介绍忘记是哪一年数据安全突然异军突起,众多安全厂商的安全产品也“翻身”演变成xx数据安全管控解决方案。听着,它不仅高大,而且非常神秘。仔细一听,原来是关于堡垒机的。这个数据安全吗?一、什么是数据安全根据Gartner的说法,数据安全包括一系列保护静态或动态敏感信息资产的过程和工具。有点抽象,Gatner解释了数据安全的构成以及如何控制,但似乎没有解释什么是数据安全。笔者认为,数据安全=数据+安全,数据是基础,安全是行动,靠的是管控措施和手段,有数据的地方,就会有数据的安全。没有单纯的数据安全,它与网络安全、应用安全、个人隐私安全密切相关,耦合度高。没有网络安全和应用安全的数据安全管控就如同纸上谈兵。数据安全的概念庞大而丰富。笔者结合个人的思考和实践,简单谈谈企业数据安全治理的一些想法。2.数据安全治理在笔者看来,数据安全治理(以下简称“数据安全治理”),总体框架概括为:“1+3+1+1”,即1个管理能力,3场景1原子能力1运营能力图1数据安全治理框架“1管理能力”是指数字安全管理能力,具体包括数字安全组织+数字安全体系,组织是数字安全工作的基本保障和基础,而数字安全体系是组织实施数字安全工作的基础第一着力点。俗话说“兵马未动,粮草先行”,这里的保障体系就是“粮草先行”。否则,单纯启动311,永远看起来像一支“正规军”,而数据安全管理能力是311实施的重要支撑。数据安全组织设计百花齐放,还有很多。笔者认为,企业可以结合实际现状进行考量。关于数据安全体系,笔者认为大体上应该包括一个总体纲要和2个支柱。总纲是总结数字安全管理的原则和内容要点的部分。两大支柱是基础系统和场景系统。对于数据分类分级、数据权限管理等基础制度,是原子能力落地的理论保障,而数据审计和数字安全事件应急响应是运营能力的基础和润滑剂。场景体系是为了快速支撑和响应业务需求,并在日新月异的完善中。图2数据安全体系框架的“3场景”即终端数据安全、应用数据安全、大数据数据安全三个场景。所有的数据安全管理基本上都是围绕这三种场景展开的。笔者以银行业务为例简单说明图33场景数据安全示例终端数据安全是针对内部人员(包括员工、外包、第三方等),管理的对象是终端,对象控制就是权威。如图3所示,运营商、客服人员等通过办公终端接入访问各种办公后台应用数据,端是数据可能分散的地方。因此,做好终端数据安全,必须把控好终端,但至于终端可控程度,则取决于应用数据安全和大数据数据安全管控的好坏。后者强,前者弱,体验极佳;后者弱,前者强,体验差。应用数据安全面向应用(面向客户的应用和内部应用),管理的对象是应用,控制的对象是权限。如图3所示,不同的业务功能会导致数据在不同的应用程序之间传输。对于客户应用,需要注意接口、库等权限的安全;对于内部应用,需要关注人、接口和库。等权限安全。应用数据安全本质上是让数据安全向应用安全靠拢,数据安全对应用的管控要求包含在应用安全中,但范围会比应用安全更广。无法维护孤立的应用程序数据安全。应用侧的数据安全管控不可能也不应该脱离成熟的应用安全体系来实现。大数据数据安全面向大数据平台,管理的对象是平台,管控的对象是权限。如图3所示,大数据人员使用大数据平台进行离线数据处理和分析。从数据安全的角度来看,他们需要关注大数据平台本身的安全和大数据平台的使用安全。通过以上介绍,细心的读者可能会发现作者一直在强调的一点“权威”。事实上,这本质上是计算安全原子能力的一部分。俗话说,工欲善其事,必先利其器。没有有益的“兵器”,没有有用的“兵马”,谈安全、谈治理,无异于空中楼阁。“1原子力”是原子力的数量。数据安全原子能力是数据安全3场景落地的唯一支撑,是数据安全治理的压舱石。为什么叫“原子能”?因为无论数据安全治理面对什么样的业务场景,都需要并且适用,或者采用其他思路来实施数据安全治理。从技术数据安全能力建设的角度来看,需要具备并且可以快速考虑和启动。原子能力是不可分割的。笔者根据实践总结出数字安全原子能力包括数据识别能力、数字安全评估能力、权限控制能力、水印能力、数据脱敏能力、数据加密能力、数据删除能力、数据恢复能力。其中,数据识别能力是基础,数据安全评估能力是核心,脱敏/权限控制/加密/水印能力是抓手,数据删除能力和数据恢复能力是需求。每个块的原子能力如下所述。图4数据安全原子能力关系图数据识别能力:数字安全治理的核心点是知道要保护哪些数据,即哪些数据是敏感数据。同时打上特定的标签,供给上下游,是一切数据安全治理的基础。有了这个基础,数据流量控制和数据使用控制就更有意义,更有针对性。另一方面,数据识别需要系统的支持。在数据安全体系中,要规范和明确公司的数据分类分类,同时要有详细的数据分类分类清单。数据安全评估能力:“知病方可药”。数据安全评估能力是指识别、判断和控制数据面临的风险的综合能力。它是数据安全治理的核心,依赖于安全人员的职业素养和敬业精神。.如果缺乏对数据面临的风险的安全评估能力,下一步的管控就很难谈了。权限控制能力、数据脱敏能力、数据加密能力、水印能力堪称数字安全治理的“四轴”,各有“重点”。权限控制能力的本质是权限的最小化。它是降低数字安全风险最有效的王牌,也是最难的数字安全原子能力。说是杀手级的特性,因为如果权限控制做好了,基本上可以从源头上减少数据的暴露面。做好权限管控,首先要有权限分级分类,其次是权限流程(审批),第三是权限策略(风险预控等),最后是权限运行(优化)管控,做好服务,提升体验)。数据脱敏能力本质上是减少敏感数据的暴露,以脱敏的形式呈现,用于非需要展示、保留等业务场景。页面屏蔽和日志打印屏蔽是数据屏蔽能力最常见的两种业务需求场景。数据加密能力本质上是为了遏制数据泄露的风险,尤其是对于敏感的个人数据,其保护效果是首屈一指的。数据加密的形式有很多种,例如媒体加密、存储TDE加密、存储数据加密是常见的业务需求场景,是数字安全原子能力中最复杂、要求最高的能力。它在隐私计算方面也有广泛的应用。水印能力的本质是事前阻止,事后追溯数据泄露。页面和数据本身是两种常见的业务需求场景,是数字安全原子能力中复杂且要求高的能力。数据删除能力和数据恢复能力是满足合规、防数据勒索或数据丢失等业务场景的两项能力。尤其是在监管趋严和GDPR的背景下,全球企业对此类服务的需求会越来越大。数字安全的原子能力是数字安全所必需的安全能力(产品)的基础。读到这里,很多读者可能会有疑问,DSA原子能力和DSA产品有什么关系?首先,在这里,笔者想说明几点。DSA原子能力可以是DSA产品,但DSA产品不一定是DSA原子能力。数字安全原子能力是构建数字安全治理技术的最小单元,但要支撑数字安全3场景的落地,需要多种数字安全原子能力的组合。它以排列组合的形式构造和形成数字安全产品,产品的名称就可以了。只有与业务平台强关联耦合,数字安全原子能力才能发挥最大的作用和价值。所以,回到介绍中提到的堡垒机,其实也可以看成是一款数据安全产品。其本质是权限控制能力、数据脱敏能力等数字安全原子能力的结合。当然也属于数据安全治理的范畴。.笔者简单举出两个例子,进一步说明数字安全原子能力在三种场景下的应用案例。案例一:数据安全场景应用中的在线数据管控在线数据DB的管控一直是数据安全治理的重点和难点。在线数据管控的本质是管理员对数据库中数据的访问权限,敏感数据如何管理,非敏感数据如何管理,数据查询、导出、下载等控制。传统的DB管控工具一般由DBA团队开发,另外一个由安全团队开发。他们彼此分离,但同时又相互依存。安全团队需要根据数据的敏感性定制不同的权限控制逻辑,而两个团队的难点在于如何正常建立和关联反馈机制。这时候需要的是一个统一的具有数字安全原子能力的产品来解决这个问题,这涉及到数据识别能力、权限控制能力、数据水印能力和数据脱敏能力的结合。市场上已有类似产品的应用。当然,自主开发也需要根据各种原子能力进行构建和规划。案例二:应用数据安全场景下的办公后台应用管控许多办公后台应用是企业内部重要的风险暴露点,也是长期存在的问题。统一集中的权限管理平台通常是这种场景的诉求。权限管理平台的本质是权限控制能力的产品化。当然,基于不同的管控需求,还可能涉及数字安全原子能力,如水印能力。最后还有一点很重要,流动的数据是有价值的。数字安全原子能力用于支持3个场景下数据更好的流动和使用。但是要实现更好的数据流动和使用,还需要依赖另外一个重要的能力,运营能力。“1运营能力”数据安全运营能力是数据安全治理的稳定器和加速器。那么,数字安全的运营能力如何呢?笔者认为,数字安全运营能力是指以日志能力为基础,以分析能力为手段,以指标能力为手段,优化风控闭环,提升服务体验的能力。整体上,数字安全运营能力包括三部分:日志能力、分析能力和指标能力。图5运行能力构成日志能力具体来说,日志能力是指指标安全3场景下安全应用及相关产品的日志采集、传输和存储能力。日志能力,重点是解决日志是否完整的问题。没有日志,谈分析能力就好像“巧妇难为无米之炊”;如果日志不完整,谈指标能力就如同“瞎子摸象”。例如,在数据安全场景的应用中,如果需要在远程办公时根据不同的接入终端来源(移动端或PC端)限制用户的访问权限。如果在实际运行中发现应用端没有记录端源类型的日志,则基本上很难进行下一步的控制动作。这是日志没有的情况。再举个例子,在终端数据安全的场景下,笔者在《安全运营视角下的POC测试》一文中提到,一个商业产品U盘管控策略日志记录情况,无论复制失败还是成功,都会有一个操作日志记录,但只会记录复制行为,复制的结果(失败或成功)不被记录。单看没有问题,但如果从全局看,如何保证控制的有效性,如果没有记录复制结果,那就惨了。这是日志不完整的情况。同时需要强调的是,孤立的日志是没有意义的。测井能力是业务能力构成的基础和第一生产力。分析能力分析能力是基于大数据平台,利用规则、AI等手段,对三大场景的风险进行建模、检测和持续优化。分析能力考验安全人员对场景风险的识别和利用日志进行抽象建模的水平。例如,第一步是识别用户外呼行为的异常风险。首先,需要梳理出境渠道的类型。其次,需要确认这些出站通道是否有可用的日志记录。然后,确定可能的出站行为。转化为第二步监控规则,以测试结果数据为基础,进一步“理论”结合“实际”验证,第三步优化场景和规则等。分析能力是运营能力的核心手段,需要对场景风险有深刻理解。指标能力指标能力是通过构建关键核心评价指标来衡量数字安全运营成果的能力。一般来说,指标能力包括四个基本指标,即完备率、覆盖率、效率和准确率。图6显示了四个指标之间的相关性。图6指标关联完成率:衡量的是有无。从数字安全必备的安全能力维度,先解决有没有。例如,企业希望能够追溯数据,但没有水印产品提供业务端访问。从整体数据安全治理的角度来看,数据安全必备的安全能力完备率必须低于100%。就像疫苗一样,如果我们连基本的新冠疫苗都没有,谈疫情防控就是天方夜谭。覆盖率:测量覆盖率。例如,很多公司对办公后台应用有接入权限平台的需求,希望进行统一的权限控制,将风险降到最低。那么,这个场景下的风控如何评价,就要看后台应用覆盖了多少,整体覆盖了多少。就像疫苗一样,完备率是不是解决了,但如果不是每个人都接种,意义不大。效率:衡量可靠性。很多时候,Shuan面临的是很多安全能力可用,并且都覆盖的很好,但实际暴露的风险并没有大幅降低,这可能是一种效率低下的情况。比如很多公司都会安装DLP来防止数据泄露。很多时候,他们会面临数据泄露事件却找不到。在追溯调查过程中,发现要么是DLP端点没有正常工作,要么是规则没有正常工作。要生效,要么没有覆盖这个场景的规则,要么无法记录,前两者属于效率范畴。或者上网行为规则禁止访问Gmail邮箱,并且对所有用户下达政策,说明每个人都在政策的覆盖范围内,但是用户可能会通过挂代理的方式绕过,这也在一定程度上反映了问题战略效率。就像疫苗一样,你确实打过疫苗,但你只打了一针或两针,但很有可能已经不在保护期内了,就起不到保护作用了。事实上,你确实在玩,所以仅仅“拥有”是不够的。准确度:测量精度。大量高危告警和没有告警的结果差别不大。比如你是公有云用户,规则提醒你OSSBUCKET每天有上百条IP访问记录。查询了一下,原来这个桶是公用的,是开放给公众阅读的。业务场景确实会有这么多的访问IP,可想而知该场景的告警准确率会很低,这也在一定程度上反映了规则的准确率不高。准确度的高低很大程度上反映了可操作性的高低。但是,我们也需要清醒地看到,如图6所示,准确率对完整率、覆盖率和效率有很强的依赖性,不是一蹴而就的。运营能力的构建依赖于持续的场景输入和日志输入,结合3个场景和数字安全原子能力;同时,安全管理能力也能保证运营效果的有效运行和落实。另一方面,通过运营能力建设,持续反哺3大场景提升和数字安全原子能力建设,同时持续提升数字安全管理能力,形成有效正向循环。3.写在最后企业数据安全治理是一项复杂而艰巨的任务,尤其是在数据安全、网络安全、应用安全高度耦合的背景下。它更具挑战性,需要仔细考虑。数据安全治理,无论是构建数字安全原子能力组合,还是提升运营能力质量和效率,都需要足够的技术积累和技术支撑。“科技是第一生产力”。手里有“粮”,才能不慌。数据安全管理也对数据安全人员的职业素养和敬业精神提出了更高的要求。在掌握数据安全管理能力的同时,还需要增强对技术的理解。尤其是在企业云化背景下,云上数字安全的考验是技术管理执行力。值得注意的是,没有包治百病的“灵丹妙药”,指望一种新产品或新技术来解决数字安全的所有问题是不现实的;单纯追求0到1,忽视运营能力1到N的持续投入和长期建设,指望做好数据安全是不现实的。
