引言

數(shù)據(jù)治理或者數(shù)據(jù)安全在大多數(shù)安全從業(yè)者的印象中是比較熟悉的概念，但數(shù)據(jù)安全治理似乎是個(gè)新名詞。實(shí)際上，對于擁有重要數(shù)據(jù)資產(chǎn)的各類企業(yè)，在數(shù)據(jù)安全治理方面或多或少都有實(shí)踐，只是尚未系統(tǒng)化的實(shí)行。比如客戶數(shù)據(jù)安全管理規(guī)范及其落地的配套管控措施，以及數(shù)據(jù)分級分類管理規(guī)范。這篇文章我們希望能相對系統(tǒng)化地對此概念進(jìn)行闡述。

數(shù)據(jù)安全治理的概念——以數(shù)據(jù)的安全使用為目的的綜合管理理念，具體框架見下圖：

圖1數(shù)據(jù)安全治理理念框架

數(shù)據(jù)安全治理與傳統(tǒng)安全概念的差異

為了更加有效地理解數(shù)據(jù)安全治理概念與傳統(tǒng)數(shù)據(jù)安全的差異，對比傳統(tǒng)安全理念如下：

表1數(shù)據(jù)安全治理與傳統(tǒng)數(shù)據(jù)安全的差異對比

一、數(shù)據(jù)安全治理的組織和受眾

數(shù)據(jù)安全治理首先要成立專門的數(shù)據(jù)安全治理機(jī)構(gòu)，以明確數(shù)據(jù)安全治理的政策、落實(shí)和監(jiān)督由誰長期負(fù)責(zé)。該機(jī)構(gòu)通常是虛擬機(jī)構(gòu)，可稱為數(shù)據(jù)安全治理委員會或數(shù)據(jù)安全治理小組，成員由數(shù)據(jù)的利益相關(guān)者和專家構(gòu)成。其成立，標(biāo)志著組織的數(shù)據(jù)安全治理工作正式啟動，使組織內(nèi)數(shù)據(jù)安全規(guī)范制定、數(shù)據(jù)安全技術(shù)導(dǎo)入、數(shù)據(jù)安全體系建設(shè)得以不斷完善。該機(jī)構(gòu)成立后，履行以下職責(zé)：

A.數(shù)據(jù)的分級分類原則的制定

B.數(shù)據(jù)安全使用(管理)規(guī)范的制定

C.數(shù)據(jù)安全治理技術(shù)的導(dǎo)入

D.數(shù)據(jù)安全使用規(guī)范的監(jiān)督執(zhí)行

E.數(shù)據(jù)安全治理的持續(xù)演進(jìn)

二、數(shù)據(jù)安全治理的策略與流程

數(shù)據(jù)安全治理，最為重要的是實(shí)現(xiàn)數(shù)據(jù)安全策略和流程的制訂，在企業(yè)或行業(yè)內(nèi)經(jīng)常被作為《某某數(shù)據(jù)安全管理規(guī)范》進(jìn)行發(fā)布，所有的工作流程和技術(shù)支撐都是圍繞此規(guī)范來制訂、落實(shí)。

1. 外部所要遵循的策略

數(shù)據(jù)安全治理同樣需要遵循國家級的安全政策和行業(yè)內(nèi)的安全政策。舉例如下：

(1) 網(wǎng)絡(luò)安全法;

(2) 等級保護(hù)政策;

(3) BMB17;

(4) 行業(yè)相關(guān)的政策要求舉例：

•  PCI-DSS、Sarbanes-Oxley Act(SOX 法案)、HIPPA;
•  企業(yè)內(nèi)部控制基本規(guī)范;(三會、財(cái)政、審計(jì))
•  中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定;

這些政策通常是在制訂組織內(nèi)部政策時(shí)重點(diǎn)參考的外部政策規(guī)范。

2.數(shù)據(jù)的分級分類

數(shù)據(jù)治理主要依據(jù)數(shù)據(jù)的來源、內(nèi)容和用途進(jìn)行分類;以數(shù)據(jù)的價(jià)值、內(nèi)容敏感程度、影響和分發(fā)范圍進(jìn)行敏感級別劃分。

3. 數(shù)據(jù)資產(chǎn)狀況的梳理

(1) 數(shù)據(jù)使用部門和角色梳理

數(shù)據(jù)資產(chǎn)梳理中，明確數(shù)據(jù)如何被存儲、數(shù)據(jù)被哪些對象使用、數(shù)據(jù)被如何使用。對于數(shù)據(jù)的存儲和系統(tǒng)的使用，需要通過自動化的工具進(jìn)行;對于部門、人員角色梳理，更多在管理規(guī)范文件中體現(xiàn);對于數(shù)據(jù)資產(chǎn)使用角色的梳理，關(guān)鍵要明確不同受眾的分工、權(quán)利和職責(zé)。

(2) 數(shù)據(jù)的存儲與分布梳理

清楚敏感數(shù)據(jù)分布，才能知道需要對什么樣的庫實(shí)現(xiàn)何種管控策略;對該庫運(yùn)維人員實(shí)現(xiàn)怎樣的管控措施;對該庫的數(shù)據(jù)導(dǎo)出實(shí)現(xiàn)怎樣的模糊化策略;對該庫數(shù)據(jù)的存儲實(shí)現(xiàn)何種加密要求。

(3) 數(shù)據(jù)的使用狀況梳理

明確數(shù)據(jù)被什么業(yè)務(wù)系統(tǒng)訪問，才能準(zhǔn)確地制訂業(yè)務(wù)系統(tǒng)工作人員對敏感數(shù)據(jù)訪問的權(quán)限策略和管控措施。

a. 數(shù)據(jù)的訪問控制

針對數(shù)據(jù)使用不同方面，完成對數(shù)據(jù)使用的原則和控制策略，包括：數(shù)據(jù)訪問的賬號和權(quán)限管理、數(shù)據(jù)使用過程管理、數(shù)據(jù)共享(提取)管理、數(shù)據(jù)存儲管理。

b. 定期的稽核策略

定期稽核，保證數(shù)據(jù)安全治理規(guī)范落地，包括：

• 合規(guī)性檢查;
• 操作監(jiān)管與稽核;
• 風(fēng)險(xiǎn)分析與發(fā)現(xiàn)。

三、數(shù)據(jù)安全治理技術(shù)支撐框架

1. 數(shù)據(jù)安全治理的技術(shù)挑戰(zhàn)

數(shù)據(jù)安全治理面臨數(shù)據(jù)狀況梳理、敏感數(shù)據(jù)訪問與管控、數(shù)據(jù)治理稽核三大挑戰(zhàn)。

圖2 當(dāng)前數(shù)據(jù)安全治理面臨的挑戰(zhàn)

(1) 數(shù)據(jù)安全狀況梳理技術(shù)挑戰(zhàn)

組織需要確定敏感性數(shù)據(jù)在系統(tǒng)內(nèi)部的分布情況，關(guān)鍵問題在于明確敏感數(shù)據(jù)的分布;確定敏感性數(shù)據(jù)如何被訪問，如何掌握敏感數(shù)據(jù)以何種方式被什么系統(tǒng)、什么用戶訪問;確定當(dāng)前賬號和授權(quán)狀況，清晰化、可視化、報(bào)表化的明確敏感數(shù)據(jù)在數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)中的訪問賬號和授權(quán)狀況，明確當(dāng)前權(quán)控是否具備適當(dāng)基礎(chǔ)。

(2) 數(shù)據(jù)訪問管控技術(shù)挑戰(zhàn)

在敏感數(shù)據(jù)訪問和管控技術(shù)方面，面臨以下挑戰(zhàn)：

• 如何將敏感數(shù)據(jù)訪問的審批在執(zhí)行環(huán)節(jié)有效落地對于敏感數(shù)據(jù)的訪問、對于批量數(shù)據(jù)的下載要進(jìn)行審批制度，這是關(guān)鍵;
• 如何對突破權(quán)控管理的黑客技術(shù)進(jìn)行防御基于數(shù)據(jù)庫的權(quán)限控制技術(shù);
• 如何在保持高效的同時(shí)實(shí)現(xiàn)存儲層的加密基于文件層和硬盤層的加密將無法與數(shù)據(jù)庫的權(quán)控體系結(jié)合，對運(yùn)維人員無效。
• 如何實(shí)現(xiàn)保持業(yè)務(wù)邏輯后的數(shù)據(jù)脫敏對于測試環(huán)境、開發(fā)環(huán)境和 BI 分析環(huán)境中的數(shù)據(jù)需要對敏感數(shù)據(jù)模糊化。
• 如何實(shí)現(xiàn)數(shù)據(jù)提取分發(fā)后的管控。

(3) 數(shù)據(jù)安全的稽核和風(fēng)險(xiǎn)發(fā)現(xiàn)挑戰(zhàn)

a. 如何實(shí)現(xiàn)對賬號和權(quán)限變化的追蹤

定期對賬號和權(quán)限變化狀況進(jìn)行稽核，保證對敏感數(shù)據(jù)的訪問在既定策略和規(guī)范內(nèi)。

b. 如何實(shí)現(xiàn)全面的日志審計(jì)

全面審計(jì)是檢驗(yàn)數(shù)據(jù)安全治理中的策略是否在日常執(zhí)行中切實(shí)落地的關(guān)鍵?！毒W(wǎng)絡(luò)安全法》針對全面的數(shù)據(jù)訪問審計(jì)的要求，日志存儲最少保留6個(gè)月;全面審計(jì)工作對各種通訊協(xié)議、云平臺的支撐，1000 億數(shù)據(jù)以上的存儲、檢索與分析能力上，均形成挑戰(zhàn)。

c. 如何快速實(shí)現(xiàn)對異常行為和潛在風(fēng)險(xiǎn)的發(fā)現(xiàn)與告警

數(shù)據(jù)治理關(guān)鍵要素是發(fā)現(xiàn)非正常的訪問行為和系統(tǒng)中存在的潛在漏洞問題。如何對日常行為建模，是海量數(shù)據(jù)中快速發(fā)現(xiàn)異常行為和攻擊行為避免系統(tǒng)面臨大規(guī)模失控的關(guān)鍵。

2. 數(shù)據(jù)安全治理的技術(shù)支撐

對應(yīng)數(shù)據(jù)安全治理上述三大挑戰(zhàn)，提出針對數(shù)據(jù)安全狀況梳理、數(shù)據(jù)訪問管控及數(shù)據(jù)安全稽核的技術(shù)保障體系。

(1) 數(shù)據(jù)安全狀況梳理的技術(shù)支撐

a. 數(shù)據(jù)靜態(tài)梳理技術(shù)

靜態(tài)梳理完成對敏感數(shù)據(jù)的存儲分布狀況、數(shù)據(jù)管理系統(tǒng)的漏洞狀況、數(shù)據(jù)管理系統(tǒng)的安全配置狀況的信息采集技術(shù)。

b. 數(shù)據(jù)動態(tài)梳理技術(shù)

動態(tài)梳理技術(shù)實(shí)現(xiàn)對系統(tǒng)中的敏感數(shù)據(jù)的訪問狀況的梳理。

c. 數(shù)據(jù)狀況的可視化呈現(xiàn)技術(shù)

通過可視化技術(shù)將靜態(tài)資產(chǎn)和動態(tài)資產(chǎn)梳理技術(shù)梳理出的信息以可視化的形式呈現(xiàn)，比如敏感數(shù)據(jù)的訪問熱度、資產(chǎn)在組織內(nèi)不同部門或業(yè)務(wù)系統(tǒng)內(nèi)的分布、系統(tǒng)的賬號和權(quán)限圖、敏感數(shù)據(jù)的范圍權(quán)限圖：

圖3 數(shù)據(jù)資產(chǎn)分布圖

圖4 數(shù)據(jù)訪問熱度圖

圖5 敏感數(shù)據(jù)賬號和授權(quán)狀況概況圖

d. 數(shù)據(jù)資產(chǎn)的管理系統(tǒng)支撐

基于靜態(tài)梳理、動態(tài)梳理和可視化展現(xiàn)技術(shù)，建立數(shù)據(jù)資產(chǎn)的登記、準(zhǔn)入、準(zhǔn)出和定期核查。

圖6 以自動流量分析技術(shù)完成存量資產(chǎn)梳理圖

(2) 數(shù)據(jù)訪問管控的技術(shù)支撐

a. 數(shù)據(jù)庫運(yùn)維審批技術(shù)

數(shù)據(jù)庫的專業(yè)運(yùn)維管控工具可以控制到表、列級及各種數(shù)據(jù)庫操作;可精確控制到具體的語句、語句執(zhí)行的時(shí)間、執(zhí)行閾值;滿足事前審批，事中控制的模式。

圖7 數(shù)據(jù)庫安全運(yùn)維審批流程示意

b. 防止黑客攻擊的數(shù)據(jù)庫防火墻技術(shù)

除管理內(nèi)部人員對敏感數(shù)據(jù)的訪問行為，也要對付黑客攻擊和入侵或第三方外包人員突破常規(guī)的權(quán)限控制，因此需要數(shù)據(jù)庫防火墻技術(shù)實(shí)現(xiàn)防御漏洞攻擊。

圖8 數(shù)據(jù)庫防火墻技術(shù)中最核心技術(shù)——虛擬補(bǔ)丁技術(shù)

c. 數(shù)據(jù)庫存儲加密技術(shù)

數(shù)據(jù)庫的存儲加密保證數(shù)據(jù)在物理層得到安全保障，加密技術(shù)的關(guān)鍵是解決幾個(gè)核心問題：

• 加密與權(quán)控技術(shù)的整合;
• 加密后的數(shù)據(jù)可快速檢索;
• 應(yīng)用透明技術(shù);

d. 數(shù)據(jù)庫脫敏技術(shù)

數(shù)據(jù)庫脫敏技術(shù)，是解決數(shù)據(jù)模糊化的關(guān)鍵技術(shù)，通過脫敏技術(shù)來解決生產(chǎn)數(shù)據(jù)中的敏感信息在測試環(huán)境、開發(fā)環(huán)境和 BI 分析環(huán)境的安全。

圖9 數(shù)據(jù)脫敏技術(shù)

在脫敏技術(shù)中的關(guān)鍵技術(shù)包括：

• 數(shù)據(jù)含義的保持;
• 數(shù)據(jù)間關(guān)系的保持;
• 增量數(shù)據(jù)脫敏;
• 可逆脫敏;

e. 數(shù)據(jù)水印技術(shù)

數(shù)據(jù)水印技術(shù)是為了保持對分發(fā)后的數(shù)據(jù)的追蹤，在數(shù)據(jù)泄露行為發(fā)生后，對造成數(shù)據(jù)泄露的源頭可進(jìn)行回溯。在分發(fā)數(shù)據(jù)中摻雜不影響運(yùn)算結(jié)果的水印數(shù)據(jù)，水印中記錄分發(fā)信息，當(dāng)拿到泄密數(shù)據(jù)的樣本，可追溯數(shù)據(jù)泄露源。

(3) 數(shù)據(jù)安全稽核的技術(shù)支撐

數(shù)據(jù)安全稽核保障數(shù)據(jù)治理的策略和規(guī)范被有效執(zhí)行和落地，快速發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)和行為。但面對超大規(guī)模的數(shù)據(jù)流量、龐大的數(shù)據(jù)管理系統(tǒng)和業(yè)務(wù)系統(tǒng)數(shù)量，數(shù)據(jù)稽核面臨著很大技術(shù)挑戰(zhàn)。

a. 數(shù)據(jù)審計(jì)技術(shù)

數(shù)據(jù)審計(jì)技術(shù)是對工作人員行為是否合規(guī)進(jìn)行判定的關(guān)鍵，是基于網(wǎng)絡(luò)流量分析技術(shù)、高性能入庫技術(shù)、大數(shù)據(jù)分析技術(shù)和可視化展現(xiàn)技術(shù)：

圖10 數(shù)據(jù)審計(jì)技術(shù)

b. 賬戶和權(quán)限變化追蹤技術(shù)

賬號和權(quán)限總是動態(tài)被維護(hù)，如何快速了解在已完成的賬號和權(quán)限基線上增加了哪些賬號，賬號權(quán)限是否變化，變化是否遵循合規(guī)性保證，需要通過靜態(tài)的掃描技術(shù)和可視化技術(shù)完成賬號和權(quán)限的變化稽核。

圖11 授權(quán)變更統(tǒng)計(jì)分析管理界面

c. 異常行為分析技術(shù)

很多數(shù)據(jù)入侵和非法訪問掩蓋在合理的授權(quán)下，因此需要通過一些數(shù)據(jù)分析技術(shù)，對異常行為發(fā)現(xiàn)和定義。定義異常行為，一是通過人工的分析完成;一是對日常行為進(jìn)行動態(tài)的學(xué)習(xí)和建模，不符合日常建模的行為予以告警。

表4 異常訪問行為定義

以上很多異常訪問行為，都與頻次有密切關(guān)系，引入StreamDB這種以時(shí)間窗體為概念，對多個(gè)數(shù)據(jù)流進(jìn)行頻次、累計(jì)量和差異量進(jìn)行分析的技術(shù)，用于對大規(guī)模數(shù)據(jù)流的異常發(fā)現(xiàn)：

圖12 Stream 數(shù)據(jù)處理技術(shù)

數(shù)據(jù)安全治理理念，首先需要成立數(shù)據(jù)安全治理的組織機(jī)構(gòu)，確保數(shù)據(jù)安全治理工作在組織內(nèi)能真正地落地;其次，完成數(shù)據(jù)安全治理的策略性文件和系列落地文件;再次，通過系列的數(shù)據(jù)安全技術(shù)支撐系統(tǒng)應(yīng)對挑戰(zhàn)，確保數(shù)據(jù)安全管理規(guī)定有效落地。

【本文是51CTO專欄作者“安華金和”的原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文