数据安全--19--数据安全管理之数据使用
本博客地址:https://security.blog.csdn.net/article/details/131076654
一、数据使用概述
数据使用是指企业在提供产品和服务、开展经营管理等活动中,进行的一系列数据使用活动。数据在不同的场景下会有不同的使用方式,这些场景主要有以下:数据访问、数据导出、数据加工、数据展示、开发测试。除此外,还有一些合规的使用原则是通用的,是必须要遵守的。
本文将从以上几个场景来讲解数据使用的安全管理。
二、通用的合规使用原则
不管通过什么方式去使用数据,有一些合规要求是必须要遵守的。
首先,在处理个人数据前,必须要征得个人信息主体的授权同意,未经个人信息主体同意的情况下不能处理个人数据,同时,处理个人数据必须符合相关法律法规要求,以满足个人数据处理的必要性与合理性。
其次,数据的使用不应该超出数据采集时所声明的目的和范围。还有,要保障数据在使用过程中不能存在非授权访问、窃取、泄露、篡改、损毁等安全风险。
三、数据访问的数据管理措施
数据访问可以分为一般访问和特权访问,针对不同的访问,安全保障措施也不同。
3.1、一般访问
一般访问是指业务人员通过系统查询页面访问相关用户数据,其目的以业务为导向,例如:客服、收款等场景,一般访问往往存在着查询频繁、业务必要、数据敏感等特点,可能会导致数据泄露频出。针对一般访问场景的安全保障措施有以下:
● 对敏感数据的明文查询要做到逐条授权、逐条查询。禁止批量查询,所有批量查询的需求都应该通过企业内部走工单申请实现;
● 综合查询页面默认所有敏感信息脱敏展示,如果业务必须查询详情需通过专属查询按钮进行查询。在查询过程中所有查询日志必须归档保存,查询日志包含明确的主体、客体、操作时间、操作类型、操作结果等;
● 针对敏感信息查询接口设定安全阈值,通过对用户查询行为进行监控,对查询频率、总量等指标进行实时监测预警,掌握一线业务人员查询量动态,保障数据安全查询的真实性和有效性;
● 所有能查询用户敏感数据的页面涉及的系统,均需要进行身份二次校验,如账号密码+移动令牌、账号密码+短信验证码等。将数据访问权限与实际访问者的身份或角色进行关联,防止数据的非授权访问,保证系统一账一人的数据安全要求;
● 所有涉及到敏感信息查询的页面,在上线前均需要经过安全评估测试,确定无越权、无敏感数据泄露等隐患后,才能正式上线使用。
● 至少每年一次核验所有账号的权限,对于已经失效的账号和授权,及时进行清除。
3.2、特权访问
特权访问是指技术人员通过底层数据库或超级管理员权限对敏感数据的查询行为,针对特权访问场景的安全保障措施有以下:
● 数据库相关底层密码通过Valut实现自动化托管,DBA 无须知道数据库密码,仅通过权限管理完成对数据库的管理。所有登录行为依托于堡垒机,保证所有操作可追溯、可审计;
● 特权账号申请需要走内部审批授权,并记录特权账号的访问过程和操作记录,同步至日志审计平台,以便事后进行审计。
● 依据三权分立原则,通过设立管理员、操作员、审计员保证系统应用层的安全。管理员仅支持应用系统账号管理操作,操作员仅支持业务功能模块操作,审计员仅支持管理员和操作员的行为审计操作。
四、数据导出的安全管理措施
数据导出是指数据从高等级安全域流动至低等级安全域的过程,如数据从生产系统流动至办公终端、移动存储介质等。其核心是按照最小够用原则,确定数据导出场景、范围和权限规则。同时加强对人员身份的管控以及操作行为记录,另外,还需要对敏感级别的数据配备加密和脱敏技术。
数据导出的安全管理措施如下:
首先,无论在任何时候导出数据都应该遵循最小够用原则,不要导出多余的数据。
其次,在导出敏感数据时,对导出操作需要明确安全责任人,并配备安全、完善的身份验证措施对导出操作人进行实名认证。同时,对敏感数据的导出需要有详细操作记录,包括操作人、操作时间、操作结果、数据类型等,记录的留存时间不少于六个月。
再次,敏感数据的导出操作还需要有明确的权限申请和审核批准机制,导出数据时需要走数据导出流程。这里可以将流程审批系统与数据分类分级系统相结合,告知审核人员数据的敏感等级作为审批参考。同时,还可以根据数据的敏感等级和数据量,更智能化的选择审批节点,对不同密级的数据采取不同的审批流程。
最后,在导出操作时,将操作执行的网络地址限制在有限的范围内,并对导出的敏感数据使用加密、脱敏等技术手段防止数据泄露。
五、数据加工的安全管理措施
数据加工主要是指企业基于市场分析、业务优化、风险管控等需求,对数据进行清洗、转换、分析、挖掘等操作。
数据加工前,首先需要明确原始数据加工过程中的数据获取方式、访问接口、授权机制、逻辑安全、处理结果等安全内容。同时在加工之前应进行数据安全评估,并采用加密、脱敏等技术措施,保证数据加工过程的数据安全性。
最常见的数据加工形式就是数据融合,对于数据融合的安全管理,如下:
● 在非个人信息数据融合前,需要评估数据融合是否符合当前法律法规的要求、数据使用是否已获得了数据来源的授权,数据融合的结果是否可能产生衍生的个人信息数据等。
● 在个人信息数据融合前,需要进行个人信息安全影响评估,评估内容包括:融合需求的合理性和必要性、融合行为对于个人信息主体的影响、是否征得个人信息主体的授权同意、是否符合相关的法律法规要求、处理记录保存机制等。
此外,还应当对数据加工过程进行必要的监督和检查,确保加工过程的数据安全性。并记录数据加工过程的操作日志,便于后续审计。
六、数据展示的安全管理措施
数据展示主要是指企业通过业务运营平台、客户端应用软件、网站、大屏等界面显示数据的过程。这里的安全管理通常是围绕展示的全生命周期进行开展的。
数据展示前,需要事前评估展示需求,包括展示的条件、环境、权限、内容等,确定展示的必要性和安全性。同时,所有涉及敏感信息展示的页面,在上线前均需要经过安全测试。
数据展示时,我们主要防止的就是敏感数据的展示泄露,这里的安全措施有以下:
● 对应用系统桌面、移动终端等界面展示增加水印;
● 采用相关技术,禁止展示界面的复制、截屏、打印等可将展示的数据导出的功能,如确有需要,需要遵循数据使用流程进行申请;
● 无合理理由敏感信息展示均需要脱敏,对于特殊需要明文展示的场景,需要安全或合规部门确认;
● 数据脱敏处理需要在服务端完成,传输接口与审计日志记录中不能包含敏感数据的明文。
数据展示后,应及时将展示数据从本地缓存中清除。
七、开发测试的安全管理措施
开发测试是指企业完成软件、系统、产品等开发和测试的过程,在这个过程中,为了保证软件投入生产后的良好使用体验,可能会使用一些真实的个人数据进行仿真测试,在这个场景下就涉及到了对这些个人数据的安全防护。
通常情况下,在系统开发测试过程中是不建议使用生产数据的,可以通过造一些独立的测试数据来实现测试,但在一些特殊场景中,还是需要将生产数据导出到测试环境中进行测试验证。
对于开发测试场景下的数据使用安全,通常有以下安全管理措施:
1、将生产环境数据导入到测试环境前,需要做好相关的安全措施:
● 通过访问控制的方式,实现开发测试环境数据与生产环境数据的有效隔离,具体表现形式为网络访问不可达;
● 在非特殊情况下生产数据不能导入开发测试环境;
● 在特殊情况下,导出生产环境数据前需要事先经过审批授权,以确保数据导出的正当性与合法性,原则上导出的数据不应涉及敏感数据;
● 在导出生产环境数据前,需要通过技术手段限制数据导出的范围,包括数据对象、数据量等。
2、将生产环境数据导入到测试环境时,需要做好相关的安全措施:
● 需要对敏感数据进行脱敏处理,防止数据在测试环境中产生数据泄露。
3、将生产环境数据导入到测试环境后,需要做好相关的安全措施:
● 非企业内部人员在接入开发测试环境前,需要进过相关部门的审批;
● 存储有开发测试数据的设备、介质带出企业前,需要进过相关部门的审批;
● 对开发测试过程进行日志记录,并定期进行安全审计。
八、总结
数据使用主要有五个场景,【数据访问】主要关注的是权限管控和行为监控,【数据导出】主要关注的是权限管控的数据脱敏,【数据加工】主要关注的是安全与合规,【数据展示】主要关注的是数据的脱敏,【开发测试】主要关注的是数据从生产环境导出过程中的安全管控。