5月26日,安在新媒体联合新一代数据安全技术倡导者--天空卫士,共同推出了数据安全系列最后一期直播,本次的直播主题是数据安全治理技术落地与最佳实践。之前两场直播,就法律合规新动向、AI崛起新技术,以及数字化转型新背景下,数据安全治理的整体定位与建设思路做了探讨,相对来说,都还属于上层建筑。而在这第三场直播,专家们全面梳理、讨论了在数据安全治理落地过程中,哪些属于重要环节,哪些又属于需要解决的痛点、难点和坑点,专家们从规避、预防、解决的角度,详细解读了数据安全治理该如何落地和实践,为企业的数据治理方针提供了宝贵的建议。


(从上至下、从左至右分别为安在新媒体创始人张耀疆,天空卫士华南区技术总监、安全技术咨询总监黄军,七牛云安全负责人朱士贺,安言咨询副总经理钱伟峰)

一、数据安全治理技术落地与最佳实践
从2017年网络安全法的颁布,到如今数据安全法的实施,以及数据出境安全评估办法的逐渐普及,这种种政策驱动都告诉了我们同一个核心逻辑,即各行各业都应该关注数据本身的资产价值,并同时需要关注数据的敏感性,比如个人隐私、关键信息基础设施、企业的商业机密等。

1、数据安全保护的四大“误区”

天空卫士黄军表示,企业用户在安全建设方面存在几个常见的误区,首先是“网络边界不等于数据安全边界”,过去具备固定用户访问入口的数据流向已被打破,隔离纵深的逻辑不再适用,数据无处不在的时代里,修城墙的隔离逻辑要转变成最新的数据安全治理体系,只有做好这样的提升,企业才能从容面对数据安全问题。

其次还有:“内部人员不等于安全内部人员”,“网络安全不等于数据安全”,“应用授权不等于数据授权”。

2、DSG和DSMM

黄军指出,数据安全治理不仅仅是一套用工具组合的产品级解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。

以Gartner数据安全治理框架(DSG)为例,其涵盖了数据安全六大技术体系。之后黄军还介绍了DSMM数据安全能力成熟度模型,他表示在DSMM六个数据安全过程维度里,主要研究采集、传输、存储、处理、交换、销毁等过程维度中的数据是不是存在威胁,特别是在以数据分类分级为主的时代下,这是针对数据资产价值保护的重点。

3、分类分级对象

在数据分类分级的对象方面,黄军指出,人们普遍容易进入一个误区,就是只以数据库存储,即结构化数据为核心做分类分级。事实上,除了结构化数据外,还有半结构化数据和非结构化数据。半结构化数据以API安全为代表;而非结构化数据,包含共享文件存储、大数据存储,以及办公环境下,流转于端、管、云业务系统间的非结构文档。

黄军表示,从企业建设的路径,从企业最初数据安全治理的技术落地规划来看,分类分级对象在范围上不能割裂,要尽可能同时考虑到数据在脱离数据源、数据库,以及在应用交换时的各种情况,既要涵盖数据库本身的API数据、应用流转数据,还要涉及大量的非结构化数据,构成整个数据安全治理体系下,所有核心分类分级对象的范围覆盖。

4、数据形态与技术选择

据IDC预测,2018年到2025年之间,全球产生的数据量将会从33ZB增长到175ZB,复合增长率达到27%,其中超过80%的数据都会是处理难度较大的非结构化数据。

按照Gartner和天空卫士做的大量用户调研来看,几乎所有企业都具备数据库安全,但数据只要脱离了应用和数据库之后,技术栈就会发生极大的变化。在应用中交互、开发、设计、运维的数据大多以结构化和半结构化为主,一旦进入到文件存储、办公应用,其在终端、网络、邮件、业务场景里,数据就会变成非结构化的,因此相应的技术栈就应该转变为面向全通道的、基于内容和策略的模式。

而这样全体系的技术栈是企业比较容易缺失的,其也是数据安全分类分级的核心,因为数据会在不同的路径通道里流动,而不是固化在应用和数据库里的。

5、数据分类分级技术保护最佳实践

黄军表示,与上文对应的技术保护最佳实践的实现路径比较多,通常而言,不管是法律合规,还是行业相关的指导规范,都提到了对数据分类分级指引或生命周期的保护指引。从这两个维度,能够帮助企业在数据分类分级落地时,起到由简入繁的作用。

黄军补充,在识别相应的数据风险时,要采用相应的技术控制去缓解,此技术控制一定要同时结合人员、过程、组织,包括制度规范的支持。而在技术落地的角度,一定要看技术安全控制足不足够,会否过度,会否不当。所以在此过程中,企业要平衡投入、用户体验、业务风险等各个角度,将生命周期中的风险降低到可接受水平。

天空卫士在为高科技制造企业落地时,会按照每个环节里,所收集的数据、分类分级的可视化程度、数据窃取和滥用情况,来衡量已有的技术手段是否存在明显的缺失。

6、数据安全治理技术落地演进路径

黄军介绍,为了快速提升企业的合规能力,提高他们数据安全的基线,一个比较可行的路径称为反向模式,就是以快速合规、识别明显风险点为主,根据不同的法律监管要求,针对个人隐私,特别是个人可识别信息和敏感信息进行快速的保护,同时对于企业的商业机密也进行相应的保护。

反向模式下,整个策略的优化、用户的安全、数据安全的意识,包括天空卫士安全配套的管理员,企业数据安全分析师、策略管理员,都会在事件和响应的过程中逐步的形成并优化,同时也能将数据安全的范围扩大至企业的核心数据和重要数据。

7、天空卫士数据安全治理自动化平台(DSAG)

天空卫士数据安全治理自动化平台具备了以上所述的多种优势和能力。黄军表示,在企业传统安全体系的基础上,DSAG构建了以数据为中心,能覆盖数据在整个生命周期过程中的流转通道。

由于很多通道既可能遭受外部威胁,也可能遭受内部的数据窃取,因此DSAG被设计成可双向的管控方式,其包括了网络访问、邮件、移动端、终端等,也可以结合分类分级对象,对数据进行安全处置。

在此基础上,依托产品和能力的构建,DSAG在数据安全的核心能力包括数据分类分级识别、数据分类分级保护、数据流转追溯、数据加解密、数据脱敏、数据标签等,可覆盖企业全部的核心资产。

8、总结

企业要从风险管理的视角看待问题,要构建一个全局的、体系化的框架,同时还要有生命周期这样的理念,将这些结合在一起,才能完整的构建出数据安全治理的全貌,这是前提。在落地方面,其不是一个单点技术,也不是一套解决方案,而是一个庞大且不断在变化迭代的技术栈,从不同的视角去看,技术栈所体现的内涵也不同,有静态的、有动态的。不管怎么样,企业要通过技术落地,通过持续的建设和运营,确保数据安全治理的体系不断地迭代和演进。

二、数据安全治理相关实践
此次直播我们也邀请来了安言咨询的副总经理钱伟峰,他从咨询公司的角度,通过客户咨询时所遇到的难点和坑点,向大家分享了数据安全治理时的一些经验。

1、合规管理—法律法规行业要求一个不能少

首先,合规管理方面,钱伟峰表示,对于金融行业的客户而言,比较容易踩到坑的是标准层面的相关要求,其中坑最多的是JR/T 0223《金融数据安全 数据生命周期安全规范》。比如,在金融数据的分级指南里,会把金融数据从低到高按照敏感程度分成一到五级,其中三级数据的典型代表为身份证号。

现实中,体量较小的银行在按照标准施行时遇到了极大的麻烦。三级数据的查询动作需要审批,那是不是每次都要做审批授权?此外,部分应用系统在设计时压根没有考虑业务操作动作的日志,或日志不全,这又怎么做日志记录的管控呢?

同时在此标准里还提到,对于三级以上的数据查询,要么进行单次的审批,要么在应用的后台建立敏感操作,比如建立风险预警机制,就是在后台针对不同类型、不同权限的用户,对于他们的查询权限设定一个后台阈值。这些对企业来说都是非常麻烦的,而这些仅仅是数据生命周期中的一小部分。

钱伟峰建议,企业在参考这些大而全的行业性标准时,切忌贪大求全,而是应当考虑自身当前的管理成熟度和技术成熟度,同时不可简单地抄袭同业的作业,只有循序渐进的推进,企业才能一点点将制度完善。

2、职责归属—谁该干什么的问题

数据安全工作究竟是谁的职责?钱伟峰以他接手过的金融客户举例。名义上,所有人都认为数据安全应该是公司里每个人的责任,但实际上该由谁牵头?公司里,大家会认为数据安全既然涉及到安全两字,那就应该由信息技术部负责,因为通常而言,安全部门隶属于信息技术部,所以数据安全理所当然应该由IT牵头。

但信息技术部也有难处,区别于传统安全,数据安全更离不开业务,国内金融行业里,大多数信息技术部都不理解自己公司的业务,因此他们即使懂得数据安全,也不懂怎么结合业务来做数据安全治理,比如业务过程中,哪些环节会存在风险点,哪些环节可能涉及敏感信息等。

因此,钱伟峰认为较为合理的方式,是企业要为自己建设数据管理部门,在这样的基础上,数据分类分级标准的定义就可以由数据管理部来牵头,而在考虑数据分类分级标准的过程中,牵扯到保密性、完整性、可用性时,可让业务部门、信息安全部门等一起参与进来,因为企业最后真正落地数据分类分级时,靠的不是标准,而是各项管理和技术的措施,所以才需要各个能执行技术措施的部门一起参与。

3、分类分级—颗粒度控制是个技术活

钱伟峰介绍,网络数据分类分级相关的国家标准征求意见稿指出,其将网络数据分为三类:核心、重要、一般。核心数据是指会影响到国家安全的一些数据;重要是指可能对社会稳定造成影响的数据;一般就是传统意义上只会对企业或个人产生影响的数据。

一般数据从国标的建议来看较难理解,钱伟峰认为,每家公司要结合自己的实际情况去分类分级。

4、事件响应—谁都不能少

在网络安全法里写着,网络运营在面对病毒感染、网络攻击、数据泄露时,要建立相应的应急预案。但在数据安全的场景里,不只有泄露这一种场景,同时还存在损毁、滥用、违规使用、篡改等情况。

5、总结

数据安全也可以理解为是信息安全的一部分,但不同的地方在于,当安全事件发生需要定级时,要去判定事件涉及了多少不同级别的数据,比如泄露了多少条个人信息,泄露的数据在什么级别,以此来衡量事件级别。当然,仅是如此还不够,除了在事件定级、事件判定标准层面考虑到了数据相关的要素外,还要结合数据细分场景去衡量应急响应的流程或处置预案,这样才不容易踩到坑。

三、数据安全治理重点、坑点和要点
1、重点

数据安全在落地时一定有相应的认识论和方法论,但实际工作中,往往需要我们抓住重点,有了重点之后,我们就可以顺着这个方向去解决问题,然后克服一次次挫折,避开一个个所谓的坑,然后从中总结出解决问题和避坑时的要点。

朱士贺为此总结了11个重点,首先是组织建设,就是要把数据安全组织架构还有人员岗位职责划分清楚;其二是制度建设,要有相应的分类分级制度,以及企业中数据安全管理制度;其三是要做数据安全的审批流程管理;其四是教育培训,无论是领导还是员工,都要进行安全意识的培训,让大家对数据安全有所了解。(其余七点可在直播回放中浏览)

朱士贺表示,组织建设、制度建设、审批流程、数据安全自评估、数据安全分类分级、审计管理,这些是企业的基础工作,因此企业在落地数据安全时可以先着重从这几个方面入手。朱士贺提出,其中数据安全自评估和内部审计要优先实施,企业要先了解自身已有的制度,看组织架构是不是可以直接套用。原则上就是根据企业自身的特点和资源,平衡这几点的优先级,然后配合先有制度落地各种部署。

2、坑点

在这样漫长的数据安全治理的过程中,无论是甲方用户也好,还是提供辅佐的安全厂商也罢,总会遇到许多不吐为快的痛点和坑点。比如难以找全的数据资产,比如需要投入大量时间的梳理过程,另外还有络绎不绝的数据分类分级,以及加密改造等过程中,和各部门之间的沟通问题,这些都是阻碍数据安全治理进程的各种难题。

提到数据的梳理和分类分级,目前环境下,几乎所有用户都是有所共鸣的,黄军表示,连固定资产的盘点都已经很困难了,更何况无形资产?业务的数量和形态不断变化,数据就会大量地产生,因此只想在某一阶段完成静态的闭环,这是完全不可能的,所以作为安全厂商,黄军觉得天空卫士的觉悟就是多为用户着想,尽可能缓解用户的痛点,这才是厂商的价值所在。

黄军指出,在为甲方用户提供服务时,会尽可能在此过程中采用一些自动化的能力,对用户数据库中的数据,以及脱离数据库后,分布在各方更为复杂的非结构化数据,都能进行全盘的梳理和扫描,虽然解决不了所有问题,但至少在和用户的配合下,可以缓解压力和成本。

在数据分类分级方面,黄军表示,只有把数据的类型和级别对应出来后,才能衡量出相应的投入,这也涉及到了资产的价值体现。虽然分类分级的方法论比较成熟,但在实际落地时是比较困难的,黄军作为安全厂商,他的建议是不要穷举,他认为甲方用户应该优先把当前最重要的数据保护起来,并将相关风险降到一个较低的水平。

黄军介绍,天空卫士目前能给用户带来的优势是,可以通过一套逻辑对各资产的定义、价值或者数据类型进行统一管理,同时能解决数据库数据和非结构化数据,在整个流转过程中的扫描、发现和盘点。不同于纯粹的数据库安全,盘点完成后,天空卫士可为用户解决异构差异化的问题,就是针对不同的数据、文档、图片等非结构化数据,可进行相应地识别。

为此,天空卫士提供了行业模板,预制了大量的数据源分类,为用户覆盖了绝大多数分类分级时会遇到的情况,同时还有专门的数据安全分析师会调研、访谈,将覆盖面进一步的延伸,实现梳理、分类全自动化的过程。天空卫士产品完全打通了识别之后,脱敏、加密、保护、标签、溯源等环节的逻辑,使得安全工具之间不再割裂,为用户解决所遇到的坑点和难题。

3、要点

最后,作为经验之谈,朱士贺指出,想要做好数据安全治理,一定要和业务团队有所沟通,前期可主要围绕一两个业务重点作重点访谈,其实就是了解彼此的过程,安全需要了解业务内容、业务所用工具,而业务需要了解安全的目标和防护手段。

沟通完成之后,在落地阶段,需要依据行业规范或国标建立公司内部的安全管理制度,明确数据安全责任,同时可以和相关领导争取考核上的要求或权限,并协同领导开一个数据安全专项的启动会,告知企业上下当前数据安全治理的进程已实施到哪儿。

以上都具备之后,朱士贺认为安全部门可以实施常态化的数据安全运营,比如更新安全设备,更新安全防护技术等,此外还包括每年一次的风险评估,制定数据安全应急预案。朱士贺表示,落地前后需要和领导保持良好沟通,得到高层的支持。

相较于纯粹的甲方用户,钱伟峰作为咨询代表,也以具体实例提出了相关建议。钱伟峰表示,一些强监管行业,比如金融业,虽然在数据安全治理的推行上阻力较小,但由于业务复杂所导致的数据结构复杂,往往会在数据治理的规范性工作上不尽人意,因此需要对自身的业务进行梳理,特别是涉及到个人信息、隐私等范畴,需要优先加强。

而作为厂商代表的黄军,他认为像数据安全治理这样的项目,最好由公司领导从上而下进行推动,这样进程才会顺畅。同时,在安全文化方面,安全部门要学会将自己的价值和业务相结合,从提高企业竞争力的角度让彼此之间达成共识,这样才会是比较好的驱动力。

四、尾声
结合诸位专家的解读,我们可以看到,数据安全不再是信息安全的一个组成部分,其具备完全独立的体系,需要建设者从一个全新的视角去切入,完整地构建体系,不断地进行治理和完善。从网络安全到信息安全,再到现在的数据安全或业务安全,不同的安全似乎具备不同的体系,它们之间互相交叉、重叠,但永远不可能完全替代,而我们作为安全人员需要做的是,要从不同视角切入,找到它们重叠的部分,更重要的是找到缺失的部分,然后予以弥补,这才是对安全来说极其重要的理念。