数据安全是企业安全下一个重点建设领域前言:数据安全是企业安全下一个重点建设领域。这篇文章目的是从企业数据安全建设落地的角度分享笔者的经验和看法。此篇成文同时也调研了各行业数据安全同仁的实践和想法,感谢朋友们的好建议,也欢迎读者多提意见,一起探索数安建设最佳实践。
一、为什么要谈数据安全在文章《企业安全的变与不变》中,我们提到网络安全建设已进入了下半场。这个过程中,企业安全团队一方面是通过融合的安全平台联结多个安全产品,构建安全方案,提高安全风险管理的透明度、细粒度和水位,我们可以把这称为网络安全的数字化过程;另一方面,企业安全建设会更加贴近业务,从网络安全建设逐步走向以数据资产为中心的安全建设,融合的企业安全业务架构如下图:
笔者在调研了各行业企业安全资源投入时发现:网络安全已经做得很好的公司会将50%左右的预算投入到数据安全相关领域中,而网络安全还在购买设备、体系化建设过程中的企业,数据安全投入大都低于30%。
既然数据安全是未来方向,那么网络安全与数据安全到底是什么关系?企业为什么越来越关注数据安全?企业数据安全到底应该怎么建?下面就三个问题谈谈笔者看法。
二、数据安全、信息安全、网络安全、数据防泄密概念对齐过去讲信息安全、网络安全,其实是一件事情,只是有些企业把合规、制度、员工安全这类安全管理工作称为信息安全,网络安全专门指安全技术。过去企业网络安全业务架构图(安全1.5)和安全组织如下图:
现在讲数据安全,指的是以数据资产为中心的安全,数据安全被作为一个单独的领域提出来,数据防泄密也通常会纳入到数据安全领域一并考虑。一方面,这个变化和数据安全相关法律法规颁布、国家推动数据资产入库交易、企业数字 化和产业互联的快速发展等密切相关;另一方面,也是传统认知误区和偏差的逐步纠正。网络安全、信息安全等认知还是安全防护的视角,并不是企业安全落地的本质。尤其伴随着"数据是价值"、"数据是企业竞争力"、"数据是国家安全的重要组成部分"认知的转变,企业安全落地的本质是为了保障企业价值数据的安全性,发挥数据价值最大化。如下图:
三、企业为什么越来越关注数据安全?通过上面介绍我们知道数据安全与网络安全是你中有我,我中有你,相互依存的关系,只是看事情的视角和关注点不同而已。那么,为什么企业接下来会越来越关注数据安全?这里的原因和驱动力有很多,笔者可以简单归纳为三种:业务驱动、合规驱动、事件驱动。比如:
业务驱动:科技制造企业同业竞争加剧情况下(内卷),为了保持与竞对的竞争优势,保护技术文档和商业秘密不外泄是企业安全建设的刚需;新能源这类具有原创性技术优势的企业出海,如何保护核心技术掌握在自己手里也是企业安全的第一考虑要素;数字原生或业务高度依赖数字化的企业,每条数据都有定价,数据安全也是刚需;合法合规驱动:满足各行业主管单位的数据安全监管、公司产品和业务运营中满足个保法要求、企业出海如何满足各个国家和地区的数据跨境要求,这些都属于合法合规驱动;事件驱动:近几年大型金融/科技制造等企业出现数据勒索事件、数据跨境被处罚、个人信息非法采集被通报也引起了企业领导层重视,加大了数据安全的资源投入,这些都属于事件驱动。四、企业如何做好数据安全笔者跟金融、科技制造、互联网和跨国企业等各行业安全同仁沟通,大家对数据安全如何做好都有很多吐槽点。比如:组织上职责分工不清晰、领导认知还停留在网络安全、缺乏数据安全专业人才、技术与管理脱节、数据资产识别和打标费时费力无法持续、企业跨境数据合规和法律风险难于界定、非结构化数据安全保护与合规难等问题。
如何做好企业数据安全建设?笔者有以下三点考虑:第一、我们可以继承过去20多年网络安全建设的成功经验,比如管理技术运营的体系化建设思路、实战演练提升数安能力;第二、对于做的不好的地方我们可以改进创新;比如,以更好的业务视角去思考数据安全如何护航业务;以投资视角去做数据安全建设,项目立项前跟公司领导和业务部门说清楚ROI,项目结束验收项目达成情况,与业务方在项目前后达成一致;第三、数据安全与网络安全是相互依存,都是做风险管理,最终都需要实现风险的可视可控,在数据安全的整体规划阶段我们可以想清楚数据安全的整体业务框架和方向,并以数字化可落地的方式去思考后续的数安建设。
下面笔者围绕上面三点考虑,分别阐述数安建设落地的几个要点:
1、数安规划阶段想清楚企业数据安全业务框架,指导数据安全建设有效落地数安组织制度流程和职责分工是企业数据安全建设的基础融入业务又不影响业务的数据安全技术和产品是做好数据安全的关键分场景并选择对公司优先级高的先建立闭环是业务视角讲清楚数据安全项目ROI的更好选择基于平台的数字化运营,实现数据资产识别、数据风险监测、数据流转可视是做好整体数据资产安全的终局定期开展数据安全的稽查工作是做好数据安全的必要一环
2、体系化思维开展数据安全建设是成功的基础组织分工:数据安全是企业业务的一部分,与业务深度融合,需要明确组织责任边界以及具体安全基线要求,为后续工作明确方向,扫清障碍;谁管业务谁负责数据,也是数据安全第一责任人,专业的数安技术团队搭台唱戏,为业务部门提供技术、方案输出;制度流程:与网络安全的制度规范类似,数据安全也要以文件方式明确企业数据安全建设目标、建设领域、建设方式,如:数据安全方针、数据安全组织及分工、数据分级分类、数据生命周期安全保护要求、个人信息保护、数据跨境安全、数据安全事件监测及响应、数据安全风险评估及审计、数据权限及日志规范等;下图网络安全+数据安全的组织架构图,这个图与网络安全的组织架构图稍有变化,原因详见文章《企业安全组织到底有什么用,应该怎么建?》
3、融入业务又不影响业务的数据安全技术/产品是做好数据安全的关键数安技术有好几个维度,比如:数据生命周期(采集、传输、存储、处理、交换、销毁)、数据安全技术(终端设备、应用/平台、数据计算存储设施),以及数据安全场景(普通办公、产品研发、大数据开发、数据跨境、个人信息保护、数据共享、数据交易、行业监管等);附:数据生命周期安全要求
数据安全场景可以将数据生命周期安全、数安技术分类结合起来,这才是数据安全建设落地的有效方式。其实,大部分数据跨不同场景/安全域,安全等级和保护的措施就不一样,很难按照同一个生命周期的安全要求连贯执行,而在同一个场景下就可以。
4、以投资方式看待企业数据安全建设是安全工作获得认可的重要方法首先整体评估企业数安现状,给出风险及改善报告;可以自己评估也可以引入外部顾问开展初始风险评估;借鉴IPD方式做数据安全的需求调研、数安业务设计、场景立项和子项目分解;发挥安全组织的作用,与业务部门、安委会、公司领导充分沟通,审议对齐数安项目必要性、目标、方案、考核指标和ROI;比如某方面数据被勒索了,公司业务会损失多少,行业类似案例造成了多少损失,我们计划投入多少等;
其实在网络安全建设过程中,安全团队吐槽最多的事情就是公司领导不清楚安全人员的工作和价值,出了问题要背锅,安全投资少问题无法解决等等。 笔者建议,安全团队可以借鉴IPD的方式,在数安规划评审、场景立项、子项目立项等各个阶段,与公司领导/业务领导说反复讲解数安业务架构、考核指标、项目目标、ROI等,让人的大脑在反复刷机中记住这些信息,特别是衡量数安的这种数字指标。
比如:数安考核指标可以从"效果指标+能力指标"两个维度分别去描述公司领导和业务关注点,以及要达到这些点,数安能力建设的指标。举例如下,详情另文再写。
效果指标: a、合规-行业监管不合规次数、数据跨境不合规数 b、合法-隐私、诉讼次数 c、数据安全事件-泄密、勒索次数 d、舆情影响-TOP媒体负面报道次数数安各场景能力指标:产品研发、企业办公、个人信息保护、数据共享、数据交易、行业监管...5、数据安全建设原则和分场景建设举例5.1 数据安全建设原则:分场景逐个闭环、核心重要数据场景优先能事前不事后、技术和管理并重(能技术不管理)核心数据不落地、重要数据落地不泄密、泄密有威慑、溯源能举证、合规能自证清白5.2 数据安全场景划分方式和建设方案举例,安全人员可以根据自己公司所处行业,以及公司实际情况选择数据安全场景建设的优先级。数安场景可以按照如下方式划分:业务视角,每个场景说出来公司领导都能理解,也很关注每个场景边界是相对清晰的,可以独自闭环可以用指标评价,数安的效果和能力容易衡量,比如:目前某场景数安处于什么水平、哪些地方好、哪些地方有问题、后续建设还需要投入多少等数据安全分场景建设举例如下,不同企业可以根据需要选择建设的优先级:
场景1:产品研发A、方案描述:调研产品研发部门的业务流程和数据流,梳理出需要保护的核心和重要数据、涉及的部门和人员、业务旅程,再划分安全域,采取数据不落地,落地不泄密(比如云桌面、沙箱,或透明加密),以及DDR审计追踪的多层防泄密方案(如下图),数据出安全域对接数据摆渡系统和OA流程;日志送安全ERP做数据画像和异常分析。
端侧一体化轻量agent,按需生长,云桌面+沙箱+DLP灵活组合,平衡安全与效率将终端DLP和WEB数安审计结合起来,实现有端有文件、无端无文件全场景泄密威慑安全ERP+DSPM,策略统一控制、风险统一分析,实现多层数据防泄密的可视可控B、产品组合:云桌面/透明加密/沙箱+DDR+数据摆渡+OA+安全ERP
场景2:企业办公A1、普通办公方案描述:员工/外包-应用的访问,事前主要做到权限管控,同时增加事中事后的审计措施,比如WEB应用增加SDP7层访问录屏、隐私/敏感数据识别,并部署终端DDR文件操作审计和追溯产品、手机侧集成SDP的SDK即可;如果提高外包安全要求,可采用沙箱模式;日志送安全ERP做数据画像和异常分析。
B1、产品组合:DDR+SDP7层代理/API网关+沙箱+安全ERP。
A2、IT运维方案描述:人-库的数据访问,梳理云&IDC运维业务旅程,确定DB运维安全基线,部署运维堡垒机、数据库堡垒机、数据库安全审计产品,做到数据库实例和数据操作的权限最小化、登录、操作和SQL内容的异常检测;日志送安全ERP做数据画像和分析研判。
B2、产品组合:数据库堡垒机+数据库审计+沙箱/云桌面+运维堡垒机+安全ERP。
A3、服务间数据调用安全方案描述:APIgateway、数据访问链监测产品DAS可以打印用户-应用-服务-DB,以及服务之间数据调用日志,agent兼容性是一个问题,成功案例不多。
B3、产品组合:内部API网关+DAS+安全ERP。
场景3:大数据/AI开发A、方案描述:人-库的数据访问,调研大数据开发部门业务,对大数据平台、数据治理、数据开发、报表配置等业务旅程提出数据安全基线要求,比如:平台漏洞管理、数据集市管理(普通和敏感集市隔离)、取数配置、数据打标、认证授权、基于元数据/维度/属性的行列权限管控、数据掩码、操作日志等,并将日志送安全ERP做数据画像和异常分析;大数据开发人员的工作环境可以采取前面提到的多层数据防泄密方案。
B、产品组合:大数据开发平台安全能力+云桌面/沙箱+安全ERP。
场景4:行业合规监管A、方案描述:从数安组织、制度、数据载体安全(网络安全)、数据资产识别、分级分类、生命周期安全基线、数安技术、数据访问认证/权限、数安模拟攻防结果等方面,并根据不同监管要求,调整检测清单,利用数安稽查评估工具/系统定期开展自查,提交报告,满足监管要求。
B、产品组合:数安稽查评估系统/工具+安全ERP。
场景5:个人信息保护A、方案描述:参考个保法和APP隐私合规指南,梳理企业APP隐私合规基线(比如禁止采取手机号)和上线流程,联合法务一起,确保对外APP发版的隐私合规。另外,也可以监测APP发布渠道,确保每次发版的APP都满足隐私合规要求。也可以后台收集APP数据采集清单,看是否收集过多的个人数据和开放过大权限,避免自动升级后的合规风险。
B、产品组合:APP隐私合规检测+安全ERP。
场景6:数据共享A、对外数据共享安全方案描述:梳理对外数据共享设计的单位和数据共享方式,明确数据交付审批流程。以常见的API交付方式为例,部署API网关进行API发布、订阅、审计等安全措施,日志送安全ERP画像和风险分析。
B、产品组合:外部API网关+OA流程+安全ERP。
场景7:企业数据跨境合规A、方案描述:业务部门提诉求、法务牵头、安全协助。