薛勇:《数据安全能力成熟度模型(DSMM)》及其实践指南核心

  • A+
所属分类:安全文章

近期,我们邀请资深安全专家在“金融业企业安全建设实践”微信群、实践2群、读者群,进行在线直播分享系列。本期我们邀请到的嘉宾薛勇。如需查阅更多嘉宾分享,请关注本公众号。

提示:本文有5892字,阅读大概需要20分钟。


【分享议题】《数据安全能力成熟度模型(DSMM)》及其实践指南核心

【分享嘉宾】薛勇

【嘉宾简介】薛勇,现哈啰出行数据安全和合规负责人。7年大数据安全能力建设、数据治理以及10年以上互联网研发过程改进经验,曾任职于阿里巴巴和腾讯;国家标准《信息安全技术 数据安全能力成熟度模型》(简称“DSMM”)及其配套文档《数据安全能力建设实施指南V1.0》的核心编写者,为组织的数据安全能力建设和成熟度级测评提供了实践参考。

【活动时间】4月9日周四晚上19:00-20:00,60分钟。

【活动形式】嘉宾通过文字形式,在“金融业企业安全建设实践”微信群内就“DSMM”话题直播分享(约40分钟),之后是互动提问和回答,约20分钟。

请大家安排好时间,准备好问题,积极参与。


----------------------------------------------


下是实录:


大家好,感谢君哥邀请。今天和大家分享下DSMM的内容,第一次通过这种形式分享,可能会有些不到位的地方,还请大家多指教,过程中有任何疑问和说得不对的,欢迎大家随时提出讨论,感谢大家!

我分享的时间40min左右,主要内容:
1DSMM的产生背景及价值
2DSMM的核心内容
3、目前我参会与或经历的一些实践
 
DSMM的产生背景及价值
 
阿里的数据安全其实一直都在做,最初跟很多发展企业是一样的,各种制度体系,规范,工具技术都有,零零散散的在各业务部门分头进行,比如账号和权限管理,元数据管理,数据加密和脱敏等等,基本上是跟业务一起成长的。

集团有安全部,但重心是在业务安全和基础安全,业务安全比如打假,薅羊毛等;基础安全就是我们理解的传统技术安全,如网络、应用等。这两大块安全发展已经很成熟了,大概是2013年开始模糊印象,随着DT及大数据概念盛行起来,数据安全才才作为一个独立的团队存在,与业务安全和基础安全团队并行。

一开始,数据安全团队也是摸索进行的,但站在集团的层面,主要在梳理和思考一下问题:


后续这个系统化的数据安全能力建设,基本上是围绕这些问题和思路来开展的。

并非从0开始,其实基本上整个阿里集团已经有非常扎实的能力基础了。数据安全团队的成员也基本上是运营岗位为主,附加少数做日志和数据分析,及很少几个做监控平台开发的,比如:

  • 负策略和方案的
  • 负责安全审计的
  • 负责运营的
  • 负责安全品牌和文化的

后来因为我们发现虽然同一个集团下,不同业务部门或子公司的数据安全能力水平和实践还是有很多差异,我们就考虑把做得好的实践梳理和沉淀出来,在全集团全面推广,以保证统一的能力水平,子公司之间相互贯通。

然后就开始围绕数据生命周期来总结实践了,这就是DSMM的前身。

大概2015年,杜博杜跃进)加入阿里,他发现我们沉淀的这套实践非常有价值,不能仅在阿里集团内部推广,还要走出去,影响行业,甚至反向推动国家立法和行业标准的建立。

而且当时业界的确也没有一套针对数据安全全生命周期的标准和实践参考。于是我们就把这做大了。后来就是电子四院来牵头立项做标准了。我们是主导编写方。

以上背景介绍耗时有点长,是我现打字的,接下来会快些,都是现成资料。

DSMM的核心内容

这是DSMM作为标准立项资料介绍:




以上几张图是DSMM最核心的内容,其中安全域的个数一直有变动,当前正式发布的版本好像是26个。


每个安全域(PA)都从制度规范、技术工具、组织建设和人员能力这4个能力维度去开展工作,30个安全域其实基本上把传统的网络安全和应用安全等囊括了。所以数据安全并不是一个全新的领域,视角不同而已。

好,这个体系前后经过差不多3年多的反复修改,评审,最终才在2019年年中才正式颁布,20203月正式实施。

甚至把数据质量也囊括进去。主要考虑是:数据安全保护的对象是有价值的数据,而有价值的前提是数据质量要有保证,所以必须要有数据质量 相关的管理体系。本安全域设置目是保证对数据采集过程中收集和产生的数据的准确性、一致性和完整性。

DSMM的推出在业界还是有些意义的,尽管它还有很多不足
薛勇

比如填补业界数据安全标准和实践空白(指的是GB形式),可能推动国家立法、数据安全培训和咨询、认证评测、安全厂商等一些列产业的发展。

当时阿里为了验证这个标准的可行性,在10几个行业先后30多家企业,以咨询和评估的方式去试行,也不断反哺修改标准。

发现了几个大问题:
1DSMM的文字描述专业术语太多,和组织的实际情况很难对应得上,所以大家不知道在自己组织里该怎么去实践。
 
2、这个标准没上位法的支撑,也没有国字号的测评机构,不像等保那样有公安主推,直到现在都这个DSMM怎么去推广,都是搁置在那里的。

针对2,情况很复杂,我就不说了。

针对1,我们自己很早就发现,出于当时人力情况,就我个人在搞。

所以我牵头组织编写了份如何进行数据安全能力建设的实施指南:《数据安全能力建设实施指南》

(公众号无法上传文件,链接:https://pan.baidu.com/s/15V7uSS3ft2r3CnzVzhosYg  密码:38jc)

本指南依据《信息安全技术 数据安全能力成熟度模型》(简称DSMM)制定,以数据为核心,重点围 绕数据生命周期,从组织建设、制度流程、技术工具和人员能力等四个方面,提供数据安全能力建设的具 体实施指南,为组织数据安全能力建设提供参考。

规划输出系列版本,这次版本以数据安全能力成熟度三级为目标,即如何达到DSMM规定的充分定义 (三级),后续升级版再陆续补充其他级别的指南内容。

这个很多朋友应该通过各种渠道已经有了,我们在20189月底对外正式发布过,指南具体内容我这里不细讲,定位就是对DSMM做细化和补充,以方便大家如何去实施。所以指南里会有标准解读、样例参考等。


 
但这是规划的第一版指南,行业太多 ,基本上只能照顾到一些典型行业,比如互联网,部分金融行业。这是需要不断迭代完善的。

尤其金融行业,这个和君哥的书差太远了,还是推荐大家读君哥那个。
 
我当时的规划是,想联合各行各业的真正一线做数据安全能力建设的专家,分行业编写不同的指南。

虽然离开阿里了,但这个规划和理想还在。哈哈。

目前我参会与或经历的一些实践

这个还是以后单独找个机会面对面分享吧,尤其我来了哈啰后,还有很多新的收获。

我之所以离开阿里,不继续往DSMM这条路走,我是发现太务虚了点,还是要回到实践中,跟业务捆绑在一起。所以选择一个发展中的企业,不断磨练和沉淀。
 
好了,我超时了,抱歉,只能先概要的分享这些。



提问环节


Q:薛总好,请教一个问题,是怎么处理数据加密存储和业务性能矛盾体的。
A:我的观点,一定要业务导向,在满足合规这个底线基础上,内部数据流通能简则简。

--------------------------------------------------------------------

Q:勇哥 辛苦了!请教下,在阿里大厂内部对数据的采集是否有比较高效的方法?如何保证数据的准确性和采集覆盖面?
A:当时我是做了一年的数据质量治理。采集这个环节,主要是对数据及指标定义要清楚,落到数据库有两种校验方式:根据业务逻辑,根据数据规范。到数据规范,那确实是一个非常重要的基础。 不过光讲制度规范也不行,还得有枪支弹药和抓手,就是工具。

--------------------------------------------------------------------

Q:数据质量的保证这个过程是怎么样的?
A:具体参考《指南》里数据质量这个安全域:




--------------------------------------------------------------------

Q:勇哥,请教两个问题。
1、数据资产梳理这块针对这么多的业务数据是怎么去梳理并且做好分类分级的?有实践的方案可以借鉴吗?
2、DSMM第四级量化级这块,各家公司量化的指标是差不多的还是因地制宜的?
A:1、分类分级是基础,先摸清楚组织的业务和管理都产生和采集什么数据,数据分布在哪里,具体怎么分类这个可以自己定义。公司层面出整体分类和分级规则,各业务部门要细化自己部门的分类和分级。
2DSMM四级,目前应该还没组织达到,有也只可能在成熟的金融行业。阿里自评是三级。

--------------------------------------------------------------------

Q:薛总好,请问在数据采集阶段,公司有不同的业务部门,在不了解某些部门核心或需保护的情况下,如何去收集梳理数剧进行分级分类 。
A:必须要先熟悉业务的,梳理数据资产过程,就是熟悉业务及各部门管理需要的过程。

--------------------------------------------------------------------

Q:数据权限管理的思路能大概介绍一下吗?大体量的公司,怎么做到权限不滥用,权限使用合理的 ?
A:目前DSMM里提到三级水平的组织,都是统一账号管理和统一权限管理的。
比如,每个员工就1个账号,访问内部所有系统,不要各个系统和平台单独建自己的账号体系。以方便员工或账号有任何异常,可以做到一键关停。而且员工体验上也好些,干嘛要管理那么多账号呢。统一权限管理也一样,权限的合理设计是需要系统化的,或粗或细,都要统筹。上面做好了,权限的滥用就有日志监控了,这个需要规则和一些模型的。

--------------------------------------------------------------------


Q:想了解一下,在数据资产梳理过程中,如何去确认血缘关系的。尤其在大数据环境,有些表字段牵涉多个上游和很多层级的下游调用
A:这是大数据团队的基本工作,数据治理部分。元数据管理系统meta上,建表的时候就有上下游依赖关系的啊。

--------------------------------------------------------------------

Q:在一个单位里边,要想实践下去,您觉得需要先做好哪些前期准备工作?
A:组织建设:高层建筑,把老板搞定,让他认识到安全工作的重要性,无论如何,先拉个高层来站台。

--------------------------------------------------------------------

Q:薛总好,这套DSMM,在中小企业适用吗?您对中小企业数据安全有什么好的建议?谢谢!
A:我们当时定位,全行业适用。安全尤其数据安全,不是一家公司独善其身就可以的。要上下链路齐头并进。只不过不同组织 ,根据业务发展需要逐级进阶建设,先二级,再三、四、五级。

--------------------------------------------------------------------


Q:薛总,想问下业内有没有什么好的数据定位的可视化产品?就是数据存储,数据传输,数据交换的一个动态展示,主要是存储,像地图一样对数据定位
A:动态展示没做过。但之前我们做过数据链路的风险大图,把每个环节的数据外泄、窃取、滥用风险标出来,围绕这些风险开展一些列安全措施。这个大图每周更新向老板及各部门owner汇报。

--------------------------------------------------------------------

Q:薛总好,想问下“先二级”(计划跟踪)能达到怎样效果,或者如何向上层领导证明这块的突出价值。如果短期如半年一年要有明显效果,安全岗也一直是一个人,该如何推进
A:二级,基本上是组织有计划和规划去开展安全工作了,1个人太难了。

我的建议是正反两个维度都要做:

正:借助监管合规和业界实践,不段给老板洗脑;

反:识别和暴露风险及问题,让老板知道痛


--------------------------------------------------------------------

Q:数据链路的风险大图是基于全部数据资产的嘛?
A:至少是敏感和重要数据资产

--------------------------------------------------------------------

Q:薛总好,请问当初设计DSMM时,DSMM和CMMI的基础方法论有什么异同?谢谢
A:就是借鉴CMMI思想



 

讨论环节


群友:其中互联网行业 个人信息为核心的大数据 可参照 电信大数据分类分级指南,证券期货行业 关于个人信息的 分类方法 参照 金融个人信息规范C1 2 3
带有互联网属性的金融企业  可将 个人信息部分 分为 投资者管理 用户信息管理 两部分,再与C123 对照融合。
薛勇总:个人信息这部分,其实没什么再细分的了。

我分享下我现在的一些分类:
业务类明细数据
指用户使用业务/产品产生的所有原始信息,包括但不限于:用户个人基本信息、订单明细、地理位置、出行轨迹、浏览记录等数据,一般从数据库(Hive)或数据报表平台(DataboxDatacloud)等渠道获取。
业务汇总统计数据
指在业务明细数据基础上归类、汇总、聚合、转换及分析后的结果数据,包括但不限于:业务指标(如营收/用户量/日活/月活等)、用户画像、车辆数、车辆投放区域等。
公司经营管理类数据
指公司经营管理产生的数据,包括但不限于:车辆资产、办公资产(软硬件)、财务、生产、采购、软硬件研发、项目管理、技术运维、人事、审计、战略规划、营销规划等相关数据或信息。
阿里的数据分类分级很简单:
公司数据、业务数据、客户数据,其实有交叉。分级么就是L1-L4,从低到高,简单有简单的好处,这个适用于公司层面指导原则。要细致,最好是各部门自己自定义。

---------------------------------------
《企业安全建设指南:金融行业安全架构与技术实践》购买链接,支持作者。

----------------------------------------
企业安全建设,离不开“守望相助”。金融业企业安全建设微信群,入群方式:请加以下微信为好友,备注:姓名-公司-负责领域。销售从业人员暂时不邀请入群,不保证每位申请者入群,敬请谅解。

扫一扫,加入企业安全建设实践群

未能加入“企业安全建设实践群”的朋友,可以加入知识星球,查阅每周实践群讨论话题和发言记录。

知识星球:金融企业安全建设实践
 
附注:
  • 聂君,信息安全从业人员,十余年金融行业信息安全从业经历,默默无闻。好读书,不求甚解。性格开朗,爱好足球。
  • 本订阅号文章是个人对工作生活的一些体验和经历分享,站在不同角度和立场解读会有偏差,见仁见智,不求正确统一,但求真、善、美。

右下角点个在看,也是支持

发表评论