拨开云雾见天日——数据安全治理体系
IDC的“大数据摩尔定律”表明,人类社会活动产生的数据一直在以每年50%的速度增长。也就是说,全球数据量将在每两年翻一番。据IDC统计与研究,全球数据量已经进入了
(
)级别[1]。随着企业业务发展和扩大,应用环境的数据越来越庞大,多种多样、复杂多变。面临的数据安全问题和威胁越来越突出和严峻,不仅有来自外界的攻击,也有内部管理或错误配置等引发的数据窃取或敏感信息泄露。
图1 当前复杂数据应用环境:正如浩瀚如烟、杂乱无章的图书[2]
在当前错综复杂的海量数据环境下,如何更好地开展数据安全建设和防护?有条不紊地做好法律合规工作?更好地应对数据安全的内部和外部等威胁与挑战?基于此,获得一本“武功秘籍”(掌握一套科学的数据安全实践体系)对于企业来说是十分重要且必要。
图2 数据安全领域的“武功秘籍”:数据安全治理体系
本文是“大数据时代下的数据安全”系列的最后一篇:实践体系篇。其他已经发表两篇包括《浅析数据安全与隐私保护》(法律法规篇)、《鱼和熊掌兼得——隐私保护与价值挖掘之利器》(技术场景篇)。国内外多数安全公司在数据安全领域都有一本属于自己的“武功秘籍”,本篇将重点介绍比较有代表性的三本:Gartner数据安全治理框架、绿盟数据安全解决方案,以及数据安全能力成熟度模型。
一、Gartner数据安全治理框架
数据安全治理 (Data Security Governance,DSG)最早由Gartner在 2017安全与风险管理峰会上提出。数据安全治理从字面理解:“数据安全”+“治理”。“治理”不是“管理”,从范畴来说,前者来说更大,强调以“数据安全”为核心的系统性/综合性的过程。因此,“数据安全治理”可以简单理解为针对数据安全的综合治理过程与体系。
Gartner 认为数据安全治理是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标达成共识,确保采取合理和适当的措施,以最有效的方式保护数字资产[3-5]。其安全治理框架如下图所示,“由上而下”,一共分为5步:第一步是治理工作的开始,需要进行总体上层的设计,评估数据安全的业务风险:风险是什么?在哪里?为什么?以及如何?具体来说,考虑和平衡经营策略、治理、合规、IT策略和风险容忍度之间的关系;第二步对数据进行分类和分级,对不同类别的数据类型以及敏感度进行打标签;第三步根据前一步的数据标签,结合不同用户类别,对不同的数据类型、敏感度制定相应的策略,实施更精细粒度的数据管理;第四步根据前几步分析的场景需求,确定需要的数据安全产品,比如加密(Crypto)、数据审计(DCAP)、数据防泄漏系统(DLP)、云防护代理(CASB)、身份权限管理和访问控制(IAM)以及用户行为分析(UEBA)。最后一步根据前面分析的策略,为所有产品编排策略,包括数据库、大数据系统、文档、云端和终端等环境的数据安全管理和防护产品。
图3 Gartner数据安全治理框架[6]
二、绿盟数据安全解决方案
绿盟数据安全解决方案在Gartner数据治理框架基础上,结合客户的数据安全防护需求,对实际情况进行研究和实践,也建立一套完整科学的数据安全治理方法体系[6-8]。该体系分为四个基本治理步骤—— “知”、“识”、“控”、“察”。下面对这四个“动词”分别详细解析:
图4 绿盟数据安全解决方案[6-7]
知:分析政策法规,如中国的《中华人民共和国网络安全法》、《电信和互联网用户个人信息保护规定》、《个人信息安全规范》、欧盟的《General Data Protection Regulation》等;及时梳理业务及人员对数据的使用规范,以及定义敏感数据,包括类别、敏感度等;
识:根据定义好的敏感数据,利用工具对全网进行敏感数据扫描发现,对发现的数据进行数据定位、数据分类、数据分级。这一步十分重要,直接决定后续治理步骤和数据保护的质量;
控:根据敏感数据的级别,设定数据在全生命周期中的可用范围,利用规范和工具对数据进行细粒度的权限管控;
察:对数据进行监督监察,保障数据在可控范围内正常使用的同时,也对非法的数据行为进行了记录,为事后取证留下了清晰准确的日志信息。如部署数据审计(DCAP)、数据防泄漏系统(DLP)、以及用户行为分析(UEBA)等安全产品。
三、数据安全能力成熟度模型
数据安全能力成熟度模型(Datasecurity capability maturity model, DSMM) 最早由阿里提出,目前已经完成标准化(《信息安全技术数据安全能力成熟度模型》(GB/T37988-2019)),2020-03-01即将实施。在该项标准中,DSMM由三方面构成,其架构关系如图5所示[8]:
(1)数据生命周期安全:围绕数据生命周期,提炼出大数据环境下,以数据为中心, 针对数据生命周期各阶段建立的相关数据安全过程域体系。
(2)安全能力维度:明确组织机构在各数据安全领域所需要具备的能力维度, 明确为制度流程、人员能力、组织建设和技术工具四个关键能力的维度。
(3)能力成熟度等级:基于统一的分级标准, 细化组织机构在各数据安全过程域的 5 个级别的能力成熟度分级要求。
图5 数据安全能力成熟度模型架构[8]
以数据生命周期为主线,其数据安全过程域体系,分为数据生命周期通用的安全和各生命周期阶段下的安全,包含一系列相应的内容、方法和策略,如图6所示[8]。
图6 数据安全过程域体系[8]
总体来说,数据安全能力成熟度模型以数据为中心,拓展了一切与数据安全相关的维度,涵盖的内容十分丰富且流程十分完善。但这意味着具体实践与落地需要投入更多的资金、实施更长的时间等成本满足该项标准,这是一项挑战。
四、小结
在大数据时代,面对庞大、多种多样、各类数据相互掺杂等的复杂数据环境,传统的一两种数据安全技术/方案,难以应对内部或外部原因引起各种各样新出现的威胁与挑战。掌握一套科学且系统的数据安全实践体系,“以不变应万变”——这对于一个高度数据化的企业来说是十分重要且必要。像数据治理一样,数据治理正被越来越多安全企业提起、诠释以及完善。虽然不同企业的方案和流程各有差异,但笔者认为,数据安全治理是体系化的指导思想,是解决现有的、未来的数据安全问题一般方法论的抽象,这些正是它们的共同目的。数据安全治理的目的决定它是一个综合/系统的过程,涉及法规、场景、技术、产品、人员管理以及各类标准流程、策略配置等。
虽然当前我国数据安全相关法规还在建立和完善中、惩罚机制尚且没有具体给出量化措施。但笔者认为,数据安全的建设应该是一个主动过程,而不是一个被动过程:一方面主动的建设比被动建设避免一些不必要的安全风险以及经济损失;另一方面,数据安全治理需要一个漫长的周期,若等到法规的完善和强制执行时候才开始,却为时已晚。因此,主动建设和投入十分重要。
数据分类与分级是数据安全治理的开始,也是其关键的第一步。通过定义、扫描、测绘、梳理、分类和分级等,能准确地掌握敏感数据在哪里?风险在哪里?对应风险级别?了解到企业敏感数据分布的概貌,从而更好进行治理。绿盟为了帮助客户更好地完成第一步,在RSA2019年上已经发布了大数据安全产品——绿盟敏感数据发现与风险评估系统(绿盟IDR:NSFOCUSInsight for Discovery and Risk),具有智能的数据分类分级、全网的数据资产测绘、实时的数据流转测绘和全面的数据安全风险评估等功能[9]。欢迎咨询,欢迎了解(《新品发布·绿盟科技IDR敏感数据发现与风险评估系统》)。
笔者将“大数据时代下的数据安全”该主题分成三篇文章分别进行介绍:法律法规篇、技术场景篇、实践体系篇,本文是该系列的最后一篇:实践体系篇。若读者对全文阅读,可点击下方的阅读原文,即可链接到绿盟博客的《大数据时代下的数据安全》完整版本。虽然本系列更新已经结束,但笔者的研究与项目仍然在进行中。本文提供只是一个引子和简介,希望能起到抛砖引玉的作用,与各位专家或数据安全爱好者共同探讨与分享有趣的话题,欢迎合作与交流。
参考链接:
[1].Gantz J, Reinsel D. The digital universe in 2020: Big data, bigger digital shadows, and biggest growth in the far east[J]. IDC iView: IDC Analyze the future, 2012, 2007(2012): 1-16.
[2].Gartner Summit 2018: Data Classification
[3].Gartner Summit 2018: State of Data Security 2018
[4].Gartner Summit 2019: Outlook for Data Security 2019
[5].数据安全治理委员会,数据安全治理白皮书,2018
[6].绿盟科技公众号:数据为王 安全至上
[7].绿盟科技公众号:绿盟数据安全解决方案
[8].数据安全能力成熟度模型(征求意见稿)2017-08-17
[9].绿盟科技公众号:新品发布·绿盟科技IDR敏感数据发现与风险评估系统
内容编辑:天枢实验室 陈磊 责任编辑:肖晴