作爲數據安全建設的方法論,《數據安全治理白皮書》2.0經全面升級更新後重磅發佈。該白皮書由中國網絡安全與信息化產業聯盟數據安全治理委員會(簡稱數據安全治理委員會)起草編著,系統探討國內外數據安全情勢與市場趨勢、相關標準與框架,並彙集了多個行業標杆數據安全治理實踐,可以爲政府與企業進行數據安全建設提供整體思考與規劃,爲數據安全建設的設計與實施者提供具有參考價值的數據安全治理整體方案及案例實踐。
《數據安全治理白皮書》2.0版本修訂說明
《數據安全治理白皮書》2.0版本中,針對以下內容進行修訂完善:
1、增加數據庫防勒索技術,針對數據庫勒索手段進行分析,同時提出防勒索技術;
2、增加個人信息收集與隱私政策測評報告相關解讀;
3、國內外數據安全事件概要更新至2019年;
4、增加數據安全相關法規和標準列表說明;
5、數據安全治理外部所要遵循的策略中增加個人信息安全管理規範、銀行業金融機構數據治理指引;
6、附錄C數據安全治理實踐增加教育部數據安全治理實踐、市政務雲數據治理實踐、國家電網數據安全治理實踐三個新的行業實踐;
7、附錄D國內外重要數據安全事件例舉增加萬豪集團5億用戶數據或外泄和Oracle Rushql勒索病毒事件;
8、增加數據透明加密保護技術;
9、增加數據庫防勒索技術;
10、全文內容文字和段落結構的優化。
《數據安全治理白皮書》2.0精簡版
1、數據安全建設需要系統化建設思路
1.1、數據安全成爲安全的核心問題
回看過去二十餘年,政府與企業的信息化程度不斷加深,IT系統的複雜度與開放度隨之提升;伴隨雲計算、大數據、人工智能等新興技術的飛速發展,數據作爲支撐這些前沿技術存在與發展的生產資料,已經成爲組織的核心資產,受到前所未有的重視與保護。數據的安全問題將引發企業和社會決策的安全問題。數據的安全問題,已成爲企業資產安全性、個人隱私安全性、國家和社會安全的核心問題。
1.2、數據泄露路徑多元化
過去幾年間,大型數據泄露事件層出不窮,就數據泄露事件分析來看,既有***的***,更有內部工作人員的信息販賣、離職員工的信息泄露、第三方外包人員的交易行爲、數據共享第三方的數據泄露、開發測試人員的違規等。
這些複雜的泄露途徑無一不在證明:傳統網絡安全中以抵禦***爲中心、以***爲防禦對象的策略和安全體系構建存在重大的安全缺陷,傳統網絡安全爲中心需要向以數據爲中心的安全策略轉變。
1.3、數據安全相關法規和標準大爆發
安全事件層出不窮,企業資產和國家安全面臨挑戰,個人隱私大範圍泄露,在數據高度發展的時代,這些都爲社會的安定、個體自由與安全帶來了巨大挑戰。因此各國都相繼出臺了大量的法規,對個人、企業和國家重要數據進行保護。
1.4、數據安全建設需要有系統化思維和建設框架
隨着數據安全的重要度提升,用戶在這個方向的投資也在增大,據KVB Research2017年大數據安全報告預測顯示,大數據安全上2017年全球投資達到102億美金,並且以17%的年複合增長率在擴大,到2023年將達到309億美金,也就是2000億人民幣。
(KVB Research在big data security上的市場預測)
而在我國隨着網絡安全法的出臺,數據資產價值得到確認,政府機構和企業在這個方向的投資也在加大,以數據審計、脫敏和加密爲目標的數據安全投資正在成爲採購的熱點。
數據安全治理的思路將數據安全技術與數據安全管理融合在一起,綜合業務、安全、網絡等多部門多角色的訴求,總結歸納爲系統化的思路和方法。
2、數據安全治理基本理念
關於數據安全治理原則與框架,國際研究機構Gartner對此進行專屬領域的研究,大型企業Microsoft從數據隱私合規角度也曾向市場提出隱私、保密和合規性的數據治理方案。從國際視角對此理解的基礎上,我們在中國提出了數據安全治理理念與技術路線,填補了該理念在中國的空白,更有效推動實現該理念在國內的執行落地。
2.1、數據安全治理概述
數據安全治理是以“讓數據使用更安全”爲目的的安全體系構建的方法論,核心內容包括:
(1)滿足數據安全保護(Protection)、合規性(Compliance)、敏感數據管理(Sensitive)三個需求目標;
(2)核心理念包括:分級分類(Classfiying)、角色授權(Privilege)、場景化安全(Scene);
(3)數據安全治理的建設步驟包括:組織構建、資產梳理、策略制定、過程控制、行爲稽覈和持續改善;
(4)核心實現框架爲數據安全人員組織(Person)、數據安全使用的策略和流程(Policy & Process)、數據安全技術支撐(Technology)三大部分。
2.2、數據安全治理建設與演進模型
爲了有效地實踐數據安全治理過程,我們需要一個系統化的過程完成數據安全治理的建設
數據安全治理建設體系
組織構建:在數據安全治理中,首要任務是成立專門的安全治理團隊,保證數據安全治理工作能夠長期持續的得以執行;
資產梳理:在隊伍構建後,重要的是對企業中的數據資產進行盤點;
策略制訂:根據梳理的情況,要對數據進行分級分類,要對人員進行角色劃分,要對角色對數據使用的場景進行限定,要對這些場景下的安全策略和措施進行規定;
過程控制:不同的角色團隊,要在日常的管理、業務執行和運維工作中,將相關的流程規定落地執行,要採用相對應的數據安全支撐工具,在辦公和運維的過程中將這些工具進行融入;
行爲稽覈:要對數據的訪問過程進行審計,看在當前的安全策略有效執行的情況下,是否還有潛在的安全風險;
持續改善:對當前的數據資產情況進行進一步的梳理,改組當前的數據安全組織結構,修訂當前企業的數據安全策略和規範,持續保證安全策略的落地。
3、數據安全治理的組織建設
數據安全治理首先要成立專門的數據安全治理機構,以明確數據安全治理的政策、落實和監督由誰長期負責,以確保數據安全治理的有效落實。
某運營商的數據安全治理的相關組織和角色結構圖
(注:深色是部門,淺色是角色,結構中覆蓋了業務、安全、運維和企業的相關管理支撐部門)
4、數據安全治理規範制定
在整個數據安全治理的過程中,最爲重要的是實現數據安全策略和流程的制定,在企業或行業內經常被作爲《某某數據安全管理規範》進行發佈,所有的工作流程和技術支撐都是圍繞着此規範來制定和落實。
5、數據安全治理技術支撐框架
5.1、數據安全治理的技術挑戰
實施數據安全治理的組織,一般都具有較爲發達和完善的信息化水平,數據資產龐大,涉及的數據使用方式多樣化,數據使用角色繁雜,數據共享和分析的需求剛性,要滿足數據有效使用的同時保證數據使用的安全性,需要極強的技術支撐。
數據安全治理面臨數據狀況梳理、敏感數據訪問與管控、數據治理稽覈三大挑戰。
當前數據安全治理面臨的挑戰
5.2、數據安全治理的技術支撐
5.2.1數據資產梳理的技術支撐
數據安全治理,始於數據資產梳理。數據資產梳理是數據庫安全治理的基礎,通過對數據資產的梳理,可以確定敏感數據在系統內部的分佈、確定敏感數據是如何被訪問的、確定當前的賬號和授權的狀況。根據本單位的數據價值和特徵,梳理出本單位的核心數據資產,對其分級分類,在此基礎之上針對數據的安全管理才能確定更加精細的措施。
(1)靜態梳理技術
(2)動態梳理技術
(3)數據狀況的可視化呈現技術
(4)數據資產存儲系統的安全現狀評估
5.2.2數據使用安全控制
數據在使用過程中,按照數據流動性以及使用需求劃分,將會面臨如下使用場景:
●通過業務系統訪問數據
●在數據庫運維時調整數據
●開發測試時使用數據
●BI分析時使用數據
●面向外界分發數據
●內部高權限人員使用數據
在數據使用的各個環節中,需要通過技術手段將各個場景下的安全風險有效規避。
5.2.3數據安全審計與稽覈
數據的安全審計和稽覈機制由四個環節組成,分別是行爲審計與分析、權限變化監控、異常行爲分析、建立安全基線。
6、數據安全治理的發展展望
Gartner預測,到2021年,將有超過30%的企業開始實施執行數據安全治理框架。到2022年,90%的企業戰略將明確數據作爲關鍵企業資產,數據分析作爲必不可少的能力。30%的CDO(首席數字官)將與CFO(首席財務官)正式對組織的數據資產價值進行評估,以改善數據的管理和收益。超過30%的企業(目前不到5%)將使用其數據資產的財務風險評估來對IT、分析、安全和隱私的投資選擇進行優先級排序。
數據安全治理產業,大體可以分爲大型數據中心用戶、安全治理諮詢服務商、技術產品 供應商、技術方案提供商;當前在中國這樣的產業鏈環境正在形成,通過這些產業鏈的構建,將爲數據安全治理的落地提供保障。
數據使用帶來的財務影響,Gartner最新通過信息經濟學模型來評估,即財務數據風險評估(FinDRA)模型。信息經濟學作爲一個重要的工具,可以使安全和風險管理(SRM)領導者,首席信息安全官(CISO),首席數據官(CDO)和CIO,根據收入機會評估每個數據集。信息經濟學模型還允許他們對管理、存儲、分析和保護數據的有形和無形成本進行評估。財務數據風險評估(FinDRA)模型如圖所示:
財務數據風險評估流程
這意味着需要仔細評估不同金融負債的業務風險,無論是數據貨幣化產生的短期還是長期影響。該研究將描述如何評估潛在負債的規模並根據影響確定優先級。需要注意的是,財務風險評估是更廣泛的數字風險評估視圖的一部分。
7、附錄
附件A 詞彙列表
附件B 國際數據安全治理理論
附件C 數據安全治理實踐
附件D 數據安全生態環境
附件E 數據安全成熟度模型
附件F 數據安全治理重要相關技術
掃描二維碼
獲取白皮書完整版