【安防展覽網(wǎng) 視點(diǎn)跟蹤】當(dāng)前��,我國連續(xù)出臺(tái)一系列關(guān)于數(shù)據(jù)安全的法律法規(guī)��,從立法到執(zhí)法��,監(jiān)管的步伐日益加速����,數(shù)據(jù)安全的法律體系雛形漸成。在安全合規(guī)趨緊的當(dāng)下�����,各組織加強(qiáng)數(shù)據(jù)安全能力建設(shè)已是勢所必然。
數(shù)據(jù)安全能力是指數(shù)據(jù)在流動(dòng)過程中�,組織為了保障數(shù)據(jù)的保密性、完整性���、可用性而在安全規(guī)劃���、安全管理、安全技術(shù)�����、安全運(yùn)營等方面采取的一系列活動(dòng)�����。
對(duì)此���,如何建設(shè)數(shù)據(jù)安全能力�����,美亞網(wǎng)安技術(shù)專家將圍繞數(shù)據(jù)安全能力建設(shè)的驅(qū)動(dòng)力�、數(shù)據(jù)安全能力建設(shè)����、數(shù)據(jù)安全規(guī)劃能力建設(shè)�、數(shù)據(jù)安全管理能力建設(shè)�����、數(shù)據(jù)安全技術(shù)能力建設(shè)����、數(shù)據(jù)安全運(yùn)營能力建設(shè)等方面作分享。
1��、數(shù)據(jù)安全能力建設(shè)的驅(qū)動(dòng)力
合規(guī)驅(qū)動(dòng)
《網(wǎng)絡(luò)安全法》�、《數(shù)據(jù)安全法》�����、《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》�、《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》、《數(shù)據(jù)安全管理辦法》等國內(nèi)法律法規(guī)中明確了組織在數(shù)據(jù)安全方面的合規(guī)要求���。歐盟正式施行《通用數(shù)據(jù)保護(hù)條例》(簡稱GDPR)����,掀起了個(gè)人數(shù)據(jù)保護(hù)立法的改革浪潮。
業(yè)務(wù)驅(qū)動(dòng)
伴隨云計(jì)算���、大數(shù)據(jù)���、人工智能等新興技術(shù)的飛速發(fā)展,數(shù)據(jù)作為支撐這些前沿技術(shù)存在與發(fā)展的生產(chǎn)資料���,已經(jīng)成為組織的核心資產(chǎn)����,受到前所未有的重視與保護(hù)�����。
風(fēng)險(xiǎn)驅(qū)動(dòng)
數(shù)據(jù)生命周期指的是數(shù)據(jù)從創(chuàng)建到銷毀的整個(gè)過程��,包括采集���、存儲(chǔ)���、處理、應(yīng)用�����、流動(dòng)和銷毀等環(huán)節(jié)。通過對(duì)數(shù)據(jù)全生命周期各階段進(jìn)行針對(duì)性的風(fēng)險(xiǎn)分析����。
2、數(shù)據(jù)安全能力建設(shè)
數(shù)據(jù)安全能力建設(shè)目標(biāo)
在分析數(shù)據(jù)安全在合規(guī)層面��、業(yè)務(wù)層面和風(fēng)險(xiǎn)層面所面臨的挑戰(zhàn)���,融合業(yè)務(wù)����、管理�����、技術(shù)�����、運(yùn)營等方面的需求后��,需實(shí)現(xiàn)組織數(shù)據(jù)資產(chǎn)可視���、數(shù)據(jù)血緣可溯�����、數(shù)據(jù)風(fēng)險(xiǎn)可控��、數(shù)據(jù)威脅可管�。
數(shù)據(jù)安全能力建設(shè)思路
隨著組織業(yè)務(wù)的豐富和擴(kuò)展�����,數(shù)據(jù)越來越多種多樣����,越來越龐大,相應(yīng)的數(shù)據(jù)安全問題也變得越來越復(fù)雜����。近年來,一些安全相關(guān)的機(jī)構(gòu)紛紛提出數(shù)據(jù)安全的實(shí)踐體系���、方法論與解決方案���。主要分為兩類:一類是“由上而下”的數(shù)據(jù)安全治理體系���;另一類是數(shù)據(jù)安全能力成熟度模型體系。
數(shù)據(jù)安全治理從平衡業(yè)務(wù)需求��、風(fēng)險(xiǎn)����、合規(guī)、威脅到實(shí)施安全產(chǎn)品����,為保護(hù)產(chǎn)品配置策略。
數(shù)據(jù)安全能力成熟度模型圍繞數(shù)據(jù)的生命周期����,并結(jié)合業(yè)務(wù)的需求以及監(jiān)管法規(guī)的要求,持續(xù)不斷的提升組織整體的數(shù)據(jù)安全能力���,從而形成以數(shù)據(jù)為核心的安全框架�。
數(shù)據(jù)安全能力建設(shè)框架
數(shù)據(jù)安全能力建設(shè)并非單一產(chǎn)品或平臺(tái)的構(gòu)建��,而是覆蓋數(shù)據(jù)全部使用場景的數(shù)據(jù)安全體系建設(shè)����。為了有效地實(shí)踐數(shù)據(jù)安全能力,形成數(shù)據(jù)安全的閉環(huán)����,我們需要一個(gè)系統(tǒng)化的數(shù)據(jù)安全能力建設(shè)框架。
3�����、數(shù)據(jù)安全規(guī)劃能力建設(shè)
業(yè)務(wù)場景識(shí)別
識(shí)別業(yè)務(wù)數(shù)據(jù)使用的場景��,是數(shù)據(jù)安全能力建設(shè)的出發(fā)點(diǎn)�����,業(yè)務(wù)數(shù)據(jù)場景識(shí)別以數(shù)據(jù)生命周期為基礎(chǔ)��,通過對(duì)數(shù)據(jù)采集場景�、數(shù)據(jù)存儲(chǔ)場景、數(shù)據(jù)傳輸場景����、數(shù)據(jù)處理場景、數(shù)據(jù)使用場景�����、數(shù)據(jù)銷毀場景的分析,梳理資產(chǎn)���、數(shù)據(jù)�、用戶�、權(quán)限等要求,指導(dǎo)各個(gè)能力維度的建設(shè)��。實(shí)現(xiàn)以場景化方式指導(dǎo)安全技術(shù)���、管理����、運(yùn)營能力進(jìn)行落地�����。
數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估
數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估從業(yè)務(wù)場景識(shí)別結(jié)果著手�,以敏感數(shù)據(jù)為中心、以數(shù)據(jù)生命周期為主線�、以敏感數(shù)據(jù)場景為著力點(diǎn),關(guān)注敏感數(shù)據(jù)場景�、承載敏感數(shù)據(jù)的業(yè)務(wù)流程����、敏感數(shù)據(jù)流轉(zhuǎn)�����、相應(yīng)業(yè)務(wù)活動(dòng)中涉及的各類業(yè)務(wù)執(zhí)行人員及權(quán)限�,分析并評(píng)估相關(guān)業(yè)務(wù)處理活動(dòng)中存在的權(quán)限提升����、信息泄露、用戶冒用�����、數(shù)據(jù)篡改����,行為抵賴等數(shù)據(jù)安全威脅及風(fēng)險(xiǎn)。
數(shù)據(jù)分類分級(jí)
數(shù)據(jù)分類級(jí)是數(shù)據(jù)安全能力建設(shè)中的一個(gè)關(guān)鍵部分�,是建立統(tǒng)一、準(zhǔn)確���、完善的數(shù)據(jù)架構(gòu)的基礎(chǔ)��,是實(shí)現(xiàn)集中化�、專業(yè)化、標(biāo)準(zhǔn)化數(shù)據(jù)管理的基礎(chǔ)���。數(shù)據(jù)分類分級(jí)可以全面清晰地厘清數(shù)據(jù)資產(chǎn)�����,確定應(yīng)采取的數(shù)據(jù)安全防護(hù)策略和管控措施����,在保證數(shù)據(jù)安全的基礎(chǔ)上促進(jìn)數(shù)據(jù)開放共享�����。
4���、數(shù)據(jù)安全管理能力建設(shè)
構(gòu)建組織機(jī)構(gòu)
在建設(shè)數(shù)據(jù)安全能力體系過程中����,從決策到管理��,都離不開業(yè)務(wù)部門的參與和配合��。設(shè)計(jì)數(shù)據(jù)安全的組織架構(gòu)時(shí),可按照決策層����、管理層���、執(zhí)行層�、員工和合作伙伴���、監(jiān)督層的組織架構(gòu)設(shè)計(jì)�����。
建立人員能力
數(shù)據(jù)安全的人員能力主要包括幾個(gè)維度���,數(shù)據(jù)安全管理能力、數(shù)據(jù)安全運(yùn)營能力����、數(shù)據(jù)安全技術(shù)能力和數(shù)據(jù)安全合規(guī)能力。
制定制度流程
制度流程需要從組織層面整體考慮和設(shè)計(jì)�����,并形成體系框架。制度體系需要分層����,層與層之間,同一層不同模塊之間需要有關(guān)聯(lián)邏輯����,在內(nèi)容上不能重復(fù)或矛盾。
5��、數(shù)據(jù)安全技術(shù)能力建設(shè)
數(shù)據(jù)安全采集
數(shù)據(jù)采集階段主要的風(fēng)險(xiǎn)集中在采集源��、采集終端���、采集過程中�,包括采集階段面臨的非授權(quán)采集����、數(shù)據(jù)分類分級(jí)不清、敏感數(shù)據(jù)識(shí)別不清�、采集時(shí)缺乏細(xì)粒度的訪問控制、數(shù)據(jù)無法追本溯源�����、采集到敏感數(shù)據(jù)的泄密風(fēng)險(xiǎn)、采集終端的安全性以及采集過程的事后審計(jì)等����。
數(shù)據(jù)安全加密
在數(shù)據(jù)存儲(chǔ)和傳輸階段,需要建立相關(guān)加密措施來保障數(shù)據(jù)在存儲(chǔ)�����、傳輸過程中的機(jī)密性�、完整性和可信任性����。
數(shù)據(jù)訪問控制
為了保證在數(shù)據(jù)生命周期的各個(gè)階段和不同場景下的數(shù)據(jù)機(jī)密性和完整性,允許合法使用者訪問數(shù)據(jù)資產(chǎn)����,防止非法使用者訪問數(shù)據(jù)資產(chǎn)��,防止合法使用者對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行非授權(quán)的操作訪問�����,往往需要對(duì)數(shù)據(jù)訪問權(quán)限加以控制和管理。
針對(duì)用戶的不同需求����,可以采用基于角色訪問控制�、基于風(fēng)險(xiǎn)的訪問控制��、基于屬性訪問控制等技術(shù)��,通過制定基于主體屬性和客體屬性的細(xì)粒度訪問控制授權(quán)策略來靈活設(shè)定用戶對(duì)數(shù)據(jù)的使用權(quán)限��,從而實(shí)現(xiàn)數(shù)據(jù)細(xì)粒度的訪問控制��。
數(shù)據(jù)泄露防護(hù)
數(shù)據(jù)源于業(yè)務(wù)系統(tǒng)�,數(shù)據(jù)的下載和傳播都是人為操作,需要通過邊界(網(wǎng)絡(luò)����、終端、虛擬化等物理邊界和邏輯邊界進(jìn)行泄漏���,所以����,數(shù)據(jù)泄漏防護(hù)的核心思想就是沿著數(shù)據(jù)傳遞方向逐級(jí)進(jìn)行防護(hù)����,進(jìn)而達(dá)到降低風(fēng)險(xiǎn)的效果�。
數(shù)據(jù)安全脫敏
敏感數(shù)據(jù)在使用過程中存在被非法泄露�、被非授權(quán)篡改、假冒���、非法使用等安全風(fēng)險(xiǎn)��。而數(shù)據(jù)脫敏�,即在保留數(shù)據(jù)原始特征的同時(shí)改變它的部分?jǐn)?shù)值��,避免未經(jīng)授權(quán)的人非法獲取組織敏感數(shù)據(jù)�����。借助數(shù)據(jù)脫敏�,信息依舊可以被使用并與業(yè)務(wù)相關(guān)聯(lián)����,不會(huì)違反相關(guān)規(guī)定,而且也避免了數(shù)據(jù)泄露的風(fēng)險(xiǎn)��。目前數(shù)據(jù)脫敏的技術(shù)主要有三種:基于數(shù)據(jù)失真/擾亂技術(shù)���、數(shù)據(jù)加密技術(shù)和數(shù)據(jù)限制發(fā)布技術(shù)���。
數(shù)據(jù)安全審計(jì)
數(shù)據(jù)控制權(quán)的轉(zhuǎn)移帶來新的審計(jì)問題�����,由于數(shù)據(jù)處理各方對(duì)數(shù)據(jù)都具有訪問權(quán)限����,加上數(shù)據(jù)本身具有易復(fù)制��、易擴(kuò)散的特點(diǎn)����,導(dǎo)致在發(fā)生數(shù)據(jù)泄露等安全事件時(shí),往往難以界定安全責(zé)任����。因此,數(shù)據(jù)安全審計(jì)需要由以系統(tǒng)為核心向以數(shù)據(jù)為核心進(jìn)行轉(zhuǎn)變��。
數(shù)據(jù)安全銷毀
數(shù)據(jù)銷毀主要是指獲得組織�、用戶的授權(quán)許可或請(qǐng)求后對(duì)數(shù)據(jù)進(jìn)行清除或銷毀。使用組織授權(quán)的技術(shù)和方法對(duì)敏感信息進(jìn)行清除或銷毀����,保證無法還原��,并且具備安全審計(jì)能力�����。數(shù)據(jù)安全銷毀能夠提供數(shù)據(jù)銷毀過程的安全審計(jì)功能���,審計(jì)覆蓋到各系統(tǒng)每個(gè)用戶,對(duì)數(shù)據(jù)銷毀過程中的重要用戶行為和重要安全事件保留審計(jì)日志并進(jìn)行審計(jì)����。
6、數(shù)據(jù)安全運(yùn)營能力建設(shè)
數(shù)據(jù)資產(chǎn)管控
結(jié)合業(yè)務(wù)場景界識(shí)別結(jié)果��,通過數(shù)據(jù)資產(chǎn)管控技術(shù)�,建立面向統(tǒng)一數(shù)據(jù)調(diào)度方式,形成良性數(shù)據(jù)共享機(jī)制�,提高數(shù)據(jù)置信度�、優(yōu)化模型合理性、數(shù)據(jù)流轉(zhuǎn)更清晰����,管理權(quán)責(zé)更明確,在以成效為導(dǎo)向的價(jià)值標(biāo)準(zhǔn)下,數(shù)據(jù)資產(chǎn)管控?zé)o疑將成為組織數(shù)據(jù)安全能力建設(shè)核心支點(diǎn)�。
安全策略執(zhí)行
組織在采取適當(dāng)?shù)募夹g(shù)手段的基礎(chǔ)上,建立與組織數(shù)據(jù)安全策略一致的安全保護(hù)機(jī)制�,執(zhí)行各類流程和程序以維護(hù)和管理數(shù)據(jù)資產(chǎn)。
持續(xù)安全監(jiān)控
組織制定適當(dāng)?shù)幕顒?dòng)��,實(shí)施對(duì)內(nèi)部數(shù)據(jù)資產(chǎn)面臨的風(fēng)險(xiǎn)和組織外部的威脅情報(bào)的持續(xù)安全監(jiān)控���,確保能夠準(zhǔn)確地檢測到異常和事件��,了解其潛在影響����,及時(shí)驗(yàn)證保護(hù)措施的有效性�。
應(yīng)急響應(yīng)恢復(fù)
組織制定并實(shí)施適當(dāng)?shù)幕顒?dòng),以便對(duì)檢測到的數(shù)據(jù)安全事件采取行動(dòng)��,并恢復(fù)由于事件而受損的任何功能或服務(wù)�����,以減少數(shù)據(jù)安全事件的影響����。
人員能力培養(yǎng)
組織的數(shù)據(jù)安全管理能力����、技術(shù)能力�����、運(yùn)營能力建設(shè)等推進(jìn)落地終究離不開人的執(zhí)行���,組織內(nèi)不同部門����、不等層級(jí)及不同來源的員工���,在不同場景下直接和間接地接觸數(shù)據(jù)資產(chǎn)�����,所以風(fēng)險(xiǎn)始終存在于人身上��,需要逐步提升人員的安全意識(shí)���,加強(qiáng)人員的數(shù)據(jù)安全管理能力����、數(shù)據(jù)安全運(yùn)營能力�����、數(shù)據(jù)安全技術(shù)能力和數(shù)據(jù)安全合規(guī)能力�����。
總結(jié)
組織業(yè)務(wù)發(fā)展越來越依賴數(shù)據(jù)資產(chǎn)����,在有效地利用數(shù)據(jù)����,最大限度發(fā)揮大數(shù)據(jù)的價(jià)值的同時(shí),也面臨著數(shù)據(jù)帶來的諸多安全隱患問題�����,如隱私泄漏����,數(shù)據(jù)管理、數(shù)據(jù)可用性和完整性破壞等���,確保數(shù)據(jù)資產(chǎn)的安全是目前重點(diǎn)關(guān)注的問題���。
組織通過開展數(shù)據(jù)安全規(guī)劃活動(dòng)�,從合規(guī)性要求��、業(yè)務(wù)自身安全要求和風(fēng)險(xiǎn)控制要求入手����,根據(jù)業(yè)務(wù)的特點(diǎn)對(duì)各類場景進(jìn)行識(shí)別和風(fēng)險(xiǎn)評(píng)估的結(jié)果,制定組織的數(shù)據(jù)的分類分級(jí)標(biāo)準(zhǔn)�,并通過數(shù)據(jù)安全管理能力、數(shù)據(jù)安全技術(shù)能力�、數(shù)據(jù)安全運(yùn)營能力三個(gè)維度的建設(shè),建立具有自優(yōu)化特性的數(shù)據(jù)安全防護(hù)閉環(huán)控制體系���,不斷優(yōu)化數(shù)據(jù)安全保護(hù)機(jī)制和方法�����,降低數(shù)據(jù)資產(chǎn)的風(fēng)險(xiǎn)���,保障數(shù)據(jù)生命周期的安全可管可控。
移動(dòng)版
智慧城市網(wǎng)APP
智慧城市網(wǎng)小程序
微信公眾號(hào)
