1.数据安全治理背景
随着各行各业信息化不断演变发展,数据已成为基础设施,成为业务发展重要原动力,内部业务与互联网深度融合,利用新媒体,让数据产生更大价值,是近近几年发展的主要趋势。如何提升数据资产价值同时让数据使用更安全,已成为各个行业探讨的方向。
近几年网络安全事件频发,具有商业特性的攻击事件越来越多,地下黑产对个人信息需求异常旺盛。2017-2018年度551起数据泄露事件中,出自各行各业,数据高质量、易获取,已成为不法份子获取利益的最佳途径。
随着横向网络安全法、等保2.0的合规性要求及纵向垂直行业安全要求的需要,对数据存储、使用、运营提出了明确要求,如何更好的对数据进行有效防护,保障数据全生命周期的安全性,如何以事前发现、事中阻止、事后审计、持续加固的方式,提供更好的服务是每个从事安全的行业人员应该深度思考的问题。
2.数据安全治理概述
数据治理包括数据、业务、安全、技术、管理等多个方面,而数据安全治理属于数据治理体系中的一个过程,从业务层到安全层,从管理层到技术层,从左到右,自上而下全方位与体系融合,贯穿始终。
3.数据安全治理目标
数据安全治理长期目标思短期目标需要从治理体系、安全合规、技术支撑三要素进行考虑建设。
治理体系:数据安全体系化建设,使数据安全管理更加合理规范,良好的可视性运维机制和动态协同能力。
安全合规:充分了解合规及行业要求,建设满足合规性要求同时,需要考虑灵活性、可扩展性及各阶段衔接性。
技术支持:提升事前发现、事中防护、事后审计能力。
4.数据安全治理体系
对行业数据特性及数据管理现存问题,从数据视角出发,系统化、规范化、科学性的建立数据安全治理体系。完整的数据安全治理体系应包含5个方面:原则、上层建筑、资产梳理、管理体系、防护体系。
安全治理体系
原则是数据安全治理的基本思想与方针,包括:战略一致、风险可控、运营合规、绩效提升。上层建筑包括内外部策略、部门职责、动态协同等,起到安全治理过程中依据、指引等作用。资产梳理是以安全治理角度,充分摸清家底,有针对性、有计划性的进行治理实施,主要包括:管理梳理、技术梳理、场景梳理。管理体系具有可落地执行特性,包含组织体系、执行体系及运维体系。技术体系通过发现、运维、防护,实现各阶段进行快速响应。
5.数据安全治理实施
5.1 组织建设。设计健全的组织架构是数据安全治理工作的基础。组织建设包括部门职责与人员角色确定及动态协同机制,
(1)部门职责与人员角色
部门包括:业务部门、运维部门及安全管理部门。业务部门。按单位业务职能划分;运维部门。根据运维体系进行有效执行;安全管理部门。制度指定、技术迭代、安全检查与事件处理、安全审计等。其它:包括第方厂家或者外包的职责制度。
人员角色可分为:业务人员、审计人员、运维人员、安全人员、管理人员等。
(2)动态协同机制
建设完善的动态协同机制,充分利用部门资源,解决部门运转孤岛问题。
资产梳理。明确数据访问人员、数据生产人员、数据维护人员等目标对象,以数据流转为基础,对相关人员进行串联,形成动态协同。
5.2资产梳理。 内部资产梳理是数据安全治理的核心所在,只有详细、真实的数据梳理才能让数据安全治理真正落地执行。梳理主要从现有管理、技术、治理场景三方面进行。数据资产主要为,机构化数据及非结构化数据,针对数据需要梳理威胁性、脆弱性及使用权限确定(包括:访问控制、权限授权情况等)。针对结构化数据还需明确数据类型及基础信息,如:主机信息、网络信息、数据库品牌、数据库版本信息等;对数据进行分类分级,通过合规性要求、自身主观判断、意外事故影响和第三方使用价值进行数据划分。
5.3流程管控。完善的管控体系是保障数据安全治理可持续性的关键所在,流程管控主要从组织体系、执行体系、运维体系等三个方面进行考量。组织体系:建立决策层、管理层、执行层多方面、跨部门有效协同机制与制度;执行体系:包括治理方针、规章制度、治理标准、治理规范、治理流程等;运维体系包括维护、监控、评估、加固、审计与应急、治理评估等。
5.4安全防护完善。数据安全治理离不开安全技术及安全产品,安全防护体系能力主要从发现能力、运维能力、防护能力三个方面进行建设。发现能力:数据泄密、数据审计、数据安全基线管理、UEBA、数据态势感知等;运维能力:综合性审计、基于数据的漏扫、监控与预警及统一认证与授权等;防护能力:数据加密、数据脱敏、数据库防火墙、数据防泄漏、统一策略管理、容灾备份等。
6.数据安全治理实施过程中注意事项。
6.1合规性要求。行业合规性要求较多,会随着时间推移发生变动,合规性文件对数据安全治理过程中有着依据、指引等作用,如不能深入了解,会使数据安全治理建设过程反复。
6.2管理体系。完善可持续性的管理体系是保障安全治理的先决条件,规划好,落地难的管理体系如空中楼阁,使数据安全治理效果大大折扣。
6.3资产梳理。资产梳理对数据安全治理尤为重要,需要清除哪些数据要防护、数据如何流转、端到端对象都有谁、数据跑的有什么内容、现今数据载体有什么安全隐患等等问题,资产梳理不到位,难以进行后期的体系建设。
6.4缺乏过程持续性。数据安全治理是一个持续性过程,上到管理体系,下至技术工具,都需进行持续性完善,如治理过程缺乏持续性,则无法形成运维监控、定向审计、问题处置与体系加固等一套有效的运转机制。
7.小结
大数据、云计算、物联网、人工智能的到来,让各个行业发生巨大的改变,各行业对数据数据整合及利用,以互联网进为载体行服务模式转变同时,应充分考虑对数据的安全治理。通过对人、管理、防护产品多个方面进行数据安全治理意识、制度、技术的持续性完善,实现安全、业务与数据有效融合,达到数据安全治理的预期效果。
CIO之家 www.ciozj.com 公众号:imciow