由安在新媒体联合中国网络安全审查技术与认证中心(CCRC)共同举办的第二届“超级CSO研修班”,于2022年2月27日圆满结营。20位学员历时5个月,完成17节专业课程,经历名企参访、课堂作业、私董会和赛歌会,更交付了20篇毕业论文,最终,都以优异的成绩冲刺达标,获得由CCRC和安在新媒体联合颁发的结业证书。
第二届“超级CSO研修班的学员们分布更加广泛,不仅有银行、证券、保险、运营商、互联网,更涵盖了汽车、快递、快消、咨询、智能制造等多个领域。在导师引领和课程启发下,其所完成的毕业论文,也都极具代表性,是各自相关领域网络安全建设、实践与思考的精华之作。
本着分享交流之精神,我们特别精选几篇,以连载的方式呈现公众。希望借“CSO说安全”,让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。
CSO说安全:浅谈快递企业的数据安全建设
黄福胜
深圳云路安全负责人
随着电商经济爆发式增长,全民进入了快递时代,该快递企业也一直保持着高速增长,因为业务的快速发展,如何快速支撑业务成为首要问题,因此对数据安全的建设考虑并不全面。近年来,该快递企业在持续的业务发展中,数据安全建设的环境也在逐年发生变化:
1、数据成为核心生产要素,数据安全就是生产安全
企业的数字化转型加速,国家十四五规划强调数据要素及安全,企业数据安全保护将有力支持业务发展。
2、个人隐私保护逐渐成为业务支撑的刚需
随着教育及全社会对普通公众的个人隐私保护的培训,公众对个人隐私保护意识的持续加强,隐私保护逐渐成为公众选择企业的关键因素。
3、合规成为数据安全的硬性驱动
全球数十个国家或组织先后制定并实施了一系列数据保护相关的标准和法律法规:
中国-网络安全法/数据安全法/个人信息保护法/网络数据安全管理条例/数据出境安全评估办法(征)
欧盟-GDPR通用数据保护条例
美国-GLBA金融服务现代化/HIPPA健康保险携带和责任法案/COPPA美国儿童网络隐私保护法/CPRA加州隐私权法案
加拿大-GLBA金融服务现代化/HIPPA健康保险携带和责任法案/COPPA美国儿童网络隐私保护法/CPRA加州隐私权法案
印度-个人数据保护法
新加坡-个人数据保护法2017/个人数据保护条例
马来西亚-个人数据保护法
……
4、数据对象保护范围变大,保护边界正在消失,以数据本身作为核心的安全解决方案正变得重要
随着云、大数据、物联网技术的快速发展,数据对象从此前的PC到移动设备到智能终端,这使得传统的基于网络边界安全防护的保护方案正失去作用,如何针对数据本身做更有效的安全解决方案变得越来越重要。
5、数据泄露代价越来越严重
个人隐私和数据安全事件频发,带来严重后果:
(1)数据违规及泄露导致巨额成本
GDPR-最高2000万欧元或全球营业额4%的罚款;
数据安全法-最高1,000万罚款;
个人信息保护法-最高5,000万,或者上一年度营业额5%的罚款;
Ermetic和IDC合作的一项调研显示,在过去18个月中,79%的公司至少经历了一次数据泄露,而43%的公司报告了10次或更多的数据泄露,而数据泄露平均总成本为392万美元,每条丢失记录的平均成本为150美元。
(2)数据违规及泄露将导致业务暂停或整顿,吊销业务许可和执照
数据安全法-停业整顿及吊销执照;
个人信息保护法-暂停业务或停业整顿,吊销业务许可和执照。
(3)数据违规及泄露导致声誉受损、客户信任度下降、损失消费者或员工、被集体诉讼等等。
1、满足业务范围内的安全合规
满足全球快递业务的安全合规,使得全球业务可以持续、稳定及快速发展。
2、保护数据不被泄露
保护客户个人隐私数据、员工个人隐私数据、企业敏感数据不被泄露。其中个人隐私数据主要包括个人姓名、手机号码、个人邮箱、地址、身份证等信息;企业敏感数据主要包括企业财务数据、运营数据、合同及源代码等数据。
3、持续风险监控
可以针对用户风险、数据泄露风险、应用攻击等风险进行风险监控和预警。
4、持续的数据安全运营
1、全球范围的安全合规如何做
各个国家和地区法律法规要求不太一致,使得没有办法梳理出来一个国家的法律法规用来通用;
多样化的跨境业务场景如海外业务场景可能根据需要会开设分公司、办事区或加盟商或合作商等,使得合规变得复杂;
头部电商平台合规要求,如亚马逊等国外大型电商对供应商数据安全考核和评估要求日益严格。
2、无法理清的数据资产及数据
数据资产究竟有多少?
全网到底有那些数据存在?
这些数据都存储在哪些应用?
这些数据在哪些接口上进行传输?
这些数据都存储在哪些数据库中?
3、数据在应用间及接口间如何流转无法知晓
数据进入到应用系统后就变成了黑洞,几乎没有人可以厘清数据如何在接口间流转?如何在应用间流转?
个人隐私数据因其流转无法知晓,在进行数据安全防护,如数据加密时需要耗费大量的人力进行手工梳理,效率极低、容易出错,而且对于快速发展的企业来讲这种梳理维持不到个把月就一切都变了,这简直是一个噩梦。
4、如何统一建立一个多维度/多视角的风险管理地图变得困难
如何将多种维度多种视角的风险同时管理并能进行综合分析是一个较大的挑战。
5、用户行为日志无法自定义采集
为了合规、审计及数据分析使用,对应用户行为的日志记录包括访问的数据需要研发人员进行单独开发才能记录,如果在研发初期没有提出需求,则在后续想要采集这些用户的行为日志就变得特别困难,主要是需要协调研发资源,研发资源及排期都特别困难。
6、数据安全专业人才缺失较为严重
目前企业信息安全配备人员受限,更别提数据安全专业人才的配备了。
7、项目安全建设资金和管理层支持
根据数据安全建设的核心目标及建设的挑战,针对整个数据安全建设设计以下的解决方案:
1、数据安全管理体系
(1)组织建设
根据组织层面实体的管理团队及执行团队,同时考虑虚拟的联动小组,将业务部门、研发部门、HR、IT、法务等部门纳入数据安全组织建设当中。
(2)数据安全策略和制度建设
根据数据合规要求以及数据安全风险评估结果,与信息安全/隐私信息管理体系制度进行整合,建立组织数据安全管理体系框架,形成一整套具备操作性的数据安全制度。
通过数据安全组织明确数据安全政策落实、监督、资源协调等工作职责,确保数据安全管理体系的有效执行。
(3)流程建设
结合组织框架、安全制度要求及合规和风险管理要求,按照实际需求设置符合企业的安全业务流程,使得整个管理体系可以更好的落地运转起来。
2、数据安全技术体系
结合现有的基础安全及部分已经完成的数据安全建设,按照数据安全全生命周期进行梳理后,整个数据安全技术体系进行以下几个阶段的建设规划。
阶段一:逐步建立起基于全网的数据地图系统
数据资产地图系统包括以下具体的内容项:
(1)梳理出全网的数据资产
如应用系统、API接口、数据库系统、文件系统、用户等,形成可视化的资产报告及资产详细列表,并可随业务的扩展持续和动态的进行更新;
(2)识别出数据资产中的数据
识别出基于客户和员工的个人隐私信息,识别企业中的敏感数据,形成敏感数据地图及详细数据列表,并可随业务的扩展持续和动态的进行更新;
(3)对数据进行有效的分类分级
■建立起数据分类分级的标准
分类-依据数据的来源、内容和用途对数据进行分类,分类规则是在一级大类下划分二级子类,然后在二级子类下划分三级子类,如有必要,仍然可在三级子类下划分四级子类,但分类级别最多不超过四级子类。
分级-按照数据敏感程度和影响对数据进行敏感级别划分,数据分成的了4级,L1(等同于绝密)、L2(等同于机密)、L3(等同于内部)、L4(等同于公开)。
■将分类分级标准落地于系统
与数据资产及数据进行实际关联,随着数据资产及数据的新增/变更/更新,数据分类和分级也可自动保持新增/变更和更新。
(4)敏感数据流转溯源和追踪
■基于字段级的数据流转溯源和追踪
可以基于应用接口上任意指定的字段或任意指定的某个数据库下、某个数据表下的某个字段,可以溯源出此字段的数据来源于哪些应用接口和数据库字段,也可继续追踪到此字段的数据继续流转到哪些应用接口和数据库字段上。
■基于应用级的数据流转溯源和追踪
可以基于应用接口上任意指定的字段或任意指定的某个数据库下、某个数据表下的某个字段,溯源出此字段的数据来源于那些应用系统,也可继续追踪到此字段的数据继续流转到哪些应用系统上。
阶段二:敏感数据传输和存储安全防护建设
基于阶段数据地图系统的建设,可以在此基础上更好地进行阶段建设:
(1)敏感数据传输
内容传输通道加密
如对互联网的应用应使用SSL进行加密传输;文件传输使用SFTP进行加密传输等。
接口鉴权
接口鉴权包括Oauth、Token、Cookie-session等方式,一般用于应用系统服务接口调用或公司与外部系统数据交互时进行使用。
Ø网络专线或VPN通道传输。
传输敏感数据的网络线路使用网络专线或使用IPsec VPN或SSL VPN网络进行传输,这种方案一般用于主备数据中心、分公司-总部、合作伙伴-数据中心等,现阶段已经完成,后续新增的按照此方案执行即可。
(2)敏感数据存储
数据存储安全采取的保护策略是敏感数据加密策略,加密存储是数据安全保护的最后一道防线,也是防止拖库等批量泄密的最有效措施。
目前基于敏感数据加密存储有多种解决方案,有基于数据库全库加密方案和字段加密方案的,对比这两种方案及需求(如合规需求,并不需要针对所有数据字段进行加密存储),选择基于字段内容进行加密,基于数据地图系统中的数据流转,可以定位每一种敏感数据字段的源头、所属应用和其数据分布情况,在源头进行此字段的数据加密,后续的调用为加密后的密文,如需使用需要进行解密。
阶段三:敏感数据使用
(1)静态数据脱敏传输
针对开发、测试、培训环境,可以从生产环境导入数据,但针对敏感数据进行脱敏后再导入,此类脱敏只需要保持数据业务属性即可,无需对数据进行可逆操作。
(2)访问控制
针对用户的访问控制,应做到统一账号管理、统一登录认证、统一应用权限管控,应对应用系统进行定级,定级依据为敏感数据标识和数据分类分级,存在数据分级较高数据的应用系统,其访问应采用动态口令(短信或动态令牌)进行认证,或同时使用静态密码+动态口令进行双因素认证。
结合现有的安全运营体系,针对数据安全运营体系,分阶段进行如下的建设。
阶段一:建设可自定义的数据访问行为审计系统
建立一套可自定义用户访问应用和数据库行为的审计系统,以减少对研发同事的负担,并可根据实际需求新增或删除用户对应用系统某个页面或某些数据的访问。
阶段二:建设数据溯源管理系统
可针对疑似泄露数据或确认泄露的数据,建立起针对此数据的溯源系统,将数据输入后,溯源系统可将此数据的流转路径,如从哪个数据库/表/字段调取的数据,经哪些应用和接口被访问,总共有多少用户访问此数据,分别是在什么时间通过什么应用进行的数据访问。
阶段三:建设统一的风险管理平台
建立统一的风险管理平台,将基于用户行为/数据泄露/应用及API接口攻击/数据库等风险行为统一进行管理和预警。
阶段四:风险响应管理
整个数据安全合规建设分为两个阶段走。
阶段一:构建完整的、动态更新的数据合规基线
根据业务覆盖范围,收集业务所在国家或地区的法律法规、国家标准、行业标准、组织政策和战略文件等,针对这些文件进行解读并结合业务梳理企业必须满足的数据安全合规要求,围绕数据生命周期,形成数据合规基线条例,明确数据安全红线要求,在此基础上建立动态更新机制,动态完善合规要求,保证业务满足合规要求。
阶段二:构建自动合规评估系统
这套解决方案的落地不是一个项目或是半年一年的时间就可以完成的,在规划设计时,计划时间为2-3年。
1、从业务支撑出发,完成数据安全管理体系建设并获得领导层支持
因快递业务在海外国家有所涉及,且全球各国及地区或组织针对个人隐私出台了众多的法律法规和标准,因此,以获得ISO27001和ISO27701国际认证支持快递业务在全球更好地开展开始数据安全建设,并最终获得ISO27001和ISO27701双认证,以此完成数据安全管理体系的建设。在组织管理、业务流程和技术等方面建立了有效且可持续运营、符合国际标准的安全风险和隐私信息的管控能力。
2、从业务支撑出发,完成数据安全合规阶段一的建设
合规是业务前行的基石,在获得领导层的支持后,牵头法务部、国外的业务部门及外部商共同进行全球合规项目的建设。
3、从全面了解数据资产开始,构建数据地图,使得数据资产及数据可视化
完成了数据安全技术体系阶段一的建设,具备全网的数据地图系统,拥有数据资产地图、敏感数据地图、数据分类分级地图、数据流转溯源追踪。
4、从行为日志自采集开始,完成数据审计和数据溯源系统的建设
通过引进可自定义用户行为的日志采集和数据审计及溯源系统,完成了数据集安全运营体系中阶段一和阶段二的数据安全项目建设工作。
5、从用户行为和数据风险开始,进行统一的数据风险管理平台建设,实现风险可视化
从基于用户共享账号、飞行账号、用户访问数据行为、接口传输数据行为等开始搭建统一的数据风险管理平台,目前此平台的建设仍在持续进行中。
第二届超级CSO研修班全貌
过程回顾
导师授课
吕一平 黄承 杜跃进 李吉慧 杨哲
学员论文
首届超级CSO研修班全貌
过程回顾
导师授课
学员论文
齐心抗疫 与你同在 
原文始发于微信公众号(安在):CSO说安全 | 黄福胜:浅谈快递企业的数据安全建设
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论