“以数据为中心”的数安实践感悟

“以数据为中心”的数安实践感悟最近随着数保法、个保法等各项法律法规相继公布出台，从传统的运营商、能源、医疗、金融等行业，到新兴的互联网行业，都掀起了数据平安建设的浪潮。虽然有了上位法的直接驱动，但具体落实到企业侧，该以怎样的思路去建设数据平安体系，该具备怎样的平安能力去保障数据平安不受侵害、守住合规的底线，各行各业依然有不小的困惑和疑虑。在此，我们就常见的一些如何建设数据平安的问题（不包括组织制度建设，后期单独讨论），给出参考性的分析和建议。什么是"以数据为中心"？其实简单6个字展开用通俗的语言来描述，就是“从数据中来，到数据中去”。一、”从数据中来“，强调的是对我们要保护数据的定义牵扯的问题包括：问：企业的所有数据是不是都要保护？答：否，只保护有经济价值、业务价值等高价值的数据。全部数据防护违背了安全建设的经济性原那么，或性价比极低。数据平安比网络平安更加注重ROL问：哪些是企业有价值的数据，如何定义？答：没有完全标准的定义。但可从两方面视角来选取，一方面，从上位法和行业监管要求已定义的"重要数据""个人信息""敏感个人信息""核心数据”等入手；关于重要数据，目前有《重要数据识别指》（征求意见稿）供参考。另一方面，从企业内部的业务重要程度来衡量，如营销业务系统数据、大数据中心的数据、SAAS企业提供服务后保存在己方的甲方数据等等；问：在"从数据中来"，怎么做到"以数据为中心"？答：在上述问题中，定义了企业要保护的数据后，然后对数据进行勘测。勘测的内容包括，这些数据的规模和范围、数据在各个网域/业务系统/终端等的分布情况、数据使用方的业务部门/角色等基本情况。勘测的目的是对这些要保护的数据有清晰的盘点和认知，为后续平安能力建设提供基本盘。二、”到数据中去“，强调的是数据平安的手段和牵扯的问题包括：问：数据保护的目标是什么？答：整体上看，一方面是满足平安合规要求；另一方面是满足业务平安要求。这么说太过笼统，那么合规要求按照上位法和行业监管要求进行解读、应对即可，各个企业内部也专门成立了合规团队去逐项应对；满足业务要求就需要平安部门，按照“从数据中来"问题中已定义的要保护数据的基本盘，来开展相应的调研工作；可以参考的维度包括：.按照部门职能来定义数据保护目标。如运维人员对数据操作的平安保障目标和规范是防止误操作对业务系统产生连续性影响、防止内鬼内部数据泄漏、防止平安人员在运维规范和制度上的漏洞等；.按照平安问题场景来定义数据保护目标。如数据资产脆弱性、敏感数据暴露面、业务涉敏访问行为平安性、对外数据交换流通平安对等性等。问：数据保护的结果如何评价?答：数据平安建设的评价，不应仅仅限于保护结果的评价；这其中包含3个方面。.应具备对企业内数据质量治理的评价。很多平安从业人员往往忽视了这一点,尤其是没有业务内容的平安乙方。其实在甲方的数据平安建设过程中，企业数据质量的高低，决定了数据平安治理的底盘是否牢固；比方很多企业建设了大数据中心，但其中的数据日志格式和质量参差不齐，还需要平安部门人员提需求或自己再次小范围按需清洗。.应具备对企业内部所有数据资产价值的评价。其中包括了对含数据、业务系统、、数据库等资产在内的梳理、盘点；也包括对资产分类分级的定义，再根据价值评估模型，形成对不同数据资产价值的评价体系；.应具备对企业数据资产平安度的评价。反过来说就是数据平安的风险评价体系。这块是企业数据平安最为重要的评价模型。评价模型如何建设，本次只介绍思路，具体方案后面有机会介绍：基于目标-结果的简单模型入手；评价体系：从定量评价确定评价效果的基础。在定量评价的基础上，对整体保护结果进行定性评价。定性评价需要对定量评价中不同内容的关系进行定义。如发现了10个风险事件，并及时处置，这个是定量；10个风险之间有3个风险对应的是目标A,其他7个对应目标B,其中目标A是核心业务系统，A业务系统的经济业务价值、涉及的资产且3个风险事件之间存在访问主体上的一致性,访问行为也可能存在前后关联性，存在极大的有组织有预谋的作案嫌疑那么这个3个风险事件在保护目标A的报告里，可以进行定性评价。三、当我们明确了所要保护的数据及保护的目标后，中间具体怎么做的局部是什么呢？1、处理好数据平安和网络平安之间的关系往往一般企业侧已经在网络平安和信息平安方面，做了很多平安性能力的建设工作。数据平安具有一个和网络、信息平安很大的不同点，那就是具备整体平安统筹能力，这也是为什么我们上个章节着重提"以数据为中心”的原因。正是因为"以数据为中心"，才能将企业已有的网络、信息平安能力，以及数据平安相关的能力，结构化的、目的性的有机统筹，形成以数据为中心，以数据平安能力为主、与基于边界平安的网络/信息平安能力相结合，进行有效联防联动的数据平安能力体系建设；其中的网络信息平安能力是在所要保护数据的基础上，为了保障价值数据平安目标而针对性、选择性的进行联动结合，这是一个平安能力选型问题。其他网络信息平安依然可以基于边界或平安域来发挥其已有的护城河价值。因此网络信息平安体系和数据平安体系并不冲突，其中一局部甚至有所交叉。"以数据为中心"的平安能力，相当于数据平安保护的大脑或核心，为网络信息平安能力提供数据基础和平安策略依据，为网络信息平安能力提供保护方向和范围的指导，并进行赋能；具体由如脱敏、加密、监测、分类分级等单点的数据平安能力和如数据平安管控中心、数据平安监测运营中心等平台化数据平安能力构成；而作为非核心的数据平安体系化的网络信息平安能力，要围绕数据平安中心的平安目标或策略目标，针对性的给出各自配套的联动能力方案（如IPS、IDS、WAF等）。这样才能从整体上，形成由内而外、自上而下的体系化平安能力，以满足企业数据平安的体系化建设要求。举个例子，近期大家比拟关注的敏感API的数据平安场景，很多公司仅仅从API传输的数据是不是敏感数据、传输敏感数据范围、数量等方面，去做安全性的评估。但往往忽略了可传输大量敏感数据接口本身的平安性问题，如该接口对应的应用本身存在弱密码登录的情况；或者割裂地将接口弱密码或明文账号密码认为是应该态势感知或其他单点平安能力做的事情，不属于数据平安范畴。这样在数据平安的整体平安性评估上，出现评估面缺乏，评估指标相互割裂，无法根据其关联性进行风险评估权重配比，导致评估出现巨大偏差。2、数据平安能力和网络信息平安能力的选型问题和联动建设思路(1)贴合企业侧业务为首要原那么天下没有完美的解决方案和产品系统能力，只有最适合企业业务要求/目标和价值的方案。既要保证效果，又要讲求经济性和整体性价比。当然每个企业内部业务规模、业务结构、业务方向都有所不同，具体不表。这里仅作为一个原那么，供企业平安部门在做业务摸排调研上，说明数据平安能力与业务贴合的必要性。(2)数据资产的盘点和平安数据标准化是基础一方面企业要完成对自己所要保护目标数据进行资产化盘点，掌握数据资产诸如价值数据规模、分布情况、承载的APP应用、接口、数据库、文件邮件、容器等载体情况的基本面；一个公司，只需要1个全链路数