在数据流通的整个过程中,数据的安全治理是基础,在海量高价值数据资产面临各种内外威胁面前,更需要体系化的建设思路。《数据安全法》明确提出,维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。
作为从国外引入的理念,数据安全治理在国内市场的推广、应用过程中衍生出了不同的理解思考和实施路径,安全419推出《数据安全治理解决方案》系列访谈选题,聚焦企业用户真实需求和挑战,通过挖掘分享行业中有价值的解决方案及服务,力求帮助企业用户在数据安全建设工作中提供有益参考。
本期,我们走进广州熠数信息技术有限公司(以下简称 熠数信息),观察他们在该领域的思考和实践。
熠数信息成立于2021年,以构建和谐的数据安全生态为己任,深耕数据安全领域,针对数据安全问题种类进行梳理,从影响面及危害程度做分级分类,再将数据安全划分为四个应用场景:隐私合规场景、数据治理场景、数据应用场景和开放共享场景,每个场景中提供数据安全解决方案,实现能合规、有抓手、查得出、防得住。推动数据安全流动,让数据的价值熠熠生辉。
·数据安全治理的实践与经营业务、数据利用强相关·
数据作为一种新型生产要素已经被写入中央文件,数据是数字经济的核心,数据要素对经济社会的发展起着关键作用。熠数信息CTO方伟表示,安全有效地推动数据利用、共享和流通,挖掘数据价值,能快速释放数据生产力,助推经济社会高质量发展,这就要求我们着力解决数据安全领域的突出问题,提升数据安全治理能力。
数据安全治理是一个具有一定战略高度的、纲领性的概念,是一个体系化、制度化的过程。数据安全治理是确保数据的可用性、完整性和保密性所采取的各种策略、技术和活动,包括从企业战略、企业文化、组织建设、业务流程、规章制度、技术工具等各方面提升数据安全风险应对能力的过程,控制数据安全风险或将风险带来的影响降至最低。
数据安全治理自上而下,由治理层到管理层,从管理制度到技术工具,贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标达成共识,确保采取合理和适当的措施,以最有效的方式保护数据的安全。
但不同于已经建设十几甚至二十几年,数据安全基础薄弱,不能一蹴而就。方伟表示,传统网络安全产品的使用者是安全运营人员,运维与业务是割裂的;但数据安全与业务是强相关的,市场化数据安全类产品的落地建设需要业务线而非研发技术人员的支持,需要数据管理部门的支持。市场化解决方案只有单一技术,无法覆盖企业数据安全治理的方方面面,比起网络安全来,数据安全治理更需要有行业业务逻辑的理解。
因此,数据安全治理在实践中,与经营业务、数据利用有更多的互动,涉及的范围更广,落地推动工作需要更多适配本地环境,相应的产品也有更多的业务定制化,而不是像网络安全产品那样可以做到标准化。此外,由于目前相关的法律法规许多条款都比较原则性,因此需要结合不同的行业和业务场景,适时地增加地方性法规、行业标准等才能更好推进和落实。所以,做好数据安全治理需要用户基于业务提出需求、供应商基于业务定制开发和监管机构基于行业场景制定标准。
·数据安全治理的有力抓手:·
熠数信息在数据安全治理方面把目光锁定在数据安全审计。方伟解释,因为安全这个领域是只有在事件发生的情况下才能体现自身价值,所以像加密、评估、认证这些安全建设在短期内是无法让企业直观感受到自身安全能力提升的。此外,内部人员的疏忽行为、组织员工内外串谋、离职前获取数据,心怀不满的恶意行为是所有数据安全事件中代价最高昂且最难检测到的。
因此,对客户而言最能够体现效果的是数据安全审计。这里的数据安全审计不是对数据库的审计,而是对内部员工数据的使用行为、API接口调用行为的历史数据进行记录和分析。
熠数信息的业务数据应用安全审计系统通过定义用户个体的标签,在纵向(个体的历史行为习惯)和横向(群体的行为习惯)的比较,识别行为习惯偏离度,再结合预定义规则和场景,及时拦截、预警高风险事件,避免历史风险事件再次发生。
数据应用安全审计不是应对内部威胁的,而是以数据行为为视角,囊括业务流程异常、业务接口的违规调用等行为发现数据访问异常。
在业务风控场景下,做关键业务识别,将业务流程中的操作对应为编码序列,基于历史数据,训练序列异常的检测模型。通过检测用户行为序列的异常度,判断是否有违背关键业务的流程,找出异常。在大数据技术和基于AI的机器学习技术的加持下,数据安全审计更加能够发挥其价值,识别用户异常、异常用户、员工利用账号所做的操作与正常业务范围不符合等行为。据了解,该系统目前已经在某些省市的数字政府中应用,得到用户的好评。
方伟向我们着重强调了熠数信息解决方案的差异性。很多数据安全公司在做数据安全方案时都在谈数据安全的生命周期,即数据采集、数据传输、数据存储、数据共享、数据使用、数据销毁等阶段。但围绕数据安全生命周期的解决方案,周期长、起效慢、投入高、操作复杂,并不适合当下企业对数据安全的要求——高效、快速。
因此,熠数信息的解决方案是先聚焦某一个应用场景,在场景中细分做模块,辅助有效管理手段、技术工具和持续性服务形成一套小的体系后再把场景扩大,体系扩大。
例如,合规场景可以分为用户隐私数据安全合规、数据共享和委托、内部数据使用三类,这些场景包括一系列子场景,在这些子场景中一步步完善,这样能够保证在这个场景下快速高效地体现效果。再比如数据安全风险场景,可以从风险源出发,按照外部攻击者、内部工作人员和第三方合作伙伴三个场景设计方案,也可以从风险等级出发,按照信息安全风险评估的思路,从资产、威胁、脆弱性等几个维度设计方案。
·以评估-指导-监督-检查为主要过程建设数据安全能力·
谈及此,方伟介绍了熠数信息数据安全治理体系的整体设计思路,在ISO 38505数据治理安全体系标准的基础上,结合客户的数据安全需求,对实际情况进行研究和实践,建立一套轻量化、见效快的数据安全治理方法体系。该体系是以评估(Evaluate)-指导(Direct)-监督(Monitor)-检查(Check)为主要过程的EDMC数据安全能力建设模型。
·评 估
通过评估数据在当前和未来的安全状况,在保障业务的前提下,实现合规约束和风险管控两大数据安全目标。
合规约束从数据源、数据使用、数据共享和第三方委托四个方面开展:识别数据类型,判断其中是否包括个人信息、重要数据以及其他受监管的特定行业的数据。对数据采取合理的分类分级,根据不同的数据类级识别合规风险,调整相应的业务模式及授权条款,以保障数据来源的合法性,从而降低合规风险。业务涉及数据跨境传输或处理的,企业还需要关注适用境外法律的合规情况,例如,欧盟的《通用数据保护条例》等。
风险管控是评估因管理和技术手段的缺失造成数据未受到持续有效保护,使得数据的机密性、完整性和可用性的一个或多个遭受破坏的风险。评估围绕数据安全风险源、数据安全措施,通过对数据处理活动、数据安全管理、数据安全技术、个人信息保护、重要数据处理等方面进行评估,发现安全风险。
·指 导
指导是编制及实施战略和政策,以确保数据安全服务于业务目标。
数据安全治理的责任主体在治理层,治理层在开展数据治理的过程中主要通过制定数据安全战略来指导数据管理活动,而管理层需要通过管理活动来实现战略目标。同时,治理主体需要通过建立数据安全政策来保障数据管理活动符合数据安全战略的需要,进而满足企业的战略目标。
数据安全治理体系文档由数据战略和数据政策组成。数据政策通常可分为三级文档:一级文档作为总纲,对治理体系进行指导和治理域框架划定,主要涵盖体系的方针目标、组织架构、治理域范围等内容;二级文档作为管理规范,涵盖各治理域的管理政策;三级文档作为管理程序,具体构建管理规范在企业中的运行管理流程及附上相应的模板、表单等。
·监 督
监督是对数据安全治理实施情况的监督,获取和度量数据安全治理工作的有效性和价值,监督已定义的数据安全治理策略的执行情况,并使得企业数据安全策略和绩效的一致。
数据安全治理策略的执行情况监督主要是对已定义的数据安全策略、规则的遵从性、合规性进行度量,确保数据安全的相关策略执行到位,并及时发现执行过程中存在的问题,及时更新策略。在实际工作中,企业根据自身的需求和现状定义数据安全治理度量和评价体系,包括组织人员方面、流程制度方面、风险评估方面、宣传培训方面等。
关于数据安全治理成功的衡量标准,要结合数据治理,以数据为基础,以事实为依据,来证明数据安全的有效性和成本持续投入的合理性。数据安全治理可以和数据治理结合,其有效性和价值建立在对企业的业务安全价值提升的基础上,也就是通过数据安全治理提升了哪些业务和安全指标,例如收入和利润的增加、成本的降低、安全事件的降低、工作效率的提高、监管机构评分等。
·检 查
对企业而言,最直接地看到数据安全治理的效果就是检查。以上几个过程都是阶段性的,而检查是实时的,通过技术手段,实时全面监测员工和第三方在数据访问、使用、流转的过程中的操作行为。对内网的流量和系统日志的分析,实现业务数据审计,对内部人员的疏忽行为、组织员工内外串谋、离职前获取数据,API接口滥用,识别用户异常、账号被滥用、员工利用账号所做的操作与正常业务范围不符合等行为。此外,检查隐藏在企业正常运行中的那些已被攻陷、被外部远程控制的潜伏主机,发现接收外部恶意指令,进行暴力破解、数据收集、数据隐蔽外传、异常域名访问等数据窃取行为。
上述是在内部检查,在外部,境内外网络上的代码平台、技术博客、数据交易 等平台进行监控,及时检查正在被交易和泄露的企业的数据。通过监 控企业可以进行有针对性的自查和整改,分析数据泄露的途径,防止再次发生 数据安全事件。
最后,方伟强调数据安全治理体系的建设与投入始终是要以提升业务价值为导向,同时在数据安全治理体系的建设和维护过程中,需要注意与企业实际业务场景的结合。数据安全治理的落地建设是一项长期工程,企业需要不断践行PDCA循环,让企业在数据安全治理方面持续地散发活力,让数据与业务达到一个更加稳定、平衡的状态,实现数据安全能合规、有抓手、查得出、防得住,更自信地迎接来自数字时代的机遇与挑战。