在數據流通的整個過程中,數據的安全治理是基礎,在海量高價值數據資產面臨各種內外威脅面前,數據安全更需要體系化的建設思路。《數據安全法》明確提出,維護數據安全,應當堅持總體國家安全觀,建立健全數據安全治理體系,提高數據安全保障能力。
作為從國外引入的理念,數據安全治理在國內市場的推廣、應用過程中衍生出了不同的理解思考和實施路徑,我們推出《數據安全治理解決方案》系列訪談選題,聚焦企業用戶真實需求和挑戰,通過挖掘分享行業中有價值的解決方案及服務,力求幫助企業用戶在數據安全建設工作中提供有益參考。
本期,我們走進廣州熠數信息技術有限公司(以下簡稱 熠數信息),觀察他們在該領域的思考和實踐。
熠數信息成立于2021年,以構建和諧的數據安全生態為己任,深耕數據安全領域,針對數據安全問題種類進行梳理,從影響面及危害程度做分級分類,再將數據安全劃分為四個應用場景:隱私合規場景、數據治理場景、數據應用場景和開放共享場景,每個場景中提供數據安全解決方案,實現能合規、有抓手、查得出、防得住。推動數據安全流動,讓數據的價值熠熠生輝。
數據安全治理的實踐與經營業務、數據利用強相關
數據作為一種新型生產要素已經被寫入中央文件,數據是數字經濟的核心,數據要素對經濟社會的發展起著關鍵作用。熠數信息CTO方偉表示,安全有效地推動數據利用、共享和流通,挖掘數據價值,能快速釋放數據生產力,助推經濟社會高質量發展,這就要求我們著力解決數據安全領域的突出問題,提升數據安全治理能力。
數據安全治理是一個具有一定戰略高度的、綱領性的概念,是一個體系化、制度化的過程。數據安全治理是確保數據的可用性、完整性和保密性所采取的各種策略、技術和活動,包括從企業戰略、企業文化、組織建設、業務流程、規章制度、技術工具等各方面提升數據安全風險應對能力的過程,控制數據安全風險或將風險帶來的影響降至最低。
數據安全治理自上而下,由治理層到管理層,從管理制度到技術工具,貫穿整個組織架構的完整鏈條。組織內的各個層級之間需要對數據安全治理的目標達成共識,確保采取合理和適當的措施,以最有效的方式保護數據的安全。
但不同于網絡安全已經建設十幾甚至二十幾年,數據安全基礎薄弱,不能一蹴而就。方偉表示,傳統網絡安全產品的使用者是安全運營人員,運維與業務是割裂的;但數據安全與業務是強相關的,市場化數據安全類產品的落地建設需要業務線而非研發技術人員的支持,需要數據管理部門的支持。市場化解決方案只有單一技術,無法覆蓋企業數據安全治理的方方面面,比起網絡安全來,數據安全治理更需要有行業業務邏輯的理解。
因此,數據安全治理在實踐中,與經營業務、數據利用有更多的互動,涉及的范圍更廣,落地推動工作需要更多適配本地環境,相應的產品也有更多的業務定制化,而不是像網絡安全產品那樣可以做到標準化。此外,由于目前相關的法律法規許多條款都比較原則性,因此需要結合不同的行業和業務場景,適時地增加地方性法規、行業標準等才能更好推進和落實。所以,做好數據安全治理需要用戶基于業務提出需求、供應商基于業務定制開發和監管機構基于行業場景制定標準。
數據安全治理的有力抓手:數據安全審計
熠數信息在數據安全治理方面把目光鎖定在數據安全審計。方偉解釋,因為安全這個領域是只有在事件發生的情況下才能體現自身價值,所以像加密、評估、認證這些安全建設在短期內是無法讓企業直觀感受到自身安全能力提升的。此外,內部人員的疏忽行為、組織員工內外串謀、離職前獲取數據,心懷不滿的惡意行為是所有數據安全事件中代價最高昂且最難檢測到的。
因此,對客戶而言最能夠體現效果的是數據安全審計。這里的數據安全審計不是對數據庫的審計,而是對內部員工數據的使用行為、API接口調用行為的歷史數據進行記錄和分析。
熠數信息的業務數據應用安全審計系統通過定義用戶個體的標簽,在縱向(個體的歷史行為習慣)和橫向(群體的行為習慣)的比較,識別行為習慣偏離度,再結合預定義規則和場景,及時攔截、預警高風險事件,避免歷史風險事件再次發生。
數據應用安全審計不是應對內部威脅的,而是以數據行為為視角,囊括業務流程異常、業務接口的違規調用等行為發現數據訪問異常。
在業務風控場景下,做關鍵業務識別,將業務流程中的操作對應為編碼序列,基于歷史數據,訓練序列異常的檢測模型。通過檢測用戶行為序列的異常度,判斷是否有違背關鍵業務的流程,找出異常。在大數據技術和基于AI的機器學習技術的加持下,數據安全審計更加能夠發揮其價值,識別用戶異常、異常用戶、員工利用賬號所做的操作與正常業務范圍不符合等行為。據了解,該系統目前已經在某些省市的數字政府中應用,得到用戶的好評。
方偉向我們著重強調了熠數信息解決方案的差異性。很多數據安全公司在做數據安全方案時都在談數據安全的生命周期,即數據采集、數據傳輸、數據存儲、數據共享、數據使用、數據銷毀等階段。但圍繞數據安全生命周期的解決方案,周期長、起效慢、投入高、操作復雜,并不適合當下企業對數據安全的要求——高效、快速。
因此,熠數信息的解決方案是先聚焦某一個應用場景,在場景中細分做模塊,輔助有效管理手段、技術工具和持續性服務形成一套小的體系后再把場景擴大,體系擴大。
例如,合規場景可以分為用戶隱私數據安全合規、數據共享和委托、內部數據使用三類,這些場景包括一系列子場景,在這些子場景中一步步完善,這樣能夠保證在這個場景下快速高效地體現效果。再比如數據安全風險場景,可以從風險源出發,按照外部攻擊者、內部工作人員和第三方合作伙伴三個場景設計方案,也可以從風險等級出發,按照信息安全風險評估的思路,從資產、威脅、脆弱性等幾個維度設計方案。
以評估-指導-監督-檢查為主要過程建設數據安全能力
談及此,方偉介紹了熠數信息數據安全治理體系的整體設計思路,在ISO 38505數據治理安全體系標準的基礎上,結合客戶的數據安全需求,對實際情況進行研究和實踐,建立一套輕量化、見效快的數據安全治理方法體系。該體系是以評估(Evaluate)-指導(Direct)-監督(Monitor)-檢查(Check)為主要過程的EDMC數據安全能力建設模型。
評 估
通過評估數據在當前和未來的安全狀況,在保障業務的前提下,實現合規約束和風險管控兩大數據安全目標。
合規約束從數據源、數據使用、數據共享和第三方委托四個方面開展:識別數據類型,判斷其中是否包括個人信息、重要數據以及其他受監管的特定行業的數據。對數據采取合理的分類分級,根據不同的數據類級識別合規風險,調整相應的業務模式及授權條款,以保障數據來源的合法性,從而降低合規風險。業務涉及數據跨境傳輸或處理的,企業還需要關注適用境外法律的合規情況,例如,歐盟的《通用數據保護條例》等。
風險管控是評估因管理和技術手段的缺失造成數據未受到持續有效保護,使得數據的機密性、完整性和可用性的一個或多個遭受破壞的風險。評估圍繞數據安全風險源、數據安全措施,通過對數據處理活動、數據安全管理、數據安全技術、個人信息保護、重要數據處理等方面進行評估,發現安全風險。
指 導
指導是編制及實施戰略和政策,以確保數據安全服務于業務目標。
數據安全治理的責任主體在治理層,治理層在開展數據治理的過程中主要通過制定數據安全戰略來指導數據管理活動,而管理層需要通過管理活動來實現戰略目標。同時,治理主體需要通過建立數據安全政策來保障數據管理活動符合數據安全戰略的需要,進而滿足企業的戰略目標。
數據安全治理體系文檔由數據戰略和數據政策組成。數據政策通常可分為三級文檔:一級文檔作為總綱,對治理體系進行指導和治理域框架劃定,主要涵蓋體系的方針目標、組織架構、治理域范圍等內容;二級文檔作為管理規范,涵蓋各治理域的管理政策;三級文檔作為管理程序,具體構建管理規范在企業中的運行管理流程及附上相應的模板、表單等。
監 督
監督是對數據安全治理實施情況的監督,獲取和度量數據安全治理工作的有效性和價值,監督已定義的數據安全治理策略的執行情況,并使得企業數據安全策略和績效的一致。
數據安全治理策略的執行情況監督主要是對已定義的數據安全策略、規則的遵從性、合規性進行度量,確保數據安全的相關策略執行到位,并及時發現執行過程中存在的問題,及時更新策略。在實際工作中,企業根據自身的需求和現狀定義數據安全治理度量和評價體系,包括組織人員方面、流程制度方面、風險評估方面、宣傳培訓方面等。
關于數據安全治理成功的衡量標準,要結合數據治理,以數據為基礎,以事實為依據,來證明數據安全的有效性和成本持續投入的合理性。數據安全治理可以和數據治理結合,其有效性和價值建立在對企業的業務安全價值提升的基礎上,也就是通過數據安全治理提升了哪些業務和安全指標,例如收入和利潤的增加、成本的降低、安全事件的降低、工作效率的提高、監管機構評分等。
檢 查
對企業而言,最直接地看到數據安全治理的效果就是檢查。以上幾個過程都是階段性的,而檢查是實時的,通過技術手段,實時全面監測員工和第三方在數據訪問、使用、流轉的過程中的操作行為。對內網的流量和系統日志的分析,實現業務數據審計,對內部人員的疏忽行為、組織員工內外串謀、離職前獲取數據,API接口濫用,識別用戶異常、賬號被濫用、員工利用賬號所做的操作與正常業務范圍不符合等行為。此外,檢查隱藏在企業正常運行中的那些已被攻陷、被外部遠程控制的潛伏主機,發現接收外部惡意指令,進行暴力破解、數據收集、數據隱蔽外傳、異常域名訪問等數據竊取行為。
上述是在內部檢查,在外部,境內外網絡上的代碼平臺、技術博客、數據交易等平臺進行監控,及時檢查正在被交易和泄露的企業的數據。通過數據泄露監控企業可以進行有針對性的自查和整改,分析數據泄露的途徑,防止再次發生數據安全事件。
最后方偉強調,數據安全治理體系的建設與投入始終是要以提升業務價值為導向,同時在數據安全治理體系的建設和維護過程中,需要注意與企業實際業務場景的結合。數據安全治理的落地建設是一項長期工程,企業需要不斷踐行PDCA循環,讓企業在數據安全治理方面持續地散發活力,讓數據與業務達到一個更加穩定、平衡的狀態,實現數據安全能合規、有抓手、查得出、防得住,更自信地迎接來自數字時代的機遇與挑戰。
更多信息可以來這里獲取==>>電子技術應用-AET<<
