一、背景现状
高科技领域十大行业包含电子信息技术、通信行业、互联网和软件行业、新能源和环保行业、仓储物流行业、新材料行业、卫星导航和测绘行业、智能制造和机器人行业、新能源行业。随着各行业数字化转型的持续推进,繁多的业务应用覆盖了经济与民生需求,衍生出新的应用和数据数量增长迅速,有力地支撑社会经济中的数字化服务,其数据资产具有极高的价值和敏感性,数据资产已经成为企业的基石与核心竞争力。
企业发展先期,业务发展迅速,对数据资产管理和风险管理往往相对滞后,高科技领域持续发展的过程中,数据安全和隐私合规面临许多的挑战,常见挑战包含数据泄漏和黑客攻击、合规遵从、数据访问控制的精细化管理、人工智能和大数据应用、隐私风险、法律法规和标准的不断变化,而随着技术的不断发展、市场的不断变化,数据安全和隐私合规面临的挑战也会变化,高科技行业中的企业需要密切关注行业和市场动态。据中国信息通信研究院调查数据显示,仅26.59%的企业具有数据安全管理要求,对数据进行分类分级,对数据具有安全管控机制;仅17.88%的企业能自动化识别并处置数据使用过程中的风险,具备数据流转的自动化追踪和溯源能力。
但万变不离其宗,为确保数据资产的安全和隐私合规,数据发现、识别和分类分级是根本,而数据流转的风险监测是保障,通过对数据进行发现、识别和分类分级,可以更好地了解数据的安全和隐私需求,制定相应的数据流转策略和安全措施,从而降低数据在流转过程中的风险。同时,通过对数据流转过程进行监测和控制,可以及时发现数据的异常流转和风险,并采取相应的措施进行处置和纠正,保障数据的安全和隐私。接下来篇幅会对这两个重点话题展开详述。
二、目前面临的短板与挑战:
引发数据安全的风险源可能是内部人员的恶意行为或无意操作,也可能是外部黑客的恶意攻击,采用恶意软件、安全漏洞、社会工程学等多种手段。从应用前端的过度采集数据,到中后端疏漏的数据资产管理、风险管理和权限管理,对于许多企业而言,没有全面清晰地识别业务所依赖关联的数据资产,进而无法准确评估数据资产价值和风险。通过技术工具的使用,准确地识别业务经营数据、客户信息、风控数据等敏感的数据资产对业务至关重要,是进行安全分类和风险管理的基础。
国家不断新推出的行业标准和规范,标准中提供行业数据的分类分级示例。数据分类往往基于组织内所有数据的考量,以数据的类型结合数据实际内容范围进行分类;以数据的安全属性破坏后影响到的对象和程度定义分级。由于企业往往没有及时地解读和跟进新实施的行业标准,数据分类分级精细化不足,加之以往构建的数据目录或清单多为人工梳理,或以公开、内部和机密为维度粗略的分类分级,难以针对不同类型的数据资产采取差异化的管理策略。
企业中的风险管理和数据资产管理间往往缺乏有效的协同机制,使得风险管理措施的制定与执行脱节。数据资产管理是风险管理的输入,有效地识别和评估数据资产,为更合理地制定风险识别和处置策略提供依据。风险管理的执行也与数据资产管理息息相关,对于不同类别的数据资产所采取的风险措施落地,需要数据资产管理结果的支持,例如数据资产目录、业务影响对象和范围分析结果等,数据资产在遭遇风险威胁后的事件处置,需要根据数据资产的属性、重要性和业务关联性采取差异化措施,需要与日常的数据资产管理相结合。对于数据资产管理来说,通过对风险管理和策略执行情况的跟踪,评估其有效性发现行之有效和待改进的地方,并将改进措施反哺至数据资产安全管控。
企业对于数据资产的访问与使用行为情况进行的审计溯源机制还不完善,难以及时有效地发现异常访问行为。数据资产管理为审计与溯源提供基础。被审计的数据资产必然来源于企业所识别的数据资产清单及分类分级结果,为确定审计对象和事件分析提供重要参考。数据资产出现异常需要审计与溯源进行分析。当数据资产发生安全事件时,需要对事件进行审计与溯源,以查明事件发生的原因及责任主体,与资产管理相关的信息相结合才能进行有效分析。通过对数据资产的使用与访问情况进行追溯,可以发现资产管理方面存在的问题,如分类不准确、访问控制不足等,并及时反馈至数据资产管理工作中进行改进。
三、最佳实践
企业内部的数据资产是多样化的,有静态存储的数据,流转的数据和正在使用的数据,有结构化的数据,也有非结构化的数据,而识别数据的本质在于识别出有价值的数据,采取好有效的安全保护措施同时进而为业务赋能。要做到数据的全面识别需要各项技术能力的结合,如数据库扫库、DLP,但在数据无出不在的数字化时代会面临两大挑战,一是需要大量的人工辅助,二是已经被标识的数据如何流入流出、如何被访问、使用、流转、存储。如何保证数据识别的完整性、一致性、降低人工辅助的成本,做到既要有要?
依托于全链路的数据资产发现能力,实现全域数据自动发现,包括外部API、内部API、数据库和数据湖侧的数据均支持自动发现。自主研发的数据识别引擎,依据数据本身的特征和属性,自动化发现敏感数据标识和敏感数据流转全链路。
对于高科技行业来说,数字化业务进程中包含了经营管理类、生产运营类和客户服务类等重要数据,对于这些数据中特征明显,例如客户服务类的个人基本信息、个人联系信息、个人职业信息等数据,通过正则表达式、关键字、字典等方式比较容易使用技术工具进行识别和标识。
当数据识别的对象属于行业属性比较明显的结构化数据,例如账户信息、支付信息、购物信息、收入信息、交易记录、物流商品、绩效数据、生产数据、经营预测数据等这类数据,往往内容复杂、不具备明显特征,传统技术手段难以识别,则可以采用创新的思路突破行业属性明显的“无特征”数据识别难题,可以在应用前端页面针对字段完成数据标识的操作,半人工的方式弥补技术工具的局限性,从而实现包括个人隐私数据、业务经营数据和重要数据在内的全类型数据识别和标识。
图 1 前端页面数据识别与标识及管理后台呈现示意图
数据分类分级是应对数据安全挑战、推进数据安全治理的重要手段,标准作为各行业数据处理者开展数据分类分级工作的重要参考指引,技术工具则作为分类分级工作的主要实现方式。
一方面,技术工具为有明确分类分级指导的行业,提供符合国标规范的分类分级策略,以满足个人隐私数据和行业数据的分类分级需求;另一方面,技术工具可以提供定制化的分类分级规则配置,定制属于企业自己的分类分级规则划分标准,深入业务环节和数据使用情况,使分类分级的结果更加符合企业的业务流程和实际需要。
图 2 分类分级规则配置示意图
通过自动化的绘制数据流转,可以直观的理解数据在不同系统、应用和流程中的使用情况,包括数据访问、数据使用、数据共享等。这有助于更好地管理数据资产,包括对数据进行分类和分级、控制数据访问和使用、保护数据安全和隐私等。例如,企业可以通过数据流转可视化工具,发现某些数据在流转过程中存在业务流问题或安全风险,及时采取相应的措施进行处理,如对敏感、重要数据进行加密或脱敏等操作,从而保证数据质量和安全性。
图 3 数据流转可视
数据资产识别与风险识别的主要识别对象是存在交集的,对同一业务环境下的数据资产进行梳理和制定风险策略。风险识别需要数据资产梳理结果作为输入,以数据资产作为对象,以资产暴露面确定风险识别策略和规则。数据资产识别也需要风险识别结果作为参考,优化资产类别及风险等级的业务划分。
技术工具的介入能够有效地在技术层面将数据资产识别与风险识别之间建立内在关联。围绕数据资产为风险对象,能够实现单次查询多类敏感数据、累计查询返回多条敏感数据、瞬时查询返回多条敏感数据等异常行为的实时分析和预警,亦可基于数据全链路,不受限于数据资产本身,围绕数据、数据库、应用和用户多维度进行高维关联数据,构建风险监测底层能力,通过聚合分析数据和载体资产风险,实现应用侧数据泄漏风险预警能力。
图 4 数据资产为对象的风险识别示意图
数据资产管理与审计溯源在实施过程中发现的问题彼此存在关联。数据资产管理中发现的高敏感资产可能是事件审计中风险威胁的重要因素。对审计日志的关联分析可以实现更加系统化和深入的应对和修复方案制定。
对于技术工具而言,动态采集用户访问行为日志,结合全链路的能力,形成用户、应用、数据库及数据在内的四层关联审计记录,审计要素全面覆盖数据流转全链路上的重要对象,要素更全面,链条更完整。同时针对风险事件提供快速双向溯源能力,可针对某个用户账号基于其访问行为进行溯源,也可以针对某条具体数据基于其被调用行为进行溯源,溯源定位更高效。
图 5 双向溯源示意图
四、结束语
图 6 系统化能力示意图
简言之,数据资产管理负责识别高价值资产,为数据安全风险管理提供基础。风险管理在数据资产输出的基础之上制定并执行风险识别策略,以预警安全风险对数据资产可能造成的影响。数据资产管理侧重资产梳理,风险管理侧重威胁告警,但最终的目的都是为了降低风险威胁对重要资产的影响。数据资产识别与风险识别都是数据安全的重要起点,两项能力之间的高度协同,可以确保管理工作的连贯性和系统性。而审计溯源的执行结果反过来检验数据资产管理的有效性,对安全事件的追溯定责也需要两者结果的结合。企业在构建数据安全管理体系时,需要明确数据资产管理与其他能力之间的关联性和重要性,使其整体成为一个能够相互促进的闭环。安全策略的制定不建议采用通用性方案,应考虑多项能力的结合,使得数据资产的保护不流于形式,真正发挥实质性作用,向体系化的建设思路上持续发展。
作者介绍
关于 安全村
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:info@sec-un.org