您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
數據安全治理的九大要素
摘要
風險是數據安全保障的起點,正是由于有了風險、有了特定威脅動機的威脅源,使用各種攻擊方法、利用信息系統(tǒng)的各種脆弱性、對信息資產造成各種影響,才引起了信息安全問題。而數據安全治理就是圍繞著風險,針對面臨的各種風險,制定針對性的策略,將風險減少至可以接受的程度。
1
安全目標與業(yè)務目標對其
大數據時代,從企業(yè)內部到企業(yè)關聯的上下游產業(yè)鏈中每天都源源不斷產生大量數據,這些數據能夠給企業(yè)帶來無限機會。數據也因此被稱為新時代企業(yè)的“黃金”和“石油”,正成為企業(yè)的核心資產、國家的戰(zhàn)略資源。保證數據安全能力已成為全球進入大數據時代的重要競爭力。
傳統(tǒng)的數據安全更多的是放在網絡入侵系統(tǒng)數據被竊取,而這只是數據安全的一部分,我們提到的數據安全是以數據為中心,建設可見、可控、可管的能力,達到讓數據看得見,控得住,管得好。
我們回過頭再談數據安全治理的目標,讓數據看得見,控得住,管得好是數據安全治理的手段,并不是目標。那么什么才是數據安全治理的目標呢?有專家觀點:數據安全管理是實現敏感數據最小化訪問,以保證數據的安全。筆者認為這是戰(zhàn)術層面的數據安全管理,而從戰(zhàn)略上講數據安全和敏感信息的保護要站在企業(yè)級數據共享和應用的視角,以合規(guī)要求為前提,以數據應用為基礎,以滿足業(yè)務用數需求為驅動,將數據安全目標與企業(yè)業(yè)務目標對其,來進行統(tǒng)籌規(guī)劃。換句話說,數據安全治理的目標是通過安全的使用數據以實現業(yè)務目標,脫離了“使用”數據安全就沒有了意義,脫離了“業(yè)務目標”數據資產就沒有了價值。
2
梳理數據資產,識別敏感數據
數據資產梳理是數據安全治理的基礎,通過對數據資產的梳理,可以確定敏感性數據在系統(tǒng)內部的分布、確定敏感數據是如何被訪問的、確定當前的數據訪問賬號和授權的情況等。
關于數據資產梳理的方法主要有自頂向下的全面梳理和需求驅動的自底向上梳理方法,這兩種方法在筆者之前的文章中也有詳細描述,詳見《主數據管理四部曲》。這個過程也可以借助一些自動化工具幫助我們識別敏感數據,基于用戶指定或預定義的敏感數據及特征,工具可以自動識別發(fā)現敏感數據并導出清單。同時,還需要借助數據可視化技術,構建企業(yè)數據地圖,可視化企業(yè)數據資產,并可以通過數據地圖準確定位敏感數據所在位置,讓數據資產和安全風險都能看得見。
3
數據認責體系
誰應該對企業(yè)的數據安全負責?這是有一個爭議性的話題。提到數據安全認責,有人會說:“不是 IT 負責嗎?”,然而,我們從前文中大量的數據泄露案例來看,對于數據安全的責任真的不應該由IT背鍋,IT也負不起這個責任。事實上,IT只是企業(yè)信息系統(tǒng)的實施者和維護者或部分數據的管理者,在企業(yè)的數據安全治理環(huán)境中,數據的生產者、擁有者、使用者同樣有數據安全責任。
基于“誰生產、誰擁有、誰負責”的數據認責原則,確定數據安全治理工作的相關各方的責任和關系,包括數據安全治理過程中的決策、執(zhí)行、解釋、匯報、協調等活動的參與方和負責方,以及各方承擔的角色和職責等,形成由數據治理負責部門牽頭的,全員參與的主動認責文化,重視問題的溝通,能夠主動剖析和快速響應出現的認責問題。執(zhí)行基于數據域的數據認責模式,數據域的劃分清晰且合理,理清各部門、各小組以及各參與人所承擔的角色職責,在企業(yè)中推廣數據認責。
4
分類分級策略
數據分類分級策略包括數據分類和數據分級。數據分類是按照一定的原則和方法對數據進行歸類,建立起一定的分類體系,以便更好地管理和使用企業(yè)數據的過程。分級屬于數據安全范疇,按照一定的分級原則和涉密程度的高低對分類后的企業(yè)數據進行定級,從而使企業(yè)數據的能夠安全合規(guī)的進行使用。
在數據治理領域,提到分類分級都是與數據的合規(guī)使用有關?;谄髽I(yè)數據的分類分級制定數據訪問控制策略,形成敏感分級數據與用戶角色的訪問控制矩陣,為數據的安全合規(guī)使用提供支撐。數據分類分級不僅能夠確保具有較低信任級別的用戶無法訪問敏感數據以保護重要的數據資產,并避免對不重要的數據采取不必要的安全措施。
分類分級除了可以滿足合規(guī)需求,更是提升企業(yè)信息化水平和運營能力的良方?;跇I(yè)務主題的分類可以更好地將數據資產化,持續(xù)性為企業(yè)提供精準的數據服務;同時數據分級可以在安全角度為企業(yè)保駕護航,哪些數據可以使用、哪些不可以使用、哪些能對外開放、哪些不能開放、不同等級的數據在不同場景使用哪種安全策略,一目了然。
根據已分類的數據資產由業(yè)務部門根據數據的價值、敏感程度、影響范圍進行敏感分級,將分類的數據資產劃分公開、內部、敏感等不同的敏感級別;對不同等級的數據分配給相應的用戶角色,建立敏感分級數據與用戶角色的訪問控制矩陣。
5
訪問控制策略
當然,保證數據安全僅靠數據分類分級是不夠的,企業(yè)需要創(chuàng)建一個數據訪問控制策略,該策略指定訪問類型,基于分類分級的數據訪問條件,明確有權訪問數據的用戶或用戶組,定義正確使用數據的構成等。
訪問控制策略是數據安全領域的一個重要概念,通常是指批準或者限制任何對數據資源的訪問,監(jiān)控和記錄訪問日志,進行訪問用戶身份的認證和識別,并且確定其訪問是否得到了授權的策略。
用戶身份認證
用戶密碼策略
配置訪問權限
最小授權原則
在設計數據訪問權限時,要結合數據安全等級并且要切合業(yè)務實際,將數據安全治理回歸到業(yè)務中去,以達到數據使用的安全合規(guī)。
6
安全審計策略
數據安全審計是安全管理部門的重要職責,以此保障數據安全治理的策略和規(guī)范被有效執(zhí)行和落地,以確??焖侔l(fā)現潛在的風險和行為。數據所面臨的威脅與風險是動態(tài)變化的過程,入侵環(huán)節(jié)、入侵方式、入侵目標均隨著時間不斷演進。
通過數據安全審計來幫助企業(yè)掌握威脅與風險的變化,明確我們的防護方向,進而調整和優(yōu)化數據安全治理策略,補足防御薄弱點,使防護體系具備動態(tài)適應能力,真正實現數據安全防護。
7
組織與人員
組織建設。數據安全治理作為企業(yè)數據治理的一個子集,其組織的建設應在數據治理組織機構的整體框架下進行,數據治理委員會依然數據數據安全治理的決策機構,負責數據安全戰(zhàn)略的制定。
文化建設。通過營造一種文化,使員工接受定期培訓幫助企業(yè)員工識別并避免勒索軟件攻擊,網絡釣魚詐騙以及對數據和IT資源的其他威脅。同時,讓企業(yè)的相關人員清楚知道自己在數據安全治理的責任和權力,以實現數據的合規(guī)性訪問。
8
制度與流程
數據認責。為了保護企業(yè)財務數據、客戶數據和其他敏感數據的安全,以保障數據的保密性、完整性和可用性。無論規(guī)模大小,企業(yè)都需要明確定義其專業(yè)人員的角色和職責。
安全審核。數據安全審核可幫助企業(yè)了解存在的數據安全漏洞。雖然很多企業(yè)已認識數據安全對企業(yè)的重要性,并建立了數據安全的定期審核機制,但實際上大多企業(yè)的精力還是放在處理數據本身上,而定期審核機制成為了一個擺設。
全生命周期管理。數據的安全治理應貫穿于數據的整個生命周期,在數據的規(guī)劃、設計、創(chuàng)建、存儲、使用、銷毀的各個階段應設置相應的管控點和管理流程。數據的規(guī)劃和設計階段,應對涉密、敏感數據進行識別、分類和分級,并定義數據安全保密控制的規(guī)則。整個管理過程需要充分調動業(yè)務部門,通過業(yè)務流程把敏感信息的處理要求落到具體的業(yè)務環(huán)節(jié)中去。
9
技術與工具
嚴格來說數據資產梳理、敏感數據識別、數據分類分級、數據訪問控制、數據安全審計都是數據安全治理技術的范疇。除此之外,還包括:漏洞掃描、備份與恢復、數據加密、數據脫敏脫密等。
最后:在企業(yè)數據安全治理中,這些為保護企業(yè)數據或應對數據泄露而采取的措施應當形成文件,以便在企業(yè)范圍內進行傳播。這將是數據安全治理的綱領性文件,針對所有與敏感數據有接觸的人員的權限進行定義,就人員對數據訪問的過程提出控制流程。借由這些舉措來開展數據安全治理工作,確保數據安全治理工作有綱有領,穩(wěn)步推進。(注:該文章轉自公眾號談數據!!!)