數據安全治理與以網絡爲中心的安全建設的核心區別在於是否關注業務,數據安全治理關注業務其目的是更好了解數據傳輸、數據存儲、數據處理等環節的情況,以便有針對性進行數據管控,而網絡爲中心的安全建設是通過網絡傳輸內容進行管控,特點爲重網絡,輕業務。簡單來說,數據安全治理是項目型,網絡安全更多是產品型。現今數據安全治理相關人員既要懂安全、懂網絡,也要懂客戶業務,這是數據安全治理難點同樣也是價值所在。
網絡安全與數據安全示例圖
本篇文章針對的是職能政府的數據安全治理,而非以大數據局牽頭全市範圍的數據安全治理。
一、需求調研
需求調研主要從管理、業務、技術,三個方面進行,管理與技術主要從現有體系下,如何體現數據安全內容,在數據生命週期下如何進行決策管理及技術支撐。由於管理與技術差異化較強(不同政府部門建安全建設不一),文章不進行過多介紹,由於政府行業核心業務類似,同時又是數據安全治理的核心,所以本篇着重介紹業務層面。
在進行需求調研前,首先需要了解客戶幾種業務類型,瞭解業務自然就瞭解數據。政府行業業務主要有5個方面。
業務組成示例圖
- 以三定方案及權責清單爲主的政務服務;
- 以五公開爲核心的政務公開;
- 以便捷互動爲主的政民互動;
- 以自身新聞爲基礎政務要聞;
- 以數據共享爲核心的數據公開。
以核心業務爲切入點,從採集、傳輸、存儲、處理、交換(共享、應用)、銷燬幾個方面進行梳理,最終確定數據庫基礎信息、數據類型及數據項、敏感數據情況、業務訪問規則、安全識別等。
梳理內容示例圖
1.數據庫基礎信息:數據庫品牌、版本、數據量、基礎網絡信息等;
2.數據類型及數據項:類型以主數據、業務數據、分析數據爲一級,逐層下分最終至具體數據項;
3.敏感數據情況:敏感數據類型、所在數據庫等;
4.業務訪問規則:客戶端、服務端、數據端等各端訪問及規則;
5.安全識別:包括,威脅性識別、脆弱性識別等。
二、規劃設計
針對需求調研和個性化要求,形成整體的規劃設計,該設計需要從管理、技術、運維、標準等方面入手,既要有全面性、深入性,又要有一定靈活性以便後期擴展。
規劃設計內容示例圖
管理:在現有管理體系基礎下,完善戰略和合規兩部分內容,包括:總綱、制度、辦法、規範、應急、績效、各種記錄表等。
技術:在現有技術體系基礎下,建設以數據生命週期的數據安全相關的技術產品。包括:審計、脫敏、加密、防火牆、認證網關等。相關技術一定要與業務結合,所以需要具有一定二次開發工作。
運維:數據項進行分類分級、應用場景設計(分業務與技術)、角色規劃及涉及數據安全治理運維的相關內容(如:業務新增、變更帶來的相關改動等)。
標準:根據外部合規要求及內生安全需要,形成相關安全標準,包括:能力評估標準、分類分級標準、去標識化標準等。該環節下標準非最終版,需要結合治理實施過程中所遇問題進行動態調整。
三、治理實施
依據規劃設計進行治理實施。數據安全治理實施可分爲三個階段。
治理實施示例圖
第一階段建設價值爲數據可視化。主要爲加強數據流動可視,實現數據訪問、敏感數據訪問等數據流向可視,其主要目的爲項目快速呈現價值,便於後期項目容易推進。
第二階段爲數據可管控。通過流向可視化後,需要加強數據管控能力,通過數據可視化發現問題後,需要通過及時、直接的管控手段實現快速介入,所以第二階段重點爲數據管控能力的提升。
第三階段爲數據安全體系化。該階段需要根據前期實施過程中所遇見的問題,不斷完善標準體系,實現技術、運維、標準的融合,達到安全治理體系化效果,實現“表裏如一”。
