導讀:資料安全立法2018年9月於十三屆全國人大常委會列入立法規劃。經過三次審議,在2021年6月10日,十三屆全國人大常委會第二十九次會議正式表決通過,並於2021年9月1日起施行。從法律角度來說,國家對於資料安全越來越重視,作為企業該如何針對資料安全法進行資料安全治理的規劃,最終進行對應的技術落地?本文將分享資料法在企業的落地。
主要內容包括以下幾大方面:
- 背景介紹
- 資料安全架構——DSG框架
- 資料安全控制——CARTA模型
- 技術總結
--
01 背景介紹
首先來看一下近幾年企業數字化轉型以及資料安全的發展趨勢。
從2000年開始,企業經歷了三個不同的階段,分別是IT的工匠階段、工業化階段以及數字化時代的階段。在IT數字化時代,企業將雲端計算、大資料、物聯網以及移動互聯代表性的新興技術和企業業務進一步的結合,得到廣闊的和深入的應用,從而加速傳統經濟到數字化經濟轉型。Gartner在2017年預測未來3年資料將成為企業的戰略資產,現實進一步驗證了這個預測。
企業在數字化轉型後,資料安全和整個IT發生了一些變化,包括雲端計算、大資料的應用導致企業IT失去了視覺化,企業安全邊界消失,資料資產安全考慮不足等。
Gartner在2020年規劃指南中提出了構建數字化轉型技能,也就是資料安全與風險管理,包括合規性和風險的重大變化影響到安全計劃和路線圖,容器、DevSecOps、混合雲和多雲改變了基礎設施安全等方式方法。
企業的資料資產的安全需求有兩個目的:一是合規,與數字安全法、網路安全法、個人資訊保護法內容息息相關;二是智慧財產權的保護。
資料安全立法2018年9月於十三屆全國人大常委會列入立法規劃。經過三次審議,在2021年6月10日,十三屆全國人大常委會第二十九次會議正式表決通過,並於2021年9月1日起施行。網路安全法、資料安全法和個人資訊保護法是我國在資料和網路安全的基礎法規。資料安全法提升了國家資料安全的保障能力,個人資訊保護法則加速了個人資訊法的法制化的一個程式。從法律角度來說,國家對於資料安全是越來越重視,
針對資料資產的保護,首先要了解企業的資料和資料資產的價值。安全分為資訊保安、資料安全,以及資料資產安全幾個層面。資料資產安全主要是針對業務而言,應用經濟價值越大,資料也就越值錢,因此資料安全是由業務驅動的,資料安全應該以資料資產的價值為中心確定,而不是以網路技術為中心。
作為企業如何針對資料安全法進行資料安全治理的規劃,最終進行對應的技術落地?
業界主要的資料安全框架有兩種:一是Gartner 2017年提出的以資料為中心的DSG框架;二是微軟提出的資料根治理框架。本次分享主要介紹戛納提出的DSG框架。
--
02 資料安全架構——DSG框架
Gartner提出了以資料為中心的DSG安全架構。
如上圖中紅色部分所示,Gartner提出一個企業不要貿然地直接引用安全技術,而是應該從業務分析開始,圍繞著業務戰略、治理、合規等需求,制定IT戰略,並結合風險容忍度對資料分類分級。
Gartner將整個資料落地分成了兩個級別:第一個級別是治理部分,包含對於業務或者企業進行商業治理,分析企業的業務戰略、IT戰略和風險容忍度,同時進行資料戰略以及合規性和安全性以及安全架構的分析;第二級別是資料安全治理的落地。
在進行完業務分析之後,形成資料安全架構,從以下三個不同的層面來去實行:
第一層面:資料安全,在這個技術層面主要圍繞著企業的洞察力、機密性,以及針對於資料安全進行監控和對應的合約。
第二層面:資料區域,以企業資料為中心,以企業的管控的力度為範圍,包括內部、以及外部受控第三方。
第三層面:資料位置,也就是無論是資料在企業的資料管理系統、大資料檔案系統,通過所有的管控位置,實行統一的資料安全的管控策略,來達到滿足企業的資料安全需求。
整個以資料為中心的體系建設分為五個步驟:
第一步:資料對映,企業需要明確需要保護什麼樣的資料,這些資料存放在哪裡,以及誰可以訪問這些資料,並且是不是合法的儲存和處理;
第二步:資料發現和分類,定義資料的類別和敏感度,同時清晰地瞭解資料資產和所有者之間的關係。所有者包含著三個不同的層次層面,資料的擁有者、使用者和操作者;
第三步:資料流建模,建模關係是以資料的儲存位置為核心,分析整個資料的流動方向,並且對資料儲存和使用的流向進行分析。其中流動方向包含在企業內部的資料流轉,以及和企業外部乃至第三方的資料流轉。
第四步:資料控制檢查,對於資料使用了哪一些控制手段,是否完成了資料的視覺化、保密性和流轉監控?是否滿足了資料的最小化使用的需求?
第五步:產品檢驗,檢驗當前產品能否解決上述的控制手段,並且企業還需要哪一些技術和產品去消除控制手段對應的差距。
在以上流程思路的基礎上,引入了對應的控制系列,可以簡單地理解為安全的能力。安全能力分成四塊,分別是洞察力、保密性、監控和響應、合約。
第一塊:洞察力,是指標對於企業需要獲得儲存哪些資料以及儲存資料的位置、方式,並對資料的敏感性和後設資料進行詳細的瞭解,從而能夠實施成功的DCSA(以資料為中心的方法)。這裡引入了三個不同的安全控制技術:資料地圖、資料發現、資料的分類分級。
第二塊:保密性,資料安全技術的種類非常多,比如訪問控制、資料遮蔽和加密、許可權控制、資料反洩漏。
第三塊:監控和響應,主要是企業確保控制有效性、驗證合規性和確保安全性。相應的技術提到了安全資訊和日誌的管理、資料庫的活動監控。
第四塊:合約,也叫做第三方治理。很多企業或者組織通過第三方資料的處理器進行資料共享,去實現業務目標。在這種情況下,很難以某種實際的安全的手段來去完成對應的控制,因此雙方的合約控制非常重要。
上圖右側展示了以資料為中心的資料安全架構。分為不同的資料區域,包括內部、外部非受控,以及第三方。無論資料分佈在哪裡都有對應的資料安全。
--
03 資料安全控制——CARTA模型
作為一個企業如何進行資料落地,Gartner 提出了CARTA模型。CARTA模型可用於選擇資料安全控制,作為一個持續性、週期性的過程,在不同的生命週期裡面普遍用於每一個資料集。
第一個階段是預防階段,使用資料匿名化進行資料安全保護,比如說加密硬碟、脫敏執行反應控制、全址的分離;
第二個階段是檢測階段,資料防洩漏通過類似於身份控制方法,供管理員獲得對於資料的訪問許可權以及許可權控制的對映;
第三個階段是監控階段,當潛在惡意資料訪問時,提示安全管理員去考慮實施自動阻止控制,通常可以採用資料審計方式;
第四個階段是預測階段,主要是圍繞著以資料為中心的審計和保護DCAP去實行。
接下來將分別介紹控制系列中的方法。
1. inSight(洞察)
洞察力用於獲取有關儲存哪些資料以及儲存資料的位置和方式的詳細資訊,以及對這些資料的敏感性和其他後設資料的一些詳細見解,對於成功的DCSA方法至關重要。
洞察所推崇的是以資料為核心,分別在企業內部(終端、移動裝置)、儲存(資料中心)、雲端(SaaS、IaaS)將敏感資料找到並進行合規的展示。
通過資料洞察的能力,結合額外的Data Mapping產品,幫助企業找到所有的業務資料,再用Data Discovery對資料敏感性進行檢測,從而為企業形成靜態資料分佈檢視。可以應用於資料生成、資料儲存、資料歸檔、資料銷燬的階段。
2. Confidentiality (保密性)
保密性是最古老和最常見的安全要求之一。許多以資料為中心的控制元件可用於限制資料可見性,並僅使用授權使用者和實體。為了正確保護機密和隱私,技術專業人員必須選擇適合其應用程式和資料資產的適當體系結構選項。
資料審計是瞭解資料中必不可少的環節,因此重點介紹資料審計的能力。主要應用於企業的應用資料、郵件資料和辦公網資料。
(1) 企業應用資料
作為安全管理員需要了解資料下載時刻、下載方式和下載內容,其中資料的下載方式包括三種:旁路下應用資料上傳下載監控、反向代理下的應用資料上傳下載監控和應用改造後的資料流轉監控。
① 旁路下應用資料上傳下載監控
② 反向代理下的應用資料上傳下載監控
對於資料進行敏感性檢測,判斷是否有不合規的資料返回,包括未脫敏、未加密、非法資料,結合外部的大資料系統、使用者許可權的設定,為企業保證實現最小化使用的原則。可以針對於企業去了解業務資料的上傳和下載行為,形成業務的統一檢視,為企業展示使用者呼叫或使用了哪一些的資料內容。
③ 應用改造後的資料流轉監控
市面上普遍存在的CS架構或者非我們所理解的外部協議,在這種情況底下,就需要有針對於這種特定應用來進行資料流轉監控。通常是針對業務進行相應的改造,將資料在不同階段使用的過程中,把資料投遞給外部的一個審計系統,來進行對應的分析,最終決定是否參與到整個業務流轉過程中。
包括使用者針對某個應用進行的資料上傳和下載,以及在應用內進行資料的內部流轉,比如資料的內部分享。同時也包含對第三方應用的資料傳遞。
(2) 企業郵件資料
在企業自建郵件系統,判斷員工通過郵件伺服器對外發郵件中是否包含著敏感的業務資訊、業務資料,並且根據業務資料形成對應的敏感資料外發的審計結果,進行相應的阻斷或審批流程,以便於事後追溯。
(3) 辦公網資料
辦公資料防護有三個方面:
一是終端辦公的資料安全防護。針對在辦公電腦或者運維電腦終端的資料的流轉和使用來進行,比如U盤、網際網路協議、百度網盤、QQ、微信等外發敏感資訊的時候,進行相應敏感資料的管控策略。
二是跨網資料,通常是在兩個不同的安全域之間進行資料流轉的時候,通過旁路的方式或者以串聯阻斷的方式,幫助企業提供敏感資料流轉的審計記錄和審計分析。
三是在移動終端上部署企業級的移動終端客戶端,然後對企業的業務應用資料進行相應的保護,包括對於企業資料進行本地的加密儲存、加密傳輸,在必要的時候進行遠端清除,並且控制對應的攝像頭、提供水印、控制截圖以及第三方分享的控制能力。
(4) 其他的保密技術
① 加解密技術
加密後保證資料即便丟失了也不會資料洩露,是目前整個資料安全治理過程中非常重要技術之一。
② IAM
主要用來做使用者身份識別,為許可權控制、資料防洩漏、資料審計等提供身份資訊,是資料安全治理的排頭兵。
③ DCAP
針對資料庫的動作審計和檔案資料的審計,精準識別對資料庫的各種動作。
3. Monitoring and Response(監控與響應)
監控響應主要引用UEBA技術挖掘使用者行為,包括使用者異常行為分析、使用者精準分析、使用者定位分析、專家系統分析,找到異常使用者,並且將異常使用者結合資料控制技術進行更有效的控制。
--
04 技術總結
企業完成以資料為中心的整體控制框架,需要圍繞企業的核心資料資產,從應用資料的生成、使用、儲存、流轉、分享(內部或者外部第三方)全過程,針對企業的核心資料進行分佈展示、身份識別、資料流轉、使用控制等環節相應的管控手段。
天空衛士的資料安全治理自動化平臺,結合了業務系統流程,對資料控制者和資料使用者的異常行為進行大資料分析,在資料生成、使用等全流程,都有相應的管控。天空衛士是目前為止亞太地區唯一入選 Gartner 全球資料洩露防護(DLP) 代表性廠商、郵件安全閘道器代表性廠商以及CASB 觀察者名單的中國網路安全企業。
天空衛士提供的資料安全治理方面的諮詢、產品和技術,包括企業的資料安全治理、資料分級分類、風險評估等等。
天空衛士的資料安全治理體系,為企業的核心資料資產,提供包括發現、標籤監控識別保護能力,通過識別、捕獲、分析、阻斷、遏制,降低企業被有害資料和惡意行為的入侵和破壞。
本文首發於微信公眾號“DataFunSummit”。
本文首發於微信公眾號“DataFunTalk”。