以下文章来源于御数坊 ,作者御数坊
数据安全建设的出发点和立足点,是在于对企业业务安全的保障,关键是企业是否具有业务场景的数据风险识别和解决的能力。那么,如何才能从业务场景的角度出发,做好数据安全的机制体制建设?我们将从多个角度出发阐述,如何帮助企业识别典型业务场景下的数据安全风险,做好数据安全风险的识别和防控。
数据安全的风险需要从业务场景识别开始,围绕企业重要的数据资产,以数据全生命周期为主要的对象、以敏感数据的识别监测和管控为着力点,关注重要数据的业务流、数据流,关注并分析业务处理活动中存在的数据泄露、权限滥用、身份识别、数据篡改、恶意操作等数据安全主要威胁。
在数字化转型的过程中,数据安全面临着巨大挑战,总结下来主要分为以下几个典型场景:
1、开发测试运维场景
在开发测试过程中,主要产出的是设计文档、核心代码或图纸等,这类数据会大量存储在用户的终端上,因此终端的数据防泄漏是重中之重。在开发调试与测试过程中,可能会使用到真实数据进行调试,因此需要对敏感数据做脱敏和防泄漏处理。在运维过程中,由于企业运维资产较多,资产管理困难,而运维人员的权限较大,因此需要对运维的权限和过程进行管理和审计。
2、办公数据应用场景
在办公场景下,业务人员可以通过业务系统违规操作统计下载导出敏感数据,一旦数据泄露,可能会造成比较大的风险。同时在办公环节产出的商密数据、项目数据、财务数据等,由于内部泄露或外部攻击造成数据失窃,也会影响企事业单位的形象,降低竞争力。
3、数据共享交换场景
随着IT架构的演进和业务应用的发展,数据共享交换已经成为常态,而数据资产流动的范围在不断扩大,从过去单一业务、单一系统内的数据,变成跨业务的、跨系统的、乃至跨组织的数据流动。数据共享交换场景下,数据交互频繁,极易产生数据违规分发情况。在数据共享交换场景下,需要对数据的流动进行监测和管控,防止数据违规分发。
4、数据开放交易场景
数据作为生产要素,需要保证数据流动与分析的情况下进行开发利用,在数据开放交易场景下,需要在保证数据安全的前提,充分发挥数据的价值。其中就导致数据安全与价值挖掘的矛盾,传统的数据开放交易模式存在巨大的风险,亟需一种兼顾隐私保护、数据安全和数据流动利用的新技术来平衡该矛盾。
1、开发测试运维场景风险
选取的个场景是开发运维测试场景,这也是很多企业都存在的一个典型场景,也是面临数据安全威胁明显的一个场景。
在开发、测试和运维的场景中,不仅有总部员工,还可能有分支机构或第三方人员,因此用户身份复杂,如何对这些人员进行有效的管理,是一大难题;同时诸如账户随意开设、弱口令和违规操作等问题,对企业的IT资产来说,存在很大的安全隐患,面临身份管理难、权限分配难、账号管理难、责任认定难和运维效率低下等问题。目标资源的特权账号都分散在内部员工和外包厂商的手中;同时存在着大量的弱口令、明文存储、长期未改密和使用初始的默认口令等问题。因人员和业务变动,存在着大量不再使用的 “僵尸”账号和“幽灵”账号。内部员工和外包厂商对资源的访问,缺乏有效的访问控制,特权会话过程中的操作行为无法进行实时的动态管控和记录,无法事后审计和安全事件溯源。同时对于员工终端也难以管控,运维、开发、测试人员存在通过终端进行数据外发泄露的风险。
具体风险分析如下:
开发测试运维人员恶意操作、误操作,操作过程无法管控
开发测试运维人员可接触敏感数据,非授权下载到访问终端
开发测试运维人员将终端上的敏感数据通过U盘拷贝、拍照截屏等方式,泄露敏感数据
开发测试运维人员在资源上的私自创建的、长期不登录的、长期未改密的、私自提权的特权账号无法发现
开发测试运维人员通过应用“硬编码”账号越权访问非授权资源,无法管控
运维人员共享账号,无法确定操作人员身份
运维人员管理大量账号密码,密码通过excel表格明文存储在终端上,容易造成泄露
运维人员掌握有资源的账号密码,存在账号密码滥用风险
运维人员越权访问非授权资源,无法管控
运维操作无法审计,发生事故时无法溯源和定责
运维人员修改资源账号密码,工作量比较大,容易出现相同口令或者弱口令的问题
数据库运维删库、删表等危险操作,无法管控
发生数据安全事件后,数据库操作行为无法审计,发生事故时无法溯源和定责
开发测试运维人员直接从生产环境中 复制生产环境数据,使用真实数据做测试开发,使真实数据直接暴露在开放环境中
2、办公数据应用场景风险
办公数据应用场景下主要面临的是办公人员行为管控与终端管控,存在通过即时聊天软件、邮件进行数据外发,通过U盘进行数据拷贝的场景,同时可能存在人员缓慢泄露数据或非法统计应用数据外泄的风险。
具体风险分析如下:
办公人员通过U盘或拍照截屏从办公PC上拷贝转移研发图纸,核心代码等敏感数据
办公通过邮件或者聊天软件外发这些敏感文件,导致重要数据泄露
办公人员利用工作便利,频繁查询下载内部共享文件和通讯录等关键隐私信息
办公人员通过办公终端,加密压缩关键数据并缓慢外传
黑客控制办
3、数据共享交换场景风险
在数据共享交换场景下,数据资产流动的范围在不断扩大,从过去单一业务、单一系统内的数据,变成跨业务的、跨系统的、乃至跨组织的数据流动。面对这种数据资产流转范围的扩大化趋势,数据资产面临的安全挑战也越发严峻,数据安全流转的风险暴露面变得愈发复杂。数据共享交换场景主要面临着敏感数据理不清、数据流动不可见、数据风险无法感知等风险。
具体风险分析如下:
不同区域的数据访问权限不同,敏感数据分布不清,可能出现敏感数据违规存储,进而出现越权访问问题
数据共享交换接口繁多,数据流动状况不明,肯能存在数据违规分发
黑客通过数据交换路径,进行进行高频查询、违规下载等威胁操作,造成数据泄露
对第三方共享交换的数据可能存在敏感字段未处理的情况,进而产生敏感数据泄露
内部敏感数据在外部泄露流传,无法进行溯源和定责
4、数据交易流通场景风险
以传统的数据开放模式进行数据开放,若仅将数据脱敏后通过云平台开放给个业务部门,一些需要原真实数据的部门将很难从脱敏数据中获得实用的模型和结果,且数据中心很难对业务部门的数据分析过程进行详细的审计和监管。若不进行脱敏,直接将原始数据推送给业务部门,除了会造成隐私泄露事件外,还会对数据中心本身的数据价值造成极大的影响。数据交易场景下的数据安全风险风险分析如下:
具体风险分析如下:
传统API接口的数据开放方式,存在接口滥用导致数据泄露的风险 API接口数据开放方式接口繁多,维护复杂 隐私数据无法方便的进行开放,导致数据价值无法挖掘,数据要素的特性无法体现 数据脱敏后价值大打折扣,无法挖掘有效价值 直接传递数据的数据开放方式,不能有效保留数据价值,容易产生二次分发,无法支撑数据交易
数据安全设计方案以业务系统与基础安全措施为基础,对其进行详细的调研与分析,充分发现数据层面所面临的各类安全风险及隐患。依托“CARTA”“零信任”等先进架构和技术,建设数据安全体系化防护能力,开展场景化数据安全技术专项攻关,开展常态化数据安全运营,从实战化角度增强数据安全的可见、可管、可控能力。在设计的过程中,要以数据为中心并充分考虑数据的静态性与动态性,安全能力可以覆盖数据采集、存储、传输、共享、使用、销毁各环节,构建围绕数据的“管理、技术、运行”安全防护体系。
1、数据安全管理体系建设
据安全管理体系建设是数据安全保护的前提。在管理体系主要主要覆盖决策、治理和执行组织,以及相关管控制度体系。首先开展机制、组织、流程、制度梳理,识别数据安全管控能力:一是明确当前整体组织架构中专属数据安全管理的组织架构,识别数据安全组织的岗位、职责和工作范围,梳理相关数据安全责任、流程、边界等,梳理相关责任人员的知识、能力、技术特长等;二是面向数据安全管理相关文档进行梳理,多层级管控文档是否健全,同时针对客户当前管理体系中数据安全集成的现状进行梳理和完善,包含业务管理、数据管理、信息系统管理、人事管理等相关文档制度体系。然后是基于现状和差距分析完善数据安全管控能力,进行数据安全管理体系建设。
2、数据安全技术体系建设
数据安全技术保障体系将在信息化安全保障体系的基础上面,以数据安全为核心,通过安全叠加演进的方式对安全管理体系、安全技术体系、安全运营体系及安全合规监管体系在数据安全层面进行优化设计,以满足在新形势、新环境下大数据安全防护的整体需要。贯彻国家网络空间安全战略,保障关键信息基础设施安全啊,满足政策合规性要求,统筹全体系数据安全支撑能力。以内生安全理念,贯彻“同步规划、同步建设、同步运营”的思想,结合数据风险管控与信任评估模型,对数据安全“识别、防护、监测和响应”四个维度构建数据安全技术保障体系。
3、数据安全运营保障体系建设
通过数据安全评估服务、数据安全培训服务、数据安全运营服务等服务,支撑整个数据安全运行,对数据安全技术能力持续升级与演进。为开展数据安全运营服务,解决管理责任落实所需要的专业人员能力,根据不同安全能力建设维度,匹配不同能力人员。与数据安全管理制度流程相配套并保证有效执行的技术和工具,可以是独立的系统平台、工具、功能或算法技术等。