✦
✦
前 言
✦
2025年1月1日,《网络数据安全管理条例》(以下简称“《条例》”)将正式实施,网络数据处理活动即将迎来监管新高度。在此前针对《条例》的解读中,我们已经分析了合规的要点方向(点击此处可查看详情)。
本篇,我们从理论走向实践,提出并详解威努特数据安全防护建设实践及一站式解决方案,为企业提供具有落地性的合规实施指南。
✦
✦
技术方案设计
✦
Part.1
数据安全管理体系设计
数据安全管理体系是技术体系真正有效发挥保护作用的重要保障,管理体系的设计立足于总体数据安全策略,并与安全技术体系相互配合,提高技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷。
制度标准建设
数据安全体系运营离不开组织的支撑、流程制度的规范和人员具备的能力,因此需要建立数据安全的管理体系,从组织建设、制度建设和人员能力提升上开展相关工作,保障数据安全体系长期、稳定、高效运行。
为实现数据资产可视、敏感数据可知、数据风险可查,从业务、合规和风险角度出发,提供数据资产安全管理服务能力。
1. 数据安全组织建设
数据安全组织管理是落实数据安全保障工作的首要环节。
通过建立覆盖全局的数据安全管理组织架构,确保全局数据安全管理方针、策略、制度规范的统一制定和有效实施。
通过进一步完善各级部门的数据安全管理组织,建立“管用审”分离的数据安全岗位职责,明确分工,加强沟通协作,落实安全责任,把握每一个数据流通环节的管理要求,以完整而规范的组织体系架构保障数据流通每个环节的安全管理工作。
通过扩大数据安全管理人才队伍规模,培养具备一定安全技能的数据安全人才梯队队伍,切实建立保障安全运行、协同安全响应、监督指导安全工作的数据安全管理队伍。
数据安全管理组织架构设计:
决策层
决策层是数据安全管理工作的决策机构,建议成立数据安全管理领导小组,由各相关部门领导组成。
管理层
管理层是数据安全组织机构的第二层,基于组织决策层给出的策略,对数据安全实际工作制定详细方案,做好业务发展与数据安全之间的平衡。该层建议安全管理部门相关人员组成。
执行层
执行层与管理层是紧密配合的关系,其职责主要聚焦每一个数据安全场景,对设定的流程进行逐个实现。该层建议由各安全专员组成。
员工和合作伙伴
范围包括组织内部人员和有合作的第三方的人员,须遵守并执行组织内对数据安全的要求,特别是共享敏感数据的第三方,从协议、办公环境、技术工具方面等做好约束和管理。
监督层
数据安全监督层负责定期监督审核管理小组、执行小组,员工和合作伙伴对数据安全政策和管理要求的执行情况,并且向决策层进行汇报,监督层人员必须具备独立性,不能与其他管理小组、执行小组等人员共同兼任,建议由组织内部的监管审计部门担任。
数据安全管理组织架构发布
数据安全管理组织的层次、人员构成和职责将形成数据安全管理办法或相关管理制度初稿,交数据安全管理领导小组评审,最终由数据安全管理领导小组以制度或办法的形式发布。
2. 数据安全分类分级
数据安全分类分级是进行数据安全全生命周期防护工作的前提条件,对数据进行安全分类、安全分级,针对不同级别的数据进行对应的安全防护是数据安全的重中之重,采用服务+技术手段的方式,将分类分级实施落地。
制定标准
根据业务数据来源的属性识别适用的法律法规和行业标准。通过人工调研、业务访谈、机器学习、标准导入、业务流数据抓取、数据库主动发现、文本识别等技术,提取数据文件核心信息,对数据按照内容进行梳理,生成标注样本,经过反复的样本训练与模型修正,可以实现对数据精准的分级分类。
资产梳理
依托于数据安全梳理分级分类工具,通过设置数据资产重要度的规则,辅助咨询服务快速发现数据资产分布情况,定位敏感核心数据分布情况,提升数据资产分级分类效率及准确度。
安全防护策略
根据数据分级的结果,对数据应用场景包含业务流程或使用流程、相关数据活动、参与主体进行分析,结合数据的级别,通过参照企业数据安全管理需求,从数据存储、数据访问、数据共享、数据审计等场景制定适合企业的数据安全防护策略方案,为数据安全防护提供依据支撑。
3. 数据安全制度建设
数据安全管理制度与规程是数据安全保障工作的制度保障,在实际业务的各个环节中明确具体的安全管理方式和方法,以规范化的流程指导数据安全管理工作的具体落实,避免了实际业务流程中“无规可依”的场景,是数据安全管理工作实际操作中的办事规程和行动准则。依据国家信息安全保障的相关政策法规以及数据安全管理的规章制度和标准规范,指导各部门在已有的信息安全管理体系的基础上,建立符合数据共享开放业务发展,基于风险管控的数据安全管理及内控体系,在发展中提高数据安全风险管理能力。
数据安全制度规程应该从通用数据安全、数据全生命周期安全、数据各应用场景安全出发,覆盖业务管理和技术管理两大维度,重点加强数据资产管理、用户访问权限管理、数据共享管理、外包服务管理、监测预警与应急响应管理、日志与审计管理、数据备份与恢复管理等相关要求的制定和落实。
结合业务需求、合规要求、数据资产现状和风险,从组织层面整体考虑,设计数据安全管理制度,为数据安全基础管理、数据安全全生命周期管理提供规范依据。
制度层级
制度流程需要从组织层面整体考虑和设计,并形成体系框架。制度体系需要分层,层与层之间,同一层不同模块之间需要有关联逻辑,在内容上不能重复或矛盾。
一级文件:方针和总纲是面向组织层面数据安全管理的顶层方针、策略、基本原则和总的管理要求等。
二级文件:数据安全管理制度和办法,是指数据安全通用和各生命周期阶段中某个安全域或多个安全域的规章制度要求。
三级文件:数据安全各生命周期及具体某个安全域的操作流程、规范,及相应的作业指导书或指南,配套模板文件等。
四级文件:执行数据安全管理制度产生的相应计划、表格、报告、各种运行/检查记录、日志文件等,如果实现自动化,大部分可通过技术工具收集到,形成相应的量化分析结果,也是数据的一部分。
管理制度
序号 | 标准规范 |
1 | 《数据安全管理办法》 |
2 | 《数据安全分级分类管理办法》 |
3 | 《数据安全全生命周期管理制度》 |
4 | 《数据安全分级分类操作指南》 |
5 | 《数据资产安全管理规范》 |
6 | 《数据运营安全管理规范》 |
7 | 《数据安全角色管理规范》 |
8 | 《数据安全权限管理规范》 |
9 | 《数据安全运维管理制度》 |
10 | 《数据销毁管理制度》 |
11 | 《数据灾备恢复制度》 |
12 | 《数据安全应急管理制度》 |
13 | 《数据安全审计日志规范》 |
14 | 《数据安全加密规范》 |
15 | 《数据安全脱敏规范》 |
16 | 《数据开发访问敏感数据安全规范》 |
17 | 《数据治理涉及敏感数据安全规范》 |
18 | 《应用系统访问数据安全管理规范》 |
19 | 更多... |
4. 数据安全测评
建立数据安全应急响应机制,定期开展数据安全巡检以及人员培训,从综合测评角度,系统地分析和诊断数据所面临的威胁及其存在的脆弱性。依据《企业数据安全防护要求(草案)》《数据安全评估指南》开展数据安全防护能力自评估,或委托第三方机构开展数据安全测评,评估数据安全防护水平达到的等级,并予以改善。
Part.2
数据安全运营体系设计
在基础环境防护完成以及管理体系建立后,需要对整体环境安全和数据安全的健康指数进行运营管理,打造一个全局视角的数据安全运营中心,通过安全运营中心的建设可切实提高对环境和数据的安全感知能力,有效提升威胁事件的响应处置效率。数据安全运营体系架构图如下:
安全运营中心设计
通过数据安全运营中心的建设可切实提高用户对数据和环境的安全感知能力,将该安全运营中心的数据安全数据、环境风险等数据对接发送到展示平台进行统一展示,有效提高单位的指挥调度及响应处置效率。
1. 部署数据安全统一管理平台
打造一个集中式、全周期的具有全局视角的数据安全统一管理平台,以全局视角展示数据全生命周期状态,包括数据画像、数据流向、数据风险、数据溯源等维度的汇总分析,实时推送数据安全报警,及时发现风险并给出解决建议。
1) 在数据安全运营中心部署数据安全统一管理平台:以数据的全局视角将所有数据全生命周期的状态进行展示,包括数据画像、数据流向、数据风险、数据溯源等维度,从而及时重要及核心数据可能存在的风险并给出相应的解决建议。
2)在数据安全统一安全管理平台开启零信任及微隔离模块:在用户登录零信任系统后,威努特数据安全统一管理平台会通过持续的终端安全信息感知能力、用户网络访问行为分析能力,对用户持续的评估。管理员可通过配置指定的安全策略以响应指定类型的风险事件,系统将根据安全策略对风险事件进行自动处理;微隔离模块支持个人空间和安全工作空间的网络隔离,限制安全工作空间的访问行为仅能访问安全工作空间下的授权应用。同时对个人空间能访问的网络进行限制,对安全工作空间里面运行的程序进行管控,限制能在安全工作空间中运行指定允许的程序,将个人空间的程序拖拽到安全工作空间进行使用。在外设管控方面,支持U盘、移动硬盘接入后在安全工作空间不可见,支持在安全工作空间中是否允许使用打印机进行管控。
3)在数据安全统一安全管理平台开启数据动态脱敏模块:对于敏感数据,如果需要对外提供则应先进行脱敏处理,同时在数据对外提供前添加相应的水印,防止数据非法外泄的情况,同时通过数据水印可以进行溯源追责。
4)在数据安全统一安全管理平台开启数据库安全模块:基于零信任理念架构研发设计,帮助用户实现统一安全访问,该系统参考软件定义边界(SDP)网络安全模型,结合数据库访问技术,实现数据库隐身保护、敏感数据加密存储及指令级访问控制的新一代、多位一体数据库保护。同时支持多种加密算法(含国密)对敏感数据加密,以满足等保、密改等合规性要求,以及政企单位数据保护业务需求。在此基础上,增加独立于数据库的访问授权机制,任何访问被加密数据的人或应用事先必须经过授权,拥有合法访问权限才能访问加密数据,非授权用户无法访问加密数据,有效防止管理员越权访问及黑客拖库。
数据安全风险评估
数据安全风险评估包含数据生命周期风险评估、数据安全合规评估、个人信息影响评估、APP信息安全评估,重点评估对象包括但不限于企业业务系统等。
数据生命周期风险评估
数据生命周期风险评估服务主要是依据国家、行业等有关数据安全技术与管理标准,从风险管理的角度,对数据资产的重要程度进行分析,确定重点评估对象,识别评估对象所涉及的各类应用场景,评估数据资产在各应用场景面临的威胁及威胁利用脆弱性导致的安全事件的可能性,分析计算数据资产的风险值,并结合组织实际情况,给出合理化数据资产风险处置建议。
通过开展数据生命周期风险评估,可摸清数据资产在各应用场景的风险,有效开展数据安全防护,以规避数据安全风险。
数据安全合规风险评估
数据安全合规评估服务主要是依据《网络安全法》《条例》等法律法规要求,结合企业具体情况,评估各项指标是否满足法律法规合规要求,对评估的问题进行分析,提出合理化整改建议;并可根据企业实际情况,跟踪整改落实情况。
通过开展数据安全合规风险评估,可理清数据安全合规差距,针对不满足项及时整改,以满足监管要求。
数据安全日常运营
对现有业务数据及在服务器内持续增加的数据提供数据安全加固服务,确保数据的日常正常运营,提高信息系统的安全性,保障业务的业务连续性,避免造成损失或负面影响。
数据权限管理
对使用现有数据平台的人员权限进行梳理,按照“最小权限”原则对数据权限进行管理,管理内容包括:
对数据权限根据数据风险程度进行定级,定义出敏感数据权限。
对敏感数据权限需在经过相关审批流程后设置。
所有的数据权限设置必须具有记录留存并归档。
敏感接口审查和确认
管理人员对数据风控产品发现的接口,从合理性和必要性的角度对所有敏感数据接口进行人工审查,并与应用系统服务商的开发人员确认每一个敏感接口,对于发现的违规敏感数据接口,通知应用开发商进行敏感数据去标识化等处理;以及对于可能发现的后门接口提供预警和处理。
日常监控巡检服务
安全相关产品运行情况日常监控及定期巡检。
风险预警处理服务
针对现有业务系统提供风险预警处理服务。实时查看敏感数据风险分析系统的告警信息,并结合敏感数据风险控制系统对数据泄露风险事件进行及时修复以及对正在发生的数据泄露事件进行阻断。
访问行为分析和审计
对人员数据访问行为进行审查,发现该内部人员没有相应的业务需求来进行该操作时,及时通知用户进行处理;
内部人员利用内部系统查阅和导出大量数据的行为进行审计和处理。
数据泄露事件溯源
如在外部获取一批情报或者用户反馈了批量的数据泄漏情况,通过数据风险分析产品,定位该信息在什么时候被谁在什么环境下访问过,同时通过可视化的交互分析,还原数据访问路径,快速定位高危的可疑人员,快速定位问题。
高危人员数据行为审查
离职人员和新员工往往属于高风险群体,数据服务人员通过数据风险和分析产品对该类用户的⾏为进⾏审查,及时确认或者排除风险。
2. 部署终端数据防泄漏系统
通过下一代沙箱技术,在终端上构建独立的、隔离的安全工作空间,对于访问敏感数据的应用系统时,进行网络和数据拦截,实现敏感数据不落宿主机,防止数据泄漏。当应用在安全工作空间内运行时,应用的一切文件操作行为,都会被安全工作空间的管理驱动和重定向引擎所接管,重定向至不可见空间,保证了不可见空间数据与个人可见空间数据的隔离以及数据安全性。安全工作空间内具备以下主要特性:
数据和网络隔离
多空间隔离:个人空间无法读取工作空间数据,多工作空间的数据隔离不互通,并可使用独立的安全策略。
文件外发审批:文件申请外发并审批后,工作空间的数据才可流向个人空间,或高级别工作空间数据可流向低级别工作空间。
数据加密
文件类数据进行全局透明加密存储到本地,仅授权用户可解密使用,防止数据交换泄漏和破解。
文件打印控制
在安全工作空间内可对文件的打印进行控制,包括是否允许打印,文件打印时是否添加专属水印,杜绝纸质文件数据泄露。另外,打印文件的相关日志进行上报,提供审计和溯源。
水印控制
安全工作空间内运行的所有程序,都可设置自定义水印,水印可自定义水印内容、颜色、角度、字体大小等,防止拍照方式的数据泄漏。
截录屏管控
运行安全工作空间时,无论是工作空间内或外,都可针对截屏或录屏操作进行屏蔽。
多种类型的安全空间
提供工作空间和上网空间两种安全空间,工作空间保障远程开发安全,上网空间不影响本地化开发且能满足上网需求。不同场景使用不同安全空间,保障研发开发效率,保护核心数据安全。
3. 部署网络数据防泄漏系统
要做好数据泄露防护,首先要做好数据资产盘点和数据分类分级工作。网络数据防泄漏系统支持对企业内的业务数据文件智能分类分级,并根据企业的文件样本库,自动化将样本库中的文件分类、分级,并提取分类分级特征库,不仅减少了总体存储成本,还增强了数据的可用性,客户能够最大化地使用业务数据的价值。
该系统基于网络数据捕获还原和内容识别技术,融合自然语言、数字指纹、智能学习、图像识别等技术,对网络流转数据进行跟踪监控,对数据传输风险进行持续监测评估,自动梳理网络及API接口中的敏感数据流并生成敏感数据映射,确保个人隐私数据、商业数据以及政务信息共享流转过程中安全合规。全面评估业务系统、数据接口、数据分类的数据安全风险态势。
✦
✦
建设实践
✦
在某头部政府客户课题研究项目中,我司重点关注数据安全,在数据安全防护体系建设时使用上述方案。为其开展数据安全防护建设工作,通过为其提供数据安全统一管理平台、态势分析与安全运营管理平台、网络数据防泄漏系统、终端数据防泄漏系统、入侵检测系统、工业互联网雷达等产品,简版拓扑图如下所示:
数据范式化处理
当前存在大量的结构化和非结构化数据,由于涉及技术不同,所以分别从结构化数据和非结构化数据,两个维度定义敏感数据资产。在定义敏感数据资产的过程中,除了考虑数据本身的机密性外,还结合攻防实战中常常被利用的信息。识别到以下敏感数据资产作为本次护网过程中的重点保护对象。
结构化数据:各业务系统采集或产生的存在数据库中的业务数据,个人数据;
非结构化数据:网络拓扑、密码本、系统设计文档、系统代码文件、系统资产表、扫描的敏感文件。
识别数据风险
在识别数据风险的过程中,按照数据本身处理活动的风险以及数据承载环境的风险进行分析。首先确定哪里有上述敏感数据,这里分别从对内和对外两个方面进行排查:对外在互联网进行排查是否存在在野的信息泄露事件。同时对内进行排查,主要涉及内部员工终端是否存在第一步定义的敏感数据资产。
针对业务数据及个人数据,依据数据生存周期排查各活动中可能存在的数据安全风险。排查内容总结如下:分为两部分,一部分关注的是数据的承载环境及管理安全,另一部分关注的是数据本身在生命周期的各阶段中可能存在的风险。
控制重要数据资产
针对上一步识别到的数据安全风险,采取纠正性或预防性控制措施,数据安全统一管理平台基于虚拟内核的自适应保护架构(VKAP),毫秒级数据检测与动态防护延时,针对不同数据分类以及不同数据安全风险等级,执行可视化的自适应访问控制策略,构建敏感数据的自适应防护体系。
平台可视化展示敏感数据的细粒度访问控制策略,可以清晰知道组织内当前敏感数据的访问控制详情。可快速编排敏感数据自适应跟踪防护策略,根据数据角色及数据安全风险等级,采取不同的防护策略,保证安全防护与业务流程独立运行互不影响。
在日常运维及重要时期保障中,我司协助客户提供主要控制措施如下:
对于全员进行安全意识培训,指导人员避免使用个人信息创建弱口令等;
针对可能存在代码泄漏的项目,要求各项目组自查,并酌情修改相关代码:完善系统开发上线流程,同时与各项目厂商重申数据安全责任;
针对运维人员终端可能存在的辅助攻击者进行攻击的文件,实行“最小必要原则”运维人员仅了解与工作相关的信息,电脑上敏感文件进行妥善保管或删除,给运维人员、监控团队配备安全U盘,进行相关文件传输,并对文件加密,同时定期修改密码本;
对于服务器上遗留的部署使用的代码文件、备份文件等进行及时归档,在服务器上进行清理;
对各系统僵尸账号、临时账号,尤其是数据库等重要服务器账号进行清除。
实施敏感数据
通过流量探针以及在互联网出口处部署数据防泄漏设备进行监控。
常态化安全保障
在日常运维及重要时期保障中进行持续性监控,发现数据安全风险,持续改善数据安全防护体系,为客户提供全生命周期安全防护。
✦
✦
方案优势
✦
资产识别
分类分级,形成全局数据资产测绘地图。
安全评估
对数据采集、存储、传输、处理、交换、销毁的全生命周期进行跟踪,评估各环节所存在的风险。
纵深防护
基于“零信任”理念,对业务、网络、设备、用户采取动态脱敏、数据防泄漏、主机微隔离等方式,实现对核心业务数据的有效防护。
溯源分析
关联用户活动和实体数据,通过追踪发生在不同工作流组件中的数据流转,追踪事件源头。
✦
✦
总 结
✦
数据安全牵一发而动全身,完善数据安全管理不仅关乎数据本身作为重要生产要素的开发利用与安全问题,而且与国家主权、国家安全、社会秩序、公共利益休戚相关。过去的基础合规框架已无法满足当前和未来的需求,网络数据处理者应抓住《条例》实施的契机,通过专项行动全面优化现有的数据安全实践,从组织架构、管理流程、人员能力到技术工具等方面进行系统升级,履行数据处理者的责任义务,释放数据要素价值,护航数字经济高质量发展。
如有侵权请联系:admin#unsafe.sh