前言
在當(dāng)前的數(shù)據(jù)時(shí)代,隨著云計(jì)算、大數(shù)據(jù)、AI等技術(shù)的不斷發(fā)展,“數(shù)據(jù)”已經(jīng)滲透到當(dāng)今每一個(gè)行業(yè)和業(yè)務(wù)職能領(lǐng)域,成為重要的生產(chǎn)因素。數(shù)據(jù)的計(jì)量單位至少是PB級(jí)別計(jì)算。這個(gè)時(shí)代不僅給“數(shù)據(jù)”賦予了“價(jià)值”屬性,也同步賦予了“法律”屬性,這些都推動(dòng)著國(guó)家和企業(yè)重視數(shù)據(jù),重視數(shù)據(jù)安全。
數(shù)據(jù)安全形勢(shì)
據(jù)IBM《2019年全球數(shù)據(jù)泄露成本報(bào)告》顯示,惡意數(shù)據(jù)泄露平均給調(diào)研中的受訪企業(yè)帶來(lái) 445 萬(wàn)美元的損失。CNCERT 在2019年全年累計(jì)發(fā)現(xiàn)我國(guó)重要數(shù)據(jù)泄露風(fēng)險(xiǎn)與事件 3000 余起。數(shù)據(jù)泄漏對(duì)企業(yè)來(lái)說(shuō)不僅是經(jīng)濟(jì)損失,還有國(guó)家層面的巨額罰款;比如Facebook的8700萬(wàn)用戶數(shù)據(jù)的不當(dāng)泄漏被罰款50億美金,英國(guó)航空公司的50萬(wàn)乘客數(shù)據(jù)的不當(dāng)泄漏被罰款2.3億美元;國(guó)內(nèi)大量企業(yè)都號(hào)稱自己有百萬(wàn)、千萬(wàn)甚至過(guò)億的用戶量,但你們是否有相應(yīng)的數(shù)據(jù)安全能力來(lái)保證用戶數(shù)據(jù)不外泄,或者你們是否有能力應(yīng)對(duì)合規(guī)層面的巨額罰款。
數(shù)據(jù)安全標(biāo)準(zhǔn)
國(guó)際層面,各國(guó)出臺(tái)了如GDPR、CCPA、COPPA、LGPD等。
國(guó)內(nèi)層面,近期相繼出臺(tái)了《網(wǎng)絡(luò)安全法》、《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》、《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》、 《數(shù)據(jù)安全管理辦法》(征求意見(jiàn)稿)、《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》(征求意見(jiàn)稿)和《中華人民共和國(guó)數(shù)據(jù)安全法(草案)》等。
數(shù)據(jù)安全相關(guān)定義
(1) 數(shù)據(jù)的定義:
任何以電子或者非電子形式對(duì)信息的記錄。
(2) 理解數(shù)據(jù)的類(lèi)型:
a. 按照數(shù)據(jù)性質(zhì)區(qū)分
結(jié)構(gòu)化數(shù)據(jù):即行數(shù)據(jù),存儲(chǔ)在數(shù)據(jù)庫(kù)里,可以用二維表結(jié)構(gòu)來(lái)邏輯表達(dá)實(shí)現(xiàn)的數(shù)據(jù)
非結(jié)構(gòu)化數(shù)據(jù):包括所有格式的工作文檔、文本、圖片、XML、HTML、各類(lèi)報(bào)表、圖像和音頻/視頻信息等等
半結(jié)構(gòu)化數(shù)據(jù):就是介于完全結(jié)構(gòu)化數(shù)據(jù)(如關(guān)系型數(shù)據(jù)庫(kù)、面向?qū)ο髷?shù)據(jù)庫(kù)中的數(shù)據(jù))和完全無(wú)結(jié)構(gòu)的數(shù)據(jù)(如聲音、圖像文件等)之間的數(shù)據(jù),HTML文檔就屬于半結(jié)構(gòu)化數(shù)據(jù)
b. 按照數(shù)據(jù)狀態(tài)區(qū)分
靜態(tài)數(shù)據(jù):存儲(chǔ)在磁盤(pán)、硬盤(pán)、SAN等介質(zhì)上的任何數(shù)據(jù)
動(dòng)態(tài)數(shù)據(jù):通過(guò)網(wǎng)絡(luò)傳輸?shù)娜魏螖?shù)據(jù)
使用中的數(shù)據(jù):應(yīng)用程序使用內(nèi)存或臨時(shí)緩沖區(qū)中的數(shù)據(jù)
(3) 數(shù)據(jù)活動(dòng)的定義:
數(shù)據(jù)的收集、存儲(chǔ)、加工、使用、提供、交易、公開(kāi)等行為。
(4) 數(shù)據(jù)安全的定義:
通過(guò)采取必要措施,保障數(shù)據(jù)得到有效保護(hù)和合法利用,并持續(xù)處于安全狀態(tài)的能力。
數(shù)據(jù)安全的挑戰(zhàn)
(1) 業(yè)務(wù)系統(tǒng)的靈活多變、需求復(fù)雜
互聯(lián)網(wǎng)+的時(shí)代,市場(chǎng)的快速變化,企業(yè)業(yè)務(wù)的極速調(diào)整,企業(yè)每天都有可能出現(xiàn)系統(tǒng)上線、功能調(diào)整、接口的三方接入、數(shù)據(jù)的線上和線下外發(fā)等。面對(duì)這些變化和場(chǎng)景,我們?nèi)绾螒?yīng)對(duì)?
(2) 新技術(shù)新挑戰(zhàn)
新技術(shù)帶來(lái)新風(fēng)險(xiǎn)。云、物聯(lián)網(wǎng)、大數(shù)據(jù)和AI等新技術(shù)的廣泛應(yīng)用給企業(yè)帶來(lái)了巨大生產(chǎn)力的同時(shí),也改變了傳統(tǒng)網(wǎng)絡(luò)的數(shù)據(jù)防護(hù)思路,新型的網(wǎng)絡(luò)威脅我們?nèi)绾螒?yīng)用?
(3) 數(shù)據(jù)量大
大數(shù)據(jù)的興起,數(shù)據(jù)的起始計(jì)量單位變成至少是PB級(jí),甚至是EB級(jí),在如此龐大的數(shù)據(jù)量面前,如何有效管理,如果做數(shù)據(jù)的快速識(shí)別、監(jiān)控、檢測(cè)、處置、響應(yīng)?
(4) 安全威脅增多
數(shù)據(jù)價(jià)值的提升,導(dǎo)致外部威脅的目的性、隱蔽性、破壞性都成上升趨勢(shì)。如何降低威脅暴露面和何種體系防護(hù)應(yīng)對(duì)?
數(shù)據(jù)安全的目標(biāo)
目標(biāo):滿足合規(guī),貼合業(yè)務(wù),將數(shù)據(jù)風(fēng)險(xiǎn)降低至可接受水平,讓數(shù)據(jù)使用更安全。
辦法總比困難多,面對(duì)各位數(shù)據(jù)安全挑戰(zhàn),數(shù)據(jù)安全從業(yè)者要有自己的數(shù)據(jù)安全防護(hù)體系思路,善于學(xué)習(xí)新技術(shù)新經(jīng)驗(yàn)的能力,總結(jié)自己的套路和打法,以終為始,不斷更新和進(jìn)步。
業(yè)務(wù)面前,安全不是他們的對(duì)立面,要采取雙贏思維,建立信任關(guān)系。業(yè)務(wù)的目的是盈利,而安全是保證業(yè)務(wù)穩(wěn)定盈利,規(guī)避風(fēng)險(xiǎn)最佳幫手,彼此相輔相成,相互依存。
數(shù)據(jù)安全模型框架
數(shù)據(jù)安全的執(zhí)行和管理需要以數(shù)據(jù)為中心,宏觀層,在滿足合規(guī)的基礎(chǔ)上,依托組織建設(shè),采取技術(shù)和管理的手段,實(shí)施層,采取“識(shí)別”、“保護(hù)”、“監(jiān)視”、“檢測(cè)”、“響應(yīng)”和“恢復(fù)”六大安全功能,保證數(shù)據(jù)全證明周期的安全。
數(shù)據(jù)安全建設(shè)框架
基于數(shù)據(jù)安全模型框架,梳理數(shù)據(jù)安全建設(shè)過(guò)程所需的基本功能和重點(diǎn)功能,制定如下數(shù)據(jù)安全建設(shè)框架:
整理來(lái)看,數(shù)據(jù)安全建設(shè)框架可以分為三個(gè)層面。
(1) 最下面為組織建設(shè)層:
數(shù)據(jù)治理小組負(fù)責(zé)整體決策層工作,比如數(shù)據(jù)安全計(jì)劃的定位,策略、政策和組織等的制定;數(shù)據(jù)安全團(tuán)隊(duì)負(fù)責(zé)整體戰(zhàn)術(shù)層和執(zhí)行層工作,戰(zhàn)術(shù)層比如具體安全計(jì)劃的管理管控,如合規(guī)管理、風(fēng)險(xiǎn)管理、計(jì)劃管理、進(jìn)度管理和指標(biāo)管理等等;執(zhí)行層負(fù)責(zé)整體數(shù)據(jù)安全計(jì)劃的落地工作,人員包括專業(yè)的數(shù)據(jù)安全人員和各業(yè)務(wù)團(tuán)隊(duì)的安全接口人。
(2) 中間為能力實(shí)現(xiàn)層:
通過(guò)“識(shí)別”、“保護(hù)”、“監(jiān)視”、“檢測(cè)”、“響應(yīng)”和“恢復(fù)”六大功能,落地?cái)?shù)據(jù)安全的合規(guī)、管理、技術(shù)和運(yùn)營(yíng)。
(3) 最上面為目標(biāo)和愿景層:
通過(guò)組織建設(shè)和數(shù)據(jù)安全能力實(shí)現(xiàn),保證組織用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)和公司數(shù)據(jù),最終實(shí)現(xiàn)使數(shù)據(jù)使用更安全的愿景。
數(shù)據(jù)安全實(shí)施框架
數(shù)據(jù)安全工作如此繁雜多樣,我們?nèi)绾尉唧w落地和有序建設(shè)執(zhí)行呢,基于數(shù)據(jù)安全建設(shè)框架,制定如下數(shù)據(jù)安全實(shí)施框架:
整體來(lái)看,每做一件事情,我們都要先做好計(jì)劃,然后實(shí)施,實(shí)施中進(jìn)行復(fù)核檢測(cè),進(jìn)而改進(jìn),如此反復(fù),階梯式完成,形成一個(gè)PDCA的循環(huán)。
(1) Plan:
我們要制定好計(jì)劃、確定范圍和明確目標(biāo),識(shí)別的重點(diǎn)工作為:范圍和邊界的識(shí)別、賬號(hào)識(shí)別、權(quán)限識(shí)別、數(shù)據(jù)識(shí)別、系統(tǒng)識(shí)別、操作識(shí)別、流程識(shí)別和數(shù)據(jù)的分類(lèi)分級(jí)。
(2) Do&Act:
在Plan中的成果進(jìn)行處置,事前做保護(hù),事中做監(jiān)視和檢測(cè),事后做響應(yīng)和恢復(fù)。重點(diǎn)工作為合規(guī)的落地;安全基線的落地;管理制度的建立‘敏感信息在數(shù)據(jù)生命周期中的管控、處置和審計(jì),如敏感數(shù)據(jù)打標(biāo)簽、傳輸?shù)募用?、存?chǔ)的加密或脫敏、使用的脫敏、操作的日志記錄等。
注:合規(guī)的部分問(wèn)題可以參考我另兩篇文章《數(shù)據(jù)安全怎么做——合規(guī)篇之CCPA》《數(shù)據(jù)安全怎做——合規(guī)篇之?dāng)?shù)據(jù)安全法》
資產(chǎn)梳理的問(wèn)題可以參考我另一篇文章《企業(yè)安全建設(shè)之資產(chǎn)庫(kù)篇》
其他詳細(xì)內(nèi)容都在撰寫(xiě)中,后續(xù)會(huì)一一發(fā)出,比如數(shù)據(jù)安全治理、管理各種子篇、技術(shù)各種子篇等等,敬請(qǐng)期待。
(3) Check:
用以對(duì)Do的成果的復(fù)核檢測(cè),提出問(wèn)題和需求,由Act層跟進(jìn)解決。
總結(jié)
數(shù)據(jù)安全是企業(yè)安全中與業(yè)務(wù)貼合最近的一項(xiàng)工作,好的落地勢(shì)必會(huì)帶來(lái)對(duì)業(yè)務(wù)的影響,所以搞定管理層是關(guān)鍵性因素,給數(shù)據(jù)安全工作戴上數(shù)據(jù)治理的帽子,
安全牽頭,拉上所有數(shù)據(jù)相關(guān)方共同執(zhí)行和承擔(dān)責(zé)任,這樣會(huì)大大增加工作開(kāi)展的效率和有效性。
除此之外,數(shù)據(jù)安全的工作繁多,數(shù)據(jù)安全從業(yè)者需要為眾多事情結(jié)合公司業(yè)務(wù)排好優(yōu)先級(jí),風(fēng)險(xiǎn)最大的不一定先做,優(yōu)先做公司業(yè)務(wù)當(dāng)前狀態(tài)最需要的剛需,制定好工作計(jì)劃,摸清家底,工作有序開(kāi)展。
評(píng)論
查看更多