现在讲数据安全,指的是以数据资产为中心的安全,数据安全被作为一个单独的领域提出来,数据防泄密也通常会纳入到数据安全领域一并考虑。一方面,这个变化和数据安全相关法律法规颁布、国家推动数据资产入库交易、企业数字化和产业互联的快速发展等密切相关;另一方面,也是传统认知误区和偏差的逐步纠正。网络安全、信息安全等认知还是安全防护的视角,并不是企业安全落地的本质。尤其伴随着“数据是价值”、“数据是企业竞争力”、“数据是国家安全的重要组成部分”认知的转变,企业安全落地的本质是为了保障企业价值数据的安全性,发挥数据价值最大化。如下图:
-
业务驱动:科技制造企业同业竞争加剧情况下(内卷),为了保持与竞对的竞争优势,保护技术文档和商业秘密不外泄是企业安全建设的刚需;新能源这类具有原创性技术优势的企业出海,如何保护核心技术掌握在自己手里也是企业安全的第一考虑要素;数字原生或业务高度依赖数字化的企业,每条数据都有定价,数据安全也是刚需;
-
合法合规驱动:满足各行业主管单位的数据安全监管、公司产品和业务运营中满足个保法要求、企业出海如何满足各个国家和地区的数据跨境要求,这些都属于合法合规驱动;
-
事件驱动:近几年大型金融/科技制造等企业出现数据勒索事件、数据跨境被处罚、个人信息非法采集被通报也引起了企业领导层重视,加大了数据安全的资源投入,这些都属于事件驱动。
四、企业如何做好数据安全
笔者跟金融、科技制造、互联网和跨国企业等各行业安全同仁沟通,大家对数据安全如何做好都有很多吐槽点。比如:组织上职责分工不清晰、领导认知还停留在网络安全、缺乏数据安全专业人才、技术与管理脱节、数据资产识别和打标费时费力无法持续、企业跨境数据合规和法律风险难于界定、非结构化数据安全保护与合规难等问题。
下面笔者围绕上面三点考虑,分别阐述数安建设落地的几个要点:
1、数安规划阶段想清楚企业数据安全业务框架,指导数据安全建设有效落地
-
数安组织制度流程和职责分工是企业数据安全建设的基础 -
融入业务又不影响业务的数据安全技术和产品是做好数据安全的关键 -
分场景并选择对公司优先级高的先建立闭环是业务视角讲清楚数据安全项目ROI的更好选择 -
基于平台的数字化运营,实现数据资产识别、数据风险监测、数据流转可视是做好整体数据资产安全的终局 -
定期开展数据安全的稽查工作是做好数据安全的必要一环
2、体系化思维开展数据安全建设是成功的基础
-
组织分工:数据安全是企业业务的一部分,与业务深度融合,需要明确组织责任边界以及具体安全基线要求,为后续工作明确方向,扫清障碍;谁管业务谁负责数据,也是数据安全第一责任人,专业的数安技术团队搭台唱戏,为业务部门提供技术、方案输出;
-
制度流程:与网络安全的制度规范类似,数据安全也要以文件方式明确企业数据安全建设目标、建设领域、建设方式,如:数据安全方针、数据安全组织及分工、数据分级分类、数据生命周期安全保护要求、个人信息保护、数据跨境安全、数据安全事件监测及响应、数据安全风险评估及审计、数据权限及日志规范等;
-
下图网络安全+数据安全的组织架构图,这个图与网络安全的组织架构图稍有变化,原因详见文章《企业安全组织到底有什么用,应该怎么建?》
3、融入业务又不影响业务的数据安全技术/产品是做好数据安全的关键
-
数安技术有好几个维度,比如:数据生命周期(采集、传输、存储、处理、交换、销毁)、数据安全技术(终端设备、应用/平台、数据计算存储设施),以及数据安全场景(普通办公、产品研发、大数据开发、数据跨境、个人信息保护、数据共享、数据交易、行业监管等);
附: 数据生命周期安全要求
-
数据安全场景可以将数据生命周期安全、数安技术分类结合起来,这才是数据安全建设落地的有效方式。其实,大部分数据跨不同场景/安全域,安全等级和保护的措施就不一样,很难按照同一个生命周期的安全要求连贯执行,而在同一个场景下就可以。
4、以投资方式看待企业数据安全建设是安全工作获得认可的重要方法
-
首先整体评估企业数安现状,给出风险及改善报告;可以自己评估也可以引入外部顾问开展初始风险评估;
-
借鉴IPD方式做数据安全的需求调研、数安业务设计、场景立项和子项目分解;
-
发挥安全组织的作用,与业务部门、安委会、公司领导充分沟通,审议对齐数安项目必要性、目标、方案、考核指标和ROI;比如某方面数据被勒索了,公司业务会损失多少,行业类似案例造成了多少损失,我们计划投入多少等;
![关于数据安全建设落地的几点思考]( "关于数据安全建设落地的几点思考")
其实在网络安全建设过程中,安全团队吐槽最多的事情就是公司领导不清楚安全人员的工作和价值,出了问题要背锅,安全投资少问题无法解决等等。
笔者建议,安全团队可以借鉴IPD的方式,在数安规划评审、场景立项、子项目立项等各个阶段,与公司领导/业务领导说反复讲解数安业务架构、考核指标、项目目标、ROI等,让人的大脑在反复刷机中记住这些信息,特别是衡量数安的这种数字指标。
比如:数安考核指标可以从“效果指标+能力指标”两个维度分别去描述公司领导和业务关注点,以及要达到这些点,数安能力建设的指标。举例如下,详情另文再写。
-
效果指标:
-
数安各场景能力指标:产品研发、企业办公、个人信息保护、数据共享、数据交易、行业监管...
5、数据安全建设原则和分场景建设举例
5.1 数据安全建设原则:
-
分场景逐个闭环、核心重要数据场景优先
-
能事前不事后、技术和管理并重(能技术不管理)
-
核心数据不落地、重要数据落地不泄密、泄密有威慑、溯源能举证、合规能自证清白
5.2 数据安全场景划分方式和建设方案举例,安全人员可以根据自己公司所处行业,以及公司实际情况选择数据安全场景建设的优先级。数安场景可以按照如下方式划分:
-
业务视角,每个场景说出来公司领导都能理解,也很关注
-
每个场景边界是相对清晰的,可以独自闭环
-
可以用指标评价,数安的效果和能力容易衡量,比如:目前某场景数安处于什么水平、哪些地方好、哪些地方有问题、后续建设还需要投入多少等
数据安全分场景建设举例如下,不同企业可以根据需要选择建设的优先级:
场景1:产品研发
A、方案描述:调研产品研发部门的业务流程和数据流,梳理出需要保护的核心和重要数据、涉及的部门和人员、业务旅程,再划分安全域,采取数据不落地,落地不泄密(比如云桌面、沙箱,或透明加密),以及DDR审计追踪的多层防泄密方案(如下图),数据出安全域对接数据摆渡系统和OA流程;日志送安全ERP做数据画像和异常分析。
-
端侧一体化轻量agent,按需生长,云桌面+沙箱+DLP灵活组合,平衡安全与效率
-
将终端DLP和WEB数安审计结合起来,实现有端有文件、无端无文件全场景泄密威慑
-
安全ERP+DSPM,策略统一控制、风险统一分析,实现多层数据防泄密的可视可控
B、产品组合:云桌面/透明加密/沙箱+DDR+数据摆渡+OA+安全ERP
场景2:企业办公
A1、普通办公方案描述:员工/外包-应用的访问,事前主要做到权限管控,同时增加事中事后的审计措施,比如WEB应用增加SDP7层访问录屏、隐私/敏感数据识别,并部署终端DDR文件操作审计和追溯产品、手机侧集成SDP的SDK即可;如果提高外包安全要求,可采用沙箱模式;日志送安全ERP做数据画像和异常分析。
B1、产品组合:DDR+SDP7层代理/API网关+沙箱+安全ERP。
A2、IT运维方案描述:人-库的数据访问,梳理云&IDC运维业务旅程,确定DB运维安全基线,部署运维堡垒机、数据库堡垒机、数据库安全审计产品,做到数据库实例和数据操作的权限最小化、登录、操作和SQL内容的异常检测;日志送安全ERP做数据画像和分析研判。
B2、产品组合:数据库堡垒机+数据库审计+沙箱/云桌面+运维堡垒机+安全ERP。
A3、服务间数据调用安全方案描述:APIgateway、数据访问链监测产品DAS可以打印用户-应用-服务-DB,以及服务之间数据调用日志,agent兼容性是一个问题,成功案例不多。
B3、产品组合:内部API网关+DAS+安全ERP。
场景3:大数据/AI开发
A、方案描述:人-库的数据访问,调研大数据开发部门业务,对大数据平台、数据治理、数据开发、报表配置等业务旅程提出数据安全基线要求,比如:平台漏洞管理、数据集市管理(普通和敏感集市隔离)、取数配置、数据打标、认证授权、基于元数据/维度/属性的行列权限管控、数据掩码、操作日志等,并将日志送安全ERP做数据画像和异常分析;大数据开发人员的工作环境可以采取前面提到的多层数据防泄密方案。
B、产品组合:大数据开发平台安全能力+云桌面/沙箱+安全ERP。
场景4:行业合规监管
A、方案描述:从数安组织、制度、数据载体安全(网络安全)、数据资产识别、分级分类、生命周期安全基线、数安技术、数据访问认证/权限、数安模拟攻防结果等方面,并根据不同监管要求,调整检测清单,利用数安稽查评估工具/系统定期开展自查,提交报告,满足监管要求。
B、产品组合:数安稽查评估系统/工具+安全ERP。
场景5:个人信息保护
A、方案描述:参考个保法和APP隐私合规指南,梳理企业APP隐私合规基线(比如禁止采取手机号)和上线流程,联合法务一起,确保对外APP发版的隐私合规。另外,也可以监测APP发布渠道,确保每次发版的APP都满足隐私合规要求。也可以后台收集APP数据采集清单,看是否收集过多的个人数据和开放过大权限,避免自动升级后的合规风险。
B、产品组合:APP隐私合规检测+安全ERP。
场景6:数据共享
A、对外数据共享安全方案描述:梳理对外数据共享设计的单位和数据共享方式,明确数据交付审批流程。以常见的API交付方式为例,部署API网关进行API发布、订阅、审计等安全措施,日志送安全ERP画像和风险分析。
B、产品组合:外部API网关+OA流程+安全ERP。
场景7:企业数据跨境合规
A、方案描述:业务部门提诉求、法务牵头、安全协助。参考中国的《数据出境安全评估办法》、《个人信息出境标准合同备案指南《促进和规范数据跨境流动规定》,以及企业跨境业务所在国家地区的个人信息保护/数据出境合规要求,梳理企业业务上哪些数据需要做跨境合规工作,并确定企业内部的跨境取数流程。有条件的企业,可以基于大数据湖的数据治理模块和数据海关,进行数据跨境的线上审批和可视管理,为业务部门和法务赋能。制造数据跨境常见做法:生产系统本地部署,消费者数据本地处理,员工签署个人数据安全合同;
B、数据跨境的基本要求:根ToC/ToB、国家地区不一样,数据跨境合规的要求也不一样:比如北美、欧洲、印度,不管是ToC/ToB业务都要系统本地部署,个人信息数据采集,传输有严格要求;在美国ToB科技企业的生产数据回传也要经过严格审查;而其他如东南亚国家,就相对宽松一点,可以以新加坡为中转部署系统采集数据,除了个人敏感信息需要特别符合当地要求外,其他都数据走相应的法务评估就可以传输;
C、跨境取数流程:所有数据汇聚到大数据湖,取数申请--需求方领导审批--法务审计--安全人员取数--数据接口推送到API网关--取数;
D、产品组合:大数据平台+数据海关+API安全网关+安全ERP。
场景8:数据交易
数据/价值交易场景主要依赖隐私计算和可信基础设施才能规模化,目前都在探索中。目前场景主要是可用不可见的联邦学习,做到广告精准投放;以及多方安全隐私计算的辅助数据建模(比如贷款信用评估模型)。
另外,大模型数据安全也是一个处于探索阶段的单独场景,比如越狱攻击、prompt注入、成员推理攻击、模型窃取、数据投毒、模型投毒等引发的数据安全等情况。这些探索阶段的场景后面可以另文再写。
附:各场景下的数据安全方案关键点
6、平台是网络安全下半场的终点,也是数据安全建设的起点。
平台是企业安全数字化的关键,下面简单阐述安全平台与数安产品之间的关系:
-
数安产品、DSPM、安全ERP之间的关系:终端设备、应用/平台、数据基础设施三个维度有不同的数据安全产品/技术,每个产品都有自己的管理配置面和日志,可以单独工作;DSPM作为多产品统一策略配置模块(也可以合入安全ERP中),可以统一多产品之间的统一身份认证,以及简化安全人员的操作便利度;安全ERP中的数据安全模块主要提供安全视角下的数据资产管理(静态/动态数据资产发现、分类分级、打标等)、风险监测、安全策略优化和联动,实现数据安全的可视可控。
-
各场景下产品、平台之间的组合关系:为了完成每个场景下数据安全的闭环管理,需要数据安全产品、平台的不同组合方案。比如:IT运维场景的数据安全方案需要用到沙箱+API网关/SDP7层代理+DLP+数据库堡垒机+数据库安全审计+安全ERP,达到重要数据事前隔离管控、访问过程动态调整、数据操作审计留痕、数据风险监测分析和事件调查追踪溯源的效果,这也是零信任思路在数据安全场景的使用体现。
-
数据打标方式:数据打标的作用,一是基于标识做权限管控,二是基于分类和分级标识辅助风险分析研判,三是辅助绘制数据安全地图。为了满足权限管控,需要在DSPM策略控制层面打标,比如DLP、DRM、大数据平台、数据库堡垒机、数据海关等;为了满足数据安全风险分析和绘制数据安全地图,需要在安全ERP的数据资产治理模块中处理。数据分类打标一直是个难题,大模型是一个很好的落地手段,相较于人工,大模型技术可以8-10倍于人力,而且可以持续提升。
附:融合零信任思路的安全平台支撑网络安全与数据安全的数字化实现
五、结语
数据安全虽然是未来方向,但是目前还没有爆发。笔者认为数安市场的爆发跟几个因素相关:一是数据作为生产资料后的商业模式目前还没有形成。比如政府公共数据非常庞大,如果有类似土地开发的商业模式,有专门的数据开发商去开发数据产品在市场上销售流通,数据安全的市场就有了发展的基础;二是数安技术的自主,因为数据一旦被开发成商品,数据安全就成为基础需求,可信设施和隐私计算等数安技术是保障数据流动安全的关键;三是数安合规的要求,这个逻辑就跟网安合规一样。只是数据是业务的一部分,没有技术上的突破,合规监管的真实效果将会大打折扣。
最后说下关于安全行业的悲观与乐观。现在很多行业从业人员认为安全行业已经非常内卷,没有什么可以做的。其实,换个角度,网络安全的上半场已经走的差不多了,现在甲乙双方都在走下半场。但是下半场的路非常艰辛,这是一种变革,思想的变化、工作方式的变化、产品形态变化、能力要求的变化等。笔者相信国内一定会有很多人能突破变革,在网络安全下半场、数据安全、IOT安全走向安全的下一个未来。
全文完。
原文始发于微信公众号(阿肯的不惑之年):关于数据安全建设落地的几点思考
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论