“以數(shù)據(jù)為中心”的數(shù)安實踐感悟

“以數(shù)據(jù)為中心”的數(shù)安實踐感悟最近隨著數(shù)保法、個保法等各項法律法規(guī)相繼公布出臺，從傳統(tǒng)的運營商、能源、醫(yī)療、金融等行業(yè)，到新興的互聯(lián)網(wǎng)行業(yè)，都掀起了數(shù)據(jù)平安建設的浪潮。雖然有了上位法的直接驅動，但具體落實到企業(yè)側，該以怎樣的思路去建設數(shù)據(jù)平安體系，該具備怎樣的平安能力去保障數(shù)據(jù)平安不受侵害、守住合規(guī)的底線，各行各業(yè)依然有不小的困惑和疑慮。在此，我們就常見的一些如何建設數(shù)據(jù)平安的問題（不包括組織制度建設，后期單獨討論），給出參考性的分析和建議。什么是"以數(shù)據(jù)為中心"？其實簡單6個字展開用通俗的語言來描述，就是“從數(shù)據(jù)中來，到數(shù)據(jù)中去”。一、”從數(shù)據(jù)中來“，強調的是對我們要保護數(shù)據(jù)的定義牽扯的問題包括：問：企業(yè)的所有數(shù)據(jù)是不是都要保護？答：否，只保護有經(jīng)濟價值、業(yè)務價值等高價值的數(shù)據(jù)。全部數(shù)據(jù)防護違背了安全建設的經(jīng)濟性原那么，或性價比極低。數(shù)據(jù)平安比網(wǎng)絡平安更加注重ROL問：哪些是企業(yè)有價值的數(shù)據(jù)，如何定義？答：沒有完全標準的定義。但可從兩方面視角來選取，一方面，從上位法和行業(yè)監(jiān)管要求已定義的"重要數(shù)據(jù)""個人信息""敏感個人信息""核心數(shù)據(jù)”等入手；關于重要數(shù)據(jù)，目前有《重要數(shù)據(jù)識別指》（征求意見稿）供參考。另一方面，從企業(yè)內部的業(yè)務重要程度來衡量，如營銷業(yè)務系統(tǒng)數(shù)據(jù)、大數(shù)據(jù)中心的數(shù)據(jù)、SAAS企業(yè)提供服務后保存在己方的甲方數(shù)據(jù)等等；問：在"從數(shù)據(jù)中來"，怎么做到"以數(shù)據(jù)為中心"？答：在上述問題中，定義了企業(yè)要保護的數(shù)據(jù)后，然后對數(shù)據(jù)進行勘測?？睖y的內容包括，這些數(shù)據(jù)的規(guī)模和范圍、數(shù)據(jù)在各個網(wǎng)域/業(yè)務系統(tǒng)/終端等的分布情況、數(shù)據(jù)使用方的業(yè)務部門/角色等基本情況?？睖y的目的是對這些要保護的數(shù)據(jù)有清晰的盤點和認知，為后續(xù)平安能力建設提供基本盤。二、”到數(shù)據(jù)中去“，強調的是數(shù)據(jù)平安的手段和牽扯的問題包括：問：數(shù)據(jù)保護的目標是什么？答：整體上看，一方面是滿足平安合規(guī)要求；另一方面是滿足業(yè)務平安要求。這么說太過籠統(tǒng)，那么合規(guī)要求按照上位法和行業(yè)監(jiān)管要求進行解讀、應對即可，各個企業(yè)內部也專門成立了合規(guī)團隊去逐項應對；滿足業(yè)務要求就需要平安部門，按照“從數(shù)據(jù)中來"問題中已定義的要保護數(shù)據(jù)的基本盤，來開展相應的調研工作；可以參考的維度包括：.按照部門職能來定義數(shù)據(jù)保護目標。如運維人員對數(shù)據(jù)操作的平安保障目標和規(guī)范是防止誤操作對業(yè)務系統(tǒng)產(chǎn)生連續(xù)性影響、防止內鬼內部數(shù)據(jù)泄漏、防止平安人員在運維規(guī)范和制度上的漏洞等；.按照平安問題場景來定義數(shù)據(jù)保護目標。如數(shù)據(jù)資產(chǎn)脆弱性、敏感數(shù)據(jù)暴露面、業(yè)務涉敏訪問行為平安性、對外數(shù)據(jù)交換流通平安對等性等。問：數(shù)據(jù)保護的結果如何評價?答：數(shù)據(jù)平安建設的評價，不應僅僅限于保護結果的評價；這其中包含3個方面。.應具備對企業(yè)內數(shù)據(jù)質量治理的評價。很多平安從業(yè)人員往往忽視了這一點,尤其是沒有業(yè)務內容的平安乙方。其實在甲方的數(shù)據(jù)平安建設過程中，企業(yè)數(shù)據(jù)質量的高低，決定了數(shù)據(jù)平安治理的底盤是否牢固；比方很多企業(yè)建設了大數(shù)據(jù)中心，但其中的數(shù)據(jù)日志格式和質量參差不齊，還需要平安部門人員提需求或自己再次小范圍按需清洗。.應具備對企業(yè)內部所有數(shù)據(jù)資產(chǎn)價值的評價。其中包括了對含數(shù)據(jù)、業(yè)務系統(tǒng)、、數(shù)據(jù)庫等資產(chǎn)在內的梳理、盤點；也包括對資產(chǎn)分類分級的定義，再根據(jù)價值評估模型，形成對不同數(shù)據(jù)資產(chǎn)價值的評價體系；.應具備對企業(yè)數(shù)據(jù)資產(chǎn)平安度的評價。反過來說就是數(shù)據(jù)平安的風險評價體系。這塊是企業(yè)數(shù)據(jù)平安最為重要的評價模型。評價模型如何建設，本次只介紹思路，具體方案后面有機會介紹：基于目標-結果的簡單模型入手；評價體系：從定量評價確定評價效果的基礎。在定量評價的基礎上，對整體保護結果進行定性評價。定性評價需要對定量評價中不同內容的關系進行定義。如發(fā)現(xiàn)了10個風險事件，并及時處置，這個是定量；10個風險之間有3個風險對應的是目標A,其他7個對應目標B,其中目標A是核心業(yè)務系統(tǒng)，A業(yè)務系統(tǒng)的經(jīng)濟業(yè)務價值、涉及的資產(chǎn)且3個風險事件之間存在訪問主體上的一致性,訪問行為也可能存在前后關聯(lián)性，存在極大的有組織有預謀的作案嫌疑那么這個3個風險事件在保護目標A的報告里，可以進行定性評價。三、當我們明確了所要保護的數(shù)據(jù)及保護的目標后，中間具體怎么做的局部是什么呢？1、處理好數(shù)據(jù)平安和網(wǎng)絡平安之間的關系往往一般企業(yè)側已經(jīng)在網(wǎng)絡平安和信息平安方面，做了很多平安性能力的建設工作。數(shù)據(jù)平安具有一個和網(wǎng)絡、信息平安很大的不同點，那就是具備整體平安統(tǒng)籌能力，這也是為什么我們上個章節(jié)著重提"以數(shù)據(jù)為中心”的原因。正是因為"以數(shù)據(jù)為中心"，才能將企業(yè)已有的網(wǎng)絡、信息平安能力，以及數(shù)據(jù)平安相關的能力，結構化的、目的性的有機統(tǒng)籌，形成以數(shù)據(jù)為中心，以數(shù)據(jù)平安能力為主、與基于邊界平安的網(wǎng)絡/信息平安能力相結合，進行有效聯(lián)防聯(lián)動的數(shù)據(jù)平安能力體系建設；其中的網(wǎng)絡信息平安能力是在所要保護數(shù)據(jù)的基礎上，為了保障價值數(shù)據(jù)平安目標而針對性、選擇性的進行聯(lián)動結合，這是一個平安能力選型問題。其他網(wǎng)絡信息平安依然可以基于邊界或平安域來發(fā)揮其已有的護城河價值。因此網(wǎng)絡信息平安體系和數(shù)據(jù)平安體系并不沖突，其中一局部甚至有所交叉。"以數(shù)據(jù)為中心"的平安能力，相當于數(shù)據(jù)平安保護的大腦或核心，為網(wǎng)絡信息平安能力提供數(shù)據(jù)基礎和平安策略依據(jù)，為網(wǎng)絡信息平安能力提供保護方向和范圍的指導，并進行賦能；具體由如脫敏、加密、監(jiān)測、分類分級等單點的數(shù)據(jù)平安能力和如數(shù)據(jù)平安管控中心、數(shù)據(jù)平安監(jiān)測運營中心等平臺化數(shù)據(jù)平安能力構成；而作為非核心的數(shù)據(jù)平安體系化的網(wǎng)絡信息平安能力，要圍繞數(shù)據(jù)平安中心的平安目標或策略目標，針對性的給出各自配套的聯(lián)動能力方案（如IPS、IDS、WAF等）。這樣才能從整體上，形成由內而外、自上而下的體系化平安能力，以滿足企業(yè)數(shù)據(jù)平安的體系化建設要求。舉個例子，近期大家比擬關注的敏感API的數(shù)據(jù)平安場景，很多公司僅僅從API傳輸?shù)臄?shù)據(jù)是不是敏感數(shù)據(jù)、傳輸敏感數(shù)據(jù)范圍、數(shù)量等方面，去做安全性的評估。但往往忽略了可傳輸大量敏感數(shù)據(jù)接口本身的平安性問題，如該接口對應的應用本身存在弱密碼登錄的情況；或者割裂地將接口弱密碼或明文賬號密碼認為是應該態(tài)勢感知或其他單點平安能力做的事情，不屬于數(shù)據(jù)平安范疇。這樣在數(shù)據(jù)平安的整體平安性評估上，出現(xiàn)評估面缺乏，評估指標相互割裂，無法根據(jù)其關聯(lián)性進行風險評估權重配比，導致評估出現(xiàn)巨大偏差。2、數(shù)據(jù)平安能力和網(wǎng)絡信息平安能力的選型問題和聯(lián)動建設思路(1)貼合企業(yè)側業(yè)務為首要原那么天下沒有完美的解決方案和產(chǎn)品系統(tǒng)能力，只有最適合企業(yè)業(yè)務要求/目標和價值的方案。既要保證效果，又要講求經(jīng)濟性和整體性價比。當然每個企業(yè)內部業(yè)務規(guī)模、業(yè)務結構、業(yè)務方向都有所不同，具體不表。這里僅作為一個原那么，供企業(yè)平安部門在做業(yè)務摸排調研上，說明數(shù)據(jù)平安能力與業(yè)務貼合的必要性。(2)數(shù)據(jù)資產(chǎn)的盤點和平安數(shù)據(jù)標準化是基礎一方面企業(yè)要完成對自己所要保護目標數(shù)據(jù)進行資產(chǎn)化盤點，掌握數(shù)據(jù)資產(chǎn)諸如價值數(shù)據(jù)規(guī)模、分布情況、承載的APP應用、接口、數(shù)據(jù)庫、文件郵件、容器等載體情況的基本面；一個公司，只需要1個全鏈路數(shù)