数据安全复合治理与实践白皮书-学习思考


=Start=

缘由:

前段时间在蚂蚁集团联合权威机构发布《数据安全复合治理与实践白皮书》之后,下载了白皮书进行学习,在这里简单整理一下在阅读白皮书过程中自己的思考。

正文:

参考解答:

数据安全治理不单纯是一个技术问题,也不单纯是一个管理问题,而是复合类型的问题,需要高层重视,然后从上而下,借助技术破局(实现以前想做但没法做或是做不到的),借助管理手段进行宣传和推广。

一、数据的重要性逐步提高

2020年4月,首次从国家层面明确将数据作为第五大生产要素[1]。

二、数据泄露的态势逐年提升

2020 年我国多家重要单位因钓鱼邮件、安全漏洞等网络攻击造成工作人员账号、重要文件等数据泄露[2]。

2021 年全球数据泄露的平均总成本达到了 424 万美元,且近年来基本呈现持续递增的态势[3]。

三、国内外数据安全法律法规与标准相继出台

  • 国内–先后出台了《网络安全法》(2017年6月1日生效)、《数据安全法》(2021年9月1日生效)、《个人信息保护法》(2021年11月1日生效)等法律
  • 国外–欧盟GDPR、美国加州CCPA、韩国/新加坡/日本……

四、数据安全治理理念和内涵

  • Gartner 提出的 DSG 数据安全治理框架认为数据安全治理不能仅是一套集成了各类数据安全工具的产品级解决方案,而是需要从上而下贯穿整个组织架构,覆盖组织的全体人员,形成组织全员对数据安全治理目标的一致共识,并采取适当的管理和技术措施,有效地保护组织数据的全生命周期安全。
  • 微软提出的 DGPC 数据安全治理框架认为数据安全治理需围绕人员、流程和技术三个核心领域展开,与现有安全框架协同合作以实现隐私、保密和合规的安全治理目标。
  • 国内的 DSMM 数据安全能力成熟度模型认为“组织应关注数据的流转情况,将视角从数据本身扩展到其生命周期的各个阶段,使用一套以数据为核心的、围绕数据全生命周期构建的模型来指导其建立、持续改进并依此评价其数据安全能力”。

五、数据安全相关框架/方法论

  1. Gartner DSG 框架
    2015 年,Gartner 提出了数据安全治理(DSG, Data Security Governance)概念,并从方法论的角度阐述了数据安全治理的框架。(确实牛逼,15年就已经提出了一个非常好的框架和思路,这块国外还是领先不少)

DSG 框架从上到下主要包括五个部分,即平衡业务需求与风险、数据梳理和数据生命周期管理、定义数据安全策略、部署安全能力与产品、策略配置与同步。

搞数据安全的不要一上来就自己闷头搞数据安全产品,而应该首先尝试站在公司战略的高度上思考问题——公司的业务需求有哪些?面临着哪些风险?自己能提供什么方案/能力来满足业务需求,帮助业务规避风险?把格局放大,把视野打开,不要局限在自己那一块,也许你会发现事情变得不一样了,以前自己觉得很重要非做不可的事情,现在看来根本没那么重要,之前是自己格局小了,太偏执了,手里拿着个锤子,看什么都像是钉子,都想锤一下。

想法不一样了之后,接下来还要想办法建立向上沟通的渠道,和业务相关方实际沟通确认问题是不是你之前设想的那样,如果是的话那很好,沟通和执行相对来说就会顺利一些;如果不是的话也不要气馁,起码现在知道了业务方的真正诉求,接下来你的任务就是想办法满足这些真正的诉求。当你真实的满足了业务需求之后,你体现出了你对业务对公司的价值,你也会越来越重要,随着你解决的问题越来越多,你向上的路也就会越来越宽广;反之亦然。

  1. DGPC 框架(Data Governance for Privacy, Confidentiality and Compliance)
    2010 年,由微软提出,该框架由组织的人员、流程和技术三个核心领域组成。
  2. DSMM 模型
    2019 年 8 月,全国信息安全标准化技术委员会发布国家标准《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019),正式提出数据安全能力成熟度模型(DSMM, Data Security Maturity Model)模型。
  3. IPDRR 模型
    Version 1.1 was announced and made publicly available on April 16, 2018.

Identify – 看见是1,其它是0。企业安全投入有限,需要划分优先级,有针对性。
Protect – 保护是为了消减风险。
Detect – 验证保护的有效性(而且你必须要假设保护一定会被攻破),发现薄弱环节。
Respond – 采取适当行动,以将影响降到最低。
Recover – 保持业务弹性,恢复受损的服务。

IPDRR各层之间的能力、数据是有一定的继承和关联关系的。举个例子,当你的某项资产识别并不能做到100%的准确和覆盖的时候,你的防护、检测,乃至响应、恢复,必然也会有错误和遗漏,而且会随着逐层的数据流转和处理造成的误差,逐步放大。

  1. IPDRR 和 DSMM 的结合

DSM矩阵相比原始的DSMM和IPDRR框架,更符合我们自己对实际情况和自身能力的认知,既体现了我们用统一的方法论去尝试解决数据安全问题的一个美好愿景,也充分预留了PDCA做持续改进的空间。

I-识别
	资产识别
	需求识别
P-防护
	安全防护
	安全控制
D-检测
	监控审计
R-响应
	事件响应
R-恢复
	事件恢复

六、其它

中国公司数字化转型合规白皮书(8. 企业应当采取哪些措施保障数据安全)
http://lawv3.wkinfo.com.cn/topic/61000000682/index.HTML

参考链接:

[0]蚂蚁集团联合权威机构 重磅发布《数据安全复合治理与实践白皮书》【附全文下载】
https://www.4hou.com/posts/B92W

[1]中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见
http://www.gov.cn/zhengce/2020-04/09/content_5500622.htm

[2]2020 年我国互联网网络安全态势综述
https://www.cert.org.cn/publish/main/upload/File/2020%20CNCERT%20Cybersecurity%20Analysis.pdf

[3]Cost of a Data Breach Report 2021 | IBM
https://www.ibm.com/security/data-breach

How to Use the Data Security Governance Framework
https://www.gartner.com/en/documents/3873369/how-to-use-the-data-security-governance-framework

gartner-securing-the-digital-business
https://www.rsa.com/content/dam/en/analyst-report/gartner-securing-the-digital-business.pdf

Top Security and Risk Management Trends for 2019 and Beyond
https://www.cybureau.org/wp-content/uploads/2019/10/SEC25-B2-Top-Security-and-Risk-Management-Trends-for-2019-a-380329.pdf

You’ve Got Cloud Security All Wrong — Why Identity and Data Security Are Paramount in a Cloud World
https://assets-powerstores-com.s3.amazonaws.com/data/org/20033/media/doc/you_ve_got_cloud_security_all_wrong___why_identity_1599853380196001ujqb-1e618b95035bd9472f2767e01a37223d.pdf

A Guide to Data Governance for Privacy, Confidentiality, and Compliance
http://mscorp.indsyntest.com/HTML/perspective/pdf/sec-Data_Governance_-_Moving_to_Cloud_Computing.pdf

国标 DSMM
https://dsmm.cesidsat.com/assets/file/standard.pdf

NIST Cybersecurity Framework IPDRR
https://www.nist.gov/cyberframework/online-learning/uses-and-benefits-framework
https://en.wikipedia.org/wiki/NIST_Cybersecurity_Framework
https://www.nist.gov/cyberframework/online-learning/history-and-creation-framework

基于IPDRR的个人信息安全保护技术体系框架
https://www.processon.com/view/5ecb869ae401fd268dced0b6

数据安全的第一道坎
https://www.sec-un.org/%E6%95%B0%E6%8D%AE%E5%AE%89%E5%85%A8%E7%9A%84%E7%AC%AC%E4%B8%80%E9%81%93%E5%9D%8E/

=END=


《“数据安全复合治理与实践白皮书-学习思考”》 有 16 条评论

  1. 这里有一份2022年数据安全“年度五问”,谁能给出答案?
    https://www.4hou.com/posts/2DwA
    `
    痛点一:特权账号成首要攻击目标
    “特权,为何变成了‘特级危险’?”

    痛点二:内部威胁是数据泄露的第二大原因
    “层层设防,数据依然频频失窃,谁是内鬼?”

    痛点三:API广泛调用导致安全阵线失守
    “数字化时代,API泛化,你的安全阵线还齐全么?”

    痛点四:如何走好业务需求和隐私合规的钢丝绳?
    “左手业务,右手合规,隐私合规建设应该怎么做?”

    痛点五:数据安全态势感知“后知后觉”
    “‘后知后觉’的数据安全,还能叫安全么?”
    `

    数据安全三大痛点亟待破解 奇安信发布数据卫士套件
    https://www.4hou.com/posts/j69y
    `
    “随着数字化的深入,数据作为第五大生产要素已经成为经济社会发展的核心驱动力,与此同时数据安全风险与日俱增。” 奇安信集团总裁吴云坤表示。根据奇安信应急响应中心的数据显示,2021年全年为政企客户应急处置的安全事件中,接近60%是以数据为目标的勒索软件攻击和APT攻击事件,远高于2020年,数据安全正在成为数字化发展中紧迫和最基础的安全问题。尤其随着相关法律法规出台,数据安全监管体系不断加强和完善,政企机构的数据安全治理已经从合规转向合法。

    数据安全态势感知运营中心,和特权卫士、权限卫士、API卫士、隐私卫士四大能力,简称“一中心四卫士”

    数据安全态势感知运营中心–能够主动扫描数据资产,识别敏感数据,建立数据目录并分类分级,检查敏感数据驻留风险,建立敏感数据分布态势。同时,通过全流量深度解析,自动梳理涉敏资产:涉敏账户、涉敏接口、涉敏应用等,建立敏感数据流动态势。并且,数据安全态势感知运营中心还内嵌了多种数据风险感知策略与行为基线学习模型,及时发现可疑行为,建立数据安全风险态势。

    特权卫士–以保障特权账号安全为核心,能够主动发现各类基础设施资源的账号分布、识别账号风险(包括弱口令、僵尸账号、幽灵账号、长期未改密账号,账号违规提权等)、管理账号使用,实现对各类基础设施资源账号的全生命周期管理,帮助客户提升账号安全的主动防御能力,降低因账号口令泄漏或被非法利用而造成的数据外泄风险。

    权限卫士–则聚焦访问权限,基于主客体数据视图,构建统一策略管控体系,在访问层面进行精细化访问控制;同时基于持续信任评估动态对访问权限进行调整,“明确是什么部门的什么人、在什么地方、因为什么任务、访问什么数据里的什么字段”, 权限卫士和数据安全防护体系相结合,做到“主体身份可信、行为操作合规、计算环境与数据实体有效防护”,保证安全的访问数据。

    API卫士–聚焦打造持续监测响应的API安全防护能力,在检测传统Web攻击同时,还可检测与预警API传输中的敏感数据,建立基于用户访问行为的用户画像或行为模型,发现API未认证访问、弱口令登录、未授权访问、异常访问行为等。此外,API卫士还具有基于自动化发现并可视化展示及管理API能力,能够及时发现与预警僵尸、未知等异常API,以及避免在API设计之初由于缺乏统一规范导致后期大量API无法统一管理而引入的安全问题。

    隐私卫士–是一款参照《App违法违规收集使用个人信息行为认定方法》等要求,针对安卓App、iOS App、小程序、IoT设备进行隐私合规检测与分析,为企业的法务、研发、产品、安全等角色提供一个共同协作的平台,通过技术手段辅助发现隐私安全风险,避免由此带来的数据泄漏、资产损失、监管处罚等风险。隐私卫士可对个人信息采集的方式(自身采集/第三方采集)、使用权限(自身使用/第三方使用)、采集频率、是否出境、是否与隐私政策描述实质符合等进行合规检测,覆盖收集规则、使用规则、条款状态、用户权益等7个类别,90多个检测项,并且具备可扩展的检测能力,保证个人信息收集使用合规。
    `

  2. 谭晓生对话王世晞:数据安全的两大趋势和一大课题
    https://mp.weixin.qq.com/s/i5hODygdTyBCDck_jJFGJQ
    `
    01 第一大趋势 — 产品和服务并行,技术和管理并重

    现在的数据安全有一大特点是以服务为主导,产品+服务+定制化。

    其原因是在数字化转型时代,数据作为基本的生产要素存在于业务中随着业务流动。所以数据安全必须深入业务去做,需要基于用户场景对具体业务进行定制服务,标准化产品比较难以适应当前的市场。

    还有一个原因是数据安全不仅具备外延性风险,更重要的是内源性的风险,比如内部人员业务操作这层面所形成的安全威胁。所以依靠技术措施的同时,必须建立配套的数据安全管理机制。那就需要技术方面的定制服务加管理方面的咨询服务相结合。

    数据安全法把数据安全治理作为数据安全的必经之路写在第四条,突出了其极大的重要性和法律要求。数据安全治理的落脚点是两个要素:数据和人。人和敏感数据的相关联程度被作为一个重要的基准点来进行管控,是数据安全关注和处理的核心,这意味着技术和管理两个方面要同时处理,这是与原来传统的网络安全的本质还是有点区别的。

    02 第二大趋势 — 体系化融合:系统层面、技术层面、管理层面

    第二大趋势就是体系化的融合。在数字化时代,大规模的数据共享、业务协同、信息系统互联互通,数据安全必须是全方位、全流程的,需要体系化的融合。

    主要表现在三个层面,一是部门系统的融合:提效率,从总部到分支机构、到不同平级部门,要构建统一的管控平台、统一的策略下发以及事件上报、态势分析。

    二是产品技术的体系化融合,在数据、权限、行为、状态等多个维度,综合评估判断安全风险,进行相应的管控处置,构建一个强化的零信任管控机制。

    三是管理流程体系化融合。数据资产安全管理、安全合规与风险管理、安全运营管理等需要实现流程化、数字化,并落实到每一个业务流程中,融合形成统一的管理流程体系,可以重点突出地形成一个综合可视化驾驶舱。

    新课题 — 数据安全合规与风险管理

    实际上现在目前强监管的环境下,合规合法是一个刚需,数据安全法律陆续出台,如何进行合规性评估和管理是我们当前的新课题,也是数据安全产品升级和数据安全治理服务的一项内容。

    我觉得合规管理有三个层次,一是数据安全法律法规条理的梳理解读,并结合业务和数据找出重点,要做出优先落实的方案和策略,以及后续逐步推进。

    二是应对监管机构的执法检查和合规性评估。各个企业单位政府单位需要配合监管测评方面建立自查评机制,以及落实到各个业务流程和参与度。

    三是制定合法合规与风险管理评估与响应处置的机制,并构建数据安全合规与风险管控的体系。

    ==
    D – 数据资产管理
    C – 合规与风险管理
    T – 靶向数据监控
    I – 智能数据防护
    I – 综合安全措施
    `

  3. 干货丨 方兴:以风险为基础的数据安全持续治理体系·思享会
    https://mp.weixin.qq.com/s/jMdcLhgXByqCc3u42Ua-LA
    `
    # 数据安全深层剖析

    # 数据安全挑战
    大数据安全的重点是流动数据的安全,建设数据为中心的数据安全体系本质是适应数据作为生产资料的流动性,而流动数据安全的本质是从资产安全到生产安全。虽然在这个过程中许多数据已经进行了脱敏处理,但是数据的典型特征可关联推理,意思是只要可关联的数据都能带来危险,足够多的非敏感数据,可以推理出敏感数据,你认为不重要的数据,却能帮助攻击者获得需要的信息。由于没有经验借鉴,我们需要重新思考数据安全所面临的挑战:

    一、面临数据的流动性,由于业务的发展需求,数据跨系统甚至跨组织的流动,而在这样的流动性也让数据更具有很强的关联性,对于安全的威胁更大,这样的场景下传统基于信任边界的保护体系失效,要想保证数据安全,需要掌握数据流向,做好数据流动的实时监测追踪。

    二、数据的碎片化,数据在数据库、云盘、大数据平台、流量日志,被调用服务日志里分布存储,同一份数据可能多个系统有副本,数据安全难以统一管理,存在太多破碎点。

    三、安全、合规和生产效率达到平衡,数据安全治理需要大量的外包人员做运营管理、客服,这些人员因为工作需要必须接触数据,但难以用信任体系控制,传统强管控和信任模式难以实施。而且数据的使用效率和数据安全本身是冲突的,要在不影响数据效率的同时又要保证数据安全,这就需要去建立一套以数据安全风险动态监测和评估的数据安全风险持续治理体系。

    # 数据安全理念探索
    一、数据生命周期模型,即将采集、传输、存储、使用、交换、销毁视作数据的生命周期,虽然数据生命周期模型为企业提供了指导性方案,但数据跨组织、跨系统、跨国界流动涉及到的责任主体变化很难通过数据生命周期所考虑,同时,使用拆解法的数据生命周期也很难建设起一套体系。

    二、以数据为中心的安全治理模型,即对数据分类分级,并基于数据类别的安全策略做数据识别。由于以数据识别为核心的碎片化应用场景产品太少,做数据治理的厂商又缺乏碎片化场景点的产品能力,所以此模型并未起到安全治理作用。

    三、Gartner数据安全治理模型,这是一个从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条,组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。Gartner的数据安全治理框架是一个静态的风险模型,但数据风险、业务、数据资产本身就是不断在变动的,因此,此法也没有解决治理关注的核心问题。

    # 以风险为基础的数据安全持续治理体系
    核心是尽量减少对业务和数据流动的直接管控,通过依据对数据相关资产的识别追踪,实现更加精细化的对各类数据风险的实时监测,根据监测发现的风险结合统一的数据安全策略,决策相关的风险处置手段,再进行响应和风险控制,实现数据使用效率和安全风险可控的平衡,以达到治理的目的。
    `

  4. 网络安全标准实践指南–网络数据分类分级指引(v1.0-202112)
    https://www.tc260.org.cn/upload/2021-12-31/1640948142376022576.pdf
    `
    1 范围
    2 术语定义
    3 数据分类分级原则
    4 数据分类分级框架
    4.1 数据分类框架
    4.2 数据分级框架
    5 数据分类方法
    5.1 数据分类流程
    5.2 个人信息识别与分类
    5.3 公共数据识别与分类
    5.4 公共传播信息识别与分类
    6 数据分级方法
    6.1 分级要素
    6.2 基本分级规则
    6.3 一般数据分级规则
    6.4 定级方法
    6.5 重新定级
    7 数据分类分级实施流程
    附录 A 组织经营维度数据分类参考示例
    附录 B 个人信息分类示例
    附录 C 部分行业数据分类分级参考示例
    参考文献
    `

  5. 详解数据治理和数据分类分级
    https://mp.weixin.qq.com/s/EeUrNvd1-pFO1_ybMHKcpw
    `
    01 数据分类分级提出的背景

    数据的价值
    1.数据爆炸时代,数据量呈指数级增长
    2.数据成为数字时代重要战略资源
    3.生产要素由市场评价贡献、按贡献决定报酬机制开始建立

    数据治理的必要性
    1.海量数据需要治理
    2.海量的数据引发“数据危机”
    3.数据管理(治理)成为国际关注焦点
    4.我国积极推动大数据发展战略实施
    5.数据管理及治理的价值和意义

    工业数据管理意义
    1. 国际视角:主要发达国家纷纷布局工业数据抢占先机
    2. 国家视角:我国由制造大国向制造强国转变的关键举措
    3. 企业视角:推进企业数字化转型的紧迫要求

    02 工业数据分类分级情况介绍

    《指南》解读
    1.《指南》基本内容
    2.数据分类分级目的及意义

    工业数据分类分级试点工作内容
    1.试点工作目标及原则
    2.工作主体
    3.三项重点工作
    一是分类标识要全。要对工业企业的全量数据进行全面的梳理进行分类标识,做全面的梳理盘点,将企业内部的数据作为资产一样进行管理。像垃圾分类一样,将各类数据分门别类,有效的管理起来。
    二是要逐类的定级,定级要准。按照数据的受损情况进行定级,来保证数据的有效性。数据分级站在数据的安全的受损的视角上进行,分类定级不是目的,目的是要进行分级的管理,要保证数据的安全,保证企业的数据价值的有效释放。这就要求我们差异化分类施策。
    三是分级管理要细致到位。这样形成一个有效的闭环,把数据作为一个有效的过程来去做,通过试点积累的工作经验,提炼经验做法成为我们的方法论,培育行业标杆,通过他们现身说法,来进一步解释数据价值释放过程。

    03 工业数据分类分级推进路径

    理顺工作思路
    明确数据类别分类
    做好工作保障
    寻求第三方支撑
    `

  6. 《数据安全治理白皮书 4.0》全文.pdf
    https://mp.weixin.qq.com/s/ie8Bnc3BV2-A38NmjY6I-g
    `
    整个白皮书共分为六个正文章节和一个附录章节。其中:

    第一章:数据安全形势与挑战。自 2021 年来,数据安全形势发生很大变化,梳理、分析国内外数据安全战略、数据安全风险形势及国家与行业监管新形势,通过剖析新形势指导数据安全治理需求。
    第二章:数据安全治理目前面临的主要痛点和难题。面向数据安全风险和监管合规要求严峻形势,梳理数据安全治理的主要痛点、问题和关键需求。
    第三章:数据安全治理理念及框架。围绕数据安全的风险和合规驱动需求,梳理数据安全治理思路,提出治理愿景,构建治理理念,形成覆盖管理、技术、运营体系的治理框架,并给出治理规划建设实施路径。
    第四章:数据安全相关法律法规解读。在数据安全治理过程中,满足监管合规要求是重要驱动力之一,体系化解读国内外数据安全相关重要法律及法规的监管合规要求。
    第五章:数据安全治理落地实践案例集。以数据安全治理框架为指导,面向金融、政务、能源、教育、医疗等行业众多数据处理活动场景,给出丰富的实际场景化数据安全治理实践案例集,为相关方开展数据安全治理建设提供参考与借鉴。
    第六章:未来展望与倡议。面对数据安全治理实践涉及的管理、技术与运营过程中短期内尚无法有效解决的问题,以展望与倡议的形式予以表述,供行业内人士进行探讨。

    附录:对近似概念联系与区别尝试解读,对数据安全关键技术、国内外相关治理理论、数据安全相关标准进行介绍,对 2020年以来重大数据安全事件与法律案件进行分析,为业务人士提供参考。
    `

  7. 对数据安全的一些思考
    https://mp.weixin.qq.com/s/enP8MU7eBWaAbjb954JOMQ
    `
    # 数据安全威胁场景
    数据生命周期包括收集,传输,存储,使用,共享和销毁。

    我们经常遇到以下几种数据泄露场景:
    * 数据采集违反了法律法规,这个最近有很多App被通报。Tiktok还因为访问剪贴板的问题被老美拉出来锤。
    * 数据传输使用http,运营商天生就能拿到这些数据。有的用来弹广告,有的用来搞营销,更有甚者用来搞诈骗。
    * 数据存储在第三方基础设施上,第三方天生可获得这些数据
    * 数据存储存在未授权访问漏洞
    * 数据使用存在漏洞,可绕过鉴权
    * 数据使用者是内鬼
    * 数据共享到第三方,第三方存在以上任意一个问题
    * 数据的存储介质销毁的不彻底
    `

  8. 最高人民法院最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释
    http://www.cac.gov.cn/2019-10/25/c_1573534999086260.htm
    `
    # 对于“网络服务提供者”而言的定罪量刑标准

    ……
      第四条 拒不履行信息网络安全管理义务,致使用户信息泄露,具有下列情形之一的,应当认定为刑法第二百八十六条之一第一款第二项规定的“造成严重后果”:

      (一) 致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的;

      (二) 致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的;

      (三) 致使泄露第一项、第二项规定以外的用户信息五万条以上的;

      (四) 数量虽未达到第一项至第三项规定标准,但是按相应比例折算合计达到有关数量标准的;

      (五) 造成他人死亡、重伤、精神失常或者被绑架等严重后果的;

      (六) 造成重大经济损失的;

      (七) 严重扰乱社会秩序的;

      (八) 造成其他严重后果的。
    ……
    `

  9. 行业常见数据安全风险和解决之道—数据在流动,可见才安全
    https://vipread.com/library/topic/3759
    https://bbs.pediy.com/thread-273107.htm
    `
    1. 数据安全现状

    合规要求 / 安全事件 / 威胁场景

    数据安全成为全社会都关注的问题

    内部威胁-授权人员主动外泄数据
    外部威胁-攻击者利用漏洞获取数据

    监管合规-逐步明确的要求与处罚

    2. 风险场景剖析

    风险场景 / 问题剖析 / 现状差距

    数据安全风险的行业

    银行
    微信银行、开放银行、CRM

    证券、保险
    互联网业务办理、代理人办公

    医疗
    电子病例、体检系统、诊疗预约

    互联网
    移动端业务、营销活动、会员中心

    政务
    互联网+政务、网格化管理,政务大屏

    运营商
    互联网业务办理、内部营销、宽带安装

    3. 风险解决之道

    安全规范 / 技术评估 / 体系建设

    为什么会有这么多数据安全风险?安全管理工作越来越多,但是安全管理人员有限

    # 信息系统繁多
    toC/toB
    内部系统
    共享开放

    # 互联网可触达
    远程办公
    移动办公
    系统上云

    资产梳理-从“一锅粥”变成“一本账”

    风险监测-从“被动堵漏”转为“主动防护”

    账号数据权限关系梳理
    * 识别所有用户,生成用户和数据的关系
    * 识别用户,包括部门、角色、活跃状态
    * 关联用户访问的系统、获取的数据和文件
    * 生成用户习惯及偏好,建立用户历史行为基线

    4. 数据安全全貌

    数据资产分布 / 数据处理活动 / 数据风险评估 / 数据泄露溯源

    # 第一阶段 摸清家底、识别风险、制定路线

    基于调研和合规评估,明确数据安全需求并
    制定数据安全规划,制定管理体系。
    梳理数据资产,完成分类分级
    识别在业务活动数据流转过程中存在的风险

    # 第二阶段 固化要求、实施工具、加强考核

    基于管理要求和监测发现,固化数据访问规则,指导技术
    实施实施各类数据安全防护措施和技术工具,完成管理体系要
    求在数据安全生命周期的落地
    细化考核评价指标,提升数据安全防护效果

    # 第三阶段 评估评测、运营优化、持续改建

    通过数据安全评估、评测和审计,检验数据安全防护落地执行效果
    在持续的运营监测中总结提升,形成数据安全态势感知
    对运营、评估、评测和审计中的发现进行改进,持续提升数据安全能力
    `

  10. 2022西湖论剑·网络安全大会 / 数据安全与隐私计算实践
    https://vipread.com/library/topic/3771
    `
    # 数据安全风险频发,需网络安全、数据安全和隐私计算技术联合应对
    网络安全–网络攻击所导致的泄露。(防御外部的网络安全威胁)
    数据安全–员工或者合作伙伴在内部数据使用过程中有意或者无意导致的泄露。(细粒度感知和管控内部数据使用)
    隐私计算–数据在开放给组织外第三方或者与第三方进行联合计算导致的泄漏。(可用不可见的数据共享和交易)

    第一步:安全规划
    第二步:安全建设
    第三步:检查评估
    第四步:安全运营
    通过安全运营反补能力持续提升
    `

  11. 好大夫数据安全分类分级实践探索
    https://mp.weixin.qq.com/s/wgbqXyDrsqZBeZZmseMwPw
    `
    (**)一、摘要

    随着《数据安全法》和《个人信息保护法》在2021年的相继出台并施行,整个社会对个人信息保护与数据安全的重视程度达到了前所未有的高度。

    数据分类分级是数据安全治理的一项基础性工作,是实现有效数据安全管理的底座。如何有效开展数据分类分级工作是互联网企业需要直面的一道必答题。

    1.1 数据分类分级价值

    满足安全合规要求:《数据安全法》中明确提出建立数据分类分级保护制度,制定重要数据目录,加强对重要数据的保护。《个人信息保护法》中规定个人信息处理者应当对个人信息实行分类管理。各类行业监管相关要求也都对数据分类分级提出明确要求,开展数据分类分级工作已成为当前安全合规工作中的一项紧急任务,需要采用管理和技术手段落实数据分类分级工作。

    降低业务安全风险:通过对数据的分类分级,识别出组织内重要敏感数据,掌握组织敏感数据资产分类、分级、分布情况及各类数据的使用场景,从而制定有效的防护措施,平衡数据流动创造价值与数据安全的矛盾,降低企业开展业务的安全风险。数据分类分级工作开展过程能够对数据资产实现精细化管控,通过监控审计策略,有效监控敏感数据的动态流向,使数据使用、数据共享行为“可见可控”。

    满足自身业务需求:数据分类分级形成数据资产清单是数据治理的基础,梳理清楚数据资产、敏感数据类别、安全级别、账号权限等信息,能够帮助业务部门在涉及数据处理活动业务场景制定更为合理的策略,提升业务运营能力,为组织提供精准的数据服务,促使组织业务良性持续发展。

    1.2 数据分类分级思路

    数据分类分级思路框架(分别从管理制度、技术工具和运营流程等3方面进行系统性建设),之后将工作成果应用于数据共享和使用等各类数据处理活动。

    (*)二、数据分类分级制度建设

    数据分类分级制度建设是对数据分类分级工作机制的确认和划分规则的明确,如果是金融行业的企业这部分工作相对轻松,中国人民银行印发的《JRT 0197-2020金融数据安全 数据安全分级指南》中给出了金融行业典型数据类型及建议划分的最低安全级别,这种分类分级规则金融行业企业拿来直接使用即可,节省了分类分级规则制定和内部沟通解释的成本。医疗健康行业没有明确的数据分类分级行业标准和指南,我们可以参考《GB_T 39725-2020 信息安全技术 健康医疗数据安全指南》中的数据分类分级相关规则,再结合互联网企业自身特点和业务场景制定《数据安全分类分级制度》。制度中明确了数据分类、数据分级的规则和示例,以及数据在各类数据处理活动过程中的规范和要求。

    2.1 数据分类
    数据分类是根据组织数据的类型、特征、规模、属性,将其梳理、归类和细分,以便更好地管理和使用组织数据的过程。我司依据GB_T 39725-2020 《信息安全技术 健康医疗数据安全指南》,结合互联网医疗现有业务场景,将敏感数据字段分为个人属性数据、身份鉴权数据、健康相关数据、医疗应用数据、医疗支付数据和其他6类。

    2.2 数据分级
    数据分类后组织要对数据进行定级,按照数据遭到破坏后对各类合法权益的危害程度,对数据进行定级,从而为组织数据数据全生命周期安全管理制定提供支撑的过程。我们参考了GB_T 39725-2020 《信息安全技术 健康医疗数据安全指南》,结合互联网医疗现有业务场景,将敏感数据字段分为4个级别。

    三、数据分类分级工具建设

    3.1 数据资产管理平台

    数据资产管理平台我们是在数据库自动化管理平台基础上进行开发的,考虑到数据资产清单要与数据库表结构高度关联,同时结合SDL安全评估流程,需要关联到业务系统。主要功能包含数据分类分级清单、数据安全运营工单流程、第三方数据安全管理模块、敏感数据导出查看管理模块。

    3.2 敏感数据识别工具

    对结构化数据扫描识别敏感数据,我们使用了开源软件D18N,D18N是一款强大的数据脱敏和敏感数据识别工具,支持关键字匹配和正则匹配两种关系型数据库敏感数据识别算法。我们的数据资产管理平台与D18N工作做了集成,增加了创建控制扫描任务、扫描结果自动比对、扫描结果人工确认等功能。工具内部提供了敏感数据识别通用规则,我们结合互联网医疗业务场景参照模板对规则进行了自定义,完善了关键字匹配规则,通过正则表达式补充了病例资料URL类型数据识别规则。

    3.3 数据安全监控大盘

    数据分类分级的结果呈现和数据使用情况监控需要一款强大的监控可视化平台,对数据资源清单敏感数据进行展示、数据分布情况、数据使用情况进行监控展示。

    四、数据分类分级流程建设

    4.1 入库阶段数据分类分级

    4.2 存量数据的分类分级

    对于存量数据和入库阶段遗漏的敏感数据要定期使用敏感数据识别工具执行检测任务,为了避免对线上数据库性能影响,我们扫描对象为线上备份数据库。检测工具会根据预定义好的敏感数据规则清单进行检测识别,检测出的结果对接到安全管理平台上与之前梳理好的敏感数据清单中敏感字段做比对,去掉重复字段,新增加的敏感字段由安全人员确认类别和级别同步到敏感数据清单中。因数据资产清单变更需要将清单配置同步至其他管理系统中,如:脱敏系统、加密系统。数据分级动态运营过程需要长期持续进行,优化流程调整规则,结果趋势是工具检测的敏感数据越来越少。

    4.3 数据分类分级的其他流程

    合作方接口对接的敏感数据字段(库-表-字段)需要与数据分类分级对接集成。数据分类分级理念和流程会渗透到各项数据处理活动中,需要不断完整,以下举几个常见的应用场景:

    * 数据分类分级规则变更:由于监管环境变化、业务场景调整等因素,会涉及数据字段分类和级别的变更,这类变更可以由业务发起由安全人员审核确认,也可以由安全人员发起;
    * 大数据敏感数据使用:通常4级数据字段不允许大数据集群处理,3级数据字段受限处理。大数据集群对于3级敏感数据明文处理需要进行授权审批,需要依据数据应用场景、数据属性进行综合评估;
    * 敏感数据导出查看:日常业务运营遇到特殊情况和场景会涉及到4级敏感数据导出和查看,这种行为需要严格的授权审核,审核过程需要关注申请原因、数据量级。

    五、数据分类分级结果呈现

    5.1 数据资产清单
    数据资产清单是数据分类分级工作的核心产出物,可帮助组织摸清数据资产家底。

    5.2 数据资产分布图
    数据资产分布图和数据安全监控大盘是数据安全治理的重要抓手,我司数据监控盘分为数据资产分布图、第三方数据使用监控盘和敏感数据使用监控盘。数据资产分布图包含敏感数据分布图和合作方消费数据分布图。

    六、数据分类分级工作展望

    6.1 医疗应用数据的识别-OCR/NLP
    医疗应用数据类型十分复杂包含文字、图片、视频、语音等,结构化文本数据类型如病情描述信息、医患交流信息在组织内分布广泛,很难通过关键字和正则表达式有效地识别。利用图形识别和自然语言处理等技术应用于数据分类分级可能会是医疗健康行业数据分类分级的解决之道。

    6.2 数据血缘关系的建立
    目前数据分类分级地图为静态数据分布,没有展示数据流转路径和数据通过个子系统之间的关系。数据血缘关系能够展示数据字段的生命周期及逻辑关系,使安全人员更加深入了解数据如何使用消费、使用用户情况,进而更加精准设置访问控制权限、脱敏加密规则。

    6.3 数据分类分级的应用
    数据分类分级是数据安全治理工作的基础,完成数据分类分级在数据处理活动安全治理过程的应用更是任重道远,要结合业务场景持续开展落地数据分类分级成果和理念。数据分类分级需要与常见的数据安全技术(DLP、数据脱敏、数据加密、访问控制、监控审计等)合理结合使用才能掌握业务发展与安全风险控制的平衡点。

    七、结束语

    开展数据分类分级过程中积累了一些心得体会,组织内在开展数据分类分级工作前需要对业务发展方向、业务应用场景、数据使用场景充分调研,进而抽象出业务规则场景、数据资产特点,便于制定数据分类分级制度规则。数据分类分级工作流程要与现有数据工作流程相结合,落地实现方案需要与各业务部门、运维团队、大数据团队以共创的方式进行充分沟通。数据分类分级工作需要全员广泛参与,数据分类分级制度规则的大量宣贯工作尤为重要,引导大家学习制度、遵守规则、完善流程。
    `

  12. d18n is a data desensitization tool for RDBMS.
    https://github.com/LianjiaTech/d18n
    `
    As its name says, d18n can mask data to make it desensitized. In addition, d18n can do many other things.

    * d18n is a portable RDBMS cmd client. e.g., MySQL, PostgreSQL, Oracle, SQL Server …
    * save query result into a file, e.g., xlsx, csv, txt, sql, html, json …
    * detect sensitive info (like PII) from a file or a SQL query.
    * import data from files into different types of databases.
    * lint data file, to check if its format is compatible before import it into some database.
    It can be used as a portable cmd client or imported as a package by other tools.

    d18n 工具使用 Go 语言开发,在设计选型时它特意避开了部分依赖 CGO 的数据库驱动,因此它是完全跨平台的,可以直接在 Windows、Linux、Mac 系统中使用,即使是最新的 Apple Silicon MacBook Pro 也可功能无损支持。

    由于 d18n 开发时 Go 1.16 已经支持了 embed 功能,它原生支持将静态资源与二进制程序一起打包。在数据脱敏和敏感信息识别时需要使用的语料包已经被 d18n 打包封装好了,因此无需再下载任何其他静态资源文件,真正做到开箱即用。这一点对于目前流行的容器化环境来说也是特别友好的。

    d18n 的跨平台不仅体现在操作系统级别的跨平台上,它对数据库平台的支持也是多样化的。除了互联网公司最常使用的 MySQL 数据库,d18n 还支持 Oracle、SQL Server、PostgreSQL 等等多种关系型数据库。可以说,只要是使用 SQL 语言的数据库,只要它有 Pure Go 驱动,d18n 都能支持。很多同学甚至直接把 d18n 当作一个简单的数据库命令行查询工具使用,带来跨平台一致性的用户体验。

    d18n 支持导出、导入的文件类型相对也比较丰富,有绝大多数人都熟悉的 Excel, TXT,也有对应用程序友好的 CSV、JSON、SQL、HTML 等文件格式。无论是交给人用肉眼阅读,还是交给程序做自动化处理,d18n 都应付得来。
    `
    跨数据库跨系统,数据脱敏有新招(附工具下载)
    https://mp.weixin.qq.com/s/DAi-jwSQcrEWI11LGMKNnw

  13. 安天安全方法框架
    https://mp.weixin.qq.com/s/s_2GvSNggV7pz0WDDrFvTQ
    `
    01-威胁想定分析框架
    我们如何开始设计一个安全方案?如何评价安全方案是否合理?为尝试解决这些问题,我们以多年的威胁对抗经验为基础,结合对过往的威胁事件、对手的能力体系、现有的法律法规和标准规范的梳理,提出了威胁想定分析框架。

    安天威胁想定分析框架以客户的资产价值与环境出发,首先分析客户的硬件和物理资产、软件和数据资产、业务资产价值等。然后向后进一步的推导当这些资产受到威胁时,会引发什么样的风险、后果。从资产向前可以分析出哪些层级的威胁行为体可能会对资产造成威胁,同时可以对威胁行为体可能的动机进行分析,如个人利益、商业经济、政治、宗教、文化,或是由于大国间竞合导致的具有国家背景的威胁行为体的攻击等,进一步分析威胁行为体通过何种攻击手段与方式进行攻击,从而形成一个比较清晰的威胁想定。

    此外,建立对威胁的有效认知,能够进一步指导安全防御体系的建立。安天按照攻击组织的能力级别、攻击动机、攻击水平、常用攻击装备等将威胁行为体划分为0-6七个级别。通过划分,将种类繁多的攻击组织或行为体进行有效分割,使组织更加清晰地了解当前的安全风险。

    威胁想定分析框架与传统的等保评估、风险评估有较大不同。等保评估是一个类似合规点清单的方法,用来评价防御手段建设是否覆盖了等级保护要求;风险评估是基于暴露面和脆弱性的分析。安天威胁想定分析方法,是以客户资产(IT设施)价值与威胁活动和行为体的相关性来入手展开的,其重点分析客户可能遭到何种层级,甚至哪一个具体的威胁行为体、以何种动机遭到的攻击。同时从国家安全、社会安全、政企机构安全和个人安全四个层次,来分析不同攻击的后果和影响,并进一步从后果和影响来反过来测算安全预算和资源的规模。通过这种测算,可以在预算丰富的情况下,帮助客户建构与业务高度融合的一体化运营体系;在预算不充足的情况下,帮助客户优先完成端点统管、情报驱动等关键环节建设。

    行为体->动机->行为->资产环境->风险后果

    02-OODA循环、杀伤链与威胁框架

    03-能力型产品技术框架
    在对威胁进行细粒度的分析之后,如何定义安全产品能力进而构建防御体系?安天将威胁对抗经验与安全规划需求进行整合,基于防御关键动作的概念,于2020年提出安天ISPDR防御技术框架。

    安天ISPDR防御技术框架,包括识别、塑造、防护、检测和响应5个部分:

    (1) 识别:识别是网络安全管理的基础。识别是一个自我了解和认知过程,基于采集和探测枚举,形成对资产、人员、业务、暴露面、脆弱性等完整认识,构筑起网空防御地形认知基础。
    (2) 塑造:塑造是建立防御主动性的前提。塑造是对IT场景的构建、重构和调整过程,通过对IT规划和场景的干预,形成环境、场景、拓扑路径、配置和安全策略的优化,并结合欺骗布防,使攻击者处于不利位置。
    (3) 防护:防护是系统对威胁做出的行为反应。防护是避免威胁行为达成预期后果的交互过程。其核心是对威胁活动和违规行为的拒止动作。
    (4) 检测:检测是发现、定位和定性网络安全威胁的方法统称。本质上是在数据对象和行为对象、实体对象中发现、标定和量化风险实体、活动的过程。
    (5) 响应:响应是处理、管理风险和威胁事件的过程。通过制定并执行适当的行动,利用组织所具备的控制潜在网络安全事件影响的能力,对检测到的网络安全事件采取处置措施,旨在清除网络安全事件影响。

    其中,安天一个重要的观点是,塑造是防御动作的关键环节,它突出的是安全参与IT规划整个生命周期的过程性,强调IT的可塑性能够在一定程度上带来防御的主动性。也就是说,我们需要把整个安全基因的能力沉浸式嵌入到数字化系统中,这样在后期的威胁对抗与安全应用中,才能更好的实现积极防御能力,使我们在和对手对抗中获得一个更优势的地位。

    随着攻击的复杂化,传统的基于特征的黑白判别方法,显然已经不能满足需求。面对这种体系化的攻击,防御也必然是体系化的。体系化的防御依赖于对大量规则进行持续化、高水平的工程化运营能力,其基础就是在主机、流量、文件等维度,对各种数据对象进行持续化的采集和元数据化,进而构成安全应用的基础,支撑后续的大数据分析、关联比对、分析检索以及威胁猎杀。

    安天认为,安全产品的定义应包含其要保护的目标、对威胁的认知、部署方式、管理模式、作用对象、作用位置以及在不同安全环节能够提供的防御能力。通过这种定义,可以清晰化产品能力,进而不断完善与提升。

    04-双环驱动与威胁猎杀
    安天认为在数字化企业的安全运营中,一定是存在两类工作闭环。一个是针对日常安全运营工作,实现支撑“观察-研判-决策-执行”的“OODA”循环,安全运营的本质是达成比对手更加高效、更加快捷的OODA循环来切断对手的杀伤链,终止对手的OODA循环,以此来达成有效的防护。另一个是针对监管政策要求,面向企业安全治理和长期策略调整,实现支撑“策划-实施-检查-调整”的“PDCA”循环。

    实现有效安全运营的另一个关键的内容,就是持续不断的、高水平的威胁猎杀,通过全量的数据采集和观测、排查、分析,然后进行汇总调查、综合分析、提出假设和验证等环节,实现对资产网络中可能存在的威胁进行清除,以此来支撑整个的安全运营工作。
    `

  14. 知识分享|《Cyber Defense Matrix》总结
    https://mp.weixin.qq.com/s/-BGN4u5yhN0Rh2DcJi4InQ
    `
    好的矩阵图是相互排斥和共同穷尽(mutually exclusive and collectively exhaustive ,MECE)的。网络防御矩阵是网络安全领域的一个MECE代表,它结合了NIST网络安全框架的五个不同功能(识别、防护、检测、响应和恢复)和五个不同的资产类别(设备、网络、应用、数据、用户)。网络防御矩阵让我们对企业的整个网络安全环境有一个高层次的了解,并让我们看到任何特定的网络安全产品在该企业中的位置。

    一旦我们在战略层面上知道我们需要做什么,矩阵就可以帮助我们将问题划分为不同的组成部分,并在战术层面上加以解决,网络防御矩阵不是最适合在战术层面上使用的框架。其他框架(如MITRE的ATT&CK框架)在细节水平上更适合。

    并非所有资产类别对一个的企业都同等重要。经常听到有人说,数据是最重要的资产,或者说,所有的资产都是关于应用的。在一个特定的企业中,这些话可能有一定的道理,但安全从业者如果忽视或淡化整个网络资产类别,就会带来很大的危险。在网络防御矩阵中,试图将所有的资产类别视为同等重要,这不是因为它们一定是,而是因为它们都提供了攻击面,在考虑整体安全环境时需要进行适当的检查和考虑。

    举个例子:我们可以有最安全的设备,运行没有漏洞的应用,在隔离的网络上,有完全加密的数据,但如果这些资产是由一个有高度特权的管理员管理的,他点击了收到的每一封钓鱼邮件,那么其他东西有多安全就不重要了。

    # 矩阵左侧
    识别、保护

    ● 着重于事件前
    ● 涉及风险管理
    ● 与安全工程相一致
    ● 专注于防止入侵行为
    ● 需要结构意识
    __○ 分析状态
    __○ 清点资产
    ● 发现弱点

    # 矩阵右侧
    检测、响应、恢复
    ● 着重于事件后
    ● 涉及事件管理
    ● 与安全操作相一致
    ● 专注于驱逐入侵者
    ● 需要了解情况
    __○ 分析事件
    __○ 调查状态变化
    ● 针对弱点收集利用的证据

    在左侧,我们需要对我们的环境有结构性的认识。结构性的认识始于对你有哪些资产、这些资产的状态以及这些资产之间的关系的理解。状态信息包括这些资产有多重要,它们是如何配置的,它们是如何暴露的,以及它们是如何被保护的。

    当一个弱点被成功利用时就会发生事件,我们就处于右侧,需要通过分析环境中最近发生的日志来了解我们的资产是否受到损害。

    网络防御矩阵提供了一个结构,我们可以用来向利益相关者解释,我们在某些方面做得很好,但在其他方面仍需要进一步投资。它提供了一个现成的结构来叙述故事的两面性,向利益相关者展示哪里的安全是强大的,哪里需要额外投资。

    ==
    当我们寻求制定一个安全路线图时,我们通常需要回答三个问题:

    1. 我们现在的安全状况如何?
    2. 我们应该有多安全?
    3. 我们如何从这里走到那里?
    `

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注