4.2.2 数据资产识别
数据安全风险评估的对象是数据,引入业务的概念是能够为数据建立威胁场景,以便更好的分析数据风险成因及其影响。因此当我们完成业务识别之后,首要的工作就是基于业务精准的识别数据资产,并且将数据资产与业务进行关联。同上,数据资产识别也是我国现行立法要求中的一项基础工作,通过数据资产的识别不仅解决数据安全问题,还可以为数据要素提供重要的依据和支撑,在数据流通活动中,我们可以基于数据资产清单建立良好的策略和标准,从根源上建立合规性数据流通工作,降低流通风险,提高流通效率。
数据资产识别工作主要包括:建立数据资产清单,实施数据分类分级,制定重要数据资产编目。在本手册中,我们把数据资产识别以业务为单元,建立数据分类分级时以字段为单元。具体实施方法参见以下小节。
4.2.2.1 建立数据资产清单
网络数据在整个信息系统的表现形式为库、表、字段、条目四种形态,其中条目是对数据项的具体表达,作为数据集的最小单位不可在细分。在建立数据资产识别时,我们并不会关注条目的内容是什么,但是会考虑条目在表中的表现形式,比如:是否是明文、函数类型以及针对条目的操作能力。由于建立重要数据识别中需要考虑数据的数量和容量,因此针对每个字段中条目的数量应该进行标记;
首先我们必须明确,建立数据资产清单有两种方式,静态资产清单和动态资产清单。在这个过程中,具体实施时存在很大的争议。比如:在建立一次数据查询的时候,程序会在向数据库提交请求时产生一个内存表,在内存表中逐一查找查询内容,并把内容填入内存表,通过内存表向用户返回查询结果,完成本项工作后理论上程序应该删除该表,但是在实际编程时,往往由于多种原因使得这些表被追加在库文件之中,形成新的表单元,这个过程到底是纳入静态数据资产识别还是动态数据资产识别,其实并没有形成一种共识。
以下划分方式是笔者基于自己的经验所形成的一种方法,不代表最佳实践或官方意见:
4.2.2.1.1 静态数据资产识别
静态数据资产识别通常采用访谈、调研表和文档查阅、数据库检查为主。访谈对象:信息科、开发商。调研对象:业务部门
静态数据资产识别最基本的手段通过开发商提供的数据字典,填写标准静态数据资产清单列表。数据字典是描述数据的信息集合,是对系统中使用的所有数据元素的定义的集合。它通常包含以下几个部分:
l数据项数据的最小单位,描述数据的名称、类型、长度、取值范围、默认值等属性。
l数据结构:描述数据的组织方式和关系。
l数据流:描述数据在系统中的流动方向和过程。
l数据存储:描述数据的存储方式和位置。
数据字典的主要用途是在软件分析和设计过程中提供关于数据的详细描述信息,帮助消除开发人员或不同开发小组之间的歧义和交流不畅问题。
理论上整个程序的运行和调度是建立在数据字典基础之上。但是在实际场景中我们发现,由于很多系统的开发并不是完全基于组织愿景建立开发活动,很多系统是在同类软件基础上进行迭代和更新后的封装产品,这使得旧的数据结构依然保留在数据库服务器上。但是这些表本身不会参与组织的实际运行。这种不良好的开发活动,往往会误导自动化数据资产扫描工具。因此,当我们使用自动化扫描工具完成对数据资产识别后,应和数据字典建立比对,未包含在数据字典中的表、字段应和开发商、信息科启动圆桌会议,在会议中实时对比差异,将未参与组织业务的数据表、字段进行筛选,保留实际运行的数据资产;
在识别过程中也会出现另外一种情况,之前描述过,很多时候,开发人员会把一些内存表保存在数据库中,这些表文件也不会被标记在数据字典中,他和前述内容的差别在于前一种情况下,表中的字段容量为空,条目(行)数为空;但后一种情况下,表内会有大量的条目存在;从风险处置的考虑而言,如果这些表仅作为历史记录使用,应迁移到缓存库或历史服务器后,删除生产库中相关内容;如果有业务有关,应考虑其是否为必须功能,如不属于,应删除;如属于应纳入组织数据安全管理规划;
第三种情况是开发商在后端迭代更新数据表后未及时修改数据字典,导致数据字典与生产库不一致的情况下,应现场修订数据字典文件,并进行记录;
接下来的问题是如何建立数据资产登记。数据资产登记笔者编制了两张登记表,登记结构化数据,半结构化和非结构化本文未作讨论。
表十七应明确为调研表,调研表是在整个数据全生命周期中对数据的一个全面调研,本表的一个重要目的是将数据安全工作向全院推动,每个可以操作数据的人员都是数据风险人,每个成员都应该承担基于本职的数据安全工作。表十八为数据资产清单,该表有多种变形。
表十七 数据资产调研表
注:在实际风险评估工作中,如果工作不是由医院院领导直接发起或参与的项目,通常不建议实施该项调研。
由于医院工作的特殊性,几乎每个业务科室都存在“采集”动作,因此对各个业务部门而言,他可能涉及数据的全生命周期过程,这使得医院的医患数据从数据处理流程中存在很多复杂性。毕竟专业的医疗健康专家并不一定能够成为一名合格的计算机操作人员,这导致在整个医患数据处理过程中存在很多不可可预见风险和隐患。因此,本表不做详细描述,仅作为风险评估活动中的一个“彩蛋”。
笔者常用的是表十八来登记数据资产,前文我们说过,本文所描述的数据资产是以业务为单元编制数据资产清单,该表应每业务系统一张。
表十八 数据资产清单
业务名称 |
数据库类型/版本 |
业务部门 |
业务域 |
|||||||||||||||||
开发商 |
开发时间 |
等保级别 |
备份模式 |
|||||||||||||||||
数据库信息 |
数据表信息 |
业务关联信息 |
数据形态信息 |
合规性说明 |
||||||||||||||||
数据库名 |
数据表 |
数据表释义 |
字段名称 |
字段类型 |
字段长度 |
字段释义 |
安全属性要求 |
功能映射 |
角色映射 |
权限映射 |
存储位置 |
临时/永久 |
存储形式 |
算法类型 |
密钥长度 |
|||||
/ |
||||||||||||||||||||
/ |
||||||||||||||||||||
/ |
||||||||||||||||||||
/ |
本表结合数据字典,将整个表例分为数据库信息、数据表信息、业务关联信息、数据形态信息以及合规性说明五类。具体填写要求如下:
原文始发于微信公众号(老烦的草根安全观):医疗行业数据安全风险评估实践指南(4.2)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论