電子發(fā)燒友App
前言
在當前的數(shù)據(jù)時代,隨著云計算、大數(shù)據(jù)、AI等技術的不斷發(fā)展,“數(shù)據(jù)”已經(jīng)滲透到當今每一個行業(yè)和業(yè)務職能領域,成為重要的生產因素。數(shù)據(jù)的計量單位至少是PB級別計算。這個時代不僅給“數(shù)據(jù)”賦予了“價值”屬性,也同步賦予了“法律”屬性,這些都推動著國家和企業(yè)重視數(shù)據(jù),重視數(shù)據(jù)安全。
數(shù)據(jù)安全形勢
據(jù)IBM《2019年全球數(shù)據(jù)泄露成本報告》顯示,惡意數(shù)據(jù)泄露平均給調研中的受訪企業(yè)帶來 445 萬美元的損失。CNCERT 在2019年全年累計發(fā)現(xiàn)我國重要數(shù)據(jù)泄露風險與事件 3000 余起。數(shù)據(jù)泄漏對企業(yè)來說不僅是經(jīng)濟損失,還有國家層面的巨額罰款;比如Facebook的8700萬用戶數(shù)據(jù)的不當泄漏被罰款50億美金,英國航空公司的50萬乘客數(shù)據(jù)的不當泄漏被罰款2.3億美元;國內大量企業(yè)都號稱自己有百萬、千萬甚至過億的用戶量,但你們是否有相應的數(shù)據(jù)安全能力來保證用戶數(shù)據(jù)不外泄,或者你們是否有能力應對合規(guī)層面的巨額罰款。
數(shù)據(jù)安全標準
國際層面,各國出臺了如GDPR、CCPA、COPPA、LGPD等。
國內層面,近期相繼出臺了《網(wǎng)絡安全法》、《兒童個人信息網(wǎng)絡保護規(guī)定》、《APP違法違規(guī)收集使用個人信息行為認定方法》、 《數(shù)據(jù)安全管理辦法》(征求意見稿)、《網(wǎng)絡數(shù)據(jù)安全標準體系建設指南》(征求意見稿)和《中華人民共和國數(shù)據(jù)安全法(草案)》等。
數(shù)據(jù)安全相關定義
(1) 數(shù)據(jù)的定義:
任何以電子或者非電子形式對信息的記錄。
(2) 理解數(shù)據(jù)的類型:
a. 按照數(shù)據(jù)性質區(qū)分
結構化數(shù)據(jù):即行數(shù)據(jù),存儲在數(shù)據(jù)庫里,可以用二維表結構來邏輯表達實現(xiàn)的數(shù)據(jù)
非結構化數(shù)據(jù):包括所有格式的工作文檔、文本、圖片、XML、HTML、各類報表、圖像和音頻/視頻信息等等
半結構化數(shù)據(jù):就是介于完全結構化數(shù)據(jù)(如關系型數(shù)據(jù)庫、面向對象數(shù)據(jù)庫中的數(shù)據(jù))和完全無結構的數(shù)據(jù)(如聲音、圖像文件等)之間的數(shù)據(jù),HTML文檔就屬于半結構化數(shù)據(jù)
b. 按照數(shù)據(jù)狀態(tài)區(qū)分
靜態(tài)數(shù)據(jù):存儲在磁盤、硬盤、SAN等介質上的任何數(shù)據(jù)
動態(tài)數(shù)據(jù):通過網(wǎng)絡傳輸?shù)娜魏螖?shù)據(jù)
使用中的數(shù)據(jù):應用程序使用內存或臨時緩沖區(qū)中的數(shù)據(jù)
(3) 數(shù)據(jù)活動的定義:
數(shù)據(jù)的收集、存儲、加工、使用、提供、交易、公開等行為。
(4) 數(shù)據(jù)安全的定義:
通過采取必要措施,保障數(shù)據(jù)得到有效保護和合法利用,并持續(xù)處于安全狀態(tài)的能力。
數(shù)據(jù)安全的挑戰(zhàn)
(1) 業(yè)務系統(tǒng)的靈活多變、需求復雜
互聯(lián)網(wǎng)+的時代,市場的快速變化,企業(yè)業(yè)務的極速調整,企業(yè)每天都有可能出現(xiàn)系統(tǒng)上線、功能調整、接口的三方接入、數(shù)據(jù)的線上和線下外發(fā)等。面對這些變化和場景,我們如何應對?
(2) 新技術新挑戰(zhàn)
新技術帶來新風險。云、物聯(lián)網(wǎng)、大數(shù)據(jù)和AI等新技術的廣泛應用給企業(yè)帶來了巨大生產力的同時,也改變了傳統(tǒng)網(wǎng)絡的數(shù)據(jù)防護思路,新型的網(wǎng)絡威脅我們如何應用?
(3) 數(shù)據(jù)量大
大數(shù)據(jù)的興起,數(shù)據(jù)的起始計量單位變成至少是PB級,甚至是EB級,在如此龐大的數(shù)據(jù)量面前,如何有效管理,如果做數(shù)據(jù)的快速識別、監(jiān)控、檢測、處置、響應?
(4) 安全威脅增多
數(shù)據(jù)價值的提升,導致外部威脅的目的性、隱蔽性、破壞性都成上升趨勢。如何降低威脅暴露面和何種體系防護應對?
數(shù)據(jù)安全的目標
目標:滿足合規(guī),貼合業(yè)務,將數(shù)據(jù)風險降低至可接受水平,讓數(shù)據(jù)使用更安全。
辦法總比困難多,面對各位數(shù)據(jù)安全挑戰(zhàn),數(shù)據(jù)安全從業(yè)者要有自己的數(shù)據(jù)安全防護體系思路,善于學習新技術新經(jīng)驗的能力,總結自己的套路和打法,以終為始,不斷更新和進步。
業(yè)務面前,安全不是他們的對立面,要采取雙贏思維,建立信任關系。業(yè)務的目的是盈利,而安全是保證業(yè)務穩(wěn)定盈利,規(guī)避風險最佳幫手,彼此相輔相成,相互依存。
數(shù)據(jù)安全模型框架
數(shù)據(jù)安全的執(zhí)行和管理需要以數(shù)據(jù)為中心,宏觀層,在滿足合規(guī)的基礎上,依托組織建設,采取技術和管理的手段,實施層,采取“識別”、“保護”、“監(jiān)視”、“檢測”、“響應”和“恢復”六大安全功能,保證數(shù)據(jù)全證明周期的安全。
數(shù)據(jù)安全建設框架
基于數(shù)據(jù)安全模型框架,梳理數(shù)據(jù)安全建設過程所需的基本功能和重點功能,制定如下數(shù)據(jù)安全建設框架:
整理來看,數(shù)據(jù)安全建設框架可以分為三個層面。
(1) 最下面為組織建設層:
數(shù)據(jù)治理小組負責整體決策層工作,比如數(shù)據(jù)安全計劃的定位,策略、政策和組織等的制定;數(shù)據(jù)安全團隊負責整體戰(zhàn)術層和執(zhí)行層工作,戰(zhàn)術層比如具體安全計劃的管理管控,如合規(guī)管理、風險管理、計劃管理、進度管理和指標管理等等;執(zhí)行層負責整體數(shù)據(jù)安全計劃的落地工作,人員包括專業(yè)的數(shù)據(jù)安全人員和各業(yè)務團隊的安全接口人。
(2) 中間為能力實現(xiàn)層:
通過“識別”、“保護”、“監(jiān)視”、“檢測”、“響應”和“恢復”六大功能,落地數(shù)據(jù)安全的合規(guī)、管理、技術和運營。
(3) 最上面為目標和愿景層:
通過組織建設和數(shù)據(jù)安全能力實現(xiàn),保證組織用戶數(shù)據(jù)、業(yè)務數(shù)據(jù)和公司數(shù)據(jù),最終實現(xiàn)使數(shù)據(jù)使用更安全的愿景。
數(shù)據(jù)安全實施框架
數(shù)據(jù)安全工作如此繁雜多樣,我們如何具體落地和有序建設執(zhí)行呢,基于數(shù)據(jù)安全建設框架,制定如下數(shù)據(jù)安全實施框架:
整體來看,每做一件事情,我們都要先做好計劃,然后實施,實施中進行復核檢測,進而改進,如此反復,階梯式完成,形成一個PDCA的循環(huán)。
(1) Plan:
我們要制定好計劃、確定范圍和明確目標,識別的重點工作為:范圍和邊界的識別、賬號識別、權限識別、數(shù)據(jù)識別、系統(tǒng)識別、操作識別、流程識別和數(shù)據(jù)的分類分級。
(2) Do&Act:
在Plan中的成果進行處置,事前做保護,事中做監(jiān)視和檢測,事后做響應和恢復。重點工作為合規(guī)的落地;安全基線的落地;管理制度的建立‘敏感信息在數(shù)據(jù)生命周期中的管控、處置和審計,如敏感數(shù)據(jù)打標簽、傳輸?shù)募用堋⒋鎯Φ募用芑蛎撁簟⑹褂玫拿撁簟⒉僮鞯娜罩居涗浀取?/p>
注:合規(guī)的部分問題可以參考我另兩篇文章《數(shù)據(jù)安全怎么做——合規(guī)篇之CCPA》《數(shù)據(jù)安全怎做——合規(guī)篇之數(shù)據(jù)安全法》
資產梳理的問題可以參考我另一篇文章《企業(yè)安全建設之資產庫篇》
其他詳細內容都在撰寫中,后續(xù)會一一發(fā)出,比如數(shù)據(jù)安全治理、管理各種子篇、技術各種子篇等等,敬請期待。
(3) Check:
用以對Do的成果的復核檢測,提出問題和需求,由Act層跟進解決。
總結
數(shù)據(jù)安全是企業(yè)安全中與業(yè)務貼合最近的一項工作,好的落地勢必會帶來對業(yè)務的影響,所以搞定管理層是關鍵性因素,給數(shù)據(jù)安全工作戴上數(shù)據(jù)治理的帽子,
安全牽頭,拉上所有數(shù)據(jù)相關方共同執(zhí)行和承擔責任,這樣會大大增加工作開展的效率和有效性。
除此之外,數(shù)據(jù)安全的工作繁多,數(shù)據(jù)安全從業(yè)者需要為眾多事情結合公司業(yè)務排好優(yōu)先級,風險最大的不一定先做,優(yōu)先做公司業(yè)務當前狀態(tài)最需要的剛需,制定好工作計劃,摸清家底,工作有序開展。
工商網(wǎng)監(jiān)
評論