随着全球数字化进程加速,数据成为影响经济发展的关键生产要素。数据安全已关系到经济社会发展的方方面面,成为事关国家安全与经济社会发展的重要组成部分。
随着《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例(征求意见稿)》《数据出境安全评估办法(征求意见稿)》等法规相继发布,不同单位亟需对所辖数据资源落实安全保障机制。
如何体系化开展数据安全建设更是成为相关行业单位的关注重点,下面我们从数据安全场景出发,看下不同群体的数据安全建设需求。
01
“基础务实”的数据安全运营场景
该场景中,大部分单位处于务实建设阶段,旨在打好数据安全建设基础,以《中华人民共和国数据安全法》的相关要求切入,关注数据资产(分级分类)、数据安全风险监测、掌握流转情况。
在数据资产管理方面,主要关注组织在某个时刻全局资产及对应的分级分类情况、在某个周期内数据资产变化情况(如新增字段和已有字段中相关属性内容变化),并对该部分进行跟进,保证风险可控。在数据安全监测方面,旨在对数据资产相关风险进行持续监测并快速处置。因系统与数据间存在着大量的访问调用,运营者希望对应用系统间数据流转情况进行测绘,保证数据流转过程中风险可控。
02
数据安全“协同合规”场景
该场景在电信运营商行业较为常见,该行业数据安全工作起步较早,基础安全保障能力相对健全,并处于数据安全系统化合规落地阶段。主管机构要求不同单位建立各类数据安全台账清单(如分级分类清单、重要数据清单、数据安全策略清单、态势报告、对外API接口清单、设备拨测清单、安全事件清单等)。主管单位定期考核不同单位数据安全工作开展情况,这些清单需要相关单位中不同部门协同梳理完成,借此推动组织内数据安全日常工作开展。
03
掌握全行业数据安全态势场景
该场景在主管单位、监管机构居多,上级单位会定义主管机构关注的数据安全指标,要求下级执行并定期回传,可能涉及部省市三级联动。下级生成的指标包括并不局限于行业数据整体情况(重要数据、分级分类)、行业内部安全态势(数据批量访问操作行为)、数据共享情况(数据出境数量、API接口使用)、敏感数据使用情况等,以此保证行业内数据安全风险可控。
绿盟数据安全运营平台(以下简称:ISOP DS)为体系化数据安全建设提供了新思路,该平台基于IPDRR模型构建,集数据资产管理、数据资产分级分类、数据安全风险监测、API接口安全管理、数据安全流转监控、数据安全合规管理、数据安全策略统一管控为一体的平台产品。
图1 ISOP DS架构
ISOP DS以数据安全合规为目标,以数据资产为核心,汇聚全网数据安全日志数据,内置了多种数据安全场景分析模型,呈现全网数据安全综合态势,基于上传下达通道拉通不同部门参与数据安全工作,提升组织数据安全运营能力。
ISOP DS已经在运营商、金融、能源、政府、交通、企业、科教文卫等多个行业客户现网中进行使用。下面将从以下七个方面对ISOP DS在不同数据安全运营领域的相关实践进行介绍。
图2 ISOP DS的七大实践
01
分级分类数据资源目录构建
ISOP DS内置国家和行业管理机构颁布的数据资产分类分级规范,可以依据不同模板对数据资产进行分类分级匹配。ISOP DS可以对IDR下发分级分类扫描任务,通过扫描方式为数据资产的类别及敏感级别进行打标,同时可对UTS流量探针下发分级分类策略,探针基于流量中还原的文件进行分级分类匹配,并将匹配结果返回平台。
ISOP DS可同时对主被动发现的分级分类资产进行维护,形成重要、核心数据资源目录,运维者进而可对不同级别的数据资产加以不同级别的安全防护措施。
图3 分级分类匹配模板
02
各类数据安全清单输出
ISOP DS可实现API、文件、数据库等多类型数据资产管理,在资产属性方面除通用信息外,加入其特有的数据安全属性标签,如数据库资产会加入字段名、数据资源名称、资源版本、集群信息、存储数据大小、数据特征、数据类型、不同生命周期安全防护措施情况;API资产会加入接口名称、接口类型、应用协议、开放形式、安全措施、合作方信息及保密协议签署情况,以便支撑数据资产精细化运营。
在资产信息库建立后,平台可通过IDR扫描与流量发现识别出新增资产、已有资产内容变化情况,通过稽查入库操作,可形成组织内最新的数据资产底图。平台提供一键导出功能,满足行业主管机构对下属单位数据资产分级分类清单、重要数据清单、核心数据清单定期生成数据安全管理要求。
图4 数据资产地图
03
数据安全流转监控
ISOP DS可以对流转中的数据进行监控,自动化发现并测绘不同级别/类别数据与访问主体、流转途径间的链路视图,并基于该流转链路视图,对高敏感、重要数据传输风险进行针对性聚焦呈现。
图5 流转大屏示意
在数据跨境方面,ISOP DS可以从跨境访问数量、传输数据量、跨境业务系统TOP角度展示本机构与国外的交互行为。
图6 数据跨境监测
04
数据安全威胁监控
依托于在数据安全领域多年的经验积累,ISOP DS可覆盖未报备接口/接口涉敏/接口访问异常、未知资产监测、敏感数据明文传输、4A防绕行、脱敏效果验证等场景化数据安全风险监测场景;事件详情可对事件触发原因进行高亮展示,以便支撑研判。
ISOP DS实现了基于设备与资产绑定权限域的功能,对应事件大屏及页面可以显示资产所属部门及系统;管理员账号可以看到全局的数据安全信息,通过资产组可以筛选关注部门系统对应的数据安全事件;对应子部门系统登录自身账号可以看到自身的数据安全数据,一套平台满足组织内多部门/多系统、总部集团分支单位间数据安全协同运营需求。
图7 事件触发原因与部门归属
05
数据安全协同合规
ISOP DS可定义组织内数据安全合规目标,不同角色登录平台可以查看单位内数据安全建设目标,以便牵引相关数据安全建设。
图8 安全管理目标管理
ISOP DS内置上传下达通道,可以下发分级分类、资产稽核、重要数据资产稽核、对外共享接口稽核、数据安全态势稽核、API资产清单稽核等任务。不同部门负责人在收到任务后,可以执行并分发至对应的负责人,借此拉通不同部门组织在数据安全领域的参与度。
图9 合规模板管理
06
数据安全事件上报
ISOP DS可将上级机构关心的数据安全指标信息通过实时与离线方式上传至对端平台,上报的信息包括本级单位基础信息(编号标识、主体经营信息、企业IP/域名信息)与数据安全业务类数据(数据安全事件、数据安全策略、数据相关基础设施、数据资产分级分类清单、对外API开放等情况),进而完成本行业数据安全相关指标汇聚呈现。
图10 数据安全信息上报
07
更体现工作成果的大屏呈现
ISOP DS相关大屏从整体数据安全态势、数据资产安全情况、数据安全威胁分析角度出发,可真实呈现组织内数据安全领域工作开展成果,便于对外总结汇报。
图11 数据安全综合态势
图12 数据资产态势
