美创科技实践视角下的数据安全治理经验分享
云大物移飞速发展,为业务数字化转型带来新机遇,数据成为业务发展的重要资源要素,成为新时期的“石油”,但新技术、新需求、新场景也给组织数据安全带来新的压力与挑战,被泄漏、被窃取、被滥用风险与日俱增。
国家对数据安全问题已经高度重视、大力部署,《网络安全法》、《数据安全法》、《个人信息保护法》共同组成了国内数据保护领域的“三驾马车”。越来越多的政府部门、企事业单位、金融机构等各行各业,对数据安全合规的需求日益增多,纷纷开始数据安全治理体系的建设和探索。
那么,数据安全治理到底该怎么做?近日,美创安全实验室负责人刘隽良线上进行《实践视角下的数据安全治理经验分享》。
一、数据安全的现实痛点
1.数据资产量级不清
不了解数据资产是否与实际资产相符,不知敏感数据在哪里、被谁访问;
2.数据资产安全状况未知
组织有意识提升数据安全防护能力,但不知具体风险有哪些、在哪里;
3.数据安全建设无头绪
缺少切实有效的数据安全管理制度流程为抓手,数据安全难落实稽核;
4.数据安全建设成果无感知
采购了一批安全产品,但是否有效无评价机制,对新产生的风险无法感知。
过去甚至现在,绝大多单位组织普遍重视网络侧防御,或数据安全建设中沿用自下而上的“堆产品”思维,烟囱式建设,导致数据安全普遍存在上述管理制度体系不健全、数据资产权责不清晰等问题挑战,且这些问题随着新业务开展、数据大范围流动共享、强监管态势不断放大。
数据安全建设亟需与时俱进,体系化开展。数据安全治理则提出了一整套可行的解决途径。数据安全治理目的是保障数据在安全可控的情况下使用并发挥价值,强调以数据为中心、安全与业务发展兼顾、从业务层到安全层,从管理层到技术层,自上而下全方位与体系融合,最终实现数据安全保障能力持续提升。
二、数据安全治理框架与思路
基于十余年数据安全领域研究,美创科技充分汲取Gartner数据安全治理框架(DSG)、Microsoft数据安全治理框架(DGPC)、DSMM数据安全能力成熟度模型、以及零信任2.0数据安全架构,形成一整套可落地实践的数据安全治理服务解决方案,并在实践中不断优化,让数据安全治理这项复杂而系统的工程,在不同行业、不同场景中有效落地。
图 1美创数据安全治理服务解决方案
1.数据安全治理建设思路
●以数据为中心:综合考虑数据属性、存储分布、流转、使用等状况,掌握厘清数据与业务的关系。
●以组织为单位:提升整个组织的数据安全安全能力,使数据安全管理更加合理规范、完善可持续。
●以合规为驱动:充分了解合规及行业监管要求,满足合规性要求的同时,兼顾业务实际发展状况。
●以能力成熟度模型为抓手:基于数据生命周期定义数据安全过程域和基本实践,满足能力成熟度等级安全要求。
2.数据安全治理建设目标
数据安全治理实现分为4个阶段,通过厘清数据资产、风险摸清安全现状,通过规划数据安全架构和建设路径,补齐短板实现短期数据安全规划目标,进行常态化数据安全监管以及持续有效的支撑和防范夯实基础,逐步实现数据安全全域可管、风险全局可视,以及数据安全可信的目标,最终达成“让数据更安全,更有价值”。
图 2美创数据安全治理建设目标
三、数据安全治理实践路径
图 3美创数据安全治理实践路径
1.现状调研
采用资料收集、问卷调研、现场访谈、系统演示和工具探查的方式,全面了解数据安全管理现状(如:组织架构、数据安全相关的政策、制度和规范、业务特征、网络拓扑、数据存储情况等),明确主要痛点问题,提炼出数据安全建设的总体目标、主要方向和具体工作思路。
图 4现状调研方式
2.数据资产梳理
●数据资产盘点:通过专业团队+自动化工具方式梳理数据资产情况,形成数据资产清单。
●数据权限现状:对不同用户权限现状进行全面梳理,从用户维度和对象维度进行权限描述。
●数据流向梳理:盘点数据从采集、传输、共享交换到销毁的流向,形成数据流向图。
●数据分类分级:结合国家、行业及自身特点,以数据最稳定的特征和属性为依据,完成数据分类和分级。
图 5美创数据分类分级流程
3.数据安全风险评估
●基础风险评估:通过安全基线检查、漏洞扫描、渗透测试等方式,发现数据处理环境中存在的安全漏洞。
●数据安全能力差距评估:依据数据安全能力成熟度模型,分析和评估当前组织安全能力现状,明晰组织数据生命周期各阶段的能力现状与目标的差距。
●数据安全合规评估:全面解读和分析《数据安全法》、《个人信息保护法》以及地方办法条例内容,通过联合对标分析,评估合规风险。
●数据全生命周期风险评估:参考信息安全风险分析方法,从资产和风险两大视角出发,基于数据分级结果,建立组织风险评估模型,识别组织面临的数据安全风险。
图 6数据全生命周期风险评估
4.数据安全建设规划
●数据权限设计:基于用户/角色和权限现状,在合规目标的指导下,结合数据分类分级结果,定制符合组织实际业务场景的数据安全权限。
图 7美创数据安全建设规划流程
●组织架构设计:定义决策层、管理层、监督层、执行层的安全职责及动态协同机制。
●管理制度体系规划:制定数据安全管理办法、应急管理等标准规范健全制度体系,明确各个阶段的管理要求和规章制度,健全组织数据安全制度规范体系。
●技术体系建设规划:从安全防护和可用性两大视角出发,针对具体场景进行数据安全防护建设,包括事前防护、事中阻断、事后追溯的全链路安全技术体系。其中,数据安全技术建设规划可分阶段进行,包括数据内控合规、数据全域管控、风险全局可视、数据安全可信:
图 8美创数据安全技术解决方案
1. 数据内控合规阶段:通过敏感数据发现、数据动/静态脱敏、数据库日志审计、权限管控和数据资产保护、身份鉴别(人、终端、应用)、高危操作防护、访问控制、特权管理等,加强内部安全管控;
2. 数据全域管控阶段:更加侧重组织数据安全全面可管理,基于已有的网络安全和内控安全保障,防御外部和数据流动风险,主要包括入侵防护、漏洞防御、访问控制、误操作恢复、数据加密、计算环境安全、溯源管理、数据加密等,通过数据安全管理平台整体实现数据全域管理;
3. 风险全局可视阶段:以日志信息、风险操作、告警、数据库运行状态等大数据为基础,从全局视角提升对数据安全威胁的发现识别、理解、分析和响应能力的防护方式;
4. 数据安全可信阶段:通过制度、人员、工具、流程等逐步达到数据全域可管和风险全局可视的中长期目标,最终以建立可信的数据源、可信的数据传输环境和存储环境,达到数据安全可信阶段,释放数据价值。
数据安全无小事,为数据使用创造一个安全好用的环境,让数据使用者放心大胆的专心致力于数据价值的挖掘,在数据安全治理和建设实践中,美创积累总结了丰富的经验,并能够提供全面完整的咨询和建设服务,为组织数据安全治理提供可靠落脚点。