引言:數據治理或者數據安全在大多數安全從業者的印象中是比較熟悉的概念,但數據安全治理似乎是個新名詞。實際上,對於擁有重要數據資產的各類企業,在數據安全治理方面或多或少都有實踐,只是尚未系統化的實行。比如客戶數據安全管理規範及其落地的配套管控措施,以及數據分級分類管理規範。這篇文章我們希望能相對系統化地對此概念進行闡述。
數據安全治理的概念——以數據的安全使用爲目的的綜合管理理念,具體框架見下圖:
圖1數據安全治理理念框架
數據安全治理與傳統安全概念的差異
爲了更加有效地理解數據安全治理概念與傳統數據安全的差異,對比傳統安全理念如下:
差異對比 | 數據安全治理 | 傳統安全 |
目標方面 | 以數據的安全使用爲目標 | 以數據的安全防護,不受***爲目標 |
對象方面 | 面向內部或準內部人員,以這些人員行爲的安全管控爲主要對象 | 面向外部***,以對外部***或***者的防控爲主要對象 |
理念方面 | 以數據分級分類爲基礎,以信息合理、安全流動爲目標 | 以區域隔離、安全域劃分爲目標 |
手段方面 | 以信息使用過程的安全管理和技術支撐爲手段 | 以邊界防護爲主要安全手段 |
融合方面 | 安全產品技術和流程管理深度整合 | 管理與技術相對分離 |
表1數據安全治理與傳統數據安全的差異對比
一、數據安全治理的組織和受衆
數據安全治理首先要成立專門的數據安全治理機構,以明確數據安全治理的政策、落實和監督由誰長期負責。該機構通常是虛擬機構,可稱爲數據安全治理委員會或數據安全治理小組,成員由數據的利益相關者和專家構成。其成立,標誌着組織的數據安全治理工作正式啓動,使組織內數據安全規範制定、數據安全技術導入、數據安全體系建設得以不斷完善。該機構成立後,履行以下職責:
A.數據的分級分類原則的制定
B.數據安全使用(管理)規範的制定
C.數據安全治理技術的導入
D.數據安全使用規範的監督執行
E.數據安全治理的持續演進
二、數據安全治理的策略與流程
數據安全治理,最爲重要的是實現數據安全策略和流程的制訂,在企業或行業內經常被作爲《某某數據安全管理規範》進行發佈,所有的工作流程和技術支撐都是圍繞此規範來制訂、落實。
2.1 外部所要遵循的策略
數據安全治理同樣需要遵循國家級的安全政策和行業內的安全政策。舉例如下:
1. 網絡安全法;
2. 等級保護政策;
3. BMB17;
4. 行業相關的政策要求舉例:
(a) PCI-DSS、Sarbanes-Oxley Act(SOX 法案)、HIPPA;
(b) 企業內部控制基本規範;(三會、財政、審計)
(c) 中央企業商業祕密保護暫行規定;
這些政策通常是在制訂組織內部政策時重點參考的外部政策規範。
2.2 數據的分級分類
數據治理主要依據數據的來源、內容和用途進行分類;以數據的價值、內容敏感程度、影響和分發範圍進行敏感級別劃分。
2.3 數據資產狀況的梳理
2.3.1 數據使用部門和角色梳理
數據資產梳理中,明確數據如何被存儲、數據被哪些對象使用、數據被如何使用。對於數據的存儲和系統的使用,需要通過自動化的工具進行;對於部門、人員角色梳理,更多在管理規範文件中體現;對於數據資產使用角色的梳理,關鍵要明確不同受衆的分工、權利和職責。
2.3.2 數據的存儲與分佈梳理
清楚敏感數據分佈,才能知道需要對什麼樣的庫實現何種管控策略;對該庫運維人員實現怎樣的管控措施;對該庫的數據導出實現怎樣的模糊化策略;對該庫數據的存儲實現何種加密要求。
2.3.3 數據的使用狀況梳理
明確數據被什麼業務系統訪問,才能準確地制訂業務系統工作人員對敏感數據訪問的權限策略和管控措施。
數據的訪問控制
針對數據使用不同方面,完成對數據使用的原則和控制策略,包括:數據訪問的賬號和權限管理、數據使用過程管理、數據共享(提取)管理、數據存儲管理。
定期的稽覈策略
定期稽覈,保證數據安全治理規範落地,包括:
A、合規性檢查;
B、操作監管與稽覈;
C、風險分析與發現。
三、數據安全治理技術支撐框架
3.1 數據安全治理的技術挑戰
數據安全治理面臨數據狀況梳理、敏感數據訪問與管控、數據治理稽覈三大挑戰。
圖2 當前數據安全治理面臨的挑戰
3.1.1 數據安全狀況梳理技術挑戰
組織需要確定敏感性數據在系統內部的分佈情況,關鍵問題在於明確敏感數據的分佈;確定敏感性數據如何被訪問,如何掌握敏感數據以何種方式被什麼系統、什麼用戶訪問;確定當前賬號和授權狀況,清晰化、可視化、報表化的明確敏感數據在數據庫和業務系統中的訪問賬號和授權狀況,明確當前權控是否具備適當基礎。
3.1.2 數據訪問管控技術挑戰
在敏感數據訪問和管控技術方面,面臨以下挑戰:
(1)如何將敏感數據訪問的審批在執行環節有效落地對於敏感數據的訪問、對於批量數據的下載要進行審批制度,這是關鍵;
(2)如何對突破權控管理的***技術進行防禦基於數據庫的權限控制技術;
(3)如何在保持高效的同時實現存儲層的加密基於文件層和硬盤層的加密將無法與數據庫的權控體系結合,對運維人員無效。
(4)如何實現保持業務邏輯後的數據脫敏對於測試環境、開發環境和 BI 分析環境中的數據需要對敏感數據模糊化。
(5)如何實現數據提取分發後的管控。
3.1.3 數據安全的稽覈和風險發現挑戰
1、如何實現對賬號和權限變化的追蹤
定期對賬號和權限變化狀況進行稽覈,保證對敏感數據的訪問在既定策略和規範內。
2、如何實現全面的日誌審計
全面審計是檢驗數據安全治理中的策略是否在日常執行中切實落地的關鍵。《網絡安全法》針對全面的數據訪問審計的要求,日誌存儲最少保留6個月;全面審計工作對各種通訊協議、雲平臺的支撐,1000 億數據以上的存儲、檢索與分析能力上,均形成挑戰。
3、如何快速實現對異常行爲和潛在風險的發現與告警
數據治理關鍵要素是發現非正常的訪問行爲和系統中存在的潛在漏洞問題。如何對日常行爲建模,是海量數據中快速發現異常行爲和***行爲避免系統面臨大規模失控的關鍵。
3.2 數據安全治理的技術支撐
對應數據安全治理上述三大挑戰,提出針對數據安全狀況梳理、數據訪問管控及數據安全稽覈的技術保障體系。
3.2.1 數據安全狀況梳理的技術支撐
1、數據靜態梳理技術
靜態梳理完成對敏感數據的存儲分佈狀況、數據管理系統的漏洞狀況、數據管理系統的安全配置狀況的信息採集技術。
2、數據動態梳理技術
動態梳理技術實現對系統中的敏感數據的訪問狀況的梳理。
3、數據狀況的可視化呈現技術
通過可視化技術將靜態資產和動態資產梳理技術梳理出的信息以可視化的形式呈現,比如敏感數據的訪問熱度、資產在組織內不同部門或業務系統內的分佈、系統的賬號和權限圖、敏感數據的範圍權限圖:
圖3 數據資產分佈圖
圖4 數據訪問熱度圖
圖5 敏感數據賬號和授權狀況概況圖
4、數據資產的管理系統支撐
基於靜態梳理、動態梳理和可視化展現技術,建立數據資產的登記、准入、準出和定期覈查。
圖6 以自動流量分析技術完成存量資產梳理圖
3.2.2數據訪問管控的技術支撐
1、數據庫運維審批技術
數據庫的專業運維管控工具可以控制到表、列級及各種數據庫操作;可精確控制到具體的語句、語句執行的時間、執行閾值;滿足事前審批,事中控制的模式。
圖7 數據庫安全運維審批流程示意
2、防止******的數據庫防火牆技術
除管理內部人員對敏感數據的訪問行爲,也要對付******和***或第三方外包人員突破常規的權限控制,因此需要數據庫防火牆技術實現防禦漏洞***。
圖8 數據庫防火牆技術中最核心技術——虛擬補丁技術
3、數據庫存儲加密技術
數據庫的存儲加密保證數據在物理層得到安全保障,加密技術的關鍵是解決幾個核心問題:
a) 加密與權控技術的整合;
b) 加密後的數據可快速檢索;
c) 應用透明技術;
4、數據庫脫敏技術
數據庫脫敏技術,是解決數據模糊化的關鍵技術,通過脫敏技術來解決生產數據中的敏感信息在測試環境、開發環境和 BI 分析環境的安全。
圖9 數據脫敏技術
在脫敏技術中的關鍵技術包括:
a)數據含義的保持;
b) 數據間關係的保持;
c) 增量數據脫敏;
d) 可逆脫敏;
5、數據水印技術
數據水印技術是爲了保持對分發後的數據的追蹤,在數據泄露行爲發生後,對造成數據泄露的源頭可進行回溯。在分發數據中摻雜不影響運算結果的水印數據,水印中記錄分發信息,當拿到泄密數據的樣本,可追溯數據泄露源。
3.2.3 數據安全稽覈的技術支撐
數據安全稽覈保障數據治理的策略和規範被有效執行和落地,快速發現潛在的風險和行爲。但面對超大規模的數據流量、龐大的數據管理系統和業務系統數量,數據稽覈面臨着很大技術挑戰。
1、數據審計技術
數據審計技術是對工作人員行爲是否合規進行判定的關鍵,是基於網絡流量分析技術、高性能入庫技術、大數據分析技術和可視化展現技術:
圖10 數據審計技術
2、賬戶和權限變化追蹤技術
賬號和權限總是動態被維護,如何快速瞭解在已完成的賬號和權限基線上增加了哪些賬號,賬號權限是否變化,變化是否遵循合規性保證,需要通過靜態的掃描技術和可視化技術完成賬號和權限的變化稽覈。
圖11 授權變更統計分析管理界面
3、異常行爲分析技術
很多數據***和非法訪問掩蓋在合理的授權下,因此需要通過一些數據分析技術,對異常行爲發現和定義。定義異常行爲,一是通過人工的分析完成;一是對日常行爲進行動態的學習和建模,不符合日常建模的行爲予以告警。
分類 | 異常描述 | 影響分析 |
異常的查詢頻率 | 一段時間內重複查詢客戶信息幾百次 | 高 |
一個號碼一天內被查詢10次以上,或一個月內被查詢100次以上 | 中 | |
單次超大量查詢,如每次查詢量級達到百萬級數據 | 中 | |
帳號異常 | 長時間不登陸的帳號登陸使用,查詢敏感信息 | 低 |
同一個帳號被多個人員使用,同時登陸或登陸IP地址經常變化。 | 中 | |
異常的修改頻率 | 一段時間內修改客戶信息幾百次 | 高 |
一段時間頻繁插入、刪除客戶信息 | 中 |
表4 異常訪問行爲定義
以上很多異常訪問行爲,都與頻次有密切關係,引入StreamDB這種以時間窗體爲概念,對多個數據流進行頻次、累計量和差異量進行分析的技術,用於對大規模數據流的異常發現:
圖12 Stream 數據處理技術
數據安全治理理念,首先需要成立數據安全治理的組織機構,確保數據安全治理工作在組織內能真正地落地;其次,完成數據安全治理的策略性文件和系列落地文件;再次,通過系列的數據安全技術支撐系統應對挑戰,確保數據安全管理規定有效落地。