如何循序渐进开展业务安全驱动的数据安全工作

一、业务安全驱动数据安全简单回顾

上篇文章谈到业务安全驱动的数据安全工作。核心在于通过作业流程梳理识别数据安全风险，改变自上而下的理论脱离实践，以及自下而上的安全游离业务之外局限带来的数据安全的不完整，不系统，不全面问题。

作业流程为基础的业务安全驱动数据安全，向上弥补合规驱动安全制度流程与实践脱钩的缺陷，识别作业标准化，规范化，体系化带来的安全风险，建立数据安全边界清晰，责任明确，高效简洁的上层机制，指导数据安全的检查，预警，处置，审计，追责工作的开展。

向下通过作业流程日志的过程挖掘验证作业流程的完整性，准确性以及设计与实践的一致性，发现作业记录异常账户，审计作业异常行为的合理性与违规性，对正常作业中作业流程设计不合理造成的合理违规操作修正作业流程的设计，对非正常作业业务行为进行审计，追责，并建立检查和设计规则。为数据安全检查和监控的预警和审计提供规则，完善规则库。

业务安全驱动的数据安全往往安全介入的节点是处于业务运作过程中爆发出数据安全问题，安全部门为了解决安全问题而介入其中，这个介入的时间点，即没有事先建立的作业流程基础上的风险分析，又缺乏作业流程风险分析基础上的制度流程管理保障，还没有作业过程记录全量数据基础上的预警，监控，审计规则。

在这个时间点切入，业务驱动的数据安全团队如何理清头绪，分出轻重缓急，有序的在有限的资源支持下开展工作，对团队是一个考验。

虽然，通用的方法论会告诉我们从紧急和重要的维度分解和计划工作，但涉及到工作之间的相关性，顺序性，逻辑性，工作分解并不那么容易。而基于业务驱动的数据安全工作的开展，显然需要实践基础上理论抽象的新的方法论。

二、业务安全驱动数据安全工作开展计划方法论

新的方法论本身依然是从重要紧急出发，只不过这是一个纵向的任务分解的纬度，只是从需求的角度来看待需要开展的工作。需要增加另外一个纬度，是从实现的角度开发，即面对需求，需要考虑资源和时间的限制，来把任务分为短期和中长期。

如果需求是主观的，那么实现就是客观的，工作开展的先后顺序，既要考虑客观的重要程度，也要考虑实现的现实约束。

1、灭火/止血：通用安全策略先行

从目标出发，在已经出现问题的业务驱动的数据安全环节，最紧急的事情并且实现上的约束最少的工作是要灭火和止血，对已知漏洞，通用漏洞，行业最佳实践的能力具备进行快速的安全策略实施。

数据安全的基础是网络安全，所以首先检视的是通用安全规则的落实情况，从环境上检查网络，计算机，物理安全措施是否到位，从终端上检查数据下载，处理，外发的管控机制，检查桌面管理软件，DLP这些安全能力和对应的安全管控措施是否到位。从应用看系统本身的漏洞，数据库，API的漏洞是否已经建立了漏洞修复，检测，预警机制，是否已经完善了脱敏，授权，加密等安全控制措施。

当然，我们说业务驱动的数据安全，前提是网络信息安全工作做得基本到位，相应的安全服务，安全能力已经具备。否则，数据库，应用，终端，网络，物理环境等网络安全方面的安全措施不到位出现的数据安全事件，安全部门责无旁贷。

这也是我们可以快速紧急避免失血的重要环节。这里面的关键是安全策略的一刀切风险以及安全策略的临时性特征。很多企业具备了网络安全的能力，但是在执行管控策略方面，要么默认策略，要么严格策略因业务需求开了太多口子。例如，终端禁止外发，是否实现了应用白名单，网站白名单，邮件、IM白名单机制，如果没有作业流程基础上的风险分析，安全部门难以确定业务的合理性，安全策略就形同虚设，这个阶段，已经出了问题，安全措施要趋紧趋严，例外要严格审查批准。

在这个工作开展的同时，业务部门需要同步开展作业流程分析。这也是为了尽快规避严格的通用安全策略对作业过程造成的影响，分析判断作业过程风险的必要条件。

2、分析/溯源：数据驱动的安全策略

在开展灭火/止血的同时，安全部门需要对历史作业过程数据进行数据驱动的异常分析。

数据分析包括统计数据分析。首先，要对相应业务单元作业过程作业员工岗位的敏感数据特征进行分析，尤其是对涉及到的数据安全事件线索相关的数据进行分析。识别数据的相关特征，无论数据的存储分布，数据的流动节点，数据的访问特征，以及数据的业务特征，以及涉及到个人数据的相关特征等。任何异常的特征，都是进一步溯源数据安全事件，建立监控规则的线索。

其次要对作业过程的作业岗位的员工的作业行为进行统计分析，访问数据的频次，频率，数量，访问的节点，处理的方式，以及从数据接触到数据脱离全过程行为的逻辑跟踪。这也是发现数据访问异常的关键。

统计数据的分析是验证作业流程完备性，一致性和质量与性能的依据。根据统计分析，建立岗位敏感数据访问的行为统计基线，为异常员工行为的个案分析和追踪提供基础。

个案分析，同样包括敏感数据个案和岗位员工个案。如果有相应事件案例回溯，对找到相同异常行为模式的存疑员工具有价值。即使没有案例，也可以通过同岗位的数据异常进行审查和追溯，找到异常的关键原因。

这个环节，在缺少作业过程梳理前提下的岗位作业异常驱动，容易被作业岗位负责人以正常作业为由搪塞。安全部门并不能依赖业务部门的反馈，而应追溯异常的真正原因，具有风险的异常行为是建立员工作业过程预警和监控规则的关键。

3、系统改造：以作业流程为中心的数据安全

虽然紧急，但面临资源和时间限制制约，同时依赖于作业流程梳理和记录分析的风险和规则的系统改造，是需要纳入中长期计划的数据安全工作。

首先是关于数据权限的相关系统改造。对于敏感数据权限，需要遵循最小化原则，根据作业流程，对敏感数据明文展示的脱敏处理，对敏感数据明文查看记录，对敏感数据的复制，下载权限的限制，对不同岗位权限叠加引起的敏感数据风险控制与约束，要禁止非作业需求的数据访问。这对于未遵循数据权限管控设计的已有系统的改造，需要纳入系统版本升级改造计划跟踪实现。

其次是涉及到作业过程系统化实现的问题。在敏感数据处理环节，敏感数据的编辑，分析，分享，外发环节，作为系统功能实现，尽量避免脱离系统的数据转换，处理。在作业流程中对下载到终端分析，编辑，并通过邮件、IM发送的非结构化数据尽量转化为系统功能实现，规避非结构化数据的流转安全风险。

当然，这是企业作业系统实现数字化的关键，信息化企业通过商业软件套件（COTS）实现的管理功能，由于系统之间接口和功能的标准化、系统化问题，难以实现作业过程非结构化数据的系统操作功能。这就要考虑建设对接系统的非结构化数据处理、分享的独立系统，但对于数字化完善的自主研发作业系统企业，可以纳入系统功能来实现。

三是对作业过程行为的监控与预警。需要依赖业务系统提供的数据获取，检查，审计的节点，以及留存作业行为数据，根据规则进行预警和事后的异步审计与分析。个人作业以及作业统计分析的场景中，对异常行为根据检测规则，进行预警与阻断，或启动审批流程。

在管理机制中，需完善系统改造需求由安全发起，产品设计，研发实现，安全验收的制度，实现系统改造的责任闭环。

4、制度/流程：动态实时的最佳安全策略

中长期的业务安全驱动的数据安全，依赖于数据分析驱动安全策略的输入，以及系统改造的安全能力的支持，在此基础上实现安全机制的完善，从根源上实现对数据安全的体系化管控。这些工作在逻辑上受制于短期的数据分析以及中长期的系统改造，在资源上受限与跨部门协作的制度完善与生效，所以，属于重要的中长期工作范畴。

例如，人员管理制度，既需要根据人员的岗位变更建立账号以及权限的变更发起制度，也需要在运营层面上落实系统和权限的变更操作记录，还需要对人员变动引起的账号权限变更进行监督，检查，实现需求，执行，检查的闭环操作。这既是避免账号权限生命周期管理的漏洞，也是落实账号权限引起的数据安全事故追责的基础。这里面需要关注的是，既要有制度上的责任和追责要求，又要有技术上的检查和审计手段，避免制度成为形式，而难以落实。

其次是安全策略的决策机制。作业流程的梳理以及作业流程的生命周期管理机制，决定短期的紧急工作需要形成管理机制，不然梳理成为阶段性的常态，作业流程与作业实践逐渐脱节，而管理不可行。

同样，对作业过程记录的分析是持续性的时序分析体系，也需要从重要的阶段性工作转换为系统的自动化分析工作，形成实时的动态报告。在作业流程和数据分析生命周期管理自动化之后，对于形成的安全策略需要建立决策机制。例如形成安全部门发起，业务负责人审批，产品设计与研发实现，安全验证的机制，支持安全策略的动态更新。这个流程与机制建设，是保障业务安全驱动的数据安全工作持续运营的关键。

三、业务安全驱动数据安全的数字化与迭代是终极方案

因此，这个四象限的工作理论是切入业务安全驱动数据安全工作的起点，而持续运营需要把安全部门的线下工作通过系统实现自动化，在四象限的基础上形成持续循环。

只有建立了持续改进的业务安全驱动数据安全的数字化机制，持续发现风险，迭代安全策略，动态更新安全策略管理机制，才可以真正实现数据安全的全面保障。