“以資料為中心”的數安實踐感悟

最近隨著數保法、個保法等各項法律法規相繼頒佈出臺，從傳統的運營商、能源、醫療、金融等行業，到新興的網際網路行業，都掀起了資料安全建設的浪潮。雖然有了上位法的直接驅動，但具體落實到企業側，該以怎樣的思路去建設資料安全體系，該具備怎樣的安全能力去保障資料安全不受侵害、守住合規的底線，各行各業依然有不小的困惑和疑慮。在此，我們就常見的一些如何建設資料安全的問題（不包括組織制度建設，後期單獨討論），給出參考性的分析和建議。

什麼是“以資料為中心“？其實簡單6個字展開用通俗的語言來描述，就是 “從資料中來，到資料中去”。

“從資料中來”，強調的是對我們要保護資料的定義

牽扯的問題包括：

問：企業的所有資料是不是都要保護？

答：否，只保護有經濟價值、業務價值等高價值的資料。全部資料防護違背了安全建設的經濟性原則，或價效比極低。資料安全比網路安全更加註重ROI。

問：哪些是企業有價值的資料，如何定義？

答：沒有完全標準的定義。但可從兩方面視角來選取，一方面，從上位法和行業監管要求已定義的“重要資料”“個人資訊”“敏感個人資訊”“核心資料”等入手；關於重要資料，目前有《重要資料識別指》（徵求意見稿）供參考。

另一方面，從企業內部的業務重要程度來衡量，如營銷業務系統資料、大資料中心的資料、SAAS企業提供服務後儲存在己方的甲方資料等等；

問：在“從資料中來”，怎麼做到“以資料為中心”？

答：在上述問題中，定義了企業要保護的資料後，然後對資料進行勘測。勘測的內容包括，這些資料的規模和範圍、資料在各個網域/業務系統/終端等的分佈情況、資料使用方的業務部門/角色等基本情況。勘測的目的是對這些要保護的資料有清晰的盤點和認知，為後續安全能力建設提供基本盤。

“到資料中去”，強調的是資料安全的手段和目標

牽扯的問題包括：

問：資料保護的目標是什麼？

答：整體上看，一方面是滿足安全合規要求；另一方面是滿足業務安全要求。

這麼說太過籠統，那麼合規要求按照上位法和行業監管要求進行解讀、應對即可，各個企業內部也專門成立了合規團隊去逐項應對；滿足業務要求就需要安全部門，按照“從資料中來”問題中已定義的要保護資料的基本盤，來開展相應的調研工作；可以參考的維度包括：

1. 按照部門職能來定義資料保護目標。如運維人員對資料操作的安全保障目標和規範是防止誤操作對業務系統產生連續性影響、防止內鬼內部資料洩漏、防止安全人員在運維規範和制度上的漏洞等；

2. 按照安全問題場景來定義資料保護目標。如資料資產脆弱性、敏感資料暴露面、業務涉敏訪問行為安全性、對外資料交換流通安全對等性等。

問：資料保護的結果如何評價？

答：資料安全建設的評價，不應僅僅限於保護結果的評價；這其中包含3個方面。

1. 應具備對企業內資料質量治理的評價。很多安全從業人員往往忽視了這一點，尤其是沒有業務內容的安全乙方。其實在甲方的資料安全建設過程中，企業資料質量的高低，決定了資料安全治理的底盤是否牢固；比如很多企業建設了大資料中心，但其中的資料日誌格式和質量參差不齊，還需要安全部門人員提需求或自己再次小範圍按需清洗。

2. 應具備對企業內部所有資料資產價值的評價。其中包括了對含資料、業務系統、、資料庫等資產在內的梳理、盤點；也包括對資產分類分級的定義，再根據價值評估模型，形成對不同資料資產價值的評價體系；

3. 應具備對企業資料資產安全度的評價。反過來說就是資料安全的風險評價體系。這塊是企業資料安全最為重要的評價模型。評價模型如何建設，本次只介紹思路，具體方案後面有機會介紹：基於目標-結果的簡單模型入手；評價體系：從定量評價確定評價效果的基礎。

在定量評價的基礎上，對整體保護結果進行定性評價。定性評價需要對定量評價中不同內容的關係進行定義。如發現了10個風險事件，並及時處置，這個是定量；10個風險之間有3個風險對應的是目標A，其他7個對應目標B，其中目標A是核心業務系統，A業務系統的經濟業務價值、涉及的資產且3個風險事件之間存在訪問主體上的一致性，訪問行為也可能存在前後關聯性，存在極大的有組織有預謀的作案嫌疑，那麼這個3個風險事件在保護目標A的報告裡，可以進行定性評價。

當我們明確了所要保護的資料及保護的目標後，中間具體怎麼做的部分是什麼呢？

（1）處理好資料安全和網路安全之間的關係

往往一般企業側已經在網路安全和資訊保安方面，做了很多安全效能力的建設工作。資料安全具有一個和網路、資訊保安很大的不同點，那就是具備整體安全統籌能力，這也是為什麼我們上個章節著重提“以資料為中心”的原因。正是因為“以資料為中心”，才能將企業已有的網路、資訊保安能力，以及資料安全相關的能力，結構化的、目的性的有機統籌，形成以資料為中心，以資料安全能力為主、與基於邊界安全的網路/資訊保安能力相結合，進行有效聯防聯動的資料安全能力體系建設；其中的網路資訊保安能力是在所要保護資料的基礎上，為了保障價值資料安全目標而針對性、選擇性的進行聯動結合，這是一個安全能力選型問題。其他網路資訊保安依然可以基於邊界或安全域來發揮其已有的護城河價值。因此網路資訊保安體系和資料安全體系並不衝突，其中一部分甚至有所交叉。

“以資料為中心”的安全能力，相當於資料安全保護的大腦或核心，為網路資訊保安能力提供資料基礎和安全策略依據，為網路資訊保安能力提供保護方向和範圍的指導，並進行賦能；具體由如脫敏、加密、監測、分類分級等單點的資料安全能力和如資料安全管控中心、資料安全監測運營中心等平臺化資料安全能力構成；而作為非核心的資料安全體系化的網路資訊保安能力，要圍繞資料安全中心的安全目標或策略目標，針對性的給出各自配套的聯動能力方案（如IPS、IDS、WAF等）。這樣才能從整體上，形成由內而外、自上而下的體系化安全能力，以滿足企業資料安全的體系化建設要求。

舉個例子，近期大家比較關注的敏感API的資料安全場景，很多公司僅僅從API傳輸的資料是不是敏感資料、傳輸敏感資料範圍、數量等方面，去做安全性的評估。但往往忽略了可傳輸大量敏感資料介面本身的安全性問題，如該介面對應的應用本身存在弱密碼登入的情況；或者割裂地將介面弱密碼或明文賬號密碼認為是應該態勢感知或其他單點安全能力做的事情，不屬於資料安全範疇。這樣在資料安全的整體安全性評估上，出現評估面不足，評估指標相互割裂，無法根據其關聯性進行風險評估權重配比，導致評估出現巨大偏差。

（2）資料安全能力和網路資訊保安能力的選型問題和聯動建設思路

1. 貼合企業側業務為首要原則

天下沒有完美的解決方案和產品系統能力，只有最適合企業業務要求/目標和價值的方案。既要保證效果，又要講求經濟性和整體價效比。當然每個企業內部業務規模、業務結構、業務方向都有所不同，具體不表。這裡僅作為一個原則，供企業安全部門在做業務摸排調研上，說明資料安全能力與業務貼合的必要性。

2. 資料資產的盤點和安全資料標準化是基礎

一方面企業要完成對自己所要保護目標資料進行資產化盤點，掌握資料資產諸如價值資料規模、分佈情況、承載的APP應用、介面、資料庫、檔案郵件、容器等載體情況的基本面；一個公司，只需要1個全鏈路資料資產管理大盤的平臺即可

另一方面要做好資料標準化的治理工作，尤其是需要彙總到統一安全平臺的安全業務資料，確保每個單點能力產品系統，輸出給統一安全平臺的資料格式保持一致，方便統一平臺對資料進行高效彙總、分析加工和策略化處置；甚至在資料同步、彙總的時效性上，對單點的安全產品系統可能也會提出新的要求和標準。