数据安全能力成熟度模型(DSMM) - 阅读记录

信息安全技术 数据安全能力成熟度模型 白皮书 阅读记录

规范目的：
以数据为中心，保护数据生命周期中的每一步的数据安全性。

0x00 数据生命周期及规范概览

数据生命周期分为以下6个：

1.数据采集安全
2.数据存储安全
3.数据传输安全
4.数据处理安全
5.数据交互安全
6.数据销毁安全

每个过程域中包含各自的安全规范
（由组织建设、制度流程、技术工具、人员能力四个部分组成）
也有贯穿整个生命周期的通用安全规范
（策略、规程、合规管理）

而DSMM规范又将以周期和安全规范为维度，给数据安全能力做了划分，分为五级，具体可见下图。

这就是我们常见到的DSMM模型架构。

image.png

0x01 数据生命周期各阶段的安全

1. 通用安全要求

首先，贯穿整个数据安全生命周期的几项通用安全要求，
（其实这也和划分的能力成熟度一定程度对应）

1.规范化
制定企业内部的制度流程，保证数据全生命周期安全性、可用性、持续化。
2.合规性
首先需满足国家对于数据安全的法律要求，可参见《信息安全技术 大数据服务安全能力要求》，再而满足企业内部指定的数据安全规范、策略等。
3.计划性
根据业务场景，保证制定的策略、规范的可落地性。
4.可分析、可追溯性
全生命周期中各过程域均需建立在线话平台，对各阶段数据操作作记录，使所有数据操作均可分析、追溯。
5.改进能力
关注该制度、策略在整个组织机构范围内的使用情况，分析和标识产生缺陷原因，寻求更具备适应性变更和优化解决方案、，目标和规划。

其次按照生命周期的各个阶段来描述一下自己的理解。
在白皮书中，有这么一张图概述了各阶段的安全，可以参看着这张图来理解。

image.png

2. 数据采集阶段

• 数据分级分类：

  1. 建立数据分级分类标准（规范化）
  2. 建立分级分类平台&工具，人工/自动化对数据进行标识、检查（合规化、计划性）
  3. 标识及操作变更日志记录，支持异常告警、风险分析（可分析、可追溯性）

• 数据采集和获取：

  明确采集目的、范围、用途，采集时秉持"数据最小化"原则。

  1. 关注采集的渠道安全性（加密传输、访问控制）
  2. 对采集数据进行校验：数据格式的规范化、重要数据和个人信息的合规性要求（脱敏）
  3. 采集过程可追溯（记录采集日志）

• 数据清洗/转换:

  保持数据的可用性和持续性。数据访问控制，重要数据和个人信息的保存和一致性检测能力，能够体现转换前后的映射关系。
  （这里可能是对溯源等过程提供映射关系支撑。）

• 质量监控：
  数据质量监控

3. 数据传输阶段

根据数据类型级别的不同，对传输场景要求安全协议/通道、加密传输、签名验证等安全控制技术。

同时对安全控制技术中使用到的密钥/算法等进行严格访问控制。

4. 数据存储阶段

• 数据存储&逻辑存储&访问控制&数据副本

  1. 数据访问控制策略：
     分布式的存储隔离、各业务各任务隔离、备份的访问隔离、核心数据网络层面隔离；平台化对人员的访问权限管理。

  2. 数据加密：
     评估各类算法性能瓶颈，建立满足应用层、数据平台层、操作系统层等不同的存储加密架构。（规范化、合规化）

  3. 容灾能力：
     定期数据复制、备份，保证备份的完整性可用性，保持数据有效性。

  4. 可扩展：
     设计可扩展的数据存储架构，以满足数据量持续增长。

  5. 所有数据操作日志记录，可审计。（可分析、可追溯化）

• 数据归档

  归档存储数据的有效化保护（访问控制、压缩、加密管理），完整性和可用性管理。支持海量数据的归档、恢复和使用

• 数据时效性

  1. 制定数据有效性管理规范，明确数据分享、存储、使用和清除的有效期、到期后的流程，过期存储数据的管理策略。（规范化、合规化）
     工具化对存储时效性进行阀值提醒。（计划性）
  2. 建立分层的数据存储方法，使数据用户高效使用数据
  3. 误删除数据的恢复。

4. 数据处理阶段

• 分布式处理安全：

  1. 分布式节点间的可信链接周期性认证；
  2. 处理节点和用户属性周期性验证；
  3. 各任务调试信息和日志输出监控，确保无非必要信息泄漏。

• 数据分析安全

  1. 数据文件的和用户身份进行对应认证，保证分析人员的数据权限范围不会越界；
  2. 个人信息及重要信息的去标识化处理。
  3. 分析结果数据监控/阻断，无非必要信息记录。
  4. 分析过程中对重要数据的操作行为日志记录。（可分析、可追溯性）

• 数据正当使用

  1. 构建内部统一身份及访问管理平台，关键系统多因素认证，针对数据资源和用户进行权限管理、时效性管理，最小够用原则。
  2. 完整记录数据使用过程的操作记录，对数据滥用情况有效识别、监控预警（可分析、可追溯性）
     发现未监控到事件进行监控预警策略的补充优化（改进能力）

• 密文数据处理

  1. 针对密钥全生命周期的安全管理
  2. 针对加密算法的性能和瓶颈合规定制数据加密方案。

• 数据脱敏处理

  1.制定不同类别等级数据脱敏原则和规范，保证业务和安全的有效平衡；

• 数据溯源

  1.保证加工后数据可溯源性
  2.溯源数据的授权访问、备份。保证完整性，保密性。

5. 数据交换安全

• 数据导入导出&数据共享安全

  1.制定数据交换的安全规范和安全基线，并在导入导出过程中对用户明确
  2.平台化对数据交换流程审核，秉持数据最小够用原则。
  3.数据交换终端、用户、服务组件有效访问控制，多因素身份鉴别用户身份。
  4.对敏感数据导入导出采用数据加密并对通道中的数据进行有效缓存清除。
  5.交换日志制定管理和定期审计方案。

• 数据发布安全

  1. 制定数据资源公开发布的制度流程和规范，针对每次发布，明确数据资源公开内容，范围、使用者权利和义务等。
  2. 定期审查数据是否存在非公开信息。
  3. 数据资源公开事件应急处理平台

• 数据交换监控

  1. 实时监控与预警高风险数据交换操作，如重要数据外发。对交互服务流量数据进行安全分析。针对接口事件，监控恶意获取、盗用风险。

6. 数据销毁安全

• 存储介质使用

  1. 有效清理存储介质
  2. 建立介质管理系统，确保存储介质的使用和传递可跟踪。

• 存储介质销毁&数据销毁

  1. 建立数据销毁机制，明确销毁方式和要求。设置销毁监督角色，监督操作过程，并对审批和销毁过程记录。
  2. 具体销毁方式可采用物理销毁/软销毁方式
  3. 建立数据销毁评估机制，同时，建立已共享或被其他用户使用的数据销毁机制。