李雪莹 张锐卿 杨 波 谢海昌 马国伟
(北京天融信网络安全技术有限公司 北京 100085)
2017年12月,习近平总书记在中共中央政治局就实施国家大数据战略进行第2次集体学习时指出:“要切实保障国家数据安全.要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力.要加强政策、监管、法律的统筹协调,加快法规制度建设.要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度[1].” 2020年3月,中共中央、国务院公布《关于构建更加完善的要素市场化配置体制机制的意见》(以下简称《意见》),指出土地、劳动力、资本、技术、数据5个生产要素领域的改革方向,并明确了完善要素市场化配置的具体举措.《意见》明确要求推进政府数据开放共享,提升社会数据资源价值,加强数据资源整合和安全保护[2];2021年6月10日发布《中华人民共和国数据安全法》(以下简称《数据安全法》),正式为我国建立健全数据安全治理体系指明了发展方向,其中,第4条“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力”和第7条“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展[3]”.
业务的推动和经济的发展需要基于数据的开放与流动,而数据的开放与流动需要完成数据的分类分级、数据资源的确权和交易制度,因此,数据安全治理将以体系化的方式保障数据安全.
Gartner 2017安全与风险管理峰会上,分析师Marc-Antoine Meunier发表了“State of Security Governance, 2017-Where Do We Go Next?”演讲,提出“数据安全治理(data security governance)”,阐述了Gartner对于数据安全治理的完整理念和方法论,并在2018年5月发布了数据安全治理框架,提供了一个如何通过数据保护和隐私声明的平衡方法来实现实际的安全性.文献[4]总结了Gartner数据安全治理理念,数据安全治理不仅是一套用工具组合的产品级解决方案,而是基于战略、业务、应用、人员的安全和风险管理的融合体,因此要以管理制度、工具为支撑,自上而下覆盖整个组织架构,组织内的上下层级之间需要对数据安全治理的要求和宗旨达成共识,采取一系列适合组织数据生命周期的措施,确保所采取的措施是适合本组织的,以最适用和有效的方式保护数据资源,这也是Gartner对“安全和风险管理”的基本定义.Gartner设计和实现以数据为中心的安全体系结构(data-centric security architecture, DCSA),其安全体系结构的业务需求风险、识别确定优先级并管理数据生命周期、定义数据安全策略、实施安全产品、策略保持一致这5步过程,每个步骤都建立在前面步骤的结果之上.然而,重要的是继续每一步作为一个持续的活动.否则,业务、环境和架构的变化将不会得到体现.
微软在文献[5]中提倡组织采用DGPC(data governance for privacy, confidentiality, and compliance)方法来应对当今的数据安全和隐私挑战,从人员、过程和技术3个核心能力领域,这3个核心能力的实现将有助于实现预期数据相关的安全及隐私风险保护.3个核心领域包含如下内容:
1) 人员.有效的DGPC工作所涉及的组织、角色和责任; 人是核心,有效的治理需要一个适当的组织结构,有明确的角色和职责,有足够的资源来履行所需的职责,对DGPC的总体目标和职责有严格的要求,DGPC框架必须针对每个组织的独特情况进行调整.
2) 过程.DGPC工作中的不同角色如何共同管理与数据隐私和保密相关的风险,并定义适当的政策;因此,对于组织来讲,首先要熟悉数据所在区域的数据安全相关的法律法规、标准及相关制度,确定数据的合规要求,转化成本组织的制度与流程,实现本组织的数据安全实践.
3) 技术.评估风险的分析工具、技术和手动控制以及减轻这些风险的技术 .技术核心能力领域的信息生命周期、技术领域和风险/差距分析矩阵3个部分组件,可以帮助组织将DGPC需求转化为技术控制和能力,并管理其信息流中的风险.
风险/差距分析矩阵是技术核心能力领域中最关键的组成部分,它将信息生命周期和技术领域与数据隐私和保密原则相结合.在提供的评估措施差距的方法中已采取这些措施来保护数据免受隐私、机密性和合规性威胁,并在特定数据流的过程中管理剩余风险[6].
在本项目中采用多种方法论,基于EA和SDL数据流图模型、基于利益攸关者的方法以及GB20984/ISO27005和ISO27001等标准的安全评估方法进行有效的融合,结合Gartner的数据安全框架、微软DGPC、GB/T 36073—2018《数据管理能力成熟度评估模型》、GB/T 37988—2019《信息安全技术 数据安全能力成熟度模型》,构建数据安全防护体系与数据安全管理平台,其过程以及各种模型的使用如图1所示:
在项目中治理过程主要包括2层和3个部分,3个部分包括数据梳理、数据评价和数据安全管理平台,上层借助方法论形成需求,下层依据方法论形成合规措施,最终在数据管理平台上动态体现数据的合规性状态,以及以可视化的方式呈现数据安全治理过程及治理结果.
3.2.1 企业架构方法论
针对用户信息管理系统中具有体系的、普遍性的问题而提供的解决方案,更确切地说,是基于业务导向和驱动的架构来理解、分析、设计、构建、集成、扩展、运行和管理信息系统.文献[7]提出的EA(enterprise architecture)方法论可以用于业务过程设计、分析、提供构建等.在本项目中有2个用处:
1) 可基于EA建模的方式进行大数据环境下的数据安全评估,通过对业务进行EA建模分析出不同层次的安全风险;
2) 通过EA的方式进行业务过程设计,用户针对数据环境下基于网络威胁数据交换的联动网络安全体系框架的设计来规划安全功能模块的安全功能.如图2所示.
3.2.2 利益攸关者理论分析模型帮助进行评估
通过利益攸关者分析法确定数据的利益攸关者以及相关强度,了解其安全诉求.信息安全利益相关者是指与数据有一定利益关系的个人或组织群体,可能是客户内部的,也可能是客户外部的.这种风险评估的利益相关者模型强调以数据利益相关者为中心,系统全面地认识安全需求,平衡各利益攸关者的利益诉求,选择合理的评估指标建立数据安全防护体系[8].如图3所示:
3.2.3 基于数据流的安全评估方法
SDL(security development lifecycle)[9]威胁建模工具是微软推出的一款在系统设计阶段使用的威胁分析工具.基于数据流的风险评估方法,通过对信息系统组成、威胁类型、安全机制等模型要素进行抽象,形成一套基于数据流的风险评估建模方法.微软的软件开发建模后经实践证明也可以用于现有业务系统的数据安全风险评估.
使用STRIDE方法,将系统分解为相关组件,分析每个组件对威胁的易感性,并缓解威胁.然后重复该过程.数据流图是获取威胁模型的关键,STRIDE的4类元素与6类威胁的对应关系[10]如表1所示:
表1 数据流元素的威胁示意表
由表1可知,并不是每个元素都会面临6个威胁,比如外部实体只有仿冒和抵赖2类威胁,如业务场景中外部实体不是我们控制范围,则我们不用关心外部实体会不会被篡改、会不会发生信息泄露以及拒绝服务等.
以某个业务系统为例,用户通过客户端(B/S架构)程序访问应用系统,通过应用系统访问数据库,日常运维过程由运维人员对应用系统和数据库进行运维,图4体现了4类元素存在的安全风险,以及通过安全控制措施缓解或消除风险,业务流、数据流及各个节点之间的安全风险和应具有的控制措施.
3.2.4 基于成熟的安全评估
国家标准GB/T 37988—2019《信息安全技术—数据安全能力成熟度模型》[11]同样以数据为中心,重点围绕数据生命周期,安全能力维度从组织建设、制度流程、技术工具和人员能力4个方面进行安全保障;数据安全过程维度规定了数据生存周期(数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全)和通用安全要求,对组织数据安全能力进行评估,也可作为组织开展数据安全能力建设时的依据.本文项目基于DSMM架构,即PA体系的数据生存周期安全过程和通用安全过程2部分.
数据安全过程域体系共包含30个PA及576个BP项设计调研问卷,通过这些问卷,我们与相关人员访谈,了解各方期望、现有信息安全管理的总体现状;调研业务流程和现场管理情况;对现有制度进行整理、分析和归纳;分析差距,给出改进建议;分析风险,给出风险处置建议.以“PA02-数据采集安全管理”为例,我们设计的调研问卷如图5所示:
在完成30个过程域的调研问卷后,通过组织建设、制度流程、技术工具、人员能力4个维度进行逐项评级,目前的数据安全能力等级与建设的3级有较大的差距,如图6所示.
在完成以上评估后,通过差距分析我们给出符合3级的成熟度的建设方案,还是以数据安全采集管理为例,数据采集管理流程设计包括数据采集安全人员、数据交换审计人员和数据安全管理人员.支持数据治理的采集团队应根据各角色的具体职责结合实际情况落实相关人员,并设计如下采集流程,如图7所示.
数据采集管理流程包括数据采集建模、评估数据采集模型、应用数据采集模型、数据采集过程监督、风险评估、数据采集模型变更控制.以数据采集建模和评估数据采集模型为例,建模要点如下:
1) 数据采集建模.数据采集建模由数据采集安全人员组织与数据产生、数据存储、数据传输、数据使用,有关人员进行设计,设计的模型包括数据分类明确数据的来源、数据的存储地、采集范围、采集方式、传输方式、加工方式(脱敏、加密等)、告警阈值、是否得到授权等内容.
2) 评估数据采集模型.数据采集模型由数据采集安全人员组织管理层和相关人员对其进行评估,根据评估建议和意见对其进行优化,评估通过后才可以正式投入使用,评估时应重点评估其采集合规性(法律法规要求)、安全性(是否可能造成数据泄密、篡改、假冒等),评估的内容包括但不限于以下内容:
① 采集模型实现的难易程度;
② 采集模型可能存在的风险;
③ 采集模型影响的业务;
④ 采集模型的合规性;
⑤ 采集模型所需的资源.
3.3.1 安全架构建设
数据安全治理是一个跨越组织和系统边界、覆盖数据的整个生命周期,且数据安全治理使有关数据的决策成为各方(如数据提供方、数据运营方、数据使用方等)共同承担的责任.整个过程应明确什么在被治理、谁在被治理以及谁在治理.因此,数据安全治理过程需要了解当前的组织战略、方针、制度和特定数据的挑战.
明确的组织建设是保障数据安全治理的必备条件,且数据安全治理工作由在组织的决策者作为小组负责人,开展数据安全治理,明确决策层、管理层、执行层及监管层的职责,以及在遵循法律法规的前提下形成的方针、制度、指南及表单来约束整个组织的数据处理过程,而这个过程需要安全设备、系统等基础设施提供支撑.
数据成为要素后,数据资源的价值将更加突出,同时也更明确了数据在各个处理活动中组织才是承担数据安全责任的,而基础支撑只是数据的载体.
建立数据安全治理职能机构,从决策、管理、执行、监督不同层面细化责任、流程及标准,保障数据全生命周期在本组织的安全.
关于数据安全相关的制度流程的制定,我们首先从遵循数据安全相关的法律法规的基本要求开始,结合业务对数据安全特点和数据安全风险控制,确定数据安全建设的方针、制度、指南和表单等级4级数据安全管理制度体系.
4级安全管理制度如下:
1级.由决策层确定在整体管理方针.
2级.由管理层根据1级管理方针制定通用的管理办法、制度及标准.
3级.由管理层、执行层根据2级管理办法确定各业务、各环节的具体操作指南与规范.
4级.对上层管理要求的细化解读,用于指导具体业务场景的辅助文件,如计划、清单、记录等.
3.3.2 以数据为中心的信息化安全建设
数据安全的核心是以“数据”为视角进行信息化安全建设,对数据进行分类分级保护,重点保护“敏感信息”,明确“允许谁(Who),在哪种环境下(Where),什么时候(When)、对什么信息(What)、使用什么方法(How)、做(Do)什么操作(4W1H1D)”,对数据全生命周期做到“可视化”“可量化”“可审计”“可控制”和“可感知”.将数据安全保障作为业务来看,其业务过程包括数据识别、需求分析、策略制定、控制执行和监控审计5个环节,整个过程循序渐进.全生命周期的数据管理方面的统计与分析,如图8所示.
1) 数据识别阶段.依据《数据资产底账》《数据分类分级清单》《数据流向清单》和国家其他标准,对数据、数据流进行识别、清洗并标注安全标签,建立数据资产底账.根据数据分级分类的标准,并对数据安全标签元数据进行定义.其中在对数据识别与标记时,以工具自动识别为主,人工配合为辅.
2) 安全需求管理阶段.依据《数据安全管理情况调研分析报告》《数据安全保护差距分析报告》《数据分级保护指南》《信息安全技术 数据安全能力成熟度模型》《信息安全技术 大数据服务安全能力要求》《信息安全技术 大数据安全管理指南》、等级保护2.0相关标准等及外部威胁情报,对数据安全安全进行分析,提出安全风险控制需求.
3) 策略制定阶段.依据《数据安全技术 保护体系设计》《数据安全技术 保护体系技术实施方案》《信息安全技术 数据安全能力成熟度模型》《信息安全技术 大数据服务安全能力要求》《信息安全技术 大数据安全管理指南》、等级保护2.0相关标准等,制定数据安全平台的安全策略,管理实现安全需求的控制目标.
4) 控制执行阶段.数据安全管理中心及其他安全组件承担安全控制执行调度的工作,将安全策略的任务部署在相应的安全控制设备/组件上.
5) 监控响应阶段.通过数据安全风险态势感知平台,对数据进行全生命周期的监测,监测数据采集、展示,安全事件处理响应,通过数据风险态势感知平台以可视化的方式进行展示及溯源,以及数据安全考评是否达标.
数据安全技术保护体系设计主要分为6个阶段,分别为:前期调研、数据安全保护体系设计、数据资产梳理、数据流向梳理、数据分类分级试点及数据安全管控流程框架设计.各阶段工作内容和成果如图9所示.
通过以上方法论的融合与应用,本文项目建设内容包含2类内容,共3个部分,如图10所示.
首先通过咨询,设计数据安全技术保护体系,包括通过前期调研交付《数据责权分析报告》《基于生命周期的数据安全需求》《数据安全管理情况调研分析报告》《数据安全防护合规策略需求报告》,在调研的基础上,帮助用户制定数据安全技术保护体系,并制定未来3~5年的实现路径,交付《数据安全保护差距分析报告》《数据安全合规控制措施报告》《数据安全管控流程框架设计》《数据安全技术 保护体系设计》《数据安全技术 保护体系技术实施方案》.并进行数据资产梳理和数据流向梳理,交付《数据资产清单》和《数据流向清单》,以及根据确定的数据分类分级标准,选取核心数据库的结构化数据开展分类分级试点,形成数据分类分级清单.试点结果应在数据安全管理平台体现.
然后根据数据安全保护技术体系指导数据安全流控架构建设并建设数据安全管理平台.
最后根据数据安全技术保护体系,规划并结合账号管理框架、认证管理框架、授权管理框架、审计管理框架、数据流向、分类分级试点,形成数据安全管控流程框架,规范数据的使用与管理,并在平台上进行展示.
以上方法均在实际建设项目中进行实践,并通过专家组的验收.
2018年,为某部委级用户完成《大数据安全治理框架咨询项目》,建设以数据为核心的大数据安全治理框架.在框架建立过程中以大数据安全能力咨询评估为基础、设计出用户数据安全治理总体规划,并建立以数据安全能力成熟度等方法论,建立以数据安全能力评估、数据管控等角度的主动防御措施,形成一套安全的数据服务体系.
2019年为某部委级用户完成两地三中心提供数据安全治理咨询及数据安全管理平台的建设.为用户落实《网络安全法》及相关法律法规对个人信息保护及重要数据保护的要求(2018 年《数据安全法》《个人信息保护法》纳入人大常委会立法规划.2020年7月3日,正式向社会公开征求意见),做好重要数据安全保护工作,完善数据安全技术防护体系设计,掌握数据资产分布情况,做好数据安全分级,全面掌握数据流向及安全防护情况,落实数据安全技术防护策略,加强对核心节点的数据安全防护.构建适应用户业务发展的数据安全保护体系,切实保护好用户重要数据.建立以数据为中心的安全保护体系,制定数据安全总体保护策略,建立管理规范,并通过建设数据安全管理平台,对用户数据安全治理指标的落地与动态体现和数据安全保护体系提供具体支撑.
数据是国家基础性战略资源,在加快政府数据开放共享、推动资源整合进程中[12],随着《数据安全法》的落实,更多的组织将建立健全数据安全治理体系,提高数据安全保障能力.数据安全治理通过建立管理数据资产安全的方针和最佳实践,以及对其实施的持续监督来指导数据的安全治理.数据安全治理必将在循序渐进的过程中不断优化,主要体现在以下3个方面:
法规层面:《网络安全法》《数据安全法》《个人信息保护法》《民法典》等法律的配套制度、措施、规范和标准的构建,将更加清晰数据安全治理的场景和细节要求.
治理层面:数据安全治理支撑组织的业务战略,帮助组织应对数据管理的挑战,数据安全治理是一项持续的工作,围绕组织战略方针、建立框架、制定方针及实现数据全生命周期的安全管理、安全监督与指导.
技术层面:随着同态加密、隐私计算、区块链、量子计算、人工智能等技术的发展与实践,更加夯实数据安全治理能力底座,推动与更新数据安全治理落地实践,不断完善组织数据安全治理体系建设及数据安全管理平台的技术更新.