我國首部針對資料安全的專項法案《資料安全法》今日起正式落地施行,標誌著我國資料安全領域將有法可依,為各行業資料安全提供監管依據;同時也對資料安全防護、企業資料安全治理提出更高要求。
數字經濟時代,資料安全風險與日俱增,資料洩露、資料販賣等資料安全事件頻發,為個人隱私、企業商業秘密、國家重要情報等帶來了嚴重的安全隱患。企業如何打造出行之有效的資料安全能力體系,使資料使用更安全、合規,已成為數字化企業、數字化業務、數字化經濟時代最緊迫和最基礎的問題。
一、資料安全能力建設框架
面對資料安全威脅日益嚴峻的態勢,著力解決資料安全領域的突出問題,有效提升資料安全治理能力迫在眉睫。然而,由於數字技術促使資料應用場景和參與主體日益多樣化,資料安全的外延不斷擴充套件,資料安全能力體系構建必須拋棄傳統的單點防禦模式,而要採用全域性化、體系化建設思路。
資料安全能力建設並非單一產品或平臺的構建,而是覆蓋資料全部使用場景的資料安全體系建設。因此,需要按步驟、分階段的逐漸完成。為了有效地實踐資料安全能力,形成資料安全的閉環,我們需要構建一個系統化的資料安全能力建設框架。
資料安全能力建設基於以下安全理念:
資料安全能力=(關鍵技術 + 基礎設施能力 + 管理能力) × 資料安全運營
圖1 資料安全能力建設框架
由中新賽克參與編制的《資訊保安技術—資料安全能力成熟度模型》(GB/T 37988-2019)給出了組織資料安全能力的成熟度模型架構,規定了資料採集安全、資料傳輸安全、資料儲存安全、資料處理安全、資料交換安全、資料銷燬安全、通用安全的成熟度等級要求。該標準適用於對組織資料安全能力進行評估,也可作為組織開展資料安全能力建設時的依據。
圖2《資訊保安技術—資料安全能力成熟度模型》(GB/T 37988-2019)
整體來看,資料安全能力建設框架是以法律法規監管要求和業務發展需要為輸入,在充分識別組織業務場景、風險現狀的基礎上,對企業資料資產進行梳理,完成資料的分類分級。依據資料安全能力成熟度模型(DSMM),對企業資料安全能力現狀進行摸底。結合組織資料安全在技術、基礎設施、管理結合運營維度的能力要求,滿足資料生命週期各個過程域的安全。
二、資料安全技術能力建設
基於流量分析的資料安全監測技術
基於流量分析的資料安全檢測技術利用深度包檢測(DPI)圍繞使用者、業務、關鍵鏈路和網路訪問等多個維度的流量分析,可以實現對使用者和業務訪問的精準分析,發現各類異常事件和行為,並建立流量的多種流量基線,實現有效溯源敏感流量的流向、流量資料來源等,為安全策略調整和聯動響應提供必要的技術支撐,提升流量分析對安全監管的支撐能力。
使用者實體行為分析技術(UEBA)
使用者實體行為分析技術對組織內部和外部使用者的行為安全資料分析,如異常時間登入非許可權系統、異常許可權操作、賬號過期未更改、離職人員複製大量資料等資料,透過監控使用者各類行為,準確找到使用者行為資料之間的關聯,對其訪問軌跡、訪問的內容和關注重點等進行分析,確保使用者行為符合資料安全管理相關要求。
知識圖譜技術
知識圖譜最早用於搜尋引擎和社交網路,它簡單可以看成是一種基於圖的資料結構,由節點和邊組成,每個節點是一個實體,每條邊是兩條實體之間的關係。由於個人資料治理關鍵是個人資料實體識別,以及相關屬性與處理流程的關聯,引入知識圖譜技術成為必然。透過知識圖譜技術,可幫助企業瞭解所在敏感資料的位置,是如何被使用的,以及它的合同、法律和監管義務,達到個人資訊治理與視覺化作用。
區塊鏈技術
區塊鏈具有資料可溯源、難以篡改、公開透明、智慧合約自動執行等技術特點,是解決多方協作和多方信任問題的一把利器。透過共識機制在參與方之間建立信任基礎,實現點對點的價值傳遞。透過智慧合約實現鏈上資料真實性驗證和審計。透過協同機制、激勵機制的設定與共識,促進資料開放共享與價值協作。
三、資料安全基礎設施能力建設
資料採集
針對採集階段面臨的非授權採集、資料分類分級不清、敏感資料識別不清、採集時缺乏細粒度的訪問控制、資料無法追本溯源、採集到敏感資料的洩密等安全風險,在基礎安全能力的基礎上增加安全驗證、資料清洗、資料識別和資料標籤等安全技術應對措施。
資料儲存
在資料儲存階段,需要採用資料儲存隔離與加密技術來保障資料在儲存過程中的機密性、完整性和可信任性;開展本地備份、異地災備以及資料恢復和有效性驗證。
資料傳輸
在資料傳輸階段,需要採用資料傳輸加密技術來保障資料在傳輸過程中的機密性、完整性和可信任性。
資料處理
資料脫敏既可避免未經授權的人非法獲取組織敏感資料,實現對敏感資料的保護,同時又可保證系統測試、業務監督等相關的處理不受影響。資料洩露防護在資料資產分類的基礎上,結合組織的業務流程和資料流向,構建完善的可能導致資料洩露各個環節的安全,促進核心業務持續安全執行。針對使用者對資料訪問服務的安全使用要求的多樣性,將基於零信任架構的動態細粒度訪問控制能力與業務應用結合,實現資料細粒度的許可權訪問控制。
資料交換
監測主客體之間的資料訪問關係,資料流轉資訊,以及流量日誌、應用日誌,系統日誌、安全告警等,匯聚關鍵環節對重要資料、敏感資料的處理和流轉資訊,以構建敏感資料分佈態勢、敏感資料流動態勢、資料安全風險態勢,並對資料安全威脅及時預警和處置,指導資料安全持續運營工作。利用多源、多維日誌,分析風險行為,透過追蹤溯源,識別異常行為,進行定責。
資料銷燬
資料銷燬主要是指獲得組織、使用者的授權許可或請求後對資料進行清除或銷燬。使用組織授權的技術和方法對敏感資訊進行清除或銷燬,保證無法還原,並且具備安全審計能力。
四、資料安全管理能力建設
組織建設
為了有效保障資料安全政策的落地實施,企業應該設定專職的資料安全團隊。此外,還需要設立面向全組織的資料安全委員會,委員會需要有來自業務、資料、安全、法律等領域的不同角色參與,形成專業上的互補和完整的組織視角,委員會的負責人是組織裡最高管理層分管安全或者資料的管理者。建設完善的動態協同機制,充分利用部門資源,解決部門運轉孤島問題。明確資料訪問人員、資料生產人員、資料維護人員等目標物件,以資料全生命週期為基礎,對相關人員進行串聯,形成動態協同。
制度流程
資料安全管理制度流程可分為4層架構,從上到下分別為管理總綱、管理制度、操作流程和規範檔案、表單檔案。第一層管理總綱是組織內部資料安全戰略目標,具體建設內容包括管理規範、管理指南等。第二層是內部安全制度,具體建設內容包括管理制度、崗位職責、應急響應等。第三層是制度下的具體規範和指南,具體建設內容包括分類分級、運維、審計、防護等。第四層是資料安全落地運維過程中產生的表單,具體建設內包括:機房出入記錄表、安全審計記錄表、安全防護記錄表、資料使用變更申請表等。
人員能力
開展資料安全人才梯隊建設,透過組織資料安全培訓、開展資料安全比賽等方式提升資料安全人員能力。資料安全的人員能力主要包括資料安全管理能力、資料安全運營能力、資料安全技術能力和資料安全合規能力。
五、資料安全運營能力建設
透過資料資源安全運營、資料安全策略運營、資料安全監控運營、資料安全風險運營等多維度實現全網資料安全能力統一運營,透過匯聚分析全域多源資料進行統一、多維資料風險實時監測,並透過視覺化技術形成資料安全態勢感知,以平臺化、視覺化的風險監管支撐業務持續安全運營,為資料安全運營提供資訊化支撐,提升目標客戶資料安全運營能力與效率。
總結
企業透過開展資料安全風險評估,從合規性要求、業務自身安全要求出發,根據業務的特點對各類場景進行識別和風險評估的結果,制定組織的資料的分類分級標準,隨後依據資料安全能力成熟度模型(DSMM),對企業資料安全能力現狀進行摸底。透過“現狀“與“目標”的差距分析,確定改進目標。透過資料安全技術能力、資料安全基礎設施能力、資料安全管理能力、資料安全運營能力四個維度的建設,建立具有自最佳化特性的資料安全防護閉環控制體系,不斷最佳化資料安全保護機制和方法,降低資料資產的風險,保障資料生命週期的安全可管可控,最終滿足《資料安全法》合規要求。