作者:北京华隆辰信息技术有限公司 总工 周利斌
数字化转型改变了业务运营方式,其目标是满足业务的快速响应、应变市场变化、达到“以客户为中心”的经营战略或经营策略,通过数据的集中与统一,让数据驱动经营能力,通过技术变革和改进提升管理水平,而正是由于需要通过数据驱动业务,不打破IT和业务之间的隔阂,数字化转型很难推进。另一方面,数字化也在加速进入深水区,包括政府、金融、医疗、教育、交通等行业,数据即将成为各行业生产基本要素之一。
本期,安全内参-CISO社区请到了周总工,由他来介绍工作中的体会。
数字化转型前的网络安全意识提升
公司安全运营团队的建设涉及到方方面面,在启动数字化转型之前,企业管理层及业务部门需要提升网络安全意识,并与信息化及安全部门一起共同提升整体安全水平,保障公司业务发展,这也是践行三同步的有效前提。
首先,安全是保障企业经营能力,是支撑赢利并持续提升的基础工作。数字化转型的今天,很多企业把过去不对外的业务开放对外服务,这些服务中的系统大部分是web应用系统,势必存在安全隐患,比如业务逻辑不合理、自身安全防护不到位、第三方应用插件漏洞等,都可能让企业由于安全问题而受到损害。面对这样的情况,安全运营团队一定要结合自己技术能力和第三方的技术支援,通过检测或技术手段的评测,发现Web应用系统的安全或存在的漏洞。如果同类应用系统已经发生过安全问题,一定要给领导或决策者讲解清楚,请其明白安全与业务指标的直接关联性,了解潜在威胁及相关安全重要性。
其次,依据企业数据的重要程度或者数据的重要性,惩罚力度不同。并结合网络安全法、国家网络空间安全战略、关键信息基础设施保护条例征求意见稿、网络安全等级保护条例征求意见稿及等保标准、行业主管机构等防护的要求,请其企业的决策者明白安全的重要性和突出性,从而说服领导在安全防护方面进行有效地投入和合理的管理。
以医药企业为例,药方的研发成本相当高,以前都是在自己的厂房生产,如今业务发展了,需要到外地甚至到国外生产,药方中的一些关键性数据要出去,一旦药方数据被拿走,企业损失巨大;另一方面,如果企业出国生产,需要遵循GDPR合规性,一旦出现问题,罚款数额巨大,进而导致企业生产及声誉受到严重影响。
以医院的决策者或管理者为例,医院的患者信息或患者患病信息就必须加强安全防护和保障,一旦不慎泄露患者信息,会触碰《网络安全法》,从而受到法律制裁,相信很多管理者会加强数据的安全防护和保障。由于国内信息化发展才20几年,从安全意识的角度来说,很多管理者还没有真正了解数据的安全是什么东东,更不要说数据防护,这就需要安全专家或安全运营者陈述利弊关系以及解决办法,推动决策者或管理者进行安全管理的投入和能力的提升。
以等保标准为例,可能你的生产系统定2级就可以了,但由于你的应用及服务涉及了巨大数量的客户,或者较重要行业,一旦遭受攻击,其社会影响面较大,这就可能升级到3级或者4级,企业管理者就不得不重视了。
再次,对企业的应用系统分类分级,降低实施门槛。对标合规要求中提到的相关类别及条目,哪些是该保护的,哪些是不保护,需要有一个清晰的列表,列表包含内容、内容描述、风险级别、安全漏洞、风险危害程度及后果、改进措施等内容,这样决策者就会考虑如何进行投入和提升企业的安全能力。
最后,结合现状,构建持续性实施方案,分阶段推进。结合企业、应用系统、计算设备、国内外安全政策、安全风险等知识,构建一套完整的解决方案,这样通过方案及预研系统,告知企业安全的重要性和实施必要性,并且需要动态、持续的进行安全防护效能改善(PDCA管理模型)。
数字化转型中的典型数据安全问题
如今由于DevOps、DevSecOps新模型的引入,后端及中台的运营模式都发生了变化,很多原本没有联网的设备进行了联网,很多业务应用系统也都在云端部署,这些部署让安全边界变得模糊,让应用变得集中化,这虽然满足了灵活多变的市场变化,迎合了企业业务的发展,但信息化安全问题也变得日益突出,特别是云端的安全防护手段与传统的安全防护手段和方法发生了变化,过去采用的边界安全管理、防火墙、入侵检测、病毒查杀等手段显得非常力不从心;另一方面由于数据驱动业务,甚至会改变商业模式,从企业数据安全到数据安全治理,不再是一个纯粹的IT项目,需要与业务部门密切协作,梳理业务流程、关键信息流及数据、相关角色及责权关系等。
而数字化转型的核心目标,就是要打通内部系统与外部客户服务的间隔,核心是提高企业的共享、协同、高效的运作机制;过去烟囱式系统,各自独立生产的数据,让管理者难于快速掌控企业全盘经营数据,时常需要通过手工处理(导出、合并、新建、呈现)而形成报表,导致效率低下、数据真实性不高。通过数字化系统的建设,这些烟囱式的系统被一一打通,汇集形成一套真实、有价值的企业经营数据,而正因为其真实性,必须进行安全保护和有效利用,不被不法分子所利用。
面向这些挑战又该如何构建信息安全,保障数字化系统下的数据安全呢?可以从以下几方面考虑:
第一,数据存储安全,面对业务或应用数据的安全,首先考虑这些数据的格式和形态,一般数据会以非格式化或格式化文件存储在计算机的存储介质上,对计算机的或云端节点设备做传统的防护以外,应该对数据进行安全存储和防护,比如
对格式化数据,一般是数据库进行安全防护,采用不同的加密算法对数据库的行或列进行加解密处理,加密处理过程不要影响数据的使用而又能保障数据的安全存储;
针对非格式化数据,则采用对磁盘文件采用文档加密处理办法,对文件实施“看得见、拿不走,依据权限RBAC(即基于角色的权限控制)模型和标签模型,对文件进行细粒度的管控,未获得对应的权限就无法读取文件,离开指定的环境或介质、或应用系统,就无法正常使用文件,从而减少未经授权的操作,比如控制阅读、编辑、打印、拷贝、录屏、拍照(带水印)、邮件转发等操作行为。
另外,需要在数据存储上建设一套容灾或异地备份系统,通过对数据的存储介质做加密处置,保障当地数据损坏之后,在异地可以及时恢复数据使用,但在这些存储和恢复过程中需要采用一定的系统来完成,对于开启数据有密钥、全过程需要具备审计能力,保障数据的启用和恢复是在监控的状态下完成。
第二,数据应用安全,针对数据应用过程,应该采用针对数据操作行为的检测机制,根据数据流向,观察数据应用的安全性和合法性,通过数据采集、数据行为分析、数据模型预测、数据异常行为检测和分析,结合数据应用和使用时间,知晓数据的应用对象、调用应用者、或者角色操作者,从而知晓数据的使用状态或态势;同时通过海量的数据分析和异常行为比对方式,对数据的操作行为进行安全检测和保护,
数据应用还需要结合具体的实际环境,进行安全策略设置和分析,比如一套缴费系统,是哪些应用系统访问哪些数据库,包括访问的频次、访问的字段、访问者、访问时段等,都需要进行逐步分析而获得数据的应用链;或者可以考虑使用特定的系统,这类系统一般实时分析数据的操作行为和操作结果,结合“相似性“原理,进而获得数据的合法使用和非法操作行为,从而保障数据的安全。
第三,特权访问管理,面对企业内部的数据或多应用系统的工作环境,难以避免内部管理人员或运维人员对这些高价值数据产生兴趣,从而尝试获取数据完整链。另外,也正是由于数字化转型后的边界模糊,特权访问控制不再局限于网络内系统和资源,而是应该扩展到基础设施、数据库、网络设备、云环境、大数据项目、DevOps及容器或微服务。
仅以数据库为例,需要采用相应的数据库防护手段,对内部运维或管理员的行为进行限制,比如对于管理员角色,不允许访问一条完整的数据链,必须在几个管理员授权下,才能实施完整获取,这样能够有效减少内部人员的数据窃取。
另外,还需要对数据库的某些敏感字段进行脱敏或动态加密处理,让管理员或非用户无法读取完整信息,比如对系统中电话号码、身份证信息、银行卡号等等信息,进行遮挡、打星号、变化数字等办法,让非法获取的数据不正确或者不可见。总之,对于内部操作人员的数据操作行为实施安全策略设置、监测预警、操作审计等动作,其目标还是为了保护数据的安全。
数字化转型 网络安全管理不能少
企业在安全技术方面的应用越来越多,包括数据泄露、身份冒用、安全边界的模糊化、云平台风险、员工合规、恶意软件、应用漏洞、邮件安全等等,这些问题需要厘清背后的根本原因,并构建有效的管理机制。正所谓“七分技术、三分管理“,技术再好,也是有一个时间周期的有效性,而管理手段是随着时间或环境或空间的变化会采用不同的管理制度或手段,二者相辅相成,进而持续改善企业的安全防护效能。一般采用如下办法:
第一,摸清企业的资产。信息化系统的构建或企业依赖信息化经营或管理的手段,不外乎采用计算机设备、应用系统、人员来完成的,而面对企业的计算机设备、应用系统、人员等要进行清晰的资产梳理,对企业内部存在的资产进行分类、分组、分系统、分角色的管理和梳理,从而知晓企业有那些计算机设备、有那些应用系统、有那些人员参与管理和安全防护,当对这些信息清晰和明确了,然后构成一套完整资产清单列表,从而管理者就可以进行有效地施以管理办法或制度。
第二,建立资产风险评估平台。即对企业内部地所有资产进行分类、分组建立地档案,然后对每一个设备或系统或人员,进行详细地风险评估管理,面对存在地风险或安全隐患,进行逐一处理和修复,然后通过系统地动态监测,实时观察其存在地安全风险或漏洞;而实时监测平台,需要结合威胁情报或厂商地预警或漏洞修复通知,进行实时地预警和修复,同时也要结合自己内部安全人员地经验,对系统地或应用地异常行为进行分析,从而获得异常行为的安全风险等级及应对安全策略。
第三,建立有效地检测管理机制,结合国家安全政策、行业政策、企业安全制度,在满足企业经营的前提下,对自己的系统、设备、人员等进行等级分级,从而形成一套安全风险级别和应对策略机制,为企业的安全经营提供支撑和保障。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。