从业务安全看数据安全为什么会失败

一、数据安全的困境

数据安全的威胁来自两个层面，一是由外部或内部威胁利用系统漏洞通过攻击手段突破账号，权限，访问控制的管控，非法获取数据加密数据，造成的数据泄漏的机密性风险和可用性的风险。另一个就是内部威胁利用制度漏洞，管理漏洞，系统漏洞通过合法的账号、权限获取数据导致数据泄漏的机密性风险。

第二个层面的问题由于混杂在正常的作业流程中，监控，预警，审计和溯源都存在一系列困难，更难发现和识别。这也是为什么数据泄漏屡禁不止，内鬼猖獗的关键原因。

网络安全虽然也关注管理漏洞，操作漏洞，但重点仍是在信息系统漏洞本身，如果需要对企业的企业的管理制度，岗位职责，作业流程，作业规范，作业标准充分了解，分析，并可以分析数据安全风险，制定数据安全策略，落实数据安全防范措施的话，对大多数网络安全和数据合规出身的数据安全团队来说，既有业务理解的鸿沟，也有职责和权限不足的制约。

所以，围绕数据安全的风险和策略都是基于网络安全的实践经验和数据安全合规的法律规范要求进行的表面工程和第一层面的安全加固，第二层面从风险分析到安全策略的制定和落实层面均存在空白或不足。

二、安全方法论理念之争

网络安全方法论角度一直有一个自上而下和自下而上的理念之争。

自上而下理论认为，网络信息安全作为企业风险治理关键的一环需要做好责任明确的领导挂帅，由企业负责人以及业务负责人作为网络信息安全的第一责任人，体现重视程度，方便资源调动，有利于跨部门沟通协作，对信息安全工作的落实具有重要意义。至于黑客攻防以及APT防范，仅看到风险的一个侧面和一些点，技术上很嗨，但难以解决全面安全风险治理的问题。

自下而上理论认为，网络信息安全工作的重心在于攻防，针对内外部威胁，系统漏洞开展实质性的分析，防范，建立纵深防御的机制，实现进不来，看不到，拿不走，不可用的目标是网络信息安全工作的关键。至于建立华而不实的组织，流程，制度，审计，不解决安全实际问题，仅可作为免责工具。

当然，数据安全工作与网络信息安全工作的开展在路径和方法论层面上没什么不同，虽然认知上可能存在理念认同之争，但实践工作中还是会从自上而下和自下而上两个方向上开展工作，以面对合规和安全无事故两个目的的实现。有意思的是，在不同企业，可能这两部分职责分属两个部门负责，即使在一个部门，也往往各行其是，难以实现融会贯通。

理论与实践中的争议与脱离，效果上的勉为其难，也难怪这么多企业解散网络信息安全或数据安全团队。

三、业务安全视角看数据安全

第二个层面的问题，即内部作业过程中的数据安全风险如何防范。思考的过程中，发现和一直关注的业务安全中的作业流程梳理密切相关。

当我们完成作业流程的梳理，确定了作业需要用到的敏感数据，确定了敏感数据的来源，以及相关触点，明确了作业过程敏感数据操作的需求，确定了作业过程行为的标准和规则，那么就具备了以业务作业流程为中心的数据安全管控的基础。

而我们发现，如果从作业流程着手来分析数据安全，它既不是一个自上而下的过程，也不是一个自下而上的过程，而是一个从中间往上下影响的过程。

1、作业流程向上会影响公司的制度，流程，系统设计

传统意义上人力资源的管理我们可以从作业流程的角度设计作业需求的岗位职责，我们可以从作业流程的角度为系统的产品设计提供系统的账号，权限，数据结构的设计依据，我们可以检视系统账号、权限的生命周期管理的合理性。除了关注入职的账号和权限分配外，还需要关注离职，转岗等账号权限变更的生命周期过程管理的责任和执行是否到位，制度设计是否涵盖了需求发起，操作执行，以及验证检查，对异常是否有预警，是否可以对记录进行审计和分析。

作业流程为中心的向上覆盖的制度、流程、系统的设计，可以避免流程制度与作业脱钩，责任不明确，系统无关设计影响作业效率带来业务风险的一系列问题。也为数据安全的监控预警策略提供数据基础。

作业流程对业务安全甚至是企业数字化的影响，可以查看我原来写的文章。本文主要针对数据安全的主题开展。

从数据安全的层面来看，以作业流程为中心的制度、流程、系统设计是开展数据安全的基础，用一句研发安全领域的术语来说，安全左移的关键，在于需求和设计阶段的介入。而从我的倒三角理论的观点来看，在账号和权限的管理标准化、规范化对内部数据泄漏的治理来看，是治未病，事半功倍。

2、作业流程向下影响数据安全策略的设计，监控以及安全运营

作业流程的梳理涉及到作业流程执行中的标准化，规范化问题。需要规避执行过程的风险，制度、流程设计是避免已知风险，而执行过程中的监控，分析以及动态调整是发现未知和潜在风险。

作业的环境、网络、终端、行为的统计分析，也对验证作业流程梳理的准确性，全面性，完整性以及随着业务敏捷过程变化中出现的新变化和新需求的适应密切相关。

管理总是把作业流程看作是相对稳定的标准化的过程，但由于作业需求的变化，在作业流程以及作业系统不适应的空窗期，作业人员的实际作业行为会面临变通，调整，和线下的非正式作业。例如，作业过程的复杂，权限不足引起的账号共用；合作伙伴的作业数字化水平不足引起的终端数据处理，传输操作；系统性能满足不了需求的外部能力调用，都会造成作业流程制度流程之外的数据安全风险。这需要作业行为的记录，作业流程的日志挖掘，建立作业流程偏离的监控，预警。及时发现违规作业，避免作业过程引起的数据安全风险，区分内部恶意行为以及作业过程偏离引入的异常行为。

作业过程中对作业环境、网络、系统、终端都会建立行为管控的数据安全控制措施。当数据安全控制措施面对业务作业流程变更和紧急变动的异常时，相关管控措施的特例的记录，变更的需求，以及风险的监控需要同步处理，避免短期策略的长期化，避免安全策略的敞口长期存在而没有补偿的监控预警措施。

3、作业流程设计与作业过程记录是数据安全的基础

因此，作业流程向上引起的作业制度，流程，系统机制的变更，作业流程执行过程中的风险预防措施的设计，部署和变动，以及作业过程的记录和挖掘。是数据安全策略设计的基础，以及数据安全运营分析的数据源。

识别正常的业务操作以及异常的业务操作和非业务操作，是数据安全全面风险管理的基础。非业务操作主要依赖于对系统，网络，环境漏洞的利用和攻击，主要针对内外部威胁的攻防，是网络安全关注的核心。异常业务操作是基于作业流程以及作业过程记录实现的数据安全策略的监控，预警的规则和机制保障，避免内部员工伪装在正常业务过程中的恶意行为，是抓内鬼的关键。

三、业务安全视角数据安全的挑战和机遇

作业流程的梳理和作业过程的记录，监控和预警，面对的安全风险敞口更大，属于倒三角的中间部分。

这个也是和业务过程以及业务管理密切纠集在一起的部分，也是通过历史分析向上影响制度和流程设计向下影响安全策略设计和执行以及为分析提供数据源的基础。

但这也是非常困难的部分，一是对业务部门侵入式的干涉，会对业务运营形成影响，无论业务部门是基于自身利益考虑还是增加工作复杂度的考虑都难以受到业务部门欢迎。二是安全部门对作业过程的理解涉及到业务合理性以及企业文化制度上层建筑的理解，这对攻防技术出身的安全工程师而言也是巨大的挑战。另外，在安全策略依赖外部商业化安全产品支持的前提下，作业流程的标准化以及作业过程的监控，预警，流程挖掘的工具、系统标准化问题也不在网络安全产业的企业关注的标准化产品范围。工具和系统产品化的空隙也难以短期弥补。

工作难以开展首先难在认知，其次难在资源。

认知层面上，我希望我的思路能给大家带来一些启发，最起码认知的改变形成共识可以推动产业的发展。资源层面上，只能寄希望明智的甲方企业重视并投入资源，形成样板。同时，目光长远，真正愿意做事的产业企业，愿意躬身入局，打造通用的产品，改变数据安全产业尴尬的现状。

原文始发于微信公众号（数据安全矩阵）：从业务安全看数据安全为什么会失败