在如今的环境下,“业务”逐渐代表着数据的移动。如果说一家企业没有进行一些数据共享的行为——比如分享销售的理念和数据、获取客户信息或者向客户传达正确的信息等,那显然他们并没有真正的实现自己的“业务”。但是另一方面,使用数据的同时,就代表着要保护数据。
安全人员有大量的方式来保护数据,但是方式如此之多以至于数据的使用方反而怨声载道:如果把数据保护得太紧,他们就无法完成他们的工作——至少这些数据的使用者是这么认定的。
解决这个问题的方式之一是对数据进行分级。这条策略在大部分的安全意识项目中都会出现。虽然说这看上去是能解决使用数据和保护数据之间的矛盾,但是如果不提前就一些问题达成共识,反而会使得工作事倍功半。
任何的数据分级都要对数据进行分类,并且打上一些标签和名字——虽然说不同企业会对标签和名字有自己的方式。SANS Institute在一份白皮书中标出了几个组织最常用的分级方式,包括以下这些:
机密性可用性完整性专利性高敏感性功能性敏感业务关键业务敏感业务限制拥有者限制拥有者使用自由性企业使用内部使用公开使用无需分级
这个列表体现了数据敏感度的一个趋势,企业可能用到其中的几个,但是尽量别全部使用,否则分级就过于精细而难以落地。这些分类的意义,在于帮助企业理解数据一旦被不正当使用、遗失、或者销毁后会产生怎样的后果。
企业需要通过数据的流动来进行业务的实现,一般而言,流动会有以下的情景:
1. 发起请求:即一方希望浏览或者改变数据。
2. 将数据储存在当人们需要它时就能接入的位置:基于部门对数据文件进行分享。
3. 将数据储存在一个特定接入的位置:数据被层层掩藏在公司内部,但是一个人可以通过点击某个连接进行接入。
4. 碰巧接入:数据很敏感,但是并没有得到足够安全的防护。结果就是,某些人能发现数据并下载。
5. 精准接入:数据可以通过被泄露的凭证接入。
以上的数据使用场景中,最后两项显然不是“适当”使用数据的场景;但事实上,这五个场景都可能造成企业和一个不应当知道相关数据的人进行数据共享,无论是意外情况,或者是缺乏对数据的敏感度和风险度意识造成。
数据的存储有着不少风险:谁能够接入这些数据?谁有权限修改这个位置的数据?这个位置的数据有备份吗?多久备份一次?在灾难发生的时候这些数据和备份会发生什么?这个位置在云端还是本地?这个位置能通过SSO登录吗?这个位置接入需要多因子认证吗?存储介质是否会被盗窃?一旦被盗窃,其他人需要花多少工夫才能获取其中的数据?这个位置有防火墙保护吗?一旦这些数据被传输,以上问题的回答是否会改变?IT人员能够在他们的权限里回答上述所有问题,但是他们无法确保数据真的按照这些需求进行防护。
尽管说数据分级是个层层递进的事,但是有时候口令库可能存在一个笔记本上的未加密数据仓中。这么做理论上能使能接入数据的人限制在一个人——除非笔记本被分享、偷窃、或者遗失了。而另一方面,可以使用高稳定的VPN进行文件分享,但是需要PIN去解密。这就代表者只有拥有PIN的人才能真正接入数据,也不会在地震等自然灾害中发生无法接入的情况。
根据不同的存储介质,会有不同的储存方式以及储存的数据。
以上的图表显示了企业各种存储介质的安全价值。企业的信息可能各不相同,因此即使基于这个表格,使用者可能依然缺乏足够的信息决定如何储存数据。数据分级的提议者可能不知道哪些人有接入合作空间的权限,或者“公司接入”权限是否也包括了合同工。这对个人来说,信息量太大了;而如果细节越多,信息量就更难以控制了。那应该如何了解,并实行分级存储的措施?
最直接的方法是直接去问那些数据的使用者。创建一个简单的调查,基于10-15种类型的文件,选取五个简单易懂的存储位置,询问那些使用者他们希望把这些数据存储在哪里。这些可以包括他们工资单的电子副本、支持网站的口令、流程文件、私人会议的记录、预售产品的数据等等。把结果聚集以后匿名化处理,然后在内部告知管理层——包括不同类型文件的数据分层选择。鼓励相关的经理和自己的团队进行沟通,从而可以做出正确的选择。
另外,企业还能寻找一些填错的数据。DLP、CASB等工具可以发现在IT环境中错填的信用卡号码或者其他敏感数据。另一方面,一些防火墙工具也能监控并阻断对受限制数据的连接。一旦知道了问题在哪,就可以让管理人员针对相关的人员进行训练。
确保所有系统都有命名的习惯,同时要能易于知晓谁接入过数据——包括数据创建数月或者数年后,这些命名方式要依然能让人理解;因为2015年的命名规则可能对2020年的新员工并不那么明显。
通过用户访问审查(User Access Reviews, UAR)和经理们确认,哪些人在CRM、ERP或者其他系统中有哪些文档,同时这些文档在这些系统中代表着什么。文档会过期,或者原使用者转移到其他职位了,却没有将原文档转移或者清除。
将数据分级作为年度信息安全训练的一环只是保卫数据的战斗中的一环。尽管说市面上有很多优秀的训练课程和视频,但是还是需要根据自己的环境选取最合适的一样。
数世点评:
数据分级可以说是数据安全的基础。由于企业数据量庞大,对所有数据进行统一的安全管控方式,会导致某些数据管控不足,或者企业成本过高——因此数据分级是一个必需的工作。由于企业当中数据被各个不同部门的人需要,使用方式又各不相同,安全人员很难从零入手。这个时候,安全人员可以和安全厂商合作,找到最适合自己的切入点,从数据分级开始进行数据防护。