多維數據安全能力融合的數據資產管理與風險識別的實踐探索|科技專刊
發布時間:2024-07-04
閱讀次數: 1287 次
高科技領域十大行業包含電子信息技術、通信行業、互聯網和軟件行業、新能源和環保行業、倉儲物流行業、新材料行業、衛星導航和測繪行業、智能制造和機器人行業、新能源行業。隨著各行業數字化轉型的持續推進,繁多的業務應用覆蓋了經濟與民生需求,衍生出新的應用和數據數量增長迅速,有力地支撐社會經濟中的數字化服務,其數據資產具有極高的價值和敏感性,數據資產已經成為企業的基石與核心競爭力。企業發展先期,業務發展迅速,對數據資產管理和風險管理往往相對滯后,高科技領域持續發展的過程中,數據安全和隱私合規面臨許多的挑戰,常見挑戰包含數據泄漏和黑客攻擊、合規遵從、數據訪問控制的精細化管理、人工智能和大數據應用、隱私風險、法律法規和標準的不斷變化,而隨著技術的不斷發展、市場的不斷變化,數據安全和隱私合規面臨的挑戰也會變化,高科技行業中的企業需要密切關注行業和市場動態。據中國信息通信研究院調查數據顯示,僅26.59%的企業具有數據安全管理要求,對數據進行分類分級,對數據具有安全管控機制;僅17.88%的企業能自動化識別并處置數據使用過程中的風險,具備數據流轉的自動化追蹤和溯源能力。但萬變不離其宗,為確保數據資產的安全和隱私合規,數據發現、識別和分類分級是根本,而數據流轉的風險監測是保障,通過對數據進行發現、識別和分類分級,可以更好地了解數據的安全和隱私需求,制定相應的數據流轉策略和安全措施,從而降低數據在流轉過程中的風險。同時,通過對數據流轉過程進行監測和控制,可以及時發現數據的異常流轉和風險,并采取相應的措施進行處置和糾正,保障數據的安全和隱私。接下來篇幅會對這兩個重點話題展開詳述。
1.未準確識別數據資產
引發數據安全的風險源可能是內部人員的惡意行為或無意操作,也可能是外部黑客的惡意攻擊,采用惡意軟件、安全漏洞、社會工程學等多種手段。從應用前端的過度采集數據,到中后端疏漏的數據資產管理、風險管理和權限管理,對于許多企業而言,沒有全面清晰地識別業務所依賴關聯的數據資產,進而無法準確評估數據資產價值和風險。通過技術工具的使用,準確地識別業務經營數據、客戶信息、風控數據等敏感的數據資產對業務至關重要,是進行安全分類和風險管理的基礎。
2.粗放的數據分類分級
國家不斷新推出的行業標準和規范,標準中提供行業數據的分類分級示例。數據分類往往基于組織內所有數據的考量,以數據的類型結合數據實際內容范圍進行分類;以數據的安全屬性破壞后影響到的對象和程度定義分級。由于企業往往沒有及時地解讀和跟進新實施的行業標準,數據分類分級精細化不足,加之以往構建的數據目錄或清單多為人工梳理,或以公開、內部和機密為維度粗略的分類分級,難以針對不同類型的數據資產采取差異化的管理策略。
3.數據資產管理與風險管理的割裂
企業中的風險管理和數據資產管理間往往缺乏有效的協同機制,使得風險管理措施的制定與執行脫節。數據資產管理是風險管理的輸入,有效地識別和評估數據資產,為更合理地制定風險識別和處置策略提供依據。風險管理的執行也與數據資產管理息息相關,對于不同類別的數據資產所采取的風險措施落地,需要數據資產管理結果的支持,例如數據資產目錄、業務影響對象和范圍分析結果等,數據資產在遭遇風險威脅后的事件處置,需要根據數據資產的屬性、重要性和業務關聯性采取差異化措施,需要與日常的數據資產管理相結合。對于數據資產管理來說,通過對風險管理和策略執行情況的跟蹤,評估其有效性發現行之有效和待改進的地方,并將改進措施反哺至數據資產安全管控。
4.審計機制的不完善
企業對于數據資產的訪問與使用行為情況進行的審計溯源機制還不完善,難以及時有效地發現異常訪問行為。數據資產管理為審計與溯源提供基礎。被審計的數據資產必然來源于企業所識別的數據資產清單及分類分級結果,為確定審計對象和事件分析提供重要參考。數據資產出現異常需要審計與溯源進行分析。當數據資產發生安全事件時,需要對事件進行審計與溯源,以查明事件發生的原因及責任主體,與資產管理相關的信息相結合才能進行有效分析。通過對數據資產的使用與訪問情況進行追溯,可以發現資產管理方面存在的問題,如分類不準確、訪問控制不足等,并及時反饋至數據資產管理工作中進行改進。
1.多維度的數據資產識別覆蓋
企業內部的數據資產是多樣化的,有靜態存儲的數據,流轉的數據和正在使用的數據,有結構化的數據,也有非結構化的數據,而識別數據的本質在于識別出有價值的數據,采取好有效的安全保護措施同時進而為業務賦能。要做到數據的全面識別需要各項技術能力的結合,如數據庫掃庫、DLP,但在數據無出不在的數字化時代會面臨兩大挑戰,一是需要大量的人工輔助,二是已經被標識的數據如何流入流出、如何被訪問、使用、流轉、存儲。如何保證數據識別的完整性、一致性、降低人工輔助的成本,做到既要有要?依托于全鏈路的數據資產發現能力,實現全域數據自動發現,包括外部API、內部API、數據庫和數據湖側的數據均支持自動發現。自主研發的數據識別引擎,依據數據本身的特征和屬性,自動化發現敏感數據標識和敏感數據流轉全鏈路。對于高科技行業來說,數字化業務進程中包含了經營管理類、生產運營類和客戶服務類等重要數據,對于這些數據中特征明顯,例如客戶服務類的個人基本信息、個人聯系信息、個人職業信息等數據,通過正則表達式、關鍵字、字典等方式比較容易使用技術工具進行識別和標識。當數據識別的對象屬于行業屬性比較明顯的結構化數據,例如賬戶信息、支付信息、購物信息、收入信息、交易記錄、物流商品、績效數據、生產數據、經營預測數據等這類數據,往往內容復雜、不具備明顯特征,傳統技術手段難以識別,則可以采用創新的思路突破行業屬性明顯的“無特征”數據識別難題,可以在應用前端頁面針對字段完成數據標識的操作,半人工的方式彌補技術工具的局限性,從而實現包括個人隱私數據、業務經營數據和重要數據在內的全類型數據識別和標識。
圖 1 前端頁面數據識別與標識及管理后臺呈現示意圖
2.依托技術工具的數據資產分類分級精細化
數據分類分級是應對數據安全挑戰、推進數據安全治理的重要手段,標準作為各行業數據處理者開展數據分類分級工作的重要參考指引,技術工具則作為分類分級工作的主要實現方式。一方面,技術工具為有明確分類分級指導的行業,提供符合國標規范的分類分級策略,以滿足個人隱私數據和行業數據的分類分級需求;另一方面,技術工具可以提供定制化的分類分級規則配置,定制屬于企業自己的分類分級規則劃分標準,深入業務環節和數據使用情況,使分類分級的結果更加符合企業的業務流程和實際需要。
3.數據流轉可視助力數據資產管理
通過自動化的繪制數據流轉,可以直觀的理解數據在不同系統、應用和流程中的使用情況,包括數據訪問、數據使用、數據共享等。這有助于更好地管理數據資產,包括對數據進行分類和分級、控制數據訪問和使用、保護數據安全和隱私等。例如,企業可以通過數據流轉可視化工具,發現某些數據在流轉過程中存在業務流問題或安全風險,及時采取相應的措施進行處理,如對敏感、重要數據進行加密或脫敏等操作,從而保證數據質量和安全性。
4.數據資產管理與風險識別協同
數據資產識別與風險識別的主要識別對象是存在交集的,對同一業務環境下的數據資產進行梳理和制定風險策略。風險識別需要數據資產梳理結果作為輸入,以數據資產作為對象,以資產暴露面確定風險識別策略和規則。數據資產識別也需要風險識別結果作為參考,優化資產類別及風險等級的業務劃分。技術工具的介入能夠有效地在技術層面將數據資產識別與風險識別之間建立內在關聯。圍繞數據資產為風險對象,能夠實現單次查詢多類敏感數據、累計查詢返回多條敏感數據、瞬時查詢返回多條敏感數據等異常行為的實時分析和預警,亦可基于數據全鏈路,不受限于數據資產本身,圍繞數據、數據庫、應用和用戶多維度進行高維關聯數據,構建風險監測底層能力,通過聚合分析數據和載體資產風險,實現應用側數據泄漏風險預警能力。
5.數據資產管理與審計溯源協同
數據資產管理與審計溯源在實施過程中發現的問題彼此存在關聯。數據資產管理中發現的高敏感資產可能是事件審計中風險威脅的重要因素。對審計日志的關聯分析可以實現更加系統化和深入的應對和修復方案制定。對于技術工具而言,動態采集用戶訪問行為日志,結合全鏈路的能力,形成用戶、應用、數據庫及數據在內的四層關聯審計記錄,審計要素全面覆蓋數據流轉全鏈路上的重要對象,要素更全面,鏈條更完整。同時針對風險事件提供快速雙向溯源能力,可針對某個用戶賬號基于其訪問行為進行溯源,也可以針對某條具體數據基于其被調用行為進行溯源,溯源定位更高效。
簡言之,數據資產管理負責識別高價值資產,為數據安全風險管理提供基礎。風險管理在數據資產輸出的基礎之上制定并執行風險識別策略,以預警安全風險對數據資產可能造成的影響。數據資產管理側重資產梳理,風險管理側重威脅告警,但最終的目的都是為了降低風險威脅對重要資產的影響。數據資產識別與風險識別都是數據安全的重要起點,兩項能力之間的高度協同,可以確保管理工作的連貫性和系統性。而審計溯源的執行結果反過來檢驗數據資產管理的有效性,對安全事件的追溯定責也需要兩者結果的結合。企業在構建數據安全管理體系時,需要明確數據資產管理與其他能力之間的關聯性和重要性,使其整體成為一個能夠相互促進的閉環。安全策略的制定不建議采用通用性方案,應考慮多項能力的結合,使得數據資產的保護不流于形式,真正發揮實質性作用,向體系化的建設思路上持續發展。
作者介紹:曾俊輝,紅途科技解決方案工程師。
來源:安全村SecUN
浙公網安備 33010502006954號 
