作为数据安全建设的方法论,《数据安全治理白皮书》2.0经全面升级更新后重磅发布。该白皮书由中国网络安全与信息化产业联盟数据安全治理委员会(简称数据安全治理委员会)起草编著,系统探讨国内外数据安全情势与市场趋势、相关标准与框架,并汇集了多个行业标杆数据安全治理实践,可以为政府与企业进行数据安全建设提供整体思考与规划,为数据安全建设的设计与实施者提供具有参考价值的数据安全治理整体方案及案例实践。
《数据安全治理白皮书》2.0版本修订说明
《数据安全治理白皮书》2.0版本中,针对以下内容进行修订完善:
1、增加数据库防勒索技术,针对数据库勒索手段进行分析,同时提出防勒索技术;
2、增加个人信息收集与隐私政策测评报告相关解读;
3、国内外数据安全事件概要更新至2019年;
4、增加数据安全相关法规和标准列表说明;
5、数据安全治理外部所要遵循的策略中增加个人信息安全管理规范、银行业金融机构数据治理指引;
6、附录c数据安全治理实践增加教育部数据安全治理实践、市政务云数据治理实践、国家电网数据安全治理实践三个新的行业实践;
7、附录d国内外重要数据安全事件例举增加万豪集团5亿用户数据或外泄和oracle rushql勒索病毒事件;
8、增加数据透明加密保护技术;
9、增加数据库防勒索技术;
10、全文内容文字和段落结构的优化。
《数据安全治理白皮书》2.0精简版
1、数据安全建设需要系统化建设思路
1.1、数据安全成为安全的核心问题
回看过去二十余年,政府与企业的信息化程度不断加深,it系统的复杂度与开放度随之提升;伴随云计算、大数据、人工智能等新兴技术的飞速发展,数据作为支撑这些前沿技术存在与发展的生产资料,已经成为组织的核心资产,受到前所未有的重视与保护。数据的安全问题将引发企业和社会决策的安全问题。数据的安全问题,已成为企业资产安全性、个人隐私安全性、国家和社会安全的核心问题。
1.2、数据泄露路径多元化
过去几年间,大型数据泄露事件层出不穷,就数据泄露事件分析来看,既有黑客的攻击,更有内部工作人员的信息贩卖、离职员工的信息泄露、第三方外包人员的交易行为、数据共享第三方的数据泄露、开发测试人员的违规等。
这些复杂的泄露途径无一不在证明:传统网络安全中以抵御攻击为中心、以黑客为防御对象的策略和安全体系构建存在重大的安全缺陷,传统网络安全为中心需要向以数据为中心的安全策略转变。
1.3、数据安全相关法规和标准大爆发
安全事件层出不穷,企业资产和国家安全面临挑战,个人隐私大范围泄露,在数据高度发展的时代,这些都为社会的安定、个体自由与安全带来了巨大挑战。因此各国都相继出台了大量的法规,对个人、企业和国家重要数据进行保护。
1.4、数据安全建设需要有系统化思维和建设框架
随着数据安全的重要度提升,用户在这个方向的投资也在增大,据kvb research2017年大数据安全报告预测显示,大数据安全上2017年全球投资达到102亿美金,并且以17%的年复合增长率在扩大,到2023年将达到309亿美金,也就是2000亿人民币。
(kvb research在big data security上的市场预测)
而在我国随着网络安全法的出台,数据资产价值得到确认,政府机构和企业在这个方向的投资也在加大,以数据审计、脱敏和加密为目标的数据安全投资正在成为采购的热点。
数据安全治理的思路将数据安全技术与数据安全管理融合在一起,综合业务、安全、网络等多部门多角色的诉求,总结归纳为系统化的思路和方法。
2、数据安全治理基本理念
关于数据安全治理原则与框架,国际研究机构gartner对此进行专属领域的研究,大型企业microsoft从数据隐私合规角度也曾向市场提出隐私、保密和合规性的数据治理方案。从国际视角对此理解的基础上,我们在中国提出了数据安全治理理念与技术路线,填补了该理念在中国的空白,更有效推动实现该理念在国内的执行落地。
2.1、数据安全治理概述
数据安全治理是以“让数据使用更安全”为目的的安全体系构建的方法论,核心内容包括:
(1)满足数据安全保护(protection)、合规性(compliance)、敏感数据管理(sensitive)三个需求目标;
(2)核心理念包括:分级分类(classfiying)、角色授权(privilege)、场景化安全(scene);
(3)数据安全治理的建设步骤包括:组织构建、资产梳理、策略制定、过程控制、行为稽核和持续改善;
(4)核心实现框架为数据安全人员组织(person)、数据安全使用的策略和流程(policy & process)、数据安全技术支撑(technology)三大部分。
2.2、数据安全治理建设与演进模型
为了有效地实践数据安全治理过程,我们需要一个系统化的过程完成数据安全治理的建设
数据安全治理建设体系
组织构建:在数据安全治理中,首要任务是成立专门的安全治理团队,保证数据安全治理工作能够长期持续的得以执行;
资产梳理:在队伍构建后,重要的是对企业中的数据资产进行盘点;
策略制订:根据梳理的情况,要对数据进行分级分类,要对人员进行角色划分,要对角色对数据使用的场景进行限定,要对这些场景下的安全策略和措施进行规定;
过程控制:不同的角色团队,要在日常的管理、业务执行和运维工作中,将相关的流程规定落地执行,要采用相对应的数据安全支撑工具,在办公和运维的过程中将这些工具进行融入;
行为稽核:要对数据的访问过程进行审计,看在当前的安全策略有效执行的情况下,是否还有潜在的安全风险;
持续改善:对当前的数据资产情况进行进一步的梳理,改组当前的数据安全组织结构,修订当前企业的数据安全策略和规范,持续保证安全策略的落地。
3、数据安全治理的组织建设
数据安全治理首先要成立专门的数据安全治理机构,以明确数据安全治理的政策、落实和监督由谁长期负责,以确保数据安全治理的有效落实。
某运营商的数据安全治理的相关组织和角色结构图
(注:深色是部门,浅色是角色,结构中覆盖了业务、安全、运维和企业的相关管理支撑部门)
4、数据安全治理规范制定
在整个数据安全治理的过程中,最为重要的是实现数据安全策略和流程的制定,在企业或行业内经常被作为《某某数据安全管理规范》进行发布,所有的工作流程和技术支撑都是围绕着此规范来制定和落实。
5、数据安全治理技术支撑框架
5.1、数据安全治理的技术挑战
实施数据安全治理的组织,一般都具有较为发达和完善的信息化水平,数据资产庞大,涉及的数据使用方式多样化,数据使用角色繁杂,数据共享和分析的需求刚性,要满足数据有效使用的同时保证数据使用的安全性,需要极强的技术支撑。
数据安全治理面临数据状况梳理、敏感数据访问与管控、数据治理稽核三大挑战。
当前数据安全治理面临的挑战
5.2、数据安全治理的技术支撑
5.2.1数据资产梳理的技术支撑
数据安全治理,始于数据资产梳理。数据资产梳理是数据库安全治理的基础,通过对数据资产的梳理,可以确定敏感数据在系统内部的分布、确定敏感数据是如何被访问的、确定当前的账号和授权的状况。根据本单位的数据价值和特征,梳理出本单位的核心数据资产,对其分级分类,在此基础之上针对数据的安全管理才能确定更加精细的措施。
(1)静态梳理技术
(2)动态梳理技术
(3)数据状况的可视化呈现技术
(4)数据资产存储系统的安全现状评估
5.2.2数据使用安全控制
数据在使用过程中,按照数据流动性以及使用需求划分,将会面临如下使用场景:
●通过业务系统访问数据
●在数据库运维时调整数据
●开发测试时使用数据
●bi分析时使用数据
●面向外界分发数据
●内部高权限人员使用数据
在数据使用的各个环节中,需要通过技术手段将各个场景下的安全风险有效规避。
5.2.3数据安全审计与稽核
数据的安全审计和稽核机制由四个环节组成,分别是行为审计与分析、权限变化监控、异常行为分析、建立安全基线。
6、数据安全治理的发展展望
gartner预测,到2021年,将有超过30%的企业开始实施执行数据安全治理框架。到2022年,90%的企业战略将明确数据作为关键企业资产,数据分析作为必不可少的能力。30%的cdo(首席数字官)将与cfo(首席财务官)正式对组织的数据资产价值进行评估,以改善数据的管理和收益。超过30%的企业(目前不到5%)将使用其数据资产的财务风险评估来对it、分析、安全和隐私的投资选择进行优先级排序。
数据安全治理产业,大体可以分为大型数据中心用户、安全治理咨询服务商、技术产品 供应商、技术方案提供商;当前在中国这样的产业链环境正在形成,通过这些产业链的构建,将为数据安全治理的落地提供保障。
数据使用带来的财务影响,gartner最新通过信息经济学模型来评估,即财务数据风险评估(findra)模型。信息经济学作为一个重要的工具,可以使安全和风险管理(srm)领导者,首席信息安全官(ciso),首席数据官(cdo)和cio,根据收入机会评估每个数据集。信息经济学模型还允许他们对管理、存储、分析和保护数据的有形和无形成本进行评估。财务数据风险评估(findra)模型如图所示:
财务数据风险评估流程
这意味着需要仔细评估不同金融负债的业务风险,无论是数据货币化产生的短期还是长期影响。该研究将描述如何评估潜在负债的规模并根据影响确定优先级。需要注意的是,财务风险评估是更广泛的数字风险评估视图的一部分。
7、附录
附件a 词汇列表
附件b 国际数据安全治理理论
附件c 数据安全治理实践
附件d 数据安全生态环境
附件e 数据安全成熟度模型
附件f 数据安全治理重要相关技术
扫描二维码
获取白皮书完整版
试用申请