最近随着数保法、个保法等各项法律法规相继颁布出台,从传统的运营商、能源、医疗、金融等行业,到新兴的互联网行业,都掀起了数据安全建设的浪潮。虽然有了上位法的直接驱动,但具体落实到企业侧,该以怎样的思路去建设数据安全体系,该具备怎样的安全能力去保障数据安全不受侵害、守住合规的底线,各行各业依然有不小的困惑和疑虑。在此,我们就常见的一些如何建设数据安全的问题(不包括组织制度建设,后期单独讨论),给出参考性的分析和建议。
什么是“以数据为中心“?其实简单6个字展开用通俗的语言来描述,就是“从数据中来,到数据中去”。
“从数据中来”,强调的是对我们要保护数据的定义
牵扯的问题包括:
问:企业的所有数据是不是都要保护?
答:否,只保护有经济价值、业务价值等高价值的数据。全部数据防护违背了安全建设的经济性原则,或性价比极低。数据安全比网络安全更加注重ROI。
问:哪些是企业有价值的数据,如何定义?
答:没有完全标准的定义。但可从两方面视角来选取,一方面,从上位法和行业监管要求已定义的“重要数据”“个人信息”“敏感个人信息”“核心数据”等入手;关于重要数据,目前有《重要数据识别指》(征求意见稿)供参考。
另一方面,从企业内部的业务重要程度来衡量,如营销业务系统数据、大数据中心的数据、SAAS企业提供服务后保存在己方的甲方数据等等;
问:在“从数据中来”,怎么做到“以数据为中心”?
答:在上述问题中,定义了企业要保护的数据后,然后对数据进行勘测。勘测的内容包括,这些数据的规模和范围、数据在各个网域/业务系统/终端等的分布情况、数据使用方的业务部门/角色等基本情况。勘测的目的是对这些要保护的数据有清晰的盘点和认知,为后续安全能力建设提供基本盘。
“到数据中去”,强调的是数据安全的手段和目标
牵扯的问题包括:
问:数据保护的目标是什么?
答:整体上看,一方面是满足安全合规要求;另一方面是满足业务安全要求。
这么说太过笼统,那么合规要求按照上位法和行业监管要求进行解读、应对即可,各个企业内部也专门成立了合规团队去逐项应对;满足业务要求就需要安全部门,按照“从数据中来”问题中已定义的要保护数据的基本盘,来开展相应的调研工作;可以参考的维度包括:
1. 按照部门职能来定义数据保护目标。如运维人员对数据操作的安全保障目标和规范是防止误操作对业务系统产生连续性影响、防止内鬼内部数据泄漏、防止安全人员在运维规范和制度上的漏洞等;
2. 按照安全问题场景来定义数据保护目标。如数据资产脆弱性、敏感数据暴露面、业务涉敏访问行为安全性、对外数据交换流通安全对等性等。
问:数据保护的结果如何评价?
答:数据安全建设的评价,不应仅仅限于保护结果的评价;这其中包含3个方面。
1. 应具备对企业内数据质量治理的评价。很多安全从业人员往往忽视了这一点,尤其是没有业务内容的安全乙方。其实在甲方的数据安全建设过程中,企业数据质量的高低,决定了数据安全治理的底盘是否牢固;比如很多企业建设了大数据中心,但其中的数据日志格式和质量参差不齐,还需要安全部门人员提需求或自己再次小范围按需清洗。
2. 应具备对企业内部所有数据资产价值的评价。其中包括了对含数据、业务系统、、数据库等资产在内的梳理、盘点;也包括对资产分类分级的定义,再根据价值评估模型,形成对不同数据资产价值的评价体系;
3. 应具备对企业数据资产安全度的评价。反过来说就是数据安全的风险评价体系。这块是企业数据安全最为重要的评价模型。评价模型如何建设,本次只介绍思路,具体方案后面有机会介绍:基于目标-结果的简单模型入手;评价体系:从定量评价确定评价效果的基础。
在定量评价的基础上,对整体保护结果进行定性评价。定性评价需要对定量评价中不同内容的关系进行定义。如发现了10个风险事件,并及时处置,这个是定量;10个风险之间有3个风险对应的是目标A,其他7个对应目标B,其中目标A是核心业务系统,A业务系统的经济业务价值、涉及的资产且3个风险事件之间存在访问主体上的一致性,访问行为也可能存在前后关联性,存在极大的有组织有预谋的作案嫌疑,那么这个3个风险事件在保护目标A的报告里,可以进行定性评价。
当我们明确了所要保护的数据及保护的目标后,中间具体怎么做的部分是什么呢?
(1)处理好数据安全和网络安全之间的关系
往往一般企业侧已经在网络安全和信息安全方面,做了很多安全性能力的建设工作。数据安全具有一个和网络、信息安全很大的不同点,那就是具备整体安全统筹能力,这也是为什么我们上个章节着重提“以数据为中心”的原因。正是因为“以数据为中心”,才能将企业已有的网络、信息安全能力,以及数据安全相关的能力,结构化的、目的性的有机统筹,形成以数据为中心,以数据安全能力为主、与基于边界安全的网络/信息安全能力相结合,进行有效联防联动的数据安全能力体系建设;其中的网络信息安全能力是在所要保护数据的基础上,为了保障价值数据安全目标而针对性、选择性的进行联动结合,这是一个安全能力选型问题。其他网络信息安全依然可以基于边界或安全域来发挥其已有的护城河价值。因此网络信息安全体系和数据安全体系并不冲突,其中一部分甚至有所交叉。
“以数据为中心”的安全能力,相当于数据安全保护的大脑或核心,为网络信息安全能力提供数据基础和安全策略依据,为网络信息安全能力提供保护方向和范围的指导,并进行赋能;具体由如脱敏、加密、监测、分类分级等单点的数据安全能力和如数据安全管控中心、数据安全监测运营中心等平台化数据安全能力构成;而作为非核心的数据安全体系化的网络信息安全能力,要围绕数据安全中心的安全目标或策略目标,针对性的给出各自配套的联动能力方案(如IPS、IDS、WAF等)。这样才能从整体上,形成由内而外、自上而下的体系化安全能力,以满足企业数据安全的体系化建设要求。
举个例子,近期大家比较关注的敏感API的数据安全场景,很多公司仅仅从API传输的数据是不是敏感数据、传输敏感数据范围、数量等方面,去做安全性的评估。但往往忽略了可传输大量敏感数据接口本身的安全性问题,如该接口对应的应用本身存在弱密码登录的情况;或者割裂地将接口弱密码或明文账号密码认为是应该态势感知或其他单点安全能力做的事情,不属于数据安全范畴。这样在数据安全的整体安全性评估上,出现评估面不足,评估指标相互割裂,无法根据其关联性进行风险评估权重配比,导致评估出现巨大偏差。
(2)数据安全能力和网络信息安全能力的选型问题和联动建设思路
1. 贴合企业侧业务为首要原则
天下没有完美的解决方案和产品系统能力,只有最适合企业业务要求/目标和价值的方案。既要保证效果,又要讲求经济性和整体性价比。当然每个企业内部业务规模、业务结构、业务方向都有所不同,具体不表。这里仅作为一个原则,供企业安全部门在做业务摸排调研上,说明数据安全能力与业务贴合的必要性。
2. 数据资产的盘点和安全数据标准化是基础
一方面企业要完成对自己所要保护目标数据进行资产化盘点,掌握数据资产诸如价值数据规模、分布情况、承载的APP应用、接口、数据库、文件邮件、容器等载体情况的基本面;一个公司,只需要1个全链路数据资产管理大盘的平台即可
另一方面要做好数据标准化的治理工作,尤其是需要汇总到统一安全平台的安全业务数据,确保每个单点能力产品系统,输出给统一安全平台的数据格式保持一致,方便统一平台对数据进行高效汇总、分析加工和策略化处置;甚至在数据同步、汇总的时效性上,对单点的安全产品系统可能也会提出新的要求和标准。