Auto Byte

专注未来出行及智能汽车科技

微信扫一扫获取更多资讯

Science AI

关注人工智能与其他前沿技术、基础学科的交叉研究与融合发展

微信扫一扫获取更多资讯

极盾科技产品总监 李方方作者

5000字详解数据安全治理

2010年,针对数据安全治理,微软提出了专门强调隐私、保密和合规的数据安全治理框架(DGPC),希望企业和组织能够以统一的跨学科的方式来实现目标,而非组织内不同部门独立实现。DGPC框架能够与企业现有的IT管理和控制框架(如COBIT),以及ISO/IEC27001/27002和支付卡行业数据安全标准(PCI DSS)等协同工作。DGPC框架围绕3个核心能力领域进行构建,涵盖了人员、流程和技术这三大部分。


DGPC框架提供了一种以隐私、保密和合规为目标的数据安全治理框架,以数据生命周期和核心技术领域为重点关注点,但主要是从方法论层面明确数据安全治理的目标,缺少对在数据生命周期各环节落实数据安全治理措施的详细说明。


到了2017年,在安全与风险管理峰会上,分析师Marc发表了题为“2017年数据安全态势”的演讲,并提及了“数据安全治理”(Data Security Governance)。Marc将其比喻为“风暴之眼”,以此来形容数据安全治理(DSG)在数据安全领域中的重要地位及作用。

Gartner对数据安全治理的基本定义是:“数据安全治理绝不仅是一套用工具组合而成的产品级解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下、贯穿整个组织架构的完整链条。组织内的各个层级需要对数据安全治理的目标和宗旨达成共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。”


那么,国内是怎么做的呢?


2019年8月30日,《信息安全技术-数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020年3月起正式实施。DSMM不仅是一套标准,也是一套方法论,借鉴能力成熟度模型(CMM)的思想,DSMM标准以数据为中心,围绕数据的整个生命周期及数据通用安全,从组织建设、制度流程、技术工具、人员能力四个方面对数据进行定级评估,从而提高自身数据安全水平。


图片包含 图表

描述已自动生成



如何开展数据安全治理


1)数据安全治理的原则


企业在开展数据安全治理工作之前,先明确下数据安全治理的原则,这些原则会贯穿我们后续所有的数据安全治理工作当中,有四大原则:


以合规为驱动,充分了解各项法律法规、行业监管、地方政策,满足合规性要求的同时,兼顾业务实际发展状况。


以数据为中心,是数据安全工作的核心技术思想;是将数据的防窃取、防滥用、防误用作为主线,在数据的生命周期内各个不同环节所涉及的信息系统、运行环境、业务场景和操作人员等作为围绕数据安全保护的支撑。


以组织为单位,是数据安全治理的核心管理思想;数据会在不同的服务器、产品、业务中流转,拥有或使用数据的组织是承担数据安全责任的主体,是数据安全治理的基本单位。


以能力成熟度为基本抓手,一个组织的数据安全能力成熟度等级,说明了这个组织在数据安全保护方面的综合能力水平。


2)数据安全治理的建设思路


下面来介绍下数据安全治理的建设思路,我们从组织、制度、技术、运营层面入手,围绕数据生命周期,建立完善的数据安全管理体系。组织和制度是企业开展数据治理工作的前提,技术和运营体系是落实数据安全治理的手段。

图形用户界面, 网站

描述已自动生成


组织架构分成四层,包括决策层(数据安全领导小组)、管理层(数据安全管理团队)、执行层(数据安全执行团队)和监督层(数据安全监督小组)。


有了组织架构,还要制定完善的制度流程。制度流程是保障数据安全治理工作落地的重要前提。比如说管理制度、操作规范、工作流程、审计机制等。


有了组织和制度,接下来可以逐步落地相应的技术工具。比如说敏感数据识别、分类分级工具、加解密/脱敏、身份认证、权限控制、操作审计等。


在构建组织架构、制度流程、技术工具的过程中,逐渐形成完善的运营体系,全面提升数据安全的运营能力。同时整个建设思路需以合规为驱动,围绕数据生命周期有效进行。


3)数据安全治理的实施流程


有了建设思路,接下来就可以进行实施工作,我们通常把实施流程分成七步:


Step1企业现状调研。包括企业架构、网络拓扑、安全管理现状、业务流程、数据流程等。


Step2数据资产梳理。通过业务调研、自动扫描发现数据资产,制定数据分类分级标准,同时对数据资产进行梳理和打标。


Step3安全风险评估:围绕数据生命周期进行风险评估,根据各项法律法规对标分析。


Step4安全体系设计:基于风险评估、组织架构、业务流程、数据流程,设计数据安全管理及技术体系,并建立管理体系。


Step5技术工具实施:基于分类分级、风险评估结果,建设数据安全技术工具,敏感数据识别、脱敏加密工具、访问控制、日志审计等。


Step6快速试点验证:通过试点运行,及时发现可能存在的管理漏洞和技术缺陷,并通过定期审计发现可能存在的运营不足。


Step7持续优化改进:设立运营指标、定期审计、持续优化改进,反哺管理、技术、运营体系,不断螺旋式提升数据安全水位。

调研、梳理和评估都是自上而下进行,和我们前面介绍Gartner“数据安全治理”(Data Security Governance)是契合的,也是完成企业数据安全实施的体系化设计。



4)数据安全治理的技术体系


整个数据安全实施流程的工作重点在于技术工具的落地,数据安全技术体系可以分成四个部分: 风险识别、安全防御、安全监测、安全处置。围绕整个数据生命周期开展的。


图片包含 图形用户界面

描述已自动生成



5)数据安全治理的技术实施路线


数据安全治理的技术体系相对比较复杂,所以数据安全治理的技术实施不是一蹴而就,可以分成三个阶段完成:


第一阶段主要为数据资产梳理与数据资产的风险识别,通过敏感数据识别实现数据资产的分类分级,再针对不同分级数据,进行安全风险核查。


第二阶段更加侧重数据应用的各个场景下安全能力的建设,初步实现重点场景下的数据安全全面可管、可控,并建立数据安全风险感知,完善内控安全保障。主要包括用户与实体行为分析、应用网关建设、api网关建设、数据脱敏、水印溯源。通过技术工具对重点安全场景实现全方位的保护。


第三阶段全面完成数据安全建设,覆盖制度落地到数据应用的各个场景。在数据安全使用环节中,都有相关的数据安全技术可以对数据的安全进行保障,所有操作都有审计和保护措施。通过数据安全风险感知的完善,实现数据安全风险全局可视,从全局视角大幅度提升对数据安全威胁的识别、理解、分析和响应的综合防护能力。


值得一提的是,在整个技术实施路线中,有两点是需要好好把握的,一个是数据安全治理切入点的选择,另一个数据安全治理重点和难点的克服。




数据安全治理切入点—数据分类分级


2021年9月,《数据安全法》具体确立了“数据分类分级保护制度”及其基本原则。


数据分类分级成为建立统一完善的数据生命周期安全保护框架的基础工作。能够帮助企业对数据资产进行全面的盘点,了解敏感数据分布、类型、量级,做到心中有数,以此构建企业级的数据资产目录,为之后企业数据资产管理和数据安全体系建设打好基础。同时对于不同分类不同密级的数据采取不同的安全防护措施,平衡数据保护与数据流通,实现数据价值最大化。


那么,数据分类分级具体该怎么做?


数据分类分级平台功能架构主要分成四个模块,分别是数据资产自动发现、数据智能分析引擎、敏感数据识别算法库、分类分级全景图。


图形用户界面

描述已自动生成


第一个模块是数据资产自动发现。通过自动扫描发现数据资产,同时对数据资产进行梳理和打标,最终形成一套数据资产清单,为企业数据资产管理和数据安全体系建设打好基础。


第二个模块是数据智能分析引擎。数据分类分级实际上是数据分析的过程,有了数据资产清单之后,可以通过数据内容分析(NLP /语料库)、策略规则(正则表达式/关键字)及机器学习的模型等,对数据资产进行智能分析,形成一套数据分类分级的策略规则及模型模版。


第三个模块是敏感数据识别算法库。内置敏感数据智能识别算法库,覆盖常见高敏个人信息和业务信息,比如姓名、性别、手机、身份证等,帮助企业自动化高效识别敏感数据,梳理敏感数据资产。


第四个模块是数据分类分级全景图。自动化周期性扫描数据资产,智能分类分级,识别敏感数据,生成数据分类分级全景图,支持分类分级结果多样化输出方式。


以某银行数据分类分级实践为例,基于极盾科技自主研发的智能分类分级平台——极盾·智辨,以及深入了解客户业务需求的基础上,最终完成:

1、梳理了100000+字段,形成5000+ 策略规则,分成5个敏感等级(极敏感、敏感、较敏感、低敏感、不敏感)。

2、对数据形成4层分类,包括当事人、产品、协议、时间、账户、介质、渠道、资源项和通用共9大一级分类。

3、敏感信息识别总数超10000+,识别准确率100%,并建立了敏感信息管理机制和落地实操规范。



完成了数据分类分级,接下来就是要制定数据分类分级保护策略,也就是对不同分类不同密级的数据采取不同的安全防护措施。首先需要明确数据安全管控架构,然后梳理数据应用场景,最后制定数据分类分级保护策略。



数据安全治理重难点—数据使用安全


由于数据使用环节流动性极大、涉及应用系统场景复杂、人员权限控制不完善,数据安全建设的痛点难点往往集中在数据使用和共享安全。


结合多年的数据安全实践经验,我们创造性地提出了数据使用安全方法论:以人为核心,围绕业务场景,以数据分类分级为基础,基于零信任框架和用户及实体行为分析为抓手,面向内部应用数据使用全流程构建数据使用的主动安全防控体系。


手机屏幕的截图

描述已自动生成


1以人为核心:在系统数据使用访问过程中,人员为行为主体,通过收集人员的“动态”行为信息、环境信息以及相对“静态”的人员权限、组织架构、岗位部门等信息,构建人员主体画像,识别人员风险。


2围绕业务场景:通过内部人员在账号、权限、访问行为、数据操作等不同维度行为特征的挖掘,识别异常的数据使用访问风险,实现精准定位判断。


3以数据分类分级为基础:通过引入数据安全网关,从数据访问使用过程中基于敏感识别和分类分级规则,识别当前访问数据的重要程度和敏感程度,从而进行针对性防护。


4、基于零信任框架:整个零信任框架主要分成两个平面,数据平面和控制平面。在数据平面,采集多方数据,包括访问主体和访问客体,然后把数据汇集到控制平面上,通过策略模型进行数据分析,从而完成动态告警和自动化响应。


5用户及实体行为分析为抓手:基于零信任框架和人工智能模型的行为分析技术,高效识别数据使用的行为风险,并进行实时响应告警,在必要是联动相关业务系统对风险行为进行有效阻断和拦截。


而这一切的实现,需要一套完善的数据使用安全管控平台的支撑,我们把这个平台分成四个层面。分别是数据采集、数据梳理、安全分析&防护、安全运营。


手机屏幕的截图

描述已自动生成



数据安全治理挑战及展望


鉴于目前整体的数据安全外部环境,以及发生的勒索、数据泄露等安全事件;当前和未来几年将面临更严峻的数据安全挑战,因数据安全问题和事件而导致的品牌名誉受损、直接和间接财务损失、对外业务中断、法律后果和监管机构通报惩罚、敏感数据信息外泄等情况都是无法接受的结果。


2022年,全球网络安全威胁态势进入高度不确定的“黑天鹅”时代,企业数据安全和风险管理面临前所未有的挑战,其原因主要有:


l企业缺乏统一指引

数据安全技术相关的国家标准当前出台较少,还无法对企业形成有效的指引,例如数据加密、脱敏尚未形成统一标准,各企业理解存在偏差。


l数据安全人才紧缺

数据安全井喷式需求爆发,各领域数据安全隐患亟待解决,行业内缺少业务领域的数据安全人才。


l安全技术有待实践

传统的网络安全技术无法满足数据安全要求,数据本身具有可分享、可复制、流转快的特点,部分技术与解决方案处在研究发展阶段,缺乏应用实践。


l业务场景复杂

业务先于安全,业务形态已固化,众多企业面临数据安全改造难题,改造难度大,且各企业场景差异大,数据安全治理存在多样化业务场景复杂数据安全治理挑战。


直面挑战,我们可以总结一些比较清晰的发展趋势:

1、国家法律法规和标准体系日趋完善

2、数据安全执法力度逐步增强

3、数据安全治理从合规驱动走向自驱动

4、建立持续迭代的数据安全治理体系

5、提升数据安全评估 / 审查自动化水平

6、新兴技术的逐步发展和应用,持续激发数据安全新需求

极盾科技
极盾科技

本专栏意在分享、互动和交流,我们将着眼于企业构建网络安全体系的诸多困境,深入探讨XDR的演进路径、核心价值及未来发展趋势,同时通过分享XDR关键技术架构及典型场景实践。为行业提供清晰的、可落地的发展建议。

产业分析
暂无评论
暂无评论~