数据安全复合治理与实践白皮书-学习思考

=Start=

缘由:

前段时间在蚂蚁集团联合权威机构发布《数据安全复合治理与实践白皮书》之后,下载了白皮书进行学习,在这里简单整理一下在阅读白皮书过程中自己的思考。

正文:

参考解答:

数据安全治理不单纯是一个技术问题,也不单纯是一个管理问题,而是复合类型的问题,需要高层重视,然后从上而下,借助技术破局(实现以前想做但没法做或是做不到的),借助管理手段进行宣传和推广。

一、数据的重要性逐步提高

2020年4月,首次从国家层面明确将数据作为第五大生产要素[1]。

二、数据泄露的态势逐年提升

2020 年我国多家重要单位因钓鱼邮件、安全漏洞等网络攻击造成工作人员账号、重要文件等数据泄露[2]。

2021 年全球数据泄露的平均总成本达到了 424 万美元,且近年来基本呈现持续递增的态势[3]。

三、国内外数据安全法律法规与标准相继出台

  • 国内–先后出台了《网络安全法》(2017年6月1日生效)、《数据安全法》(2021年9月1日生效)、《个人信息保护法》(2021年11月1日生效)等法律
  • 国外–欧盟GDPR、美国加州CCPA、韩国/新加坡/日本……

四、数据安全治理理念和内涵

  • Gartner 提出的 DSG 数据安全治理框架认为数据安全治理不能仅是一套集成了各类数据安全工具的产品级解决方案,而是需要从上而下贯穿整个组织架构,覆盖组织的全体人员,形成组织全员对数据安全治理目标的一致共识,并采取适当的管理和技术措施,有效地保护组织数据的全生命周期安全。
  • 微软提出的 DGPC 数据安全治理框架认为数据安全治理需围绕人员、流程和技术三个核心领域展开,与现有安全框架协同合作以实现隐私、保密和合规的安全治理目标。
  • 国内的 DSMM 数据安全能力成熟度模型认为“组织应关注数据的流转情况,将视角从数据本身扩展到其生命周期的各个阶段,使用一套以数据为核心的、围绕数据全生命周期构建的模型来指导其建立、持续改进并依此评价其数据安全能力”。

五、数据安全相关框架/方法论

  1. Gartner DSG 框架
    2015 年,Gartner 提出了数据安全治理(DSG, Data Security Governance)概念,并从方法论的角度阐述了数据安全治理的框架。(确实牛逼,15年就已经提出了一个非常好的框架和思路,这块国外还是领先不少)

DSG 框架从上到下主要包括五个部分,即平衡业务需求与风险、数据梳理和数据生命周期管理、定义数据安全策略、部署安全能力与产品、策略配置与同步。

搞数据安全的不要一上来就自己闷头搞数据安全产品,而应该首先尝试站在公司战略的高度上思考问题——公司的业务需求有哪些?面临着哪些风险?自己能提供什么方案/能力来满足业务需求,帮助业务规避风险?把格局放大,把视野打开,不要局限在自己那一块,也许你会发现事情变得不一样了,以前自己觉得很重要非做不可的事情,现在看来根本没那么重要,之前是自己格局小了,太偏执了,手里拿着个锤子,看什么都像是钉子,都想锤一下。

想法不一样了之后,接下来还要想办法建立向上沟通的渠道,和业务相关方实际沟通确认问题是不是你之前设想的那样,如果是的话那很好,沟通和执行相对来说就会顺利一些;如果不是的话也不要气馁,起码现在知道了业务方的真正诉求,接下来你的任务就是想办法满足这些真正的诉求。当你真实的满足了业务需求之后,你体现出了你对业务对公司的价值,你也会越来越重要,随着你解决的问题越来越多,你向上的路也就会越来越宽广;反之亦然。

  1. DGPC 框架(Data Governance for Privacy, Confidentiality and Compliance)
    2010 年,由微软提出,该框架由组织的人员、流程和技术三个核心领域组成。
  2. DSMM 模型
    2019 年 8 月,全国信息安全标准化技术委员会发布国家标准《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019),正式提出数据安全能力成熟度模型(DSMM, Data Security Maturity Model)模型。
  3. IPDRR 模型
    Version 1.1 was announced and made publicly available on April 16, 2018.

Identify – 看见是1,其它是0。企业安全投入有限,需要划分优先级,有针对性。
Protect – 保护是为了消减风险。
Detect – 验证保护的有效性(而且你必须要假设保护一定会被攻破),发现薄弱环节。
Respond – 采取适当行动,以将影响降到最低。
Recover – 保持业务弹性,恢复受损的服务。

IPDRR各层之间的能力、数据是有一定的继承和关联关系的。举个例子,当你的某项资产识别并不能做到100%的准确和覆盖的时候,你的防护、检测,乃至响应、恢复,必然也会有错误和遗漏,而且会随着逐层的数据流转和处理造成的误差,逐步放大。

  1. IPDRR 和 DSMM 的结合

DSM矩阵相比原始的DSMM和IPDRR框架,更符合我们自己对实际情况和自身能力的认知,既体现了我们用统一的方法论去尝试解决数据安全问题的一个美好愿景,也充分预留了PDCA做持续改进的空间。

I-识别
	资产识别
	需求识别
P-防护
	安全防护
	安全控制
D-检测
	监控审计
R-响应
	事件响应
R-恢复
	事件恢复

六、其它

中国公司数字化转型合规白皮书(8. 企业应当采取哪些措施保障数据安全)
http://lawv3.wkinfo.com.cn/topic/61000000682/index.HTML

参考链接:

[0]蚂蚁集团联合权威机构 重磅发布《数据安全复合治理与实践白皮书》【附全文下载】
https://www.4hou.com/posts/B92W

[1]中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见
http://www.gov.cn/zhengce/2020-04/09/content_5500622.htm

[2]2020 年我国互联网网络安全态势综述
https://www.cert.org.cn/publish/main/upload/File/2020%20CNCERT%20Cybersecurity%20Analysis.pdf

[3]Cost of a Data Breach Report 2021 | IBM
https://www.ibm.com/security/data-breach

How to Use the Data Security Governance Framework
https://www.gartner.com/en/documents/3873369/how-to-use-the-data-security-governance-framework

gartner-securing-the-digital-business
https://www.rsa.com/content/dam/en/analyst-report/gartner-securing-the-digital-business.pdf

Top Security and Risk Management Trends for 2019 and Beyond
https://www.cybureau.org/wp-content/uploads/2019/10/SEC25-B2-Top-Security-and-Risk-Management-Trends-for-2019-a-380329.pdf

You’ve Got Cloud Security All Wrong — Why Identity and Data Security Are Paramount in a Cloud World
https://assets-powerstores-com.s3.amazonaws.com/data/org/20033/media/doc/you_ve_got_cloud_security_all_wrong___why_identity_1599853380196001ujqb-1e618b95035bd9472f2767e01a37223d.pdf

A Guide to Data Governance for Privacy, Confidentiality, and Compliance
http://mscorp.indsyntest.com/HTML/perspective/pdf/sec-Data_Governance_-_Moving_to_Cloud_Computing.pdf

国标 DSMM
https://dsmm.cesidsat.com/assets/file/standard.pdf

NIST Cybersecurity Framework IPDRR
https://www.nist.gov/cyberframework/online-learning/uses-and-benefits-framework
https://en.wikipedia.org/wiki/NIST_Cybersecurity_Framework
https://www.nist.gov/cyberframework/online-learning/history-and-creation-framework

基于IPDRR的个人信息安全保护技术体系框架
https://www.processon.com/view/5ecb869ae401fd268dced0b6

数据安全的第一道坎
https://www.sec-un.org/%E6%95%B0%E6%8D%AE%E5%AE%89%E5%85%A8%E7%9A%84%E7%AC%AC%E4%B8%80%E9%81%93%E5%9D%8E/

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/5204.html

《数据安全复合治理与实践白皮书-学习思考》上的5个想法

  1. 这里有一份2022年数据安全“年度五问”,谁能给出答案?
    https://www.4hou.com/posts/2DwA
    `
    痛点一:特权账号成首要攻击目标
    “特权,为何变成了‘特级危险’?”

    痛点二:内部威胁是数据泄露的第二大原因
    “层层设防,数据依然频频失窃,谁是内鬼?”

    痛点三:API广泛调用导致安全阵线失守
    “数字化时代,API泛化,你的安全阵线还齐全么?”

    痛点四:如何走好业务需求和隐私合规的钢丝绳?
    “左手业务,右手合规,隐私合规建设应该怎么做?”

    痛点五:数据安全态势感知“后知后觉”
    “‘后知后觉’的数据安全,还能叫安全么?”
    `

    数据安全三大痛点亟待破解 奇安信发布数据卫士套件
    https://www.4hou.com/posts/j69y
    `
    “随着数字化的深入,数据作为第五大生产要素已经成为经济社会发展的核心驱动力,与此同时数据安全风险与日俱增。” 奇安信集团总裁吴云坤表示。根据奇安信应急响应中心的数据显示,2021年全年为政企客户应急处置的安全事件中,接近60%是以数据为目标的勒索软件攻击和APT攻击事件,远高于2020年,数据安全正在成为数字化发展中紧迫和最基础的安全问题。尤其随着相关法律法规出台,数据安全监管体系不断加强和完善,政企机构的数据安全治理已经从合规转向合法。

    数据安全态势感知运营中心,和特权卫士、权限卫士、API卫士、隐私卫士四大能力,简称“一中心四卫士”

    数据安全态势感知运营中心–能够主动扫描数据资产,识别敏感数据,建立数据目录并分类分级,检查敏感数据驻留风险,建立敏感数据分布态势。同时,通过全流量深度解析,自动梳理涉敏资产:涉敏账户、涉敏接口、涉敏应用等,建立敏感数据流动态势。并且,数据安全态势感知运营中心还内嵌了多种数据风险感知策略与行为基线学习模型,及时发现可疑行为,建立数据安全风险态势。

    特权卫士–以保障特权账号安全为核心,能够主动发现各类基础设施资源的账号分布、识别账号风险(包括弱口令、僵尸账号、幽灵账号、长期未改密账号,账号违规提权等)、管理账号使用,实现对各类基础设施资源账号的全生命周期管理,帮助客户提升账号安全的主动防御能力,降低因账号口令泄漏或被非法利用而造成的数据外泄风险。

    权限卫士–则聚焦访问权限,基于主客体数据视图,构建统一策略管控体系,在访问层面进行精细化访问控制;同时基于持续信任评估动态对访问权限进行调整,“明确是什么部门的什么人、在什么地方、因为什么任务、访问什么数据里的什么字段”, 权限卫士和数据安全防护体系相结合,做到“主体身份可信、行为操作合规、计算环境与数据实体有效防护”,保证安全的访问数据。

    API卫士–聚焦打造持续监测响应的API安全防护能力,在检测传统Web攻击同时,还可检测与预警API传输中的敏感数据,建立基于用户访问行为的用户画像或行为模型,发现API未认证访问、弱口令登录、未授权访问、异常访问行为等。此外,API卫士还具有基于自动化发现并可视化展示及管理API能力,能够及时发现与预警僵尸、未知等异常API,以及避免在API设计之初由于缺乏统一规范导致后期大量API无法统一管理而引入的安全问题。

    隐私卫士–是一款参照《App违法违规收集使用个人信息行为认定方法》等要求,针对安卓App、iOS App、小程序、IoT设备进行隐私合规检测与分析,为企业的法务、研发、产品、安全等角色提供一个共同协作的平台,通过技术手段辅助发现隐私安全风险,避免由此带来的数据泄漏、资产损失、监管处罚等风险。隐私卫士可对个人信息采集的方式(自身采集/第三方采集)、使用权限(自身使用/第三方使用)、采集频率、是否出境、是否与隐私政策描述实质符合等进行合规检测,覆盖收集规则、使用规则、条款状态、用户权益等7个类别,90多个检测项,并且具备可扩展的检测能力,保证个人信息收集使用合规。
    `

  2. 谭晓生对话王世晞:数据安全的两大趋势和一大课题
    https://mp.weixin.qq.com/s/i5hODygdTyBCDck_jJFGJQ
    `
    01 第一大趋势 — 产品和服务并行,技术和管理并重

    现在的数据安全有一大特点是以服务为主导,产品+服务+定制化。

    其原因是在数字化转型时代,数据作为基本的生产要素存在于业务中随着业务流动。所以数据安全必须深入业务去做,需要基于用户场景对具体业务进行定制服务,标准化产品比较难以适应当前的市场。

    还有一个原因是数据安全不仅具备外延性风险,更重要的是内源性的风险,比如内部人员业务操作这层面所形成的安全威胁。所以依靠技术措施的同时,必须建立配套的数据安全管理机制。那就需要技术方面的定制服务加管理方面的咨询服务相结合。

    数据安全法把数据安全治理作为数据安全的必经之路写在第四条,突出了其极大的重要性和法律要求。数据安全治理的落脚点是两个要素:数据和人。人和敏感数据的相关联程度被作为一个重要的基准点来进行管控,是数据安全关注和处理的核心,这意味着技术和管理两个方面要同时处理,这是与原来传统的网络安全的本质还是有点区别的。

    02 第二大趋势 — 体系化融合:系统层面、技术层面、管理层面

    第二大趋势就是体系化的融合。在数字化时代,大规模的数据共享、业务协同、信息系统互联互通,数据安全必须是全方位、全流程的,需要体系化的融合。

    主要表现在三个层面,一是部门系统的融合:提效率,从总部到分支机构、到不同平级部门,要构建统一的管控平台、统一的策略下发以及事件上报、态势分析。

    二是产品技术的体系化融合,在数据、权限、行为、状态等多个维度,综合评估判断安全风险,进行相应的管控处置,构建一个强化的零信任管控机制。

    三是管理流程体系化融合。数据资产安全管理、安全合规与风险管理、安全运营管理等需要实现流程化、数字化,并落实到每一个业务流程中,融合形成统一的管理流程体系,可以重点突出地形成一个综合可视化驾驶舱。

    新课题 — 数据安全合规与风险管理

    实际上现在目前强监管的环境下,合规合法是一个刚需,数据安全法律陆续出台,如何进行合规性评估和管理是我们当前的新课题,也是数据安全产品升级和数据安全治理服务的一项内容。

    我觉得合规管理有三个层次,一是数据安全法律法规条理的梳理解读,并结合业务和数据找出重点,要做出优先落实的方案和策略,以及后续逐步推进。

    二是应对监管机构的执法检查和合规性评估。各个企业单位政府单位需要配合监管测评方面建立自查评机制,以及落实到各个业务流程和参与度。

    三是制定合法合规与风险管理评估与响应处置的机制,并构建数据安全合规与风险管控的体系。

    ==
    D – 数据资产管理
    C – 合规与风险管理
    T – 靶向数据监控
    I – 智能数据防护
    I – 综合安全措施
    `

  3. 干货丨 方兴:以风险为基础的数据安全持续治理体系·思享会
    https://mp.weixin.qq.com/s/jMdcLhgXByqCc3u42Ua-LA
    `
    # 数据安全深层剖析

    # 数据安全挑战
    大数据安全的重点是流动数据的安全,建设数据为中心的数据安全体系本质是适应数据作为生产资料的流动性,而流动数据安全的本质是从资产安全到生产安全。虽然在这个过程中许多数据已经进行了脱敏处理,但是数据的典型特征可关联推理,意思是只要可关联的数据都能带来危险,足够多的非敏感数据,可以推理出敏感数据,你认为不重要的数据,却能帮助攻击者获得需要的信息。由于没有经验借鉴,我们需要重新思考数据安全所面临的挑战:

    一、面临数据的流动性,由于业务的发展需求,数据跨系统甚至跨组织的流动,而在这样的流动性也让数据更具有很强的关联性,对于安全的威胁更大,这样的场景下传统基于信任边界的保护体系失效,要想保证数据安全,需要掌握数据流向,做好数据流动的实时监测追踪。

    二、数据的碎片化,数据在数据库、云盘、大数据平台、流量日志,被调用服务日志里分布存储,同一份数据可能多个系统有副本,数据安全难以统一管理,存在太多破碎点。

    三、安全、合规和生产效率达到平衡,数据安全治理需要大量的外包人员做运营管理、客服,这些人员因为工作需要必须接触数据,但难以用信任体系控制,传统强管控和信任模式难以实施。而且数据的使用效率和数据安全本身是冲突的,要在不影响数据效率的同时又要保证数据安全,这就需要去建立一套以数据安全风险动态监测和评估的数据安全风险持续治理体系。

    # 数据安全理念探索
    一、数据生命周期模型,即将采集、传输、存储、使用、交换、销毁视作数据的生命周期,虽然数据生命周期模型为企业提供了指导性方案,但数据跨组织、跨系统、跨国界流动涉及到的责任主体变化很难通过数据生命周期所考虑,同时,使用拆解法的数据生命周期也很难建设起一套体系。

    二、以数据为中心的安全治理模型,即对数据分类分级,并基于数据类别的安全策略做数据识别。由于以数据识别为核心的碎片化应用场景产品太少,做数据治理的厂商又缺乏碎片化场景点的产品能力,所以此模型并未起到安全治理作用。

    三、Gartner数据安全治理模型,这是一个从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条,组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。Gartner的数据安全治理框架是一个静态的风险模型,但数据风险、业务、数据资产本身就是不断在变动的,因此,此法也没有解决治理关注的核心问题。

    # 以风险为基础的数据安全持续治理体系
    核心是尽量减少对业务和数据流动的直接管控,通过依据对数据相关资产的识别追踪,实现更加精细化的对各类数据风险的实时监测,根据监测发现的风险结合统一的数据安全策略,决策相关的风险处置手段,再进行响应和风险控制,实现数据使用效率和安全风险可控的平衡,以达到治理的目的。
    `

  4. 网络安全标准实践指南–网络数据分类分级指引(v1.0-202112)
    https://www.tc260.org.cn/upload/2021-12-31/1640948142376022576.pdf
    `
    1 范围
    2 术语定义
    3 数据分类分级原则
    4 数据分类分级框架
    4.1 数据分类框架
    4.2 数据分级框架
    5 数据分类方法
    5.1 数据分类流程
    5.2 个人信息识别与分类
    5.3 公共数据识别与分类
    5.4 公共传播信息识别与分类
    6 数据分级方法
    6.1 分级要素
    6.2 基本分级规则
    6.3 一般数据分级规则
    6.4 定级方法
    6.5 重新定级
    7 数据分类分级实施流程
    附录 A 组织经营维度数据分类参考示例
    附录 B 个人信息分类示例
    附录 C 部分行业数据分类分级参考示例
    参考文献
    `

  5. 详解数据治理和数据分类分级
    https://mp.weixin.qq.com/s/EeUrNvd1-pFO1_ybMHKcpw
    `
    01 数据分类分级提出的背景

    数据的价值
    1.数据爆炸时代,数据量呈指数级增长
    2.数据成为数字时代重要战略资源
    3.生产要素由市场评价贡献、按贡献决定报酬机制开始建立

    数据治理的必要性
    1.海量数据需要治理
    2.海量的数据引发“数据危机”
    3.数据管理(治理)成为国际关注焦点
    4.我国积极推动大数据发展战略实施
    5.数据管理及治理的价值和意义

    工业数据管理意义
    1. 国际视角:主要发达国家纷纷布局工业数据抢占先机
    2. 国家视角:我国由制造大国向制造强国转变的关键举措
    3. 企业视角:推进企业数字化转型的紧迫要求

    02 工业数据分类分级情况介绍

    《指南》解读
    1.《指南》基本内容
    2.数据分类分级目的及意义

    工业数据分类分级试点工作内容
    1.试点工作目标及原则
    2.工作主体
    3.三项重点工作
    一是分类标识要全。要对工业企业的全量数据进行全面的梳理进行分类标识,做全面的梳理盘点,将企业内部的数据作为资产一样进行管理。像垃圾分类一样,将各类数据分门别类,有效的管理起来。
    二是要逐类的定级,定级要准。按照数据的受损情况进行定级,来保证数据的有效性。数据分级站在数据的安全的受损的视角上进行,分类定级不是目的,目的是要进行分级的管理,要保证数据的安全,保证企业的数据价值的有效释放。这就要求我们差异化分类施策。
    三是分级管理要细致到位。这样形成一个有效的闭环,把数据作为一个有效的过程来去做,通过试点积累的工作经验,提炼经验做法成为我们的方法论,培育行业标杆,通过他们现身说法,来进一步解释数据价值释放过程。

    03 工业数据分类分级推进路径

    理顺工作思路
    明确数据类别分类
    做好工作保障
    寻求第三方支撑
    `

发表评论

您的电子邮箱地址不会被公开。