第一章 概述
1. 背景介绍
全球大国博弈持续加剧,数据安全问题成为攸关国家安全、社会安全、公民安全的安全问题,数据上升到国家安全战略高度,成为与国家安全和国际竞争力紧密关联的关键因素。自《关于构建更加完善的要素市场化配置体制机制的意见》于2020年3月由中共中央国务院对外发布后,数据被定义为新型的生产要素,列为继土地、劳动力、资本、技术四类生产要素后的第五类生产要素。在《数据安全法》、《个人信息保护法》等法律法规和各类行业标准相继发布后,为数据安全保障提供了制度和法律支撑,实现了国家对数据安全监管的有法可依、有章可循、有规可守。依照法律法规和行业标准构建数据安全防护体系的必要性得以体现,未来各类数据滥用、数据泄露的行为都面临着被追责处罚的风险。
从数据的表现形式上来看,数据可分为结构化数据、半结构化数据和非结构化数据。结构化数据是指存储在数据库里可以用二维表结构来逻辑表达实现的数据,如Mysql、Oracle等关系型数据库里面存储的数据;半结构化数据是结构化数据的一种形式,它并不符合关系型数据库或其它数据表的形式关联起来的数据模型结构,但包含相关标记用来分隔语义元素以及对记录和字段进行分层,常见的如日志文件、XML文档、JSON文档、HTML文档等;非结构化数据是指相对于结构化数据而言,不方便用数据库二维逻辑来表现的数据,常见的如图片、视频、文本等。
在关注结构化数据安全保护的同时,个人信息、商业机密等敏感数据也同样存在于非结构化数据中,这些数据使用场景复杂,数据流转和输出途径多样化,面临的数据泄密隐患较大,因此也应重视对非结构化数据的安全保护。本项数据安全防泄密体系建设就主要针对非结构化数据开展安全防护。
2. 方案依据
国家法律法规类:
(一)《中华人民共和国网络安全法》;
(二)《中华人民共和国数据安全法》;
(三)《中华人民共和国个人信息保护法》;
国家标准规范类:
(一)《GB∕T 35273-2017 信息安全技术 个人信息安全规范》;
(二)《GB∕T 37964-2019 信息安全技术 个人信息去标识化指南》;
(三)《GB∕T 39335-2020 信息安全技术 个人信息安全影响评估指南》;
(四)《GB∕T 36073-2018 数据管理能力成熟度评估模型》;
(五)《GB∕T 37988-2019 信息安全技术 数据安全能力成熟度模型》;
(六)《GB∕T 38667-2020 信息技术 大数据 数据分类指南》;
(七)《GB∕T 20984-2022 信息安全技术 信息安全风险评估方法》;
(八)《GB∕T 31509-2015 信息安全技术 信息安全风险评估实施指南》;
(九)《GB∕T 37973-2019 信息安全技术 大数据安全管理指南》;
3. 指导原则
数据安全防泄密体系建设整体遵循如下原则:
科学性:按照数据的多维特征及其相互间逻辑关联进行科学和系统地分析。
实用性:确保整体服务方案的落地性和可行性,服务建设的落地要契合实际业务场景和数据情况,按照实际数据安全防护需求确定落地方法。
扩展性:方案在总体上应具有概括性和包容性,能够针对各种类型的数据开展数据安全防泄密体系建设,并满足将来可能出现的数据安全防护需求。
合法性:服务应满足我国法律、法规和标准规范对数据安全保护的有关规定,并持续跟进有关法律、法规和标准规范。
完整性:数据没有遭受以未授权方式所作的更改或破坏的特性。
保密性:使数据不泄露给未授权的个人、实体、进程,或不被其利用的特性。
可用性:已授权实体一旦需要就可访问和使用的数据和资源的特性。
第二章 现状分析
2022年数据泄漏事件整体呈现不断增长的趋势,同2021年相比,数据泄露事件在所有数据安全事件类型中的占比进一步上。从数据生命周期的角度来看,数据泄漏发生在数据存储阶段和使用阶段的占比较高,属于数据泄漏的高风险阶段和数据安全防御的重点阶段,应对这两个阶段保持高度重视。数据泄露事件的不断发生,使得数据防泄密体系建设的必要性得以体现。
第三章 详细建设思路
3.1 数据安全现状调研分析
3.1.1 外部合规要求调研分析
随着网安法、个人信息保护法、数据安全法、GDPR、等保2.0、国标、行业数据安全规范等的相继出台,对数据安全的监管力度不断加强,但是这些外部的法律法规、监管要求、行业标准数量种类繁多,无法作为直接在内部使用的基线。
在外部要求调研阶段,将业务适用的外部法律法规、监管要求进行了梳理,有助于在风险评估阶段形成合规基线,厘清合规遵从性需求。
3.1.2 数据资产总体情况调研
随着数据资产的意识不断增强,企业中面临多重问题,如资产构成不清楚、重要数据不可知、数据权限乱如麻、数据流转到失控等多方面的困难造成了数据安全风险和事件。数据资产盘点是数据安全防泄密体系建设的第一步,清楚保护目标,才能实施更准确的防护措施。
数据资产盘点通过调研访谈、文件分析、工具探查,多维度了解数据资产,明确数据资产构成、特征、范围及流转情况。明确数据资产梳理的范围,进一步制定相应的数据梳理模板、标准,通过工具+访谈方式收集有关的材料。按照模板和标准,对数据资产的有关信息进行初步梳理,形成数据资产目录初始清单;对初始清单进行筛选优化,按照系统级、表级梳理,后对其实施价值衡量,形成数据资产清单和数据流向图,从而厘清数据资产。
3.1.3 数据相关业务总体情况调研
与数据相关的业务主要是指以数据为核心生产要素的业务,这类业务高度依赖数据,除了对各项业务条线进行调研之外,同样需要在产品研发、测试和对外服务的过程中进行业务情况调研,需要梳理数据在业务/产品中的应用原理、交互的系统接口、相关的责任人,此过程同样重点关注高风险的环节。对业务情况进行调研梳理,有助于后续厘清数据流转路线,是基于数据分类分级的成果设计数据防泄密安全管控措施的重要依据,也是开展数据防泄密安全风险评估工作的重要参考。
3.1.4 数据涉及部门总体情况调研
与数据相关的部门往往是数据风险的高发部门,属于高敏感岗位,需要梳理企业与数据相关的部门数量、部门内部各岗位的职责、工作流程、数据操作环境等,重点关注可能存在高操作风险的环节。此项调研为数据防泄密安全管控措施的落地提供了关键依据。
3.1.5 数据防泄密技术能力总体情况调研
数据防泄密的实现,需要技术和工具平台的支撑,来完成安全管控措施的构建,从而实现数据安全防泄密体系的建设。数据安全技术目前正在逐步更新和迭代,数据防泄密技术能力总体情况调研是重要部分。
3.2 数据分类分级
3.2.1 数据分类
数据一般因业务而产生,供业务需要使用;若无业务需求,也不会有数据的产生和消费。数据分类首先需厘清业务,才能区分业务涉及的具体数据。业务条线梳理工作从核心业务条线着手,进行提炼分析,通过理清业务条线建立关键实体,最终实现全业务覆盖。
通常有两种方式获取业务条线。一是从业务部门直接获取现成的业务流程,缺点是这个业务流程可能不是完整的全局流程。二是通过调研,模拟整个业务流程落到纸面形成业务流程,再此基础上与业务部门核对,查缺补漏逐渐完善各个节点的流程。
在获得业务条线后,需要同时确定数据的管理主体,数据管理主体的确定是数据分类准确性和定级准确性的基本保证,在明确数据管理主体和业务分类的基础上,才能解决数据分类问题。管理主体一般是特定的管理组织、部门、岗位、人员,管理主体需对管理的业务范围负责,管理主体应可决定业务管理范围内涉及的数据的权限,管理主体的确定宜适当,范围过小可能导致对应业务划分颗粒度过细;范围过大可能导致对应业务划分颗粒度过粗,无法区分不同业务。
按照数据归属的业务条线和管理主体的不同,非结构化数据常见的分类如:
研发数据:包括需求文档、源代码、设计图纸等;
销售数据:包括营销方案、成本报价、招投标文件等;
人事数据:包括员工薪资、员工简历等;
财务数据:包括财务报表、票据等;
供应链数据:包括合同信息、方案报价、供应商财务信息等。
同时,非结构化数据的分类也应当区分非结构化数据的类型,按照数据存在的形式和承载数据的环境不同进行分类,常见的分类如:
文本文件数据:文字处理、电子表格、演示文稿等数据;
图像数据:照片、图片等数据;
音视频数据:监控录像、视频、音频等数据;
通讯数据:短信、即时通讯等数据;
代码数据:开发脚本、部署脚本等数据;
值得注意的是,在进行非结构化数据分类的时候,需要同时考虑上述两类数据分类的维度,制定综合的数据分类方案。
3.2.2 数据分级
数据分级应充分考虑数据对国家安全、社会稳定和公民安全的重要程度,以及数据是否涉及商业秘密、是否涉及用户隐私等敏感信息直接相关。应该考虑不同敏感级别的数据在遭到泄露或损坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益(受侵害客体)的危害程度来确定数据的级别。基本思路是根据某类数据的安全属性(完整性、保密性、可用性),发生安全事件后的影响对象、影响范围、影响程度,对数据进行安全定级,通常分成四个安全级别(绝密、机密、内部使用、外部公开)。对数据泄露或损坏影响宜基于数据完全泄露或损坏来考虑,而不宜基于已有任何技术的防护措施来考虑。要高度重视业务相关的个人信息保护,在数据分级中从高考虑。一般而言,数据体量大,涉及的客户(包含机构或个人使用者)多、涉及客户的资金量大的情况,影响程度宜考虑从高确定。
数据定级一般按照如下四个步骤执行:步骤一:确定影响对象。确定需定级的某类数据的安全属性(完整性、保密性、可用性)遭到破坏后可能影响的对象,包括行业、机构、客户。步骤二:确定影响范围。确定该类数据安全属性(完整性、保密性、可用性)遭到破坏后可能影响的范围,包括多个行业、行业内多个机构、本机构。步骤三:确定影响程度。确定该类数据安全属性(完整性、保密性、可用性)遭到破坏后可能影响程度,包括严重、中等、轻微、无。步骤四:综合上述三要素,对数据定级。综合上述步骤确定的该类数据安全属性(完整性、保密性、可用性)遭到破坏后的影响对象、影响范围、影响程度,对数据进行定级。
下表为常见数据等级确定方法和结果,可根据企业的实际业务情况和相关业务条线数据的典型特征来确定适合企业的数据分级结果。
数据等级 | 影响程度 | 重要程度 | 数据特征 |
第四级 | 严重 | 极高 | 1、数据的安全属性(完整性、保密性、可用性)遭到破坏后数据损失后,影响范围大(跨行业或跨机构),影响程度一般是“严重”。 2、一般特征:数据主要用于行业内大型或特大型机构中的重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。 |
第三级 | 中等 | 高 | 1、数据的安全属性(完整性、保密性、可用性)遭到破坏后数据损失后,影响范围中等(一般局限在本机构),影响程度一般是“严重”。 2、一般特征:数据用于重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。 |
第二级 | 轻微 | 中 | 1、数据的安全属性(完整性、保密性、可用性)遭到破坏后数据损失后,影响范围较小(一般局限在本机构),影响程度一般是“中等”或“轻微”。 2、一般特征:数据用于一般业务使用,一般针对受限对象公开;一般指内部管理且不宜广泛公开的数据。 |
第一级 | 无 | 低 | 1、数据的安全属性(完整性、保密性、可用性)遭到破坏后数据损失后,影响范围较小(一般局限在本机构),影响程度一般是“轻微”或“无”。 2、一般特征:数据可被公开或可被公众获知、使用。 |
3.2.3 数据分类分级实施
将梳理得到的数据资产清单,依照数据分类分级逻辑框架,通过工具自动化识别+人工校验相结合的方式,对数据进行分类分级,最终形成数据分类分级清单。
数据分类分级主要包括四个步骤:
自动化识别:将数据分类规则和数据分级规则配置到AiSort自动化识别工具中,利用系统内置的多种识别规则模型,如基于深度学习+条件随机场的命名实体识别模型、基于NLP技术的文本识别模型、正则表达式、字典识别等,对敏感数据进行准确、高效的识别,得到数据分类分级的初步清单。
人工校验:利用人工积累的数据分类分级经验对AiSort自动化识别到的数据分类分级初步清单进行校验,检查分类分级标签的漏识别问题和误识别问题,保证数据分类分级标签的准确,同时可以总结归纳出自动化工具中用到的识别规则的优化方向,以及数据分类分级逻辑框架中与实际数据情况存在的差异问题。
识别规则及逻辑框架优化:将人工校验得到的优化问题进行反馈调整,提升自动化工具中识别规则的识别率和准确率,同时调整现有数据分类分级逻辑框架以适配渤海银行的实际数据情况,提高逻辑框架的落地性和可用性。
再次自动化识别:利用优化后的自动化识别工具再次进行自动化数据分类分级,验证前期人工校验总结的优化建议是否可行,以及优化后的识别规则是否有识别率和准确率的提升,同时可在前期工作的基础上,再次发现新的问题并开始新一轮的优化调整,以此形成数据分类分级工作的完整闭环,实现数据分类分级准确率和识别率的不断提高,最终形成完整的数据分类分级清单。
3.2.4 制定数据分类分级指南
编制贯彻企业的数据分类分级指南,应明确如下内容:
一是数据的分类原则和方法。数据分类应以科学、稳定、实用和便于扩展为原则,从数据本身的自然属性出发,结合数据所特有的业务属性,以及数据开放、共享和利用的需求,制定适合的数据分类方法,同一数据可进行多个维度的分类,便于数据的分析和利用。
二是数据的分级原则和方法,数据定级应充分考虑数据对国家安全、社会稳定和公民个人安全的重要程度,以及数据是否涉及国家安全、个人隐私等敏感信息来确定安全等级。也应考虑数据在遭到破会后对国家安全、社会秩序、公共利益和公民、法人和其他组织的合法权益造成的危害程度来确定数据的安全级别。
三是典型数据的分类分级逻辑框架,基于对企业内部数据的梳理,得到典型数据的分类分级逻辑框架,将此框架作为企业内数据分类分级工作开展的参照标准。
3.3 数据安全风险评估
3.3.1 编制数据流转视图
编制数据流转视图的重要意义在于厘清了数据在不同业务场景之间转移的路线,重点关注如主业务调用数据的场景、数据被其他业务系统调取的场景、对组织外部提供数据的场景(合作业务)、员工访问数据的场景、第三方服务人员访问数据的场景等,涉及的数据活动包括但不限于数据提取、数据获取、数据整合、数据分析、结果存储、数据下载、数据外发、结果展示等。同时数据流转视图中应同时包括流程各环节参与的主体如人员、内外部系统、内外部接口等。
3.3.2 敏感信息泄露途径识别
针对敏感数据(如1、文件、代码、图形和业务操作资料;2、FPGA可编程的EEPROM文件;3、后端版图及其设计过程文件;4、GDS文件等资料),梳理其相关的外部人员、合作人员、内部员工可能的技术及非技术途径入侵,明确敏感信息可能的泄漏路径。
3.3.3 数据安全风险识别
从安全管理和安全技术两方面着手,以敏感数据为中心、以数据生命周期为主线、以敏感数据场景为着力点,关注敏感数据场景、承载敏感数据的业务流程、敏感数据流转、相应业务活动中涉及的各类业务执行人员及权限,分析并评估相关业务处理活动中存在的权限提升、信息泄露、用户冒用、数据篡改、行为抵赖等数据安全威胁及风险并对其进行估算。
风险分析同时要考虑风险事件的正面和负面的后果及其发生的可能性、影响后果和可能性的因素、不同风险及其风险源的相互关系、现有管控措施的不足、管控措施实现的效果和效率等问题。通过风险分析,可以识别所存在的安全风险和合规风险,并基于风险点提出相应的整改意见。
评估数据安全后果
输入:业务应用场景内已识别的相关事件情景,包括威胁、脆弱点、数据资产、已有和计划的控制措施。
活动:应用场景中脆弱性与具体安全措施关联分析后,判断脆弱性可利用程度和脆弱性对数据资产影响的严重程度;根据脆弱性对数据影响严重程度及数据重要程度计算安全事件后果。
评估数据安全事件可能性
输入:应用场景内已识别的相关事件情景,包括威胁、暴露的脆弱点、现有和计划的控制措施数据。
活动:根据应用场景中数据威胁与脆弱性利用关系,结合数据威胁发生可能性与脆弱性可利用性判断安全事件发生的可能性。
估算数据安全风险级别
活动:根据应用场景中安全事件发生的可能性以及安全事件后果,判断风险值。
数据风险识别是通过识别数据风险评估对象面临的风险源、影响范围、事件及其原因和潜在的后果等,生成一个全面的风险列表。识别风险不仅要考虑有关事件可能带来的损失,也要考虑其中蕴含的机会。
风险识别流程
风险识别
风险源是指单独或联合具有内在的潜在引起危险的因素,风险源可以是有形的也可以是无形的。
在分析时,可以针对不同的评估对象,选择所需评估的内容。
风险发生概率识别
风险发生概率识别过程
风险发生的概率主要从控制措施有效性和控制措施的全面性这两个方向进行分析,在识别过程中我们可以从以下几方面进行考虑:
在识别风险发生概率时,应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地减小了风险的影响程度及降低风险发生的概率。对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以风险发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。
已有安全措施确认与风险识别存在一定的联系,会对风险发送概率值产生影响。
风险影响程度识别
风险影响程度识别过程
风险影响范围和程度识别是风险评估中最重要的一个环节,应正确的识别风险评估对象所面临的固有风险对业务所带来的影响程度和范围。识别时的数据来自于资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等。识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅等,风险的影响程度可以从两个方面进行识别风险影响范围和风险严重程度。
3.3.4 数据安全风险分析
风险评价是将估计后风险与已确定的风险准则对比,来决定风险严重性的过程。与组织确定的风险准则进行对照,以决定风险的水平并确定控制风险的优先顺序。经过风险评价,确定该风险是可承受还是需进行处理。决策包括:
某个风险是否需要应对
风险的应对优先次序
是否应开展某项应对活动
应该采取哪种途径
完成风险评估后,对所有风险项进行综合分析和确认,根据风险接受准则,确定需要列入风险处置计划的风险项。
3.4 数据防泄密保护规划
数据防泄密保护规划设计主要分为三个流程:
数据防泄密保护需求分析及任务排列:对数据防泄密风险评估的结果进行需求汇总,分析任务可行性,按照优先级划分不同阶段的规划任务。
数据防泄密实施路线图制定:确定亟需解决的数据防泄密问题,确定数据防泄密规划实施路线图。
数据防泄密规划报告编制:基于不同优先级的整改任务,设计出相关任务对应的数据泄密细化策略,包括组织架构优化、管理体系优化、技术保护措施设计等,编制数据防泄密规划报告。
3.5 数据防泄密体系落地实施
数据防泄密体系落地实施方案主要参考数据防泄密需求风险评估结果,通过充分的测试,保证整体方案与业务需求的对接。
初期方案设计:产品厂商参与保护方案设计,安排人员参与文档梳理、保护方案设计研讨、隔离环境POC测试等,验证管控需求是否满足业务需求。
POC(验证性测试):根据数据防泄密需求制定文档保护测试样例,在隔离环境对产品进行功能测试,测试DLP工具是否达到需求,同时制定压力测试计划、测试产品对IT组织架构的影响。
用户接受性测试:根据初期调研的输出,制定用户测试场景用例。建立隔离的环境,并邀请业务部门关键用户,在测试环境中请测试用户根据测试样例完成日常工作场景的测试,评估软件部署对用户的影响。
小范围试运行:用户接受性测试评估软件对用户的影响在可接受范围内,即在每个业务部门中选取代表用户进行小范围生产环境部署试运行,评估生产环境部署的影响,同时进行问题追踪和解决。
3.6 数据防泄密体系管理运营
在数据防泄密体系的管理运营阶段,需要重点关注策略调整覆盖全企业和可持续发展与改进两个维度。
策略调整覆盖全企业:主要的推进目标是为了奠定基础并逐步推广,主要实现手段包括明确核心敏感数据并确定数据保护的优先级;部署技术防护措施,并且可以根据企业目标覆盖到最大范围;管控策略经过正确配置,可以捕获到所关注的事件并在最大程度上降低误报率;事件响应人员经过培训,并且做好充分准备,随时可以应对违规事件;使员工了解他们的数据保护责任等。
可持续发展与改进:主要的推进目标是为了降低风险并推动实现可以衡量的成果,主要实现手段包括准确调整策略,明确并更改会导致产生风险的业务流程;扩展、修改并自动执行补救工作,从而以最少的资源实现最显著的效果;如果员工的操作会引发风险,那么向他们发出实时通知;防止关键数据离开企业并对其加以保护,同时不会影响业务正常开展;收集具体的衡量标准,以证明并记录一段时间内的风险降低状况等。
感兴趣的小伙伴,或者遇到任何安全问题的小伙伴都可以加我们官方客服进群互动(红包多多哦),德斯克信息安全专家服务,为你解决信息安全问题!!!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...