成熟的机制来保障数据安全相关工作的持续开展。

2级(计划跟踪)

主要特点:在项目级别上主动实现了安全过程的计划并执行,但没有形成体系。

规划执行:对数据安全过程进行规划,提前分配资源和责任。

规范化执行:对数据安全过程进行控制,使用安全执行计划,执行相关标准和程序,对数据安全过程实施配置管理。

验证执行:确认数据安全过程是按照预定的方式执行的。验证执行过程与可应用的计划是一致的,对数据安全过程进行审计。

跟踪执行:控制数据安全项目的进展,通过可测量的计划跟踪执行过程,当过程实践与计划产生重大偏差时采取修正行动。

3级(充分定义)

主要特点:在组织级别实现安全过程的规范定义并执行。

定义标准过程:组织对标准过程实现制度化,形成标准化过程文档,以满足特定用途对标准过程进行裁剪的需求。

执行已定义的过程:充分定义的过程可重复执行,针对有缺陷的过程结果和安全实践进行核查,并使用相关结果数据。

协调安全实践:通过对业务系统和组织进行协调,确定业务系统内各业务系统之间,以及组织外部活动的协调机制。

4级(量化控制)

主要特点:建立量化目标,使安全过程可量化度量和预测;为组织数据安全建立可测量的目标。

客观地管理执行,通过确定过程能力的量化测量来管理安全过程,将量化测量作为对行动进行修正的基础。

5级(持续优化)

主要特点:根据组织的整体战略和目标,不断改进和优化数据安全过程。

改进组织能力,对整个组织范围内的标准过程使用情况进行比较,寻找改进标准过程的机会,分析标准过程中可能存在的变更和修正。

提升改进过程的有效性,制定处于连续受控改进状态下的标准过程,提出消除标准过程产生缺陷的原因和持续改进标准过程的措施。

其中3级(充分定义级)是各个企业的基础目标,等级越高,代表被测评的组织机构的数据安全能力越强。

(2)数据安全能力维度

在数据安全能力维度上,DSMM模型共涉及组织建设、制度流程、技术工具和人员能力这4个方面的评价标准,具体说明如下。

组织建设

  • 数据安全组织架构对组织业务的适应性。
  • 数据安全组织架构所承担工作职责的明确性。
  • 数据安全组织架构运作、协调和沟通的有效性。

制度流程

  • 数据生命周期的关键控制节点授权审批流程的明确性。
  • 相关流程、制度的制定、发布、修订的规范性。
  • 安全要求及实际执行的一致性和有效性。

技术与工具

  • 评估数据安全技术在数据全生命周期的使用情况,并考察相关技术针对数据安全风险的检测能力。
  • 评价技术工具在数据安全工作上自动化和持续支持能力的实现情况,并考察相关工具对数据安全制度流程的固化执行能力。

人员能力

  • 数据安全人员所具备的安全技能是否满足复合型能力要求。
  • 数据安全人员的数据安全意识,以及关键数据安全岗位员工的数据安全能力培养。

(3)数据安全过程维度

在数据安全过程维度上,DSMM模型将数据生命周期分为数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁这6个阶段,里面涉及30个过程域(PA),具体如图2-2所示。

0

图2-2 DSMM过程域划分示意图

DSMM标准旨在助力提升全社会、全行业的数据安全水准。同时,DSMM标准的发布也填补了行业在数据安全能力成熟度评估标准方面的空白,为组织机构评估自身数据安全能力提供了科学依据和参考。

2.2.3 治理思路选型

基于上述国内外各大机构对数据安全治理的思路,本节将针对治理思路选型做一个简要总结。

Gartner进行数据安全治理(DSG)的思路主要是基于企业自身的视角,从政策制度、企业架构及技术手段等多维度入手,推动数据安全技术的实施,由明确制度规划执行的预期效果,并确保其与企业整体技术目标或风险偏好一致,属于纯企业视角下的治理思路。

微软的数据安全治理框架(DGPC)则倾向于数据安全治理中隐私安全及对应合规内容的专项型治理思路,提出的方法则是以现有合规要求为依托,整合企业多维度部门资源解决问题,属于基于合规背景下的部分维度专项治理思路。

国内数据安全治理委员会的思路与Gartner的DSG思路类似,更倾向于一种更适应国内情况的落实建议,属于基于Gartner的本土化阐述思路。

而DSMM则属于国家标准,对合规要求、组织架构、人员能力、技术方法及制度流程都有涉及,同时也是上述思路中唯一一个提出要基于数据生命周期进行全流程安全建设的治理思路,落实建议的力度更为细腻。同时,随着《中华人民共和国数据安全法(草案)》的公布,后续DSMM很可能会成为该法案的具体落实标准和衡量指标,对于国内企业而言,以DSMM为数据安全治理思路方案选型,可以更好地确保数据安全治理的制度合规。同时,利用数据安全生命周期的思路,可以形成一套实际可行可用的体系化标准。因此本书将以DSMM数据安全治理思路为依托,基于充分定义级(3级)视角,展开数据安全建设实践建议。若读者对上述其他治理思路感兴趣,欢迎根据相关的介绍自行进行深入研究。

2.2.4 信息安全、网络安全与数据安全的区别

读到这里,相信很多读者对数据安全的概念,以及它与信息安全、网络安全等其他常见安全概念的区别与联系依然存在一些疑惑,下面就将上述概念及对应的内容进行一次梳理。

在这几个概念里,信息安全的概念范围最为庞大,网络安全、数据安全等都是信息安全概念的分支。如果将信息安全概念进行简单细分,那么它实际上包含了如图2-3所示的内容。

0

图2-3 信息安全概念简单细分示意图

图2-3虽然不能完全代表信息安全各项内容在业务中的分布,但可以粗略表示各项安全内容的组成及其所在的主要业务环节。如果将信息安全粗略拆分于业务流程中,则可分为物理安全、主机安全、网络安全、数据安全、应用安全等。

1. 物理安全

物理安全是指对网络与信息系统中物理装备的保护,主要包括以下内容。

  • 计算机系统的环境条件。计算机系统的安全环境条件包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等,各方面都要有具体的要求和严格的标准。
  • 机房场地环境的选择。为计算机系统选择一个合适的安装场所十分重要,安装场所将直接影响系统的安全性和可靠性。机房的场地选择要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性等,应避开强振动源和强噪声源,且应避免设在建筑物高层和用水设备的下层或隔壁,还要注意出入口的管理。
  • 机房的安全防护。机房的安全防护是针对环境的物理灾害而言的,是防止未授权的个人或团体破坏、篡改或盗窃网络设施与重要数据而采取的安全措施和对策。为做到区域安全,首先应考虑通过物理访问控制来识别访问用户的身份,并对其合法性进行验证;其次,对来访者必须限定其活动范围;第三,要在计算机系统中心设备外设多层安全防护圈,以防止非法暴力入侵;第四,设备所在的建筑物应具有抵御各种自然灾害的设施。

物理安全涉及的主要保护方式有干扰处理、电磁屏蔽、数据校验、冗余和系统备份等。

2. 主机安全

主机安全是指保证主机在数据存储和处理时的保密性、完整性和可用性,包括硬件、固件、系统软件的自身安全,以及一系列附加的安全技术和安全管理措施,从而建立一个完整的主机安全保护环境。主机安全的主要保护方式有防火墙与物理隔离、风险分析与漏洞扫描、应急响应、病毒防治、访问控制、安全审计、入侵检测、源路由过滤、降级使用和数据备份等。

3. 网络安全

广义的网络安全概念也在不断演化。最早的网络安全是Network Security,基于“安全体系以网络为中心”的立场,主要涉及网络安全域、防火墙、网络访问控制、抗DDOS(分布式拒绝服务攻击)等场景,特别是以防火墙为代表的网络访问控制设备的大量使用,使得网络安全域、边界、隔离、防火墙策略等概念深入人心。

后来,网络安全概念的范围越来越大,不断向云端、网络、终端等各个环节延伸,现在已发展为网络空间安全(Cyberspace Security),甚至已覆盖陆、海、空、天等领域,但这个词太长,读起来没有网络安全方便,之后就简化为网络安全(Cyber Security)了。

在实际应用中,网络安全往往是指网络传输安全。计算机通信网络是将若干台具有独立功能的计算机通过通信设备及传输介质互连起来,在通信软件的支持下,实现计算机之间的信息传输与交换的系统。而计算机网络则是指以共享资源为目的,利用通信手段把地域上相对比较分散的若干个独立的计算机系统、终端设备和数据设备连接起来,并在协议的控制下进行数据交换的系统。从中可以看出,计算机网络的根本目的在于资源共享,通信网络是实现网络资源共享的途径,因此计算机网络是安全的。相应地,计算机通信网络也必须是安全的,应该能帮助网络用户实现信息交换与资源共享,而狭义的网络安全指的是计算机通信网络信息交换、共享过程中的传输安全等,包括网络通信信息的保密性、真实性和完整性。

4. 数据安全

最初,人们认为数据安全是指数据层的安全,也就是通常所说的数据库安全,但实际意义上数据安全的概念应是“以数据为中心的全生命周期的数据安全”,它所基于的立场是“安全体系以数据为中心”,泛指整个安全体系,侧重于数据分级及敏感数据全生命周期的保护。它以数据的安全收集(或生成)、安全使用、安全传输、安全存储、安全披露、安全转移与跟踪、安全销毁为目标,涵盖整个安全体系。

5. 应用安全

应用安全实际上也是一种泛称,广义指代应用级别的安全措施,旨在保护应用内的数据或代码免遭窃取和劫持。它涵盖了在应用开发和设计期间的安全注意事项,还涉及在应用部署后对其加以保护的系统和方法。

Web应用安全里的Web应用指的是用户利用互联网(Internet)通过浏览器界面访问的应用或服务。由于Web应用位于远程服务器,而不是本地用户设备上,因此,用户必须通过互联网传输和接收信息。对于托管Web应用或提供Web服务的企业而言,Web应用安全是需要特别关注的问题。这些企业通常会选择借助于Web应用防火墙来保护网络免遭入侵。Web应用防火墙会检查是否存在有害数据包,并在必要时进行拦截,以此来保证应用安全。

6. 内容安全

内容安全是信息安全的一个分支,属于应用安全或风控安全维度,其目的是识别并阻断不良信息的传播,例如,滥发电子消息(Spamming)、色情内容、犯罪内容、恐怖主义内容、政治敏感内容等。内容安全涉及的技术包括自然语言处理、计算机视觉等,涉及的内容包括文字、图片、音频、视频等。

7. 风控安全

风控安全实际上隶属于应用安全中的业务损失防范,主要用于防范用户通过业务作弊导致的资损、法规等风险,这里的风险通常包含通过渠道推广、账号、支付、营销活动、爬虫流量等方式作弊,常见的技术方法主要基于IP画像、设备指纹、黑卡检测、威胁情报等。

如果将人员相关的安全问题也加入信息安全范畴,则风控安全还会包含人员安全意识、政策管理安全等。

(1)人员安全意识

尽管科技创新在很大程度上修补了技术上的一些安全漏洞,但信息安全中最大的安全漏洞还要属员工薄弱的安全意识。很多时候,安全事故的发生并不是员工的技术原因造成的,而是员工根本没有充分认识到信息安全的重要性,他们要么忽视安全流程,要么躲避技术控制措施。根据“2017中国网民网络安全意识调研报告”统计,约90%的网民认为当前的网络环境是安全的,但实际上,82.6%的网民都没有接受过任何形式的网络安全培训。通过对网络安全事故进行分析,我们发现,超过70%的事故是由于内部人员疏忽或无意泄露造成的。

而解决员工安全意识的问题,最为常用的手段便是定期进行安全培训,通过课程学习、工具检测、题目测验、效果评估、现场培训、宣传物料等多种方式宣传网络安全知识,提升员工的网络安全意识,实现企业内员工的安全生态建设。

(2)政策管理安全

政策管理安全更多强调的是对人员身份、权限管理的合理化甚至最小化,防止由于某些员工被赋予过多无关权限或过高权限导致权限蔓延等问题,从而引发安全失控风险,同时还要强调职责分离与多人控制,防止两个及两个以上的员工共谋进行安全犯罪活动。

通过以上简要介绍,希望读者能够对信息安全、网络安全、数据安全等常见安全术语对应的描述范围和定义有一定了解。实际上,上述内容依然不能完全代表信息安全各项内容在业务中的分布,仅可粗略表示各项安全内容的组成及其所在的主要业务环节,故上述内容仅供参考。