蔚晨,曾任中国光大银行、海航科技集团信息安全专家及安全技术架构师等职务,十余年金融业、铁路交通业、航空业工作经历,一直从事信息安全、数据管理、风险管理等领域,在数据安全领域有深入研究和实施经验,曾多次组织参与银行业数据安全相关制度规范及技术标准的制定和评审工作。
一、数据安全面临的三个问题
金融业数据资产根据其独有的价值,拥有“内部防泄漏、外部防窃取”的内在驱动力,处于容易泄漏和滥用的高风险状态。作为企业的核心资产,如何保障数据资产安全是金融业数据安全管理的核心问题。
传统数据安全依托基础安全防护实现。基于信息系统安全保障模型,从基础设施层面开展,围绕信息系统的生命周期,综合管理、工程、技术和人员等方面的安全保障要求,通过对信息系统的安全保障,保障信息系统中数据资产的安全。金融企业经过多年的信息安全建设,已经形成覆盖多领域的众多基础安全防护系统,如防火墙、入侵检测系统等,为数据安全防控奠定了基础。
图1 信息系统安全保障模型
伴随信息技术的高速发展,安全风险日益变化,单纯从基础安全防护视角出发,只能满足部分数据安全需求,难以应对新型的安全风险,主要有以下几个层面原因:
第一,信息化建设与安全防护是两个相对独立的松耦合过程。数据的生命周期和价值大部分在信息系统中实现,信息系统是保障数据资产安全的第一道防线。然而,信息化建设侧重于信息系统的业务功能和流程实现,聚焦数据的流转与加工,对安全防护的关注有限,仅提供开发视角的安全防护,通过开发规范和安全组件实现。安全防护呈现专业化趋势,针对信息系统面临的风险,使用独立于信息系统的基础安全防护系统提供防护。对于数据资产的保护而言,信息化建设与安全防护没有形成有效合力。
第二,安全风险日益复杂,不同的基础安全防护系统间缺乏应对安全风险的联动机制。当前,多层面的安全风险不断增加,攻击行为呈现分布化、规模化、复杂化等趋势,依靠单一的基础安全防护系统提供防护,难以应对当前安全需求和态势,迫切需要多个基础安全防护系统协同防护才能应对。基础安全防护关注数据在单一场景下的安全,进行专项防护,形成防护孤岛,防护数据难关联,缺乏联动机制。
第三,基础安全防护通过保障信息系统的安全,从而实现信息系统中数据资产的安全,属于间接防护。信息系统处于安全状态时,数据资产仍存在安全风险。内部人员相对外部攻击者更容易接近重要信息系统,内部人员有更大动力或倾向利用合法权限获利。2015年FortScale调查反馈85%的数据泄露来源于内部威胁。针对数据使用场景,内部防控过严,影响业务实现、数据转移和安全防控的效率;内部防控过松,可能产生很多不可知的安全风险。基础安全防护灵活性有限,难以针对内部合规性问题,提供精细化、弹性化的有效防控。
二、数据驱动的安全防控体系
为此,引入数据治理理念来推动数据安全管理成为了一个创新的研究视角,以数据内容为驱动,从业务行为层面开展,围绕重要业务数据的生命周期,对目标数据进行感知、分析、评估和管控,配合、补充基础安全防护,应对数据资产面临的安全风险。
图2 数据驱动的安全防控体系总体架构
数据驱动的安全防控体系,从数据安全防护视角出发,配合、补充基础安全防护,有效应对新型的安全风险,包括以下几个方面:
首先,推动信息化建设与安全防护聚焦。数据是信息化建设与安全防护共同关注的焦点。数据安全防护视角,在基础安全防护的基础上,基于信息系统中数据价值转换过程,跟踪、研判数据的安全状态与流向,识别、应对数据资产的安全风险,实现信息化建设与安全防护的聚焦。在数据资产的保护层面,推动信息化建设与安全防护形成有效合力。
具体而言,数据安全防护在安全风险不可知的情况下,从数据对应的业务行为出发,贯穿数据的产生、存储、传输、使用、销毁等全生命周期过程,发现异常行为对数据的安全状态产生的影响,识别安全风险,进行安全防护。数据安全防护支持安全风险发生时和发生后的防护,还可以在安全风险发生前进行预测和告警,提供主动防护。与此同时,数据安全防护由数据驱动,基于数据的安全状态和流向,支持安全防控效果评价,可以指导基础安全防护的能力建设,促进有限安全资源针对安全风险精准投放,推动安全资源围绕防控效果优化配置。
其次,数据安全防护围绕数据对象,提供应对多层面安全风险的联动机制。数据安全防护关注数据生命周期全过程的安全,通过添加数据标记,对防护数据对象化关联,感知、分析、评估数据安全状态,识别、预测安全风险。根据特定策略,按需匹配单一基础安全防护系统专项防护或多个基础安全防护系统协同防护。
此外,数据安全防护从数据对应的业务行为出发,识别、应对内外安全风险,对数据资产提供直接防护,提升安全防护效果。数据安全防护贯穿数据的产生、传输、存储、使用和销毁等数据生命周期全过程,具有完备的数据驱动下的反馈机制,可以根据防护反馈信息,动态调整防控力度,达到业务实现、数据转移和安全防控效率间的平衡。数据安全防护与业务行为深度融合,针对内部合规性问题,可以提供精细化、弹性化的有效防控。
数据驱动的安全防控体系,依托完善的技术体系与科学的管理体系实现,推动基础安全防护与数据安全防护紧密结合,提升数据资产安全防护的水平与效果。
在技术体系层面,数据驱动的安全防控体系,以数据驱动的方式,针对特定数据对象,提供贯穿数据的产生、传输、存储、使用和销毁等数据生命周期全过程的感知、分析、评估和管控,以指标集、规则集、策略集为支撑,实现数据安全状态可视化、数据安全事件可视化、数据安全管控智能化、数据安全管控智能反馈、数据安全管控智能联动、数据安全态势智能评估。
从数据资产中选取特定的数据作为目标数据,通过标签、日志和其他方式对目标数据标记和识别,感知目标数据的数据安全状态,围绕目标数据进行加工和对象化存储,形成指标集。基于数据标记、指标集和规则集,对目标数据进行跟踪、监测,可以包括目标数据的数据流转、数据状态、数据行为和数据安全事件统计。
基于目标数据的数据安全状态,可以对目标数据进行分析和评估。分析过程,利用数据标记、指标集和规则集,根据数据安全需求,构建针对目标数据的行为模型,从多个因素的关联性视角展开关联分析,辨别正常行为与异常行为,确定业务行为合规性,研判安全风险。评估过程,根据特定规则,加工多个指标生成反映数据安全状态的指数,解读指数在不同区间范围内对应的数据安全状态,做出宏观判断。
利用分析、评估结果,识别、预测安全风险,进行告警。根据特定策略,按需匹配单一基础安全防护系统专项防护或多个基础安全防护系统协同防护。反馈目标数据实施安全管控后的数据安全状态,形成安全防控闭环
二、数据驱动防控体系落地
数据驱动的安全防控体系适用的关键业务场景是在办公环境内使用来自生产环境的重要业务数据。从重要业务数据的产生、传输、存储、使用和销毁等数据生命周期全过程出发,通过感知、分析、评估和管控,对数据资产提供有效保护。
在生产环境出口处通过分类分级方式,对重要业务数据添加数据标记。根据数据标记,对重要业务数据围绕数据生命周期监测跟踪,提供数据流转、数据状态、数据行为和数据安全事件统计。在重要业务数据流转过程中,部署在用户终端、应用系统和基础安全防护系统的数据探针,可以感知、更新重要业务数据的数据安全状态信息,通过权限和流程管理方式,实现生产数据在办公环境安全流转。利用获取的数据安全状态信息,可以对数据行为合规性进行分析与审计,支持对安全威胁进行评估、预测。依据分析评估结果,匹配特定策略,按需使用单一基础安全防护系统专项防护或多个基础安全防护系统协同防护。
任何领域的安全防护,均面临“木桶效应”,短板将成为制约因素,数据安全防护也不例外。单独从技术层面无法确保数据资产的安全,已经成为了业界共识。因此,数据驱动的安全防控体系,不仅拥有完善的技术体系,也具备配套的管理体系。
构建数据驱动的安全防控体系,需要在管理层面进行体系建设:
第一,明确数据安全防控主体权责,确定数据安全防控的管理者、责任者、实施者的身份与权责。
第二,建立数据安全防控管理制度,完整覆盖数据安全防控体系,保证数据安全防控体系顺利运行。数据安全防控管理制度需具备可操作性,应定期审查,依据实施反馈与特定需求予以变更,确保其持续的适宜性。
第三,建立数据安全防控标准规范,确保数据安全防控体系在技术和管理层面有统一、科学、规范的依据,保证数据安全防控顺利开展,推动数据安全防控技术进步,提升数据安全防控实践效果。
第四,构建数据安全防控培训机制,定期组织数据安全防控主体参与培训,提升数据安全防控主体参与数据安全防控过程的能力与水平。
第五,设立数据安全防控考评机制,对数据安全防控主体参与数据安全防控过程进行检查和评定,指导、约束和审计数据安全防控主体行为,促进数据安全防控主体间的联动协作。
数据驱动的安全防控体系,从数据安全防护视角出发,依托完善的技术体系与科学的管理体系,可以更好的提升金融业数据资产的安全防护水平,具有重要研究价值和应用前景。
声明:本文来自安在,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。