知識星球2018年國內資料安全領域年度重磅會議
第二屆中國資料安全治理高峰論壇已經圓滿落幕
無論是到場的600嘉賓(優秀的CIO人群)
還是1000餘名線上觀看峰會現場直播的夥伴們
感謝諸位撥冗關註
我們希望這場盛宴除了貢獻出有價值的認知、思考
也能實實在在地為你們留下些什麼:
1)資料安全治理白皮書(資料安全領域最具價值乾貨內容)
2)精彩演講PPT(標準、理念、技術支撐、實踐經驗等內容)
猶如大潮褪去,在滄茫遼闊的沙灘上,體會滄海拾遺的樂趣
我們提供《資料安全治理白皮書》的精簡版本,
旨在幫讀者建立
關於“資料安全治理(DSG)概念、框架”的清晰認知體系
獲取完整版本,請掃文末二維碼下載
《資料安全治理白皮書》精簡版
前言
本白皮書由中國網路安全與資訊化產業聯盟資料安全治理委員會(簡稱資料安全治理委員會)起草編著,透過對國內外當下的資料安全情勢與市場趨勢進行解讀與前瞻,結合國際相關標準與框架,提出符合中國資訊化建設階段和需求的資料安全治理理念與框架,旨在幫助政府與企業進行資料安全建設的整體思考與規劃,為資料安全建設的設計與實施者提供具有參考價值的資料安全治理整體方案及案例實踐。白皮書中闡述的資料安全治理體系是以資料資產的正常使用為前提,保障資料在各使用場景下的安全,促進資料價值的釋放與共享。
一、資料安全建設需要系統化建設思路
資料治理或者資料安全概念,對於大多數IT和安全從業者來說,認知度比較高,但資料安全治理,是個新名詞。實際上,對於擁有重要資料資產的政府部門或企業,對於資料資產的保護,涉及到資料安全治理方面,或多或少都有實踐,只是尚未體系化、標準化。在國外,Microsoft推出的DGPC方案(Data Governance for Privacy Confidentiality and Compliance縮寫),就是專門強調隱私、保護與合規的資料治理技術框架;Gartner研究中2015年提出了資料安全治理這一概念和相應的原則與框架,2017年Gartner全球安全大會中多位分析師在資料安全、資訊保安治理、安全治理的相關研究報告中,多次提及並強調,認為資料安全治理已成為了資料安全中的 “風暴之眼”,2018年,Gartner首次專門推出研究報告《如何使用資料安全治理》,以此為CDO、CSO、CISO提供資料安全價值。本次白皮書編著,希望系統化針對資料安全治理的概念、規範、技術和相關實踐進行介紹,將資料安全治理視作為一種系統化解決資料安全問題的合理方法論和實踐工具加以推廣應用。
隨著資料安全的重要度提升,使用者投資在增大,據KVB Research 2017年大資料安全報告預測,大資料安全2017年全球投資達到102億美金,並且以17%的年複合增長率擴大,到2023年將達到309億美金,即2000億人民幣。
圖1.1(KVB Research在big data security上的市場預測)
在我國,隨著網路安全法的出臺,資料資產價值得到確認,政府機構和企業在這個方向的投資也在加大,以資料審計、脫敏和加密為標的的資料安全投資正在成為採購的熱點。
資料安全治理的思路,將資料安全技術與資料安全管理融合在一起,綜合業務、安全、網路等多部門多角色的訴求,總結歸納為系統化的思路和方法。
二、資料安全治理基本理念
關於資料安全治理原則與框架,Gartner對此進行專屬領域的研究,Microsoft從資料隱私合規角度也曾向市場提出隱私,保密和合規性的資料治理方案。從國際視角對此理解的基礎上,我們在中國提出了資料安全治理理念與技術路線,填補了該理念在中國的空白,更有效推動實現該理念在國內的執行落地。
2.1 資料安全治理概論
本白皮書,綜合國際相關框架模型和我國一些具體的安全實踐後,提出一套在中國易於落地的資料安全建設的體系化方法論。
資料安全治理是以“讓資料使用更安全”為目的的安全體系構建的方法論,核心內容包括:
(1)滿足資料安全保護、合規性、敏感資料管理三個需求標的;
(2)核心理念包括:分級分類、角色授權、場景化安全;
(3)資料安全治理的建設步驟包括:組織構建、資產梳理、策略制定、過程控制、行為稽核和持續改善;
(4)核心實現框架為資料安全人員組織、資料安全使用的策略和流程、資料安全技術支撐三大部分。
資料安全治理理念框架
2.2 資料安全治理的核心理念
-
資料的分級分類:對資料進行不同類別和密級的劃分;根據類別和密級制定不同管理和使用原則,對資料做到有差別和針對性的防護。
-
角色授權:在資料分級和分類後,瞭解資料在被誰訪問,這些人如何使用和訪問資料,針對不同角色制定不同安全政策。常見角色:業務人員(需進一步細分)、資料運維人員、開發測試人員、分析人員、外包人員、資料共享第三方等。
-
場景化安全:針對不同角色在不同場景下,研究資料使用需求;滿足資料被正常使用的標的下,完成相應安全要求和安全工具選擇。比如對於運維人員,在備份和調優場景下,並不需要對真實資料的直接訪問能力,提供行為審計、敏感資料掩碼能力即可。
三、資料安全治理的組織建設
資料安全治理首先要成立專門的資料安全治理機構,以明確資料安全治理的政策、落實和監督由誰長期負責,以確保資料安全治理的有效落實。
DGPC框架中,該機構一般稱之為DGPC團隊,或Data Stewards,負責制定資料分類、保護、使用和管理的原則、策略和過程:
圖3.1 某運營商的資料安全治理的相關組織和角色結構圖
(註:深色是部門,淺色是角色,結構中改寫了業務、安全、運維和企業的相關管理支撐部門)
四、資料安全治理規範制定
在整個資料安全治理的過程中,最為重要的是實現資料安全策略和流程的制訂,在企業或行業內經常被作為《某某資料安全管理規範》釋出,所有的工作流程和技術支撐都是圍繞著此規範來制訂和落實。
五、資料安全治理技術支撐框架
5.1 資料安全治理的技術挑戰
實施資料安全治理的組織,一般都具有較為發達和完善的資訊化水平,資料資產龐大,涉及的資料使用方式多樣化,資料使用角色繁雜,資料共享和分析的需求剛性,要滿足資料有效使用的同時保證資料使用的安全性,需要極強的技術支撐。
資料安全治理面臨資料狀況梳理、敏感資料訪問與管控、資料治理稽核三大挑戰。
圖5.1 當前資料安全治理面臨的挑戰
5.2 資料安全治理的技術支撐
5.2.1 資料資產梳理的技術支撐
資料資產梳理有效地解決企業對資產安全狀況摸底及資產管理工作,提高工作效率,保證了資產梳理工作質量。合規合理的梳理方案,能做到對風險預估和異常行為評測,很大程度上避免核心資料遭破壞或洩露的安全事件。
1)靜態梳理技術
2)動態梳理技術
3)資料狀況的視覺化呈現技術
4)資料資產儲存系統的安全現狀評估
5.2.2 資料使用安全控制
資料在使用過程中,按照資料流動性以及使用需求劃分,將會面臨如下使用場景:
-
透過業務系統訪問資料
-
在資料庫運維時調整資料
-
開發測試時使用資料
-
BI分析時使用資料
-
面向外界分發資料
-
內部高許可權人員使用資料
在資料使用的各個環節中,需要透過技術手段有效規避各個場景下的安全風險:
圖5.2資料使用安全控制示意圖
5.2.3 資料安全審計與稽核
資料安全稽核是為保障資料安全治理的策略和規範被有效執行和落地,以確保快速發現潛在的風險和行為,從而明確防護方向,進而調整防護體系,最佳化防禦策略,補足防禦薄弱點,使防護體系具備動態適應能力,真正實現資料安全防護。
資料的安全審計和稽核機制由四個環節組成:行為審計與分析、許可權變化監控、異常行為分析、建立安全基線。
附錄
1、詞彙串列
(DSG、DGPC、DSMM、GDPR、DCAP、DLP、CASB、IAM、UEBA)
2、國際資料安全治理理論
3、資料安全治理實踐
4、資料安全生態環境
5、資料安全成熟度模型
資料安全能力成熟度模型的模型架構由三方面構成:
-
資料生命週期安全
-
安全能力維度
-
能力成熟度等級
6、資料安全治理重要相關技術
-
DCAP技術
-
脫敏技術
-
DLP技術
-
CASB技術
-
IAM技術
-
UEBA
獲取白皮書完整版
獲取峰會精彩演講PPT
