在整個數據安全治理的過程中,最為重要的是實現數據安全策略和流程的制定,在企業或行業內經常被作為《某某數據安全管理規范》進行發布,所有工作流程和技術支撐都是圍繞著此規范來制定和落實。
規范的出臺往往需要經過大量的工作才能完成,這些工作通常包括:
A、梳理出組織所需要遵循的外部政策以及與數據安全管理相關的內容;
B、根據該組織的數據價值和特征,梳理出核心數據資產,并對其分級分類;
C、理清核心數據資產使用的狀況(收集、存儲、使用、流轉);
D、分析核心數據資產面臨的威脅和使用風險;
E、明確核心數據資產訪問控制的目標和訪問控制流程;
F、制訂出組織對數據安全規范落實和安全風險進行定期的核查策略。
在我國,數據安全治理同樣需要遵循國家級的安全政策和行業內的安全政策。舉例如下:
1.網絡安全法;
2.等級保護政策;
3.BMB17;
4.行業相關的政策要求舉例:
(a) PCI-DSS、Sarbanes-Oxley Act(SOX 法案)、 HIPPA ;
(b) 企業內部控制基本規范;(三會、財政、審計)
(c) 中央企業商業秘密保護暫行規定;
這些政策通常是在制訂組織內部政策時重點參考的外部政策規范。
數據治理主要依據數據的來源、內容和用途對數據進行分類;按照數據的價值、內容的敏感程度、影響和分發范圍不同對數據進行敏感級別劃分。
| 信息類別 | 信息項 | 對三方價值 | 事故影響 | 分類定義 |
| 客戶基本資料 | 政企客戶資料 | 牟取暴利 | 造成政企客戶流失、損失巨大 | 機密數據 |
| 個人客戶資料 | 價值較大 | 造成客戶損失、損失大 | 敏感數據 | |
| 各類特殊名單 | 牟取暴利 | 造成投訴、損失大 | 敏感數據 | |
| 身份鑒權信息 | 用戶密碼 | 牟取暴利 | 造成客戶損失、損失巨大 | 機密數據 |
| 客戶通信信息 | 詳單 | 價值較大 | 造成投訴、損失大 | 敏感數據 |
| 賬單 | 價值一般 | 損失一般 | 普通數據 | |
| 客戶當前位置信息 | 價值較大 | 損失一般 | 敏感數據 | |
| 客戶消費信息 | 價值一般 | 損失一般 | 普通數據 | |
| 訂購關系 | 價值低 | 無明顯損失 | 普通數據 | |
| 增值業務訂購關系 | 價值低 | 無明顯損失 | 普通數據 | |
| 增值業務信息 | 牟取暴利 | 造成客戶損失、損失大 | 敏感數據 | |
| 客戶通信內容信息 | 客戶通信內容記錄 | 牟取暴利 | 客戶私密信息泄露,損失巨大 | 機密數據 |
| 移動上網內容及記錄 | 價值低 | 損失一般 | 普通數據 | |
| 增值業務客戶行為記錄 | 價值低 | 客戶私密信息泄露,損失大 | 敏感數據 | |
| 領航平臺交互信息 | 牟取暴利 | 損失一般 | 敏感數據 |
圖1 某運營商對數據分級分類的結果
只有對數據進行有效分類,才能夠避免一刀切的控制方式,在數據的安全管理上采用更加精細的措施,使數據在共享使用和安全使用之間獲得平衡。
3.1 數據使用部門和角色梳理
在數據資產的梳理中,需要明確這些數據如何被存儲,數據被哪些部門、系統、人員使用,數據被如何使用。對于數據的存儲和系統的使用,往往需要通過自動化的工具進行 ;而對于部門和人員的角色梳理,更多是要在管理規范文件中體現。對于數據資產使用角色的梳理,關鍵要明確在數據安全治理中不同受眾的分工、權利和職責。
組織與職責,明確安全管理相關部門的角色和責任,一般包括:
安全管理部門:制度制定、安全檢查、技術導入、事件監控與處理;
業務部門:業務人員安全管理、業務人員行為審計、業務合作方管理;
運維部門:運維人員行為規范與管理、運維行為審計、運維第三方管理;
其它:第三方外包、人事、采購、審計等部門管理。
數據治理的角色與分工,需要明確關鍵部門內不同角色的職責,包括:
安全管理部門:政策制定者、檢查與審計管理、技術導入者;
業務部門:根據單位的業務職能劃分;
運維部門:運行維護、開發測試、生產支撐。
數據的存儲與分布梳理
敏感數據在什么數據庫中分布著,是實現管控的關鍵。只有清楚敏感數據在什么庫中分布,才能知道需要對什么樣的庫實現怎樣的管控策略;對該庫的運維人員實現怎樣的管控措施;對該庫的數據導出,實現怎樣的模糊化策略;對該庫數據的存儲實現怎樣的加密要求。
數據的使用狀況梳理
在清楚了數據的存儲分布的基礎上,還需要掌握數據被什么業務系統訪問。只有明確了數據被什么業務系統訪問,才能更準確地制訂這些業務系統的工作人員對敏感數據訪問的權限策略和管控措施。
| 大類 | 原有信息分類 | 包含的客戶信息 |
| 業務支撐 | BOSS | 政企客戶資料、個人客戶資料、各類特殊名單、用戶密碼、詳單、賬單、客戶消費信息、基本業務訂購關系、增值業務(含數據業務)訂購關系、增值業務信息、統計報表、渠道及合作伙伴資料、資源數據 |
| EDA | 政企客戶資料、個人客戶資料、各類特殊名單、用戶密碼、詳單、賬單、客戶消費信息、基本業務訂購關系、增值業務(含數據業務)訂購關系、增值業務信息、統計報表、渠道及合作伙伴資料、資源數據 | |
| 客戶服務平臺 | 可獲取的信息:詳單、客戶資料 | |
| 網管系統 | 可獲取的信息:位置信息 | |
| 通信系統 | 短信網關 | 短信記錄,短信內容 |
| ISAG | 彩信記錄,彩信內容 | |
| HLR | 客戶當前位置信息、用戶狀態 | |
| WAP網關 | 客戶上網記錄、彩信記錄 | |
| 端局 | 原始話單文件、位置信息 | |
| 關口局 | 原始話單文件 | |
| 業務平臺 | ISMP-BMW | 訂購關系 |
| 終端自注冊平臺 | 終端型號信息 | |
| 天翼live | 通訊記錄 | |
| 協同通信平臺 | 通訊記錄 | |
| 基地平臺 | 訂購關系、行為 |
圖2某運營商對敏感系統分布的梳理結果
以運營商行業上述梳理結果為例,這僅為數據梳理的基礎,更重要的是梳理出不同的業務系統對這些敏感信息訪問的基本特征,如訪問的時間、IP、訪問次數、操作行為類型、數據操作批量行為等,基于這些基本特征,完成數據管控策略的制定。
數據的訪問控制
針對數據使用的不同方面,需要完成對數據使用的原則和控制策略,一般包括如下方面:
數據訪問的賬號和權限管理,相關原則和控制內容包括:
(1)專人賬號管理;
(2)賬號獨立原則;
(3)賬號授權審批;
(4)最小授權原則;
(5)賬號回收管理;
(6)管理行為審計記錄;
(7)定期賬號稽核;
數據使用過程管理中,相關原則和控制內容包括:
(1)業務需要訪問原則;
(2)批量操作審批原則;
(3)高敏感訪問審批原則;
(4)批量操作和高敏感訪問指定設備、地點原則;
(5)訪問過程審計記錄;
(6)開發測試訪問模糊化原則;
(7)訪問行為定期稽核;
數據共享(提取)管理,相關原則和控制內容包括:
(1)最小共享和模糊化原則;
(2)共享(提取)審批原則;
(3)最小使用范圍原則;
(4)責任傳遞原則;
(5)定期稽核;
數據存儲管理,相關原則和控制內容包括:
(1)不同敏感級別數據存儲的網絡區域;
(2)敏感數據存儲加密;
(3)備份訪問管理;
(4)存儲設備的移動管理;
(5)存儲設備的銷毀管理;
定期的稽核策略
定期的稽核是保證數據安全治理規范落地的關鍵,也是信息安全管理部門的重要職責,包括:
A、 合規性檢查:
確保數據安全使用政策被真實執行;
B、操作監管與稽核:
主要針對數據訪問賬號和權限的監管與稽核;
要具有賬號和權限的報告;要具有賬號和權限的變化報告;
業務單位和運維部門數據訪問過程的合法性監管與稽核;
要定義異常訪問行為特征;
要對數據的訪問行為具有完全的記錄和分析;
C、風險分析與發現:
對日志進行大數據分析,發現潛在異常行為;
對數據使用過程進行嘗試攻擊,進行數據安全性測試。
在整個數據安全治理理念中,完成數據安全治理的策略性文件和系列落地文件,這將是數據安全治理的綱領性文件,相應系列文件規范中要覆蓋數據安全治理的三大需求目標和四個重要環節,針對所有與敏感數據有接觸的人員的權限進行定義,就人員對數據訪問的過程提出控制流程。借由這些舉措來開展數據安全治理動作,確保數據安全治理工作有綱有領,穩步推進。
