引言
随着数字化时代的快速发展以及数据量的爆发式增长,数据安全的重要性正在快速提升。网络世界的数据随时面临着被泄露、被篡改、被攻击的风险,而数据安全问题源于数据本质发生变化,例如业务移动化:远程办公、远程视频会议成为刚需和安全漏洞高发领域、终端多元化打破了原有的网络边界,为安全防护带来边界防护压力;能力开放化:开放带来API接口攻击、信息泄露等风险、第三方合作、应用、SDK的安全风险加剧了应用安全风险;场景多元化:业务场景复杂化,数据集中存储,数据共享导致数据泄露、数据权责分离、在快速业务交付的压力下,全面安全管控的难度加大,引发业务风险等。
随着我国齐聚的三驾马车《网络安全法》、《数据安全法》和《个人信息保护法》,安全法律顶层设计已进入到全方位的实施阶段,三大法律之间相辅相成共同构成了我国数据安全的法律保障体系,也将数据安全提升到了法律层面,进而越来越多的律师事务所也加大力度积极投身于数据安全和合规建设工作和企业数据安全合规运营中,而网宿科技做为老牌的互联网厂商,业务遍布全球,存储并处理了大量的数据资产,聚焦在数据治理和运营上已有10余年之久。
数据安全现状和治理思路
网宿认为国内的数据安全现状可以从以下几个方面进行概述:
- 法律法规方面:国家层面对于数据安全的重视日益提高,相关的法律、法规和标准也在逐步建立和完善中。比如2017年实施的《网络安全法》,2021年实施的《数据安全法》等,都明确了数据安全的重要性和相关企业应该承担的责任。
- 基础设施方面:尽管我国在信息化建设方面取得了较大的成绩,但数据安全同时也存在诸多挑战,比如攻击手段的多样化、隐蔽性、他国政策的影响等。
- 事件影响方面:近年来,由于数据泄露、非法使用等事件的频发,公众对于数据安全的意识也逐渐提高,个人及企业都开始越来越注重数据安全,投入也在逐渐增大。
- 人才建设方面:尽管对数据安全的需求日益增长,但是目前国内专业的数据安全人才供不应求,人才短缺已经成为制约数据安全工作的一个主要问题。
网宿认为数据安全治理其实是需要关注数据问题本身的缘由,数据安全问题其实是源于数据本质发生变化,例如前面所提及的业务数据的移动化、数据能力的开放化、数据场景的多样化等,最终造成的影响是数据资产难看清、数据风险难监测、数据防护难有效、数据泄露难溯源的四难之境,进而导致安全保护力度不当,业务失衡,成本过高等问题。网宿认为要做好数据安全运营需要从以下几个维度进行考虑:
- 数据安全是个至上而下的建设工作,首先需要进一步完善法律法规:对数据收集、存储、处理、传输、销毁等各个环节的安全要求进行详细规定,并对相关违规行为进行严厉惩罚。
- 以数据资产为核心开展数据安全管理:以数据资产为核心,形成数据资产级与数据级的元数据统一管理,可以以数据安全的分类分级/风险评估为基础,实现对数据资产的基础属性管理和使用风险监测,进而与数据安全防护能力进行联动,才能切合实际业务构建有效的数据安全治理方案
- 数据安全风险防范:数据安全治理的核心目标就是降低数据安全风险,因此建立有效的风险发现手段,对于预防数据安全事件发生有着重要作用。
- 以数据使用场景来驱动数据安全能力建设:根据数据实际使用情况梳理出多个数据业务场景,将数据采集、生产、应用、运维、共享等场景的数据交互方式进行收集,进一步抽象出数据安全措施来支撑和保障业务的安全,再分析出数据场景和安全措施之间的依赖关系,进而形成完整的数据安全场景化操作步骤。
- 数据安全策略制定:根据数据全生命周期各项管理要求,可以参照DMSS框架,制定通过安全策略,结合业务场景的安全需要,制定针对性的安全策略,实现数据流转过程中的安全防护。
数据安全管理规范制定
知名的信息技术领域的咨询和分析公司Gartner提出了DSG(Data Security Governance)框架, Gartner认为:数据安全不是简单的工具堆叠,而是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条,其实从平衡风险、识别数据、定义策略、协调控制到最后的管理风险,是一个全链条的数据安全治理周期。总结来看DSG框架就是平衡业务需求和风险之后进行优先级排序的标识,进而最后再定义数据安全策略,而为了支撑安全策略的落地,企业上层建议需制定使用的管理规范,而制定数据管理规范可以从以下几个维度进行考虑:
- 制定数据安全策略:企业上层需要制定一个明确定义的数据安全政策,包括目前政策、立法规定、行业标准和最佳实践。此策略必须包含所有涉及信息资产管理的步骤,例如创建、存储、使用、共享、备份和销毁数据。
- 了解数据资产:企业上层应对组织内部所有的数据资产进行盘点和分类,明确数据所有者,并确立数据分类、标记和保护等级等。
- 数据安全培训和教育:在制定政策的同时,也要确保所有员工对政策的执行和重要性有所了解,并通过定期的培训和教育来增强员工的数据安全意识。
- 数据处理和控制开发:企业上层需要制定数据处理和控制办法,保证人员在处理敏感、私人或者非公开信息时,采取适当的物理和逻辑保护措施,避免数据被误用或不当存储。
- 数据安全影响评估:对于所有的数据处理和改变,企业上层需要进行数据安全影响评估,确保任何改变都不会对企业的数据安全造成威胁。
- 不断审查和更新:企业上层不仅要定期对数据安全政策进行审查,根据技术发展和新的威胁进行必要的更新,也要对企业内部数据处理的执行情况进行监督和核查。
- 应急预案:除了防范措施外,企业还应制定数据安全事故应急预案,确定事故发生时的应对步骤,提前规划数据泄露、丢失后的处理办法,尽量降低潜在损失。
数据安全分类分级实施
数据分类分级有助于组织更好地管理其数据,更有效地保护其数据,以及更好地满足法规要求,分级框架可以按照《中华人民共和国数据安全法》要求,根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从低到高分成一般数据、重要数据、核心数据共三个级别,三个级别的定义可以参考以下描述:
一级数据(一般数据):一般数据资产,敏感程度较低,一旦泄露可使组织或个人的利益遭受一定的损害。
二级数据(重要数据):重要数据资产,敏感程度较高,一旦泄露将使组织或个人的安全和利益遭受损害。
三级数据(核心数据):核心数据资产,敏感程度最高,一旦泄露将使组织或个人的安全和利益遭受特别严重的损害。
分类框架可以按照以下几个维度做为参考(国家也颁发了相关的分级指引见下图):
a)公民个人维度:按照数据是否可识别自然人或与自然人关联,将数据分为个人信息、非个人信息。
b)公共管理维度:为便于国家机关管理数据、促进数据共享开放,将数据分为公共数据、社会数据。
c)信息传播维度:按照数据是否具有公共传播属性,将数据分为公共传播信息、非公共传播信息。
d)行业领域维度:按照数据处理涉及的行业领域,将数据分为工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等,其他行业领域可参考 GB/T 4754—2017《国民经济行业分类》。
e)组织经营维度:在遵循国家和行业数据分类分级要求的基础上,数据处理者也可按照组织经营维度,将个人或组织用户的数据单独划分出来作为用户数据,用户数据之外的其他数据从便于业务生产和经营管理角度进行分类。
基于网宿对自身数据治理工作,建议分类分级的实施路径可参考以下几个流程:
- 调研分析:进行现状需求调研,包括组织制度规范、分级分类范围确认等。
- 分类分级标准制定:根据调研与沟通结果,输出分级分类方案。
- 数据资产测绘:对组织内的全部数据资产进行识别、梳理、输出《数据资产清单》。
- 设计分类分级规则:设计数据分类分级的标准、方法以及实施策略。
- 人工+工具完成数据分类分级:依据写好的分类分级方法及策略,对已经梳理出的数据资产清单,使用人工辅助打标+工具自动识别进行分类、分级的打标工作,输出《数据分类分级清单》初稿。
- 人工校验结果:根据组织及行业特点、人工进行策略调整,对工具打标的结果进行检查及校验,确保打标的正确率,输出《数据分类分级清单》、《敏感数据清单》。
- 形成分类分级目录:形成数据目录化、数据资源化、数据服务化、数据安全化。
- 定期评估与优化:定期对企业数据分类分级实施情况进行评估,根据实际情况优化和完善分类分级策略,确保数据安全合规建设持续有效。
然而,最让企业头痛的是数据如何进行分级和分类的定义,分类的原则基于系统性、规范性、稳定性、扩展性和明确性;分级的原则基于依从性、可执行性、时效性、自主性、合理性和客观性。以个人信息的分类为例,个人信息分类的实例有相关标准可以参考,见下图:
分级的定义有两个方式,一个是快速定级,一个是归类定级,当无法通过“快速定级”方式判定数据安全级别时,由数据提供方根据数据内容涉及的影响对象范围、影响程度维度,进行分析定级,影响程度的相关说明可以参照下表:
影响程度 | 相关说明 |
轻微 | 数据被非授权操作后无危害 |
中等 | 数据被非授权操作后无危害,仅对特定公众和群体有益,且可能对其他公众和群体产生不利影响 |
严重 | 数据被非授权操作后会对个人、法人、其他组织或国家机关正常运作造成损害 |
非常严重 | 数据被非授权操作后会对个人人身安全、法人正 常运作或国家机关正常运作造成严重损害 |
总结
数据安全治理运营是由多个独立的工作子集形成,通过建立整体性(通用性)的工作机制,将独立个体进行有效串联,从而形成整体的、持续性的、可监管性的工作过程。数据安全治理是保障业务在安全环境下稳定运行的基础。数据安全作为组织整体安全治理的一部分,具有整体性和独立性。整体性强调与整体治理工作的结合,如事前的漏洞检测,事中的安全处置,事后的复盘分析。独立性强调数据安全管理工作过程中对运维目标的针对性,如数据资产梳理(如数据流向、数据分类分级等)、数据安全防护策略、数据安全持续性评估、数据安全运营监测指标的设定等。
近年来,网宿安全洞察数据安全形势,升级打造了数据安全全生命周期的治理咨询服务,从数据分类分级、数据安全风险评估、数据合规咨询、数据跨境申报到终端数据防泄露等的各个专项场景都将提供独有的解决方案协助用户完成对数据的治理工作,网宿将继续秉承创新理念,不断提升产品和服务,共同推进数据安全治理生态体系的建设。