多維數(shù)據(jù)安全能力融合的數(shù)據(jù)資產(chǎn)管理與風(fēng)險(xiǎn)識(shí)別的實(shí)踐探索|科技專刊
發(fā)布時(shí)間:2024-07-04
閱讀次數(shù): 1212 次
高科技領(lǐng)域十大行業(yè)包含電子信息技術(shù)、通信行業(yè)、互聯(lián)網(wǎng)和軟件行業(yè)、新能源和環(huán)保行業(yè)、倉(cāng)儲(chǔ)物流行業(yè)、新材料行業(yè)、衛(wèi)星導(dǎo)航和測(cè)繪行業(yè)、智能制造和機(jī)器人行業(yè)、新能源行業(yè)。隨著各行業(yè)數(shù)字化轉(zhuǎn)型的持續(xù)推進(jìn),繁多的業(yè)務(wù)應(yīng)用覆蓋了經(jīng)濟(jì)與民生需求,衍生出新的應(yīng)用和數(shù)據(jù)數(shù)量增長(zhǎng)迅速,有力地支撐社會(huì)經(jīng)濟(jì)中的數(shù)字化服務(wù),其數(shù)據(jù)資產(chǎn)具有極高的價(jià)值和敏感性,數(shù)據(jù)資產(chǎn)已經(jīng)成為企業(yè)的基石與核心競(jìng)爭(zhēng)力。企業(yè)發(fā)展先期,業(yè)務(wù)發(fā)展迅速,對(duì)數(shù)據(jù)資產(chǎn)管理和風(fēng)險(xiǎn)管理往往相對(duì)滯后,高科技領(lǐng)域持續(xù)發(fā)展的過程中,數(shù)據(jù)安全和隱私合規(guī)面臨許多的挑戰(zhàn),常見挑戰(zhàn)包含數(shù)據(jù)泄漏和黑客攻擊、合規(guī)遵從、數(shù)據(jù)訪問控制的精細(xì)化管理、人工智能和大數(shù)據(jù)應(yīng)用、隱私風(fēng)險(xiǎn)、法律法規(guī)和標(biāo)準(zhǔn)的不斷變化,而隨著技術(shù)的不斷發(fā)展、市場(chǎng)的不斷變化,數(shù)據(jù)安全和隱私合規(guī)面臨的挑戰(zhàn)也會(huì)變化,高科技行業(yè)中的企業(yè)需要密切關(guān)注行業(yè)和市場(chǎng)動(dòng)態(tài)。據(jù)中國(guó)信息通信研究院調(diào)查數(shù)據(jù)顯示,僅26.59%的企業(yè)具有數(shù)據(jù)安全管理要求,對(duì)數(shù)據(jù)進(jìn)行分類分級(jí),對(duì)數(shù)據(jù)具有安全管控機(jī)制;僅17.88%的企業(yè)能自動(dòng)化識(shí)別并處置數(shù)據(jù)使用過程中的風(fēng)險(xiǎn),具備數(shù)據(jù)流轉(zhuǎn)的自動(dòng)化追蹤和溯源能力。但萬變不離其宗,為確保數(shù)據(jù)資產(chǎn)的安全和隱私合規(guī),數(shù)據(jù)發(fā)現(xiàn)、識(shí)別和分類分級(jí)是根本,而數(shù)據(jù)流轉(zhuǎn)的風(fēng)險(xiǎn)監(jiān)測(cè)是保障,通過對(duì)數(shù)據(jù)進(jìn)行發(fā)現(xiàn)、識(shí)別和分類分級(jí),可以更好地了解數(shù)據(jù)的安全和隱私需求,制定相應(yīng)的數(shù)據(jù)流轉(zhuǎn)策略和安全措施,從而降低數(shù)據(jù)在流轉(zhuǎn)過程中的風(fēng)險(xiǎn)。同時(shí),通過對(duì)數(shù)據(jù)流轉(zhuǎn)過程進(jìn)行監(jiān)測(cè)和控制,可以及時(shí)發(fā)現(xiàn)數(shù)據(jù)的異常流轉(zhuǎn)和風(fēng)險(xiǎn),并采取相應(yīng)的措施進(jìn)行處置和糾正,保障數(shù)據(jù)的安全和隱私。接下來篇幅會(huì)對(duì)這兩個(gè)重點(diǎn)話題展開詳述。
1.未準(zhǔn)確識(shí)別數(shù)據(jù)資產(chǎn)
引發(fā)數(shù)據(jù)安全的風(fēng)險(xiǎn)源可能是內(nèi)部人員的惡意行為或無意操作,也可能是外部黑客的惡意攻擊,采用惡意軟件、安全漏洞、社會(huì)工程學(xué)等多種手段。從應(yīng)用前端的過度采集數(shù)據(jù),到中后端疏漏的數(shù)據(jù)資產(chǎn)管理、風(fēng)險(xiǎn)管理和權(quán)限管理,對(duì)于許多企業(yè)而言,沒有全面清晰地識(shí)別業(yè)務(wù)所依賴關(guān)聯(lián)的數(shù)據(jù)資產(chǎn),進(jìn)而無法準(zhǔn)確評(píng)估數(shù)據(jù)資產(chǎn)價(jià)值和風(fēng)險(xiǎn)。通過技術(shù)工具的使用,準(zhǔn)確地識(shí)別業(yè)務(wù)經(jīng)營(yíng)數(shù)據(jù)、客戶信息、風(fēng)控?cái)?shù)據(jù)等敏感的數(shù)據(jù)資產(chǎn)對(duì)業(yè)務(wù)至關(guān)重要,是進(jìn)行安全分類和風(fēng)險(xiǎn)管理的基礎(chǔ)。
2.粗放的數(shù)據(jù)分類分級(jí)
國(guó)家不斷新推出的行業(yè)標(biāo)準(zhǔn)和規(guī)范,標(biāo)準(zhǔn)中提供行業(yè)數(shù)據(jù)的分類分級(jí)示例。數(shù)據(jù)分類往往基于組織內(nèi)所有數(shù)據(jù)的考量,以數(shù)據(jù)的類型結(jié)合數(shù)據(jù)實(shí)際內(nèi)容范圍進(jìn)行分類;以數(shù)據(jù)的安全屬性破壞后影響到的對(duì)象和程度定義分級(jí)。由于企業(yè)往往沒有及時(shí)地解讀和跟進(jìn)新實(shí)施的行業(yè)標(biāo)準(zhǔn),數(shù)據(jù)分類分級(jí)精細(xì)化不足,加之以往構(gòu)建的數(shù)據(jù)目錄或清單多為人工梳理,或以公開、內(nèi)部和機(jī)密為維度粗略的分類分級(jí),難以針對(duì)不同類型的數(shù)據(jù)資產(chǎn)采取差異化的管理策略。
3.數(shù)據(jù)資產(chǎn)管理與風(fēng)險(xiǎn)管理的割裂
企業(yè)中的風(fēng)險(xiǎn)管理和數(shù)據(jù)資產(chǎn)管理間往往缺乏有效的協(xié)同機(jī)制,使得風(fēng)險(xiǎn)管理措施的制定與執(zhí)行脫節(jié)。數(shù)據(jù)資產(chǎn)管理是風(fēng)險(xiǎn)管理的輸入,有效地識(shí)別和評(píng)估數(shù)據(jù)資產(chǎn),為更合理地制定風(fēng)險(xiǎn)識(shí)別和處置策略提供依據(jù)。風(fēng)險(xiǎn)管理的執(zhí)行也與數(shù)據(jù)資產(chǎn)管理息息相關(guān),對(duì)于不同類別的數(shù)據(jù)資產(chǎn)所采取的風(fēng)險(xiǎn)措施落地,需要數(shù)據(jù)資產(chǎn)管理結(jié)果的支持,例如數(shù)據(jù)資產(chǎn)目錄、業(yè)務(wù)影響對(duì)象和范圍分析結(jié)果等,數(shù)據(jù)資產(chǎn)在遭遇風(fēng)險(xiǎn)威脅后的事件處置,需要根據(jù)數(shù)據(jù)資產(chǎn)的屬性、重要性和業(yè)務(wù)關(guān)聯(lián)性采取差異化措施,需要與日常的數(shù)據(jù)資產(chǎn)管理相結(jié)合。對(duì)于數(shù)據(jù)資產(chǎn)管理來說,通過對(duì)風(fēng)險(xiǎn)管理和策略執(zhí)行情況的跟蹤,評(píng)估其有效性發(fā)現(xiàn)行之有效和待改進(jìn)的地方,并將改進(jìn)措施反哺至數(shù)據(jù)資產(chǎn)安全管控。
4.審計(jì)機(jī)制的不完善
企業(yè)對(duì)于數(shù)據(jù)資產(chǎn)的訪問與使用行為情況進(jìn)行的審計(jì)溯源機(jī)制還不完善,難以及時(shí)有效地發(fā)現(xiàn)異常訪問行為。數(shù)據(jù)資產(chǎn)管理為審計(jì)與溯源提供基礎(chǔ)。被審計(jì)的數(shù)據(jù)資產(chǎn)必然來源于企業(yè)所識(shí)別的數(shù)據(jù)資產(chǎn)清單及分類分級(jí)結(jié)果,為確定審計(jì)對(duì)象和事件分析提供重要參考。數(shù)據(jù)資產(chǎn)出現(xiàn)異常需要審計(jì)與溯源進(jìn)行分析。當(dāng)數(shù)據(jù)資產(chǎn)發(fā)生安全事件時(shí),需要對(duì)事件進(jìn)行審計(jì)與溯源,以查明事件發(fā)生的原因及責(zé)任主體,與資產(chǎn)管理相關(guān)的信息相結(jié)合才能進(jìn)行有效分析。通過對(duì)數(shù)據(jù)資產(chǎn)的使用與訪問情況進(jìn)行追溯,可以發(fā)現(xiàn)資產(chǎn)管理方面存在的問題,如分類不準(zhǔn)確、訪問控制不足等,并及時(shí)反饋至數(shù)據(jù)資產(chǎn)管理工作中進(jìn)行改進(jìn)。
1.多維度的數(shù)據(jù)資產(chǎn)識(shí)別覆蓋
企業(yè)內(nèi)部的數(shù)據(jù)資產(chǎn)是多樣化的,有靜態(tài)存儲(chǔ)的數(shù)據(jù),流轉(zhuǎn)的數(shù)據(jù)和正在使用的數(shù)據(jù),有結(jié)構(gòu)化的數(shù)據(jù),也有非結(jié)構(gòu)化的數(shù)據(jù),而識(shí)別數(shù)據(jù)的本質(zhì)在于識(shí)別出有價(jià)值的數(shù)據(jù),采取好有效的安全保護(hù)措施同時(shí)進(jìn)而為業(yè)務(wù)賦能。要做到數(shù)據(jù)的全面識(shí)別需要各項(xiàng)技術(shù)能力的結(jié)合,如數(shù)據(jù)庫(kù)掃庫(kù)、DLP,但在數(shù)據(jù)無出不在的數(shù)字化時(shí)代會(huì)面臨兩大挑戰(zhàn),一是需要大量的人工輔助,二是已經(jīng)被標(biāo)識(shí)的數(shù)據(jù)如何流入流出、如何被訪問、使用、流轉(zhuǎn)、存儲(chǔ)。如何保證數(shù)據(jù)識(shí)別的完整性、一致性、降低人工輔助的成本,做到既要有要?依托于全鏈路的數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)能力,實(shí)現(xiàn)全域數(shù)據(jù)自動(dòng)發(fā)現(xiàn),包括外部API、內(nèi)部API、數(shù)據(jù)庫(kù)和數(shù)據(jù)湖側(cè)的數(shù)據(jù)均支持自動(dòng)發(fā)現(xiàn)。自主研發(fā)的數(shù)據(jù)識(shí)別引擎,依據(jù)數(shù)據(jù)本身的特征和屬性,自動(dòng)化發(fā)現(xiàn)敏感數(shù)據(jù)標(biāo)識(shí)和敏感數(shù)據(jù)流轉(zhuǎn)全鏈路。對(duì)于高科技行業(yè)來說,數(shù)字化業(yè)務(wù)進(jìn)程中包含了經(jīng)營(yíng)管理類、生產(chǎn)運(yùn)營(yíng)類和客戶服務(wù)類等重要數(shù)據(jù),對(duì)于這些數(shù)據(jù)中特征明顯,例如客戶服務(wù)類的個(gè)人基本信息、個(gè)人聯(lián)系信息、個(gè)人職業(yè)信息等數(shù)據(jù),通過正則表達(dá)式、關(guān)鍵字、字典等方式比較容易使用技術(shù)工具進(jìn)行識(shí)別和標(biāo)識(shí)。當(dāng)數(shù)據(jù)識(shí)別的對(duì)象屬于行業(yè)屬性比較明顯的結(jié)構(gòu)化數(shù)據(jù),例如賬戶信息、支付信息、購(gòu)物信息、收入信息、交易記錄、物流商品、績(jī)效數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、經(jīng)營(yíng)預(yù)測(cè)數(shù)據(jù)等這類數(shù)據(jù),往往內(nèi)容復(fù)雜、不具備明顯特征,傳統(tǒng)技術(shù)手段難以識(shí)別,則可以采用創(chuàng)新的思路突破行業(yè)屬性明顯的“無特征”數(shù)據(jù)識(shí)別難題,可以在應(yīng)用前端頁(yè)面針對(duì)字段完成數(shù)據(jù)標(biāo)識(shí)的操作,半人工的方式彌補(bǔ)技術(shù)工具的局限性,從而實(shí)現(xiàn)包括個(gè)人隱私數(shù)據(jù)、業(yè)務(wù)經(jīng)營(yíng)數(shù)據(jù)和重要數(shù)據(jù)在內(nèi)的全類型數(shù)據(jù)識(shí)別和標(biāo)識(shí)。
圖 1 前端頁(yè)面數(shù)據(jù)識(shí)別與標(biāo)識(shí)及管理后臺(tái)呈現(xiàn)示意圖
2.依托技術(shù)工具的數(shù)據(jù)資產(chǎn)分類分級(jí)精細(xì)化
數(shù)據(jù)分類分級(jí)是應(yīng)對(duì)數(shù)據(jù)安全挑戰(zhàn)、推進(jìn)數(shù)據(jù)安全治理的重要手段,標(biāo)準(zhǔn)作為各行業(yè)數(shù)據(jù)處理者開展數(shù)據(jù)分類分級(jí)工作的重要參考指引,技術(shù)工具則作為分類分級(jí)工作的主要實(shí)現(xiàn)方式。一方面,技術(shù)工具為有明確分類分級(jí)指導(dǎo)的行業(yè),提供符合國(guó)標(biāo)規(guī)范的分類分級(jí)策略,以滿足個(gè)人隱私數(shù)據(jù)和行業(yè)數(shù)據(jù)的分類分級(jí)需求;另一方面,技術(shù)工具可以提供定制化的分類分級(jí)規(guī)則配置,定制屬于企業(yè)自己的分類分級(jí)規(guī)則劃分標(biāo)準(zhǔn),深入業(yè)務(wù)環(huán)節(jié)和數(shù)據(jù)使用情況,使分類分級(jí)的結(jié)果更加符合企業(yè)的業(yè)務(wù)流程和實(shí)際需要。
3.數(shù)據(jù)流轉(zhuǎn)可視助力數(shù)據(jù)資產(chǎn)管理
通過自動(dòng)化的繪制數(shù)據(jù)流轉(zhuǎn),可以直觀的理解數(shù)據(jù)在不同系統(tǒng)、應(yīng)用和流程中的使用情況,包括數(shù)據(jù)訪問、數(shù)據(jù)使用、數(shù)據(jù)共享等。這有助于更好地管理數(shù)據(jù)資產(chǎn),包括對(duì)數(shù)據(jù)進(jìn)行分類和分級(jí)、控制數(shù)據(jù)訪問和使用、保護(hù)數(shù)據(jù)安全和隱私等。例如,企業(yè)可以通過數(shù)據(jù)流轉(zhuǎn)可視化工具,發(fā)現(xiàn)某些數(shù)據(jù)在流轉(zhuǎn)過程中存在業(yè)務(wù)流問題或安全風(fēng)險(xiǎn),及時(shí)采取相應(yīng)的措施進(jìn)行處理,如對(duì)敏感、重要數(shù)據(jù)進(jìn)行加密或脫敏等操作,從而保證數(shù)據(jù)質(zhì)量和安全性。圖 3 數(shù)據(jù)流轉(zhuǎn)可視
4.數(shù)據(jù)資產(chǎn)管理與風(fēng)險(xiǎn)識(shí)別協(xié)同
數(shù)據(jù)資產(chǎn)識(shí)別與風(fēng)險(xiǎn)識(shí)別的主要識(shí)別對(duì)象是存在交集的,對(duì)同一業(yè)務(wù)環(huán)境下的數(shù)據(jù)資產(chǎn)進(jìn)行梳理和制定風(fēng)險(xiǎn)策略。風(fēng)險(xiǎn)識(shí)別需要數(shù)據(jù)資產(chǎn)梳理結(jié)果作為輸入,以數(shù)據(jù)資產(chǎn)作為對(duì)象,以資產(chǎn)暴露面確定風(fēng)險(xiǎn)識(shí)別策略和規(guī)則。數(shù)據(jù)資產(chǎn)識(shí)別也需要風(fēng)險(xiǎn)識(shí)別結(jié)果作為參考,優(yōu)化資產(chǎn)類別及風(fēng)險(xiǎn)等級(jí)的業(yè)務(wù)劃分。技術(shù)工具的介入能夠有效地在技術(shù)層面將數(shù)據(jù)資產(chǎn)識(shí)別與風(fēng)險(xiǎn)識(shí)別之間建立內(nèi)在關(guān)聯(lián)。圍繞數(shù)據(jù)資產(chǎn)為風(fēng)險(xiǎn)對(duì)象,能夠?qū)崿F(xiàn)單次查詢多類敏感數(shù)據(jù)、累計(jì)查詢返回多條敏感數(shù)據(jù)、瞬時(shí)查詢返回多條敏感數(shù)據(jù)等異常行為的實(shí)時(shí)分析和預(yù)警,亦可基于數(shù)據(jù)全鏈路,不受限于數(shù)據(jù)資產(chǎn)本身,圍繞數(shù)據(jù)、數(shù)據(jù)庫(kù)、應(yīng)用和用戶多維度進(jìn)行高維關(guān)聯(lián)數(shù)據(jù),構(gòu)建風(fēng)險(xiǎn)監(jiān)測(cè)底層能力,通過聚合分析數(shù)據(jù)和載體資產(chǎn)風(fēng)險(xiǎn),實(shí)現(xiàn)應(yīng)用側(cè)數(shù)據(jù)泄漏風(fēng)險(xiǎn)預(yù)警能力。圖 4 數(shù)據(jù)資產(chǎn)為對(duì)象的風(fēng)險(xiǎn)識(shí)別示意圖
5.數(shù)據(jù)資產(chǎn)管理與審計(jì)溯源協(xié)同
數(shù)據(jù)資產(chǎn)管理與審計(jì)溯源在實(shí)施過程中發(fā)現(xiàn)的問題彼此存在關(guān)聯(lián)。數(shù)據(jù)資產(chǎn)管理中發(fā)現(xiàn)的高敏感資產(chǎn)可能是事件審計(jì)中風(fēng)險(xiǎn)威脅的重要因素。對(duì)審計(jì)日志的關(guān)聯(lián)分析可以實(shí)現(xiàn)更加系統(tǒng)化和深入的應(yīng)對(duì)和修復(fù)方案制定。對(duì)于技術(shù)工具而言,動(dòng)態(tài)采集用戶訪問行為日志,結(jié)合全鏈路的能力,形成用戶、應(yīng)用、數(shù)據(jù)庫(kù)及數(shù)據(jù)在內(nèi)的四層關(guān)聯(lián)審計(jì)記錄,審計(jì)要素全面覆蓋數(shù)據(jù)流轉(zhuǎn)全鏈路上的重要對(duì)象,要素更全面,鏈條更完整。同時(shí)針對(duì)風(fēng)險(xiǎn)事件提供快速雙向溯源能力,可針對(duì)某個(gè)用戶賬號(hào)基于其訪問行為進(jìn)行溯源,也可以針對(duì)某條具體數(shù)據(jù)基于其被調(diào)用行為進(jìn)行溯源,溯源定位更高效。
簡(jiǎn)言之,數(shù)據(jù)資產(chǎn)管理負(fù)責(zé)識(shí)別高價(jià)值資產(chǎn),為數(shù)據(jù)安全風(fēng)險(xiǎn)管理提供基礎(chǔ)。風(fēng)險(xiǎn)管理在數(shù)據(jù)資產(chǎn)輸出的基礎(chǔ)之上制定并執(zhí)行風(fēng)險(xiǎn)識(shí)別策略,以預(yù)警安全風(fēng)險(xiǎn)對(duì)數(shù)據(jù)資產(chǎn)可能造成的影響。數(shù)據(jù)資產(chǎn)管理側(cè)重資產(chǎn)梳理,風(fēng)險(xiǎn)管理側(cè)重威脅告警,但最終的目的都是為了降低風(fēng)險(xiǎn)威脅對(duì)重要資產(chǎn)的影響。數(shù)據(jù)資產(chǎn)識(shí)別與風(fēng)險(xiǎn)識(shí)別都是數(shù)據(jù)安全的重要起點(diǎn),兩項(xiàng)能力之間的高度協(xié)同,可以確保管理工作的連貫性和系統(tǒng)性。而審計(jì)溯源的執(zhí)行結(jié)果反過來檢驗(yàn)數(shù)據(jù)資產(chǎn)管理的有效性,對(duì)安全事件的追溯定責(zé)也需要兩者結(jié)果的結(jié)合。企業(yè)在構(gòu)建數(shù)據(jù)安全管理體系時(shí),需要明確數(shù)據(jù)資產(chǎn)管理與其他能力之間的關(guān)聯(lián)性和重要性,使其整體成為一個(gè)能夠相互促進(jìn)的閉環(huán)。安全策略的制定不建議采用通用性方案,應(yīng)考慮多項(xiàng)能力的結(jié)合,使得數(shù)據(jù)資產(chǎn)的保護(hù)不流于形式,真正發(fā)揮實(shí)質(zhì)性作用,向體系化的建設(shè)思路上持續(xù)發(fā)展。
作者介紹:曾俊輝,紅途科技解決方案工程師。
來源:安全村SecUN
官方訂閱號(hào)
官方服務(wù)號(hào)
第59號(hào)
浙公網(wǎng)安備 33010502006954號(hào) 
