为您推荐
随着数字经济时代来临,带来产业技术路线革命性变化和商业模式突破性创新,行业应[...]
随着数字化时代的发展,新业务场景持续涌现,所带来的安全威胁不断升级,比如无文[...]
构建组织第三重“安全感” ——从一维到多维,让数据安全治理有章可循
当第一重和第二重安全感,围绕着信息资产做好了防护,组织基本的安全能力就相对比较全面了。
不过,数据,作为信息资产的重要组成部分,在组织基本安全能力的基础之上,还要基于数据自身特性,自上而下地梳理一套思路和框架,构建出面向数据全生命周期及实际业务场景的数据安全治理体系。我们把此称之为构建组织第三重“安全感”。
组织在发展的过程中,业务在不断扩张,数据在持续增长,数据安全治理的需求随之而来。数据安全治理的前置条件是资产梳理,就像纸质资料,有些资料可以随便放,有些过一阵子可能就扔掉,有些会用一个柜子锁起来,重要程度不同的资料还会分门别类的上锁。所以当数据的重要性不断凸显,就需要对此做分层次的防护,这就是数据资产梳理中的分类分级,是数据安全治理的基础。
两大抓手摸清数据安全治理症状
数据安全治理存在诸多难点,从数据本身看,数据种类多、数据结构复杂、数据体量大,数据生命周期长、流动性强,与业务强相关等等,复杂的数据问题让我们看到,数据安全治理不仅仅依靠产品和技术,这是一个系统工程,需要自顶向下进行设计。那数据安全治理问题思维思考的原点是什么,山石网科认为可以从数据全生命周期和业务场景入手。
在我国2020年3月开始实施国家标准GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》中,提出数据安全能力成熟度模型(DSMM),可以很好的从数据全生命周期来梳理数据安全治理的问题。
该模型分为三个维度,对数据的整个生命周期进行评估。其中数据安全过程维度包括数据安全生存周期过程与通用安全过程。安全过程可分为30个过程域(PA),每一个PA由一些基本实践(BP)组成 (合计576个BP), 只有满足特定PA中所有的BP,该PA才算符合要求。
安全能力维度则是指组织、制度、人员和工具四个递进关系的核心要素,明确了组织在数据安全领域应具备的能力。能力成熟度等级维度划分为五级,基于统一的分级标准,级别越高,数据安全能力要求越高,第3级是各个企业的基础目标。基于数据安全生存周期,结合能力维度和成熟度等级划分,对过程域和基本实践做初步的评定。
但是光有能力评估还不够,要做到数据防破坏、防盗取、防滥用、防误用,必须与实际的业务场景深度结合。初步的评定只是在行业标准维度对企业做诊断,由于各组织的信息化程度和业务发展模式不同,治理还得依据业务场景对症下药。
基于数据流转(采集、传输、存储、处理、交换、销毁)过程的安全需求落在具体的业务场景下,才能发现具体的问题。比如,数据(客体)在哪儿?用户访问数据的最小权限?业务系统间的调用方式如何?怎么共享?共享给谁?基于业务的应对措施和优先级?等等。
从数据本身和业务场景两个维度,我们可以找到具体的问题。而具体的问题,需要我们在框架中抓药治症。
五大体系解决数据安全无从下手问题
山石网科提出以数据为中心的数据治理体系框架包含五个组成部分,制度规范、运营管理、技术防护三个核心部分,应急响应和监督审计两个支撑体系。体系的基座是等保2.0(网络安全能力),数据安全绝不是从0开始。
具体来看,制度规范体系包含顶层设计、流程制度和落地规范、管理等。在思维梳理的时候,结合实际业务及发展规划选定适用PA,针对选定PA提供规章制度相关BP的“摸底自查表”,然后根据差距分析,完善补齐欠缺的规章制度。
运行体系包含组织建设、团队管理以及人员能力。《数据安全法》已经明确对组织建设的要求建立数据安全治理的专业团队。具体可以结合选定的PA域中对于人员角色及对应人员能力要求进行差距分析,然后再结合实际的业务场景和数据流转,根据规章制度、利用安全技术实现数据安全运营。
技术体系是实现安全能力的方案、平台、工具等技术能力。结合适用于本组织的PA域,及具体业务场景与数据流转流程对现有平台进行摸底。根据摸底情况,进行差距分析,补齐安全技术能力差距、并对已有能力进行调优。
应急指挥体系是包含应急指挥平台,应急响应预案,应急处置能力。通过建设数据安全态势感知和监测预警平台,与上级网络安全协调指挥平台对接。针对数据安全事件落实重大数据安全事件报告制度和突发数据安全事件应急响应制度,建立健全安全应急预案、应急处置工作指南和处置流程图。通过常态化开展数据安全攻防演练、应急演练,组建专家队伍和支撑力量,提升全天侯、全场景、常态化、实战化的网络安全应急处置水平。
监督审计体系包含预警通报、监督检查、综合评估。迭代审计监测预警技术平台,提升隐患事件发现预警水平,提高数据安全态势感知能力。健全预警、通报、处置、整改、反馈闭环工作机制。定期开展数据安全综合风险评估与数据安全专项检查。
各个体系之间是有强关联的。规章制度和顶层战略决定了后面要做那些事,保护什么,做到什么程度。制度就会指引技术防护体系的建设,知道要做什么、保护什么,就清楚了需要什么技术能力。当安全制度确定好,它也会指引组织人员的建设,形成完善的运维体系。组织人员会根据制度,利用防护工具,形成安全管理的机制,保障安全制度的落地和技术工具充分使用。支撑体系则是确保安全体系的持续健康运行。
以上我们可以看到,五个体系之间的指引、保障,让数据安全治理稳定落地。在业务场景下,具体问题具体分析下,也可以让数据安全治理更加弹性可扩展,业务自适应。
服务+技术,数据安全治理平稳落地
具体通过什么技术,实现组织数据安全治理的平稳落地?
在对全数据种类、全数据生命周期的数据安全防护方面,我们需要提供全场景的安全防护组件,如数据库防护组件、大数据防护组件以及文档存储防护组件等等;在数据安全防护统一管理以及数据安全态势感知方面,我们利用山石网科的数据安全综合治理平台,一方面平台可以对所有数据安全组件进行统一的策略分发,安全联动,另一方面可以收集数据安全组件日志信息,通过多种算法的分析进行威胁感知和态势分析,再投放大屏实时展现;当然我们还需要一套数据安全的专业化服务,技术+服务共同组成技术防护体系。
当用户不知如何下手,如何开始,采用专项服务是最便捷的方式。数据安全专项服务可以包含四个方面。
数据安全咨询:
针对数据安全治理全流程进行数据安全咨询服务,协助用户完成数据安全全生命周期制度编写,并进行流程跟踪。
数据安全评估:
协助用户发现数据全生命周期安全管控能力方面的技术与管理脆弱性与威胁,发现数据安全风险。
数据安全检查:
定期进行数据安全专项检查,通过数据库漏洞扫描、基线核查以及专家渗透测试,发现数据安全漏洞,并提供加固建议。
专项安全演练:
建立健全数据安全应急响应制度,并定期开展数据安全专项应急演练与攻防演练,验证数据安全建设的有效性。
人和工具的结合才能使数据安全治理体系达到最好的效果。山石网科希望通过这套体系,构建组织的第三重“安全感”,覆盖业务全视角、贯穿数据生命周期,实现数据资产可梳理、数据分类分级管控、底层架构可扩展、安全模块按需选取、数据安全可管理、安全态势全景展现、数据安全可运营、制度流程配套落地。
