数据治理是金融、电信、能源、政府等行业热门话题,在数据经济时代,如何管好数据,用好数据,实现数据的最大价值,是数据治理的主要目标。然而,实现数据价值目标的前提是运营合规和风险可控。今年6月10日颁布的《数据安全法》的“第二章数据安全与发展”阐述了数据安全与发展的关系,明确指出数据安全是数字经济发展的保障。因此,在企业的数据治理活动之,数据安全管理是非常重要的一个环节。
数据安全管理是数据治理的一个子过程,是计划、制定、执行相关安全策略和规程,确保数据和信息资产在使用过程中有恰当的认证、授权、访问和审计等措施。
一、数据安全管理的概念
数据安全管理的最终目标是保护数据符合隐私及保密要求。主要基于以下几方面的考虑:
1.利益相关者的要求:作为数据的最终拥有者,组织必须保证利益相关者的隐私和保密要求;
2.政策法规要求:如《网络安全法》、《数据安全法》、《个人信息保护法》等法律,以及各行业对于数据安全的各种规范和条例;
3.特定业务要求:保护特定数据,比如知识产权,商业机密等;
4.合法访问要求:按组织单位的整体战略、业务规则以及运营流程等要求来确定特定角色对数据的访问权限,即:认证(Authentication)、授权(Authorization)、访问(Access)、审计(Audit)这“4A”要求。
二、开展数据安全管理活动的过程
开展数据安全管理活动的主要过程包括以下几个方面:
1.定义数据安全策略
企业IT战略和标准通常确定了访问企业数据资产的高级策略,由数据治理委员会评审和批准高层次的数据安全策略。
IT安全策略和数据安全策略同属于企业综合安全策略。与IT安全策略相比,数据安全策略是以数据为中心,包括定义目录结构和身份管理框架、定义应用程序、数据库角色、用户组和密码标准等。
2.定义数据安全标准
由于数据与各行业、企业的业务紧密相关,因此目前并没有国际上统一的数据安全标准,各组织需要根据行业规范和条例,结合自身业务需求设计自己的安全控制措施。这些安全措施需要符合法律法规要求,同时记录这些措施的执行情况。安全策略执行需要满足4A要求。
数据治理委员会评审和批准这些策略,数据安全策略由数据管理执行官和IT安全管理员负责。
3.定义数据安全控制和措施
实施和管理数据安全策略主要是安全管理员的职责,组织可通过实施控制流程实现数据安全控制。
组织必须实施适当的控制,这种控制需要实施一个流程,结合跟踪所有用户权限请求的变更管理系统,用以验证分配权限。可能还需要以工作流审批或签署文件的形式、记录和归档每一个请求。
4.数据的安全定级
根据国家、行业的数据分类分级标准和规范,结合组织自身对数据安全的不同要求进而划分数据安全级别,以下是一个典型的数据安全分级模式:
公众级:信息可以提供给任何人,包括普通公众,它一般作为默认分类;
内部使用:信息限制在雇员或组织成员中,即便是在组织以外共享其风险也不大;
机密:资料不应该共享至组织外部,客户机密信息不应该共享给其他客户;
受限机密:信息受限,承担某些角色的个人按需知密;
注册机密:这类信息需要接触人员签订一份法律协议才能访问,并承担保密责任。
5.管理用户、密码和用户组成员
通过角色(角色组、岗位等)把访问和更新权限等数据安全控制权限进行分类,授予一类用户。可以通过子角色进一步进行复杂的权限控制管理。然后是制定密码标准和规程,可以参考《GB∕T 22239-2019信息安全技术网络安全等级保护基本要求》相关内容来制定。
6.管理数据访问视图和权限
数据安全管理有两方面:首先,防止不适当的数据访问;其次,建立有效适当的数据存取。
对于大多数组织而言,其大部分数据不限制访问权限,而对于受控敏感数据应通过授权控制访问。
上面已经提到可以通过角色和分组方式对不同访问权限的用户进行授权限制。在关系数据库中,可以通过视图进行基于数据行和列的限制访问。
需要针对系统的管理员帐户和共享服务帐户等具备特权的账户进行监控,检测和审计这类账户的使用情况。
7.监控用户身份认证和访问行为
监控是为了检测异常和可疑行为,便于管理人员进一步调查和解决问题,主动行为或是被动行为,两者皆可。自动化监控配合一定的人工检查,是最佳的监控方式。
在安排监控工作时,对于财务、工资等保密信息通常采取实时积极的监控措施(主动监控),可以及时提醒安全管理员或数据管理专员。
对于跟踪系统随着时间推移产生的变化,可以采用机器学习方式建立系统的安全基线,定期抓取系统状态快照,对照基准或标准进行趋势分析(被动监控)。
8.审计数据安全
审计数据也是安全性的控制活动,负责分析、验证、讨论,据此以建议数据安全管理政策、标准和活动。
数据安全策略声明、标准文档、实施指南、变更请求、访问监控日志、报表,以及其他书面和电子记录都是审计工作的基础。除了评审已有的这些信息外,审计活动还包括执行一些测试和检查。如:
分析规程和实际做法的差异,确保数据安全目标、策略、标准、指导方针和预期效果一致;
验证机构是否符合监管法规要求;
数据安全行为监控的上报规程和通知机制;
向相关方报告组织内的数据安全状态,以及组织的数据安全实践成熟度;
推荐数据安全的设计、操作和合规改进工作等。
从上述数据治理活动中关于数据安全管理的概念和开展数据安全管理活动流程来看,企业在完成数据安全策略、数据安全标准、数据安全保障措施、数据安全定级、账户定义和权限控制等一系列流程之后,就是需要持续不断的对数据活动、用户行为进行监控、检测和安全审计。特别是最后的数据安全审计,通过对数据活动、特权账户、用户账户、数据安全策略以及保障措施的运行状态的审计,评估数据安全运行状态和管理状态,从而发现问题,提出改进建议,保证数据安全策略的一致性。
全息数据安全风险感知系统,是业内首屈以数据为中心,能够对数据安全要素“用户和实体,应用访问,数据对象”进行画像和关联分析的系统,实时感知“什么人,何时,何地,通过什么应用,访问了什么(类别和级别)数据”,再结合企业IAM系统,把企业数据的处理环境和业务场景的数据安全态势可视化,实时评估和检测数据安全策略运行状态和企业数据安全合规态势,在监督企业数据安全管理体系运行上具有不可替代的作用。因此,全息数据安全风险感知系统是企业数据治理中非常有效的数据安全管理工具,让流动数据在海量与频繁的开放与共享中,依然可知、可视、可控,激活数据持续创造价值。