如题,本篇博客是蹭数据安全领域的大佬金师傅的一次经验,来源于B站视频:https://www.bilibili.com/video/BV1Qr4y1V7jk
本文记录金师傅的经验之谈,本文有自己的总结与排版
楔子
今天讨论数据安全相关的一些问题,因为数据安全这两年比较热,监管要求巴拉巴拉一大堆,但是怎么落地,实施指南,测评要求根本没有给。也不能说根本没有给,就寥寥无几,因为我们国家这个数据安全法律都属于很滞后的阶段,测评指南,实施指南就是很滞后。现实中比较流氓的一点就是没有人教你怎么做,没有人告诉你怎么做,就是你像监管要求的颗粒度,他就告诉你,我要查你这个,你要搞这个,但是他没有告诉你颗粒度,没有告诉你指标项,但是他要来查你,你必须要有,而且你要做好,这就很操蛋。那你像网安,有等保,然后等保里面有指标项,就是有一个check list,按照那个表,然后根据实际的这个经费,或者对安全的一个重视按需选择,反正只要达标就行。但数据安全现在不是这样的,咱们国家数据安全还是处于一个刚刚起步的一个阶段,然后就是大家都还在黑暗中摸索。我的以下分享就是只是代表我个人经验的一个总结,就是肯定有不全面和错的地方。
今天分享不谈一些宏观的或者说什么政策,因为现在一谈数据安全治理就跟你讲国家多关注啊,合规啊,这块我就是主要想关注一下落地,比较接地气,我们要做哪些事,才能把数据安全治理去做好。当然也是基于实际的一个经验去做的一个分享。主要分了以下几块内容:
1、数据安全治理是什么?
就是这个东西太热了,现在各种厂商,包括一些什么微信公众号这块,天天给你讲数据安全治理,那数据安全治理是个啥?这个我觉得就是大家不要被厂商洗脑,你要是乙方做咨询,做服务,或者说做产品的人,我觉得你首先要清晰的明白什么是数据安全治理,我们要解决哪些需求和痛点。如果你是甲方人员呢,你就要给你的领导说数据安全治理是什么,我们怎么做,不要被那种无良的乙方骗了,我觉得这是它的意义。
2、数据安全治理思路
我们要做哪几件事去把这个事能落下来。
3、风险评估
像数据安全法这块,其实都提到数据安全风险评估
4、案例分享
之前信通院发了个数据安全风险评估白皮书,但那个东西我第一次看我看不懂。就是里面什么数据要素这块看不懂,然后我就拿了一个案例做个分享,这个我看前面有人说了,阿里云那个事儿发生之后,我们这做了一个事件分析,我觉得可以套那个案例去帮助大家看一下什么是基于场景。因为数据安全风险评估他是基于场景的一个思维,就是怎么去基于场景去做一个数据安全风险评估的一个分析
数据安全治理是什么?
什么是数据安全治理,我觉得要想落地,落地去做数据安全,还是前面说的别着急去听厂商的软广或者他们的材料。要耐心分析一下,我们数据安全为什么要做数据安全治理?数据安全我们要干什么?这个是我结合那个合规要求,包括十四五的规划,以及在之前的几个项目案例里面去做的一个总结吧,可能不一定全啊。但我目前对数据安全的认知是这样的,我觉得数据安全主要就是为了解决这五个问题:
数据安全核心目标
1、合规
你像安全的一个目标它很多啊,这两年那个护网,包括那个红蓝对抗这块,就是业界一直在提倡安全应当以实战为目标,这个观点我觉得没毛病,我比较赞同啊,但是万事万物,它不都有发展规律,我们也要遵循事物的一个发展规律,从当前组织的一个角度,就是从当前我们每个人企业角度,还有当前的一个无论是市场角度啊,或者说当前数据全发展阶段来看的话,其实我国的一个安全市场不光是数据啊,网络安全,它也主要是依赖于合规啊。你像态感这一块,也是基于等保2.0之后大家都在推沙箱,都在说0day,都在搞态感。其实这也是合规在推动,尤其是数据安全事件,数据安全这个市场可能更明显。之前那个IDC,它是显示全球数据安全市场70%都是依赖于这个合规推进,包括前不久那个安全盛会,我记得国外数据安全两三个头部厂商,就是在全球出了名的数据安全厂商,就拿了一大笔融资,他们的产品我研究了一下,确实依托于合规。就是你像GDPC还有各种地方的法律,他们的产品模块和思路就是沿着合规去走,所以说我觉得合规与实战其实是二者不矛盾,合规是底线,实战是拔高,然后合规能保证监管部门不罚你,实战保证别人想搞你的门槛很高。然后咱们就不能好高骛远,先在合规的基础上再去准备后面去跑去飞。然后其实我个人觉得就是说数据安全治理怎么怎么样,我觉得就是第一点就合规真的很难啊。你像其实现在咱们国家就部委就那几个,很多部委自己的合规做的一塌糊涂,然后他们还要要求下面各省的机构也要去做,就这个东西就很难。然后我们可以再从另外一个视角去看,这个合规为什么难?你像咱们安全圈,最喜欢搞沙龙,搞这种闭门会,搞这种知识分享大咖论坛,之前咱们网络安全每次搞分享,像IC啊这种大会啊,还有一些企业组织的,其实就来来回回圈内那几个大佬去给你谈安全理念,谈安全产品。但是留心观察一下,现在数据安全搞得很多沙龙和分享,他除了就是安全圈的这帮人,他一般都会邀请一两个律师事务所的律师来。就通过这个我觉得就能看出来,这个合规很难,因为安全厂商如果现阶段就能把合规完全吃透,就不至于需要去找律所的同事来做支撑了。然后因为安全厂商它又是安全的一个主要输出机构,所以说合规真的挺难搞的,这个是数据安全面临的第一个问题
2、有哪些数据?哪些要保护?
数据安全要解决的核心问题就是我要知道我有哪些数据,数据安全拆开就是数据和安全。就我想问一下在座的,大家能不能说出自己单位,自己公司所拥有的数据吗?就是我要问你,你们的数据量级,数据类型,数据用途,数据存储在哪?这种描述信息,我觉得可能很多人说不好。项目里遇到的大家其实都说不出来,大家可能说我有多少个数据库,我有多少个业务系统,或者说我哪些安全设备,这个很清楚。但是我问你数据,你说不出来,包括数据量级这块。所以说要想做数据安全,首先要摸清家底。我要知道我所有的数据都在哪?我有哪些数据?然后对症下药,对症下药之后,给数据划定一个范围和界限。其实这个例子就像,我特别有钱,我可能在北京,上海都有房,然后我有招商银行卡,我有农业银行卡,我有工商银行卡。这些东西都是我的一个资产,我肯定是知道我有哪些资产,而且我要时时刻刻去关注它,我只有知道我有哪些资产,我有几套房,我有几张银行卡,我才能去考虑怎么保护。
然后这里面的话,肯定还有一个做数据安全绕不过去的词,它其实也在这个里面,就是有哪些数据需要被保护。那其实它就等于我们要去对数据做一个分类分级,然后数据分类分级是数据安全最近的一个高频词汇,因为我觉得它高频的原因在于所有合规都在提。它是做数据安全必须做的一个事儿。还有个原因就是它很难,它难的原因就我觉得有三点啊,就是分类分级,它其实是两个问题,一个是分类,一个是分级。
分类它其实是一个业务问题,有人说业务和安全是脱节的,是的,这个是一个痛点。就是从我们来说,我们做安全的,你让我去配合,比如防火墙规则,做一个溯源可能没问题。但是你要问我一些业务的情况,我是肯定说不出来的,因为我不关注业务,甚至说我都不知道这个业务用哪些数据,这个数据是怎么跑的。那你让我去基于这个去给他做分类,我觉得是肯定有问题的。因为分类分级,分类就是个业务问题,但是没办法,这个可能大部分来说都是我们安全人员去做,当然业务人员也得去协助。
第二难就是分级问题,分级它确实是个安全问题啊,但是你看分级它的定性是我们要从影响对象,影响范围、影响程度去定级。这个东西太主观了,而且就特别咬文嚼字,我觉得就对于可能我们做安全,就是技术人员来说,去搞咬文嚼字的事挺难的。然后这就是两个难的原因。
第三个难的原因,我觉得还是技术落地很难,因为你像分类分级,包括落地达标,说白了它这个技术原理,它就是基于对流量进行一个解析,对流量进行一个解析还原,然后我是要去基于内容去对它进行一个检测。就我传了一个word,我这个word里面可能涉及到国家地理数据,涉及到个人隐私数据,我要去识别出来,那这个识别技术呢,就现在比较成熟的可能就是像关键字、数据字典、正则表达式这三种是比较成熟的方式。但是他的这个就是给我的感觉是它的天花板太低了,就举个很简单的例子,我们的手机号是11位纯数字。那可能我的我公司里面的,我的合同编号也是11位纯数字,你通过正则,你怎么去识别这11位数字,它究竟是合同号还是手机号,你这个识别不出来,你没有办法去给他做分类,你也就没有办法去给他做分级。
当然现在也在推,你像NLP,虽然语言处理,包括文件指纹这种方式,当然我们其实也在用这种方式,但是它的一个漏报率,误报率说实话还是比较高的,因为它主要是需要一个模型的准确度。比如说,金融,我随便举个银行,我给阳光保险做,那我要想做我模型的一个准确率,我是不是需要大量的一个数据。但那是银行的一个数据,他给我,他就违反了数据安全法。但他没有办法给我,你要说去脱敏给我,但是肯定也会影响到我模型的一个准确度。包括你像NLP这种东西,它其实是需要一个很长很长时间的一个运营的,你对于客户来说,我希望你给我个盒子,给个箱子,我一插网,一通电我就能干了。所以说这个其实它带来的一个问题就是交付很难,然后还有一种方式是文件指纹,文件指纹这个我们之前研究过,这个落地基本上落不了。因为文件指纹假如说我这个服务器里,我就拿非结构化数据来说,我有1000个文件,我每个文件我去生成一个指纹,就可以理解为MD5哈希,然后我放到我的检测设备里,当我在传输的过程中,我发现匹配到了,那我就认为,这个可能有泄密啊,但是这个就在于你客户得把这个东西给你,你才能去生成规则,这是第一点。第二点的话,我觉得他的绕过是很容易的,你像咱们网络安全什么0day啊,包括什么SQL绕过啊,对吧,什么绕狗啊,绕waf都玩烂了。你要真的让这些人去绕,这个我觉得太简单了,我空几个格对吧。我里面调调字节这块可能都会影响到我的指纹。所以说这个就是落地其实也很难。分类分级,它难就难在这三点。
3、数据有没有风险
那这个就是关注数据安全,我们把数据解决了,现在关注安全了。这个安全的话就是有没有风险,数据安全风险评估服务也好啊,还是通过数据安全的一些监测类设备,这块我们就是要尽可能去发现自己当前有哪些风险,我认为它的一个难点在于它跟网安的一个区别,就是网安所有监测的东西它都是死的,然后数据它是流动的,比如说我是一台数据库,我的一个数据采集,可能是我的一个合作伙伴把数据给我,是通过API接口,或者说通过业务系统,甚至说通过QQ微信给到我。给到我之后,然后肯定是先下载到本地,然后再上传到数据库,然后等等这一系列过程,就可能就这一条数据,它经过了很多个环节,它一直不断在流动,那这个过程中,我们每一个阶段都要去把它监测起来,才能串成一个完整的数据安全生命周期,这个也是比较难的。然后这个也是数据安全需要解决一个问题
4、怎么防范风险
我知道我有风险,我得解决啊,不然我把风险扔在那儿,我领导看着都想打我,就我天天找事不干事,所以说我们发现了风险还要去防止,或者说及时去解决这个风险带来的一些隐患,当然这个的话就是怎么防范,这个它是基于数据的一个分类分析的一个结果去判定的,这也是分类分级的一个意义,分类分级的意义不是说是我去把分类分级做好,打几个属性标签给监管部门一扔,那个是没有用的,那个就停留在表面,它实际分类分级的一个核心思想是在于数据应该分级保护,分级管理。那所以说我们的整个防范也是基于这个思想去做。
5、怎么运营
那最后一点是怎么把数据安全运营起来。这个就是照搬网络安全运营这一套。
以上这几个是我认为做数据安全我们应该去面临的问题,也是我们应该去解决的这五个问题,无论是为自己的公司还是说为客户,这五个问题想要回答,就不能靠解决方案买几个设备去解决。我觉得这肯定是一个体系的事,不能一蹴而就。所以说业界也就提出了我们应当用那个治理的角度去面对数据安全,就提出数据安全的一个治理,然后数据安全治理这个概念,它的一个概念我抄了
数据安全治理主要是指这个法律法规、国家标准、行业标准的规定,建立数据安全管理制度,采取相应的技术措施和其他必要的一个措施
然后保障数据安全已经上升到国家战略的一个高度,这个数据安全治理它是2016年首先提出的,他提出的目的就是第一是做合规,因为当时像GDPR这块都很严,第二块就是趋势导向,避免数据现象,第三个就是数据特性,就前面提到的,数据不是死的,它是流动的,它只有流动才有价值,然后如果它是死的,那其实我保护好某个区域就可以了。
但是这个数据因为它的特性,就导致我们肯定不能像保护静态那样去保护一个数据了。然后就这,反正怎么说呢,你像好多企业吧,你说他没做数据安全也不对,他可能买了什么数据加密,数据库防火墙,数据库审计这种这种设备。但是你要说他做了吧,但其实按照现在的合规要求和实战化的一个标准去看,他肯定都是不合格的。他这里保护的都是静态存储的一个数据,他没有办法去对这个流动中的一个数据进行一个保护,然后这个就是数据安全治理的一个建设重点。
数据安全治理
我把数据安全治理我就分为了三块,就是它主要因为治理,它主要就是关注数据的安全,它核心就是数据的一个分类分级和生命周期,然后再辅以这个组织架构、安全管理和技术体系去进行一个落地。所以说我把数据安全治理就拆分了三个部分:
1、资产梳理
就是摸清家底,知道我有哪些数据啊,之前常见的都是一些资产梳理啊,就是梳理我有哪些硬件服务器,中间件设备,然后资产梳理的话,他关注的是数据本身,我要形成数据资产底账,我关注的是我的一个数据类型,我的一个数据量,他所处的一个位置,包括他的责任人,甚至是血缘关系这一块。然后在此基础上再去做一个数据的一个分类分级。我认为数据安全治理的第一步,就是数据资产梳理。
2、数据安全风险评估
因为这个也是合规里面对于某些你像机关的一个强硬要求,要求一年一次常态化数据安全风险评估,这个也会逐渐就类似于等保这这种东西了。然后我个人是觉得数据安全风险评估真的非常重要,它是数据安全建设的一个起点,也是关键点,说前面分类分级它也特别重要,它是基础,但是我觉得那个环节它更像是死的,就是你像我们分类分级的一个标准定完之后,我可能我现在所有业务系统里面的所有数据,我都沿用这个标准,我往下走就行了,我标准可能几年都不会变化啊,当然说除了我什么新增一些业务,或者减少一些业务线,那可能会导致我这个标准发生变化,但相对来说它是稳定的,但是这个风险评估,它这个变化频率会很高,比如说我引入一些新技术,对吧,或者一些新的攻击类型,以及我有一些新的业务场景,比如说我决定上一些APP啊,或者小程序这块,都会导致我风险评估的一个内容和结果,它是一个动态的一个变化。数据安全治理的一个核心就是我们一定要关注动态的东西,死的东西,我觉得咱们都可以放一放,不用管,那个是在网络安全。就是信息安全风险评估里面,其实都已经帮我们解决了,我们在那个基础上去关注他活的就行。
3、数据安全风险处置/建设
我前面做的这些东西,后面肯定要做建设。建设的一个数据来源是来源于哪,我觉得就是来源于风险评估的一个结果,只有了解我有哪些弱点,并且排个优先级,然后差异化的去分析自己当前与合规这一块的一些差距,然后有针对性的再去进行一个建设和处置,然后建设的话,其实主要就分为三块。
首先是组织架构,就比如说什么成立数据安全工作小组啊,就对标网络安全领导小组,然后里面包括什么决策层,管理层,支撑层,审计层,然后它的一个核心思想就是定岗定员,这个双S里面都有。然后管理体系这个也是双S里面的,我就觉得这块就是从那个国外抄回来的,四类文件,战略类文件,制度类文件,规范类文件,表单类文件。最后是技术体系,说白了就是上技术,上工具,这个是厂商比较喜欢的一个环节,这就不说了。然后这个是我觉得数据安全治理,其实就这三大块,按部就班把这三大块做了,我认为这就是数据安全治理,不然那个东西永远停留在纸面。
解决数据安全五个问题
前面提了数据安全应当解决的五个问题,这里就是你通过以上三步能解,就是能回答这五个问题。
- 第一个是你是否合规,那么我们就通过数据安全风险评估解决,因为风险评估里面肯定有合规的要素在,通过那个评估加我们建设工作,那就可以去做到我的一个合规。
- 第二个你有哪些数据,数据在哪,就摸清家底,那这块工作我们就通过这个,通过数据资产梳理,就完全可以去做到
- 第三个数据安全有没有风险,有没有风险可以通过风险评估加这个后面建设里面的这个技术体系和管理体系,就能去解决这个问题。就为啥要有管理体系呢?管理体系不光是一些文件,它有一些流程,我们有技术工具了之后,我们还会有流程,对人要有个约束,通过这两个就去解决这个风险的问题。
- 第四个问题如何防范数据安全攻击,那怎么防范呢?我觉得这就是建设体系中的技术体系和管理体系,这两个你搞就解决问题。
- 最后是运营管理,运营管理就是把前面那三个全部加起来,它就是一个运营管理
以上是做数据安全需要知道的五个问题。然后是数据安全治理的三个阶段,然后通过这三个阶段的有机组合去回答以上五个问题
思路
方法论
在看这个思路之前,我先摆了四个方法论,因为做事得要有方法论指导,然后这个也不全,这个只是我认知里面,我知道的四种常见的方法论。
| DSG | 由Gartner 提出 基于企业自身角度 从政策制度 、 企业架构 、 技术手段多维度入手 纯企业视角下数据安全思路 |
| DGPC | 由微软提出,强调隐私、保密与合规的方法论,重点加强对存储数据的保护 |
| 数据安全治理委员会 | 数据安全治理委员会以“让数据使用更安全”为目标提出数据安全治理方法论,以“分类分级、场景化安全、角色授权”为核心理念 |
| 数据安全能力成熟度模型 | 国家信标委员发布的数据安全标准,基于数据全生命周期提出建设要求和能力要求 |
第一个DSG,这个很有名,其实他主要也是从那个组织架构,政策,包括那个技术手段去入手。去提的数据治理这个方法,DSG这个的话,国内天空卫士那家数据安全厂商按照DSG的这个方法去做的产品,包括做的解决方案。然后这个是DSG,这个就是名气最大的。
然后DGPC,这个是微软的,微软它主要强调的是个人隐私,这个像互联网行业这块对这个有需求的,然后我因为我自己可能互联网行业这块做的比较少,然后对他的关注度不是太高,
这个方法论稍稍微的就是相对来说还是有点老了,因为它还是重点关注在存储。对于流动数据它其实没有提出太好的一个理念,然后下面两个我觉得是国内用的,就我个人用的比较高频的。
一个是数据治理委员会,他提出的一个,其实他没有这种名字啊,就我就只能放这个让数据使用更安全的一个目标,它的一个核心思想就是分类分级就没得说,场景化安全就是跟业务深度去做一个,相当于融合吧,业务和安全不要隔得太开,这个角色授权,访问控制就是权限RAM这一块的一个理念,这是它的一个核心理念,这个是常用的,这个很老。
数据安全能力程度模型,这个是那个贵州大数据,因为咱们国家这块说实话就是贵州那块做的确实是比较靠前的,这个也是国家信标委发布的一个数据安全的一个标准,它是围绕数据安全的一个安全生命周期去提出的一个要求和能力。然后这块我可以分享一下,就是我是怎么用这两个东西的。横坐标纵坐标,然后这个横坐标就是这个数据安全治理委员会,他提出他是把数据安全治理工作也是分了几个环节,这个是作为我的一个横坐标,比如说我写方案啊,或者实际去落地去实施的每个阶段,就是就通俗来讲,项目一期,项目二期,一期应该做哪几个内容,二期该做哪几个内容。然后纵坐标呢,就是数据安全能力度成熟模型,就是DSMM模型,它是把数据安全能力成熟度分为五个档了,每个档它对应的一些就是过程域,就是你应该具备啥,具备啥就可以把这个当做一个check list,就是横纵坐标,把这两个呃方法论做一个结合,然后我们去做我们自己的数据安全的一个落地。
半个月前吧,又发了个叫dsm测评,反正也有人说可能这个是最终,最终是类似于数据安全领域的一个等保,可能也会不用DSMM,但这两个文档我都看了,其实这个也是基于DSMM来了,只是说它的一个可能没有这么细吧,可能大家操作起来我觉得反而不太容易,但是让大家能更好的去满足。这个就是方法论。
资产梳理/分类分级
第一个步骤没得说,就是资产梳理/分类分级
这块其实就是主要就是解决有什么数据,有哪些数据,有多少数据,数据在哪,然后去形成咱们的一个数据资产清单,然后再结合分类分级的一个标准去做一个现在不是监管部门都要求去报送数据,数据保护目录,其实数据保护目录就是这两个东西的一个结合,这个是之前做那个产品设计的时候去这个业务流,就是这个我们可以过一下分类分级的一个流程,为什么有这个数据存在,肯定是我们业务有需要。所以说我们在做数据分类分级的时候,我觉得就包括数据资产探测,我们不应该是这个数据库里它有多少个数据,那个数据库它有多少个数据。我觉得应该是依托于这条业务线它有哪些数据,那条业务线它有哪些数据,这个才是数据安全,就是分类分级,我觉得这是它的一个意义和目标吧。所以说这块我们首先可以通跟业务人员去沟通,去梳理业务线,我要知道我这个企业内部我有多少条业务线,可能abcd,我可能有20条业务线,然后这个叫业务系统的一个属性信息。
谁主管谁负责,谁生产谁负责,就是就是这数据也是一样的,因为是说法里面提的,所以说咱们这个就把这个业务相关的,就是属性也给他,比如说这个业务是哪个部门负责的,哪个人负责的,这块给他就方便之后出事了,我们第一时间定位它。首先我们先梳理业务系统,然后有一个清单,那个一可能一个Excel表格里面可能有十行十个业务系统,然后我们可以跟DBA或者一些运维去沟通,可能因为因为咱们肯定企业内存在这个现象,比如说我业务系统A,业务系统B,我可能共用一个数据库。对吧,也有可能我业务系统A,我这个业务系统,我这个业务系统它很大,我可能用一个业务系统,我用了三个数据库,所以说这个要去跟DBA去确认一下,我每个业务业务系统后面挂了多少个数据载体。它可能也不一定是数据库啊,你像包括什么FTP服务器,这种文件共享服务器,它都算。我们就把每条业务线的一个数据资产这么一个载体给它梳理出来,这就逻辑上就可以分为你像结构化数据,我们叫数据源。结构化数据源和非结构化数据源以及半结构化数据源,当然这还有一个API资产,因为咱们现在API其实也数据安全关注的一个要点,因为很多泄密就都通过他走的,然后这块的话,因为我就是我们是通过这个产品去做的,所以说我这块就相当于有一个联动性测试,你给我的话,我要去主动去扫,所以说我要先做联动性测试啊,就这个可能就大家就无所谓,这个细节不用关注啊。然后这块我就要去配数据源,因为我要扫你的库,你肯定要给我给你的端IP端口,包括那个用户名密码这块你给到我之后,我再配置扫描策略。
扫描策略的话可能就是就分两块,一个比如说定时任务啊,因为数据库生产环境数据库很敏感,你像业务高峰期肯定不敢弄,可能就是半夜,所以说搞个定时任务,然后以还有。一个分类分级的一个规则,咱们要把这个分类分级的一个规则导进去它的,然后让他去执行,当然这里也有判断,就是我是否有分类分级规则,那我们就假如说我这有分类,就是咱们提前制定好了分类分析的一个策略,那我就配进去了,那OK。那我扫完我就形成了一个数据分类分级的保护目录。我再结合我分类分级的一个保护策略,其实我就完成了合规对我的一个要求和约束,以及数据安全治理。
从落地角度来说,假如说没有这个分类分析的一个策略,那我们就只能拿着数据。因为我觉得数据分类分级不好做的原因,就是因为我们没有一个感性的体会,就是我觉得做好多事,就是我们能看得到,摸不摸得着,我就知道这个事怎么做,但是你告诉我数据要做分类分析,我有哪些类数据我不知道,那肯定做不出来,所以说我们可以先扫一遍,就所有数据库哪些字段表我都给到你,然后你再结合合规的要求和你实际你们企业的一个战略发展,你去把这个规则,就是你看这个东西去把这个分类分级的一个策略定出来,然后再导入,再扫,然后其实就结束了。然后当然。监管是要求,我们要去报送咱们那个保护目录的,所以说再给监管报送一份就完了。
这样讲的话,我觉得也比较抽象,我就放了几张图,第一个图
这个数据都是假的,就别当真了,第一个图就是假设我们没有分类分级的一个标准在,那么我为了去就相当于也是做数据资产摸底了吧。我要去扫,我就这是拿结构化数据来看了,就是我这个库就这些类型这一块,包括我每个字段的一个名称,那可能你像这个X和Y,这谁知道这是什么东西,那我分类分级我怎么定啊,那我就又不知道我有哪些数据了。那假如说我们知道XY可能是坐标,那这块可能就是地理测绘信息,那这个就是地理,就是地理测绘类数据,那如果不知道的话就比较烦,但是至少我能知道这些是啥,然后我再跟数据库运维那块,包括跟业务人员去沟通。
因为那个监管部门要求我们报送企业的一个数据量,这块就是扫的过程中把数据量搞出来,然后这个其实就是我们依托于第一张表,就是有一个感性的认知,我有哪些字段,然后再结合合规的一个要求
我去制定数据的一个分类分析规则,这比如说就交易类数据就包含哪些类,然后这个可能是用户类数据。把这个类定好,实际上这里面可能客户基本信息,其实它对应的就是每个字段的信息,我们看的字段再去反推这个东西是比较轻松的。不然这个瞎想,这确实不好,想把这个分类分析标准制定出来,咱们把策略做成规则化导入。再一扫分类分析,说白了就给出数据多两个属性标签,一个是类型,一个是级别。
你像类型可能它属于个人财产类信息,它级别就是极敏感,然后其他低敏感,这个就是按咱们自己按序去去做就行。最后这个就是可能给监管部门去上报,然后这个就是监管部门想问我们要的一个东西。通过这个流程去做出来的
然后上图的话就是比较,就比较虚,比较好看的一个东西就不用管了
资产梳理和分类分级解决哪些问题?
就是摸清家底,满足合规,然后为数据安全建设划清一个边界和范围,这是它的一个意义。
数据安全风险评估
第二个阶段就是数据安全风险评估,这个是咱们要真的想做建设的话,我觉得这个绕不开的
一方面是合规,一方面是按需。因为咱们所有企业的这个预算什么都有限的,而且肯定要优先解决优先级高或者风险大的问题,那怎么去判定呢?就是通过风险评估去做,然后风险评估核心的关键字我就放在这儿了
数据资产、数据权、生命周期基础安全、合规测评和场景化分析,这个待会可以看一个文档,这个我就不展开讲了
风险评估的价值,
1、承上启下,因为数据资产梳理,它跟安全没关系,但我们做的是数据安全,那风险评估就是承上启下啊,它在数据梳理之后,在安全建设之前一个过渡环节。
2、对症下药,确定咱们这个优先级
3、满足合规要求,这个可能不适用于咱们每个人啊,就是因为他这个每年一次,这个目前是你对党政机关啊,或者100万以上的这种个人信息企业它是有要求的
4、为数据安全建设指明方向,因为我评估完我肯定有整改,整改就是咱们的一个建设方案。然后这个就就指明方向
数据安全建设
管理体系建设
首先是数据安全管理体系建设
管理体系建设我觉得就分两块,一个组织管理,一个是制度管理
就这个就一看就是CSSP里面其实就就提到就那一套东西,组织管理就是定岗定员,给每个人确定范围啊,因为只有把这个定好,才能避免什么违规啊,最小特权啊,知其所需这些原则才能用上,如果你这个不确定,那肯定肯定弄不出来,就是组织管理就分为这五块。一个就是这个数据安全领导小组,就是什么决策层,然后数据安全工作小组,其实就是数据安全的负责人,然后数据安全执行人员就可能就是数据安全从业人员,包括网络安全从业人员也在里面。最后一个就是可能咱们业务人员主要关注就是职责权力划分,能力培训,人员体系建设和资源分配,就是定岗定员,
然后最右边就是制度管理,制度管理的话其实就是这四类,
战略、制度、规范、表单,就比如说什么数据安全、生命生命周期管理规范,包括分类分级规范这一块的话,都是咱们要去写的。
然后这块管理体系我觉得就分为两块,一个叫做有没有,一个叫做落没落。有没有就是当监管部门来检查你的时候,因为你像和那个等保,包括检查,它其实有一项就是叫文档查验,就是可能等保里面有你应该具备,比如说什么应急响应制度啊,应急响应流程,他就会来查你有没有这些文档,那这个其实就有没有,咱们数据安全也是这样的,也先解决有没有,然后再去解决咱们这个文档有没有落地啊,流程有没有落地这块。先解决有没有,然后再去解决落没落,这种话是我按照自己的一个经验,就可能也不一定对啊,一个数据安全管理体系相当于工作的一个分解吧,大家一说管理体系都觉得很虚啊,我因为我之前考申通那一块,我觉得管理系就很虚,但是没办法,就是咱们得有,因为而且这个东西确实就是指导后续的一个建设方向,那我现在认为这个管理体系建设思路,我们应该从两个维度作为切入点,一个是广度,一个是深度
那什么是广度?广度就是我参照现有的法律法规及行业标准这块规范,我以完全以合规为出发点,就是为了满足合规和行业一个要求,我应该具备哪些文档以供对方来查验,这个是广度,深度就是我现在已经有合规的一个技术文档,就是我可能会有一个叫材料底稿,就是合规里面,就是我们要去分析或者解析合规材料里面的一些要求,然后我们去形成对应的一个合规文档,但这个文档我觉得是不落地的,因为大家每个企业是不同的,那咱们对吧,咱们的难点和困难点和痛点肯定是不一样的,这块我们就还要结合当前我们自己企业现有的一个安全管理体系和我们实际的一个数据安全的一个需求,就两个再去做一个碰撞。做完了就形成一个我们企业可落地和可用的一个管理文档和流程。
然后具体做法,
第一块我觉得是内部梳理
- 第一个是我们梳理合规要素,其实就是拆解一些合规的一些文档,呃去去看,他要求我们应该从合规角度啊,他要求我们应该具备啥
- 第二个就是材料清单,就是他要求我们具备哪些哪些材料,把所有名称这块列出来,因为这个就是管理体系,它其实主要就分为两块,一个是材料,一个就是流程,因为流程管理也是管理里面的一个很重要的一个部分
- 然后第三就是确认我应该具备哪些流程,比如说什么是数据审批制度,这就是一个流程,然后把我应该从合规角度应该有的一些流程这个清单也整理出来
- 然后内部开会讨论,哎,觉得有没有问题,如果没问题的话,OK,那可能我们的咨询人员就开始写呗。
- 按照合规的一个要求去写这个材料清单,就可能我列了我需要十个类型的材料,那么我因为我前面已经做过合规要素的一个分析,我他关注点是啥,我就对吧,我对症下药,我去写,然后写一个材料的一个底稿。
- 整理流程,撰写流程底稿
这块就完成了一个广度工作,是以合规为出发点。
第二块就是现状调研
这块就是去做深度了,我要从我这个企业的一个实际场景和痛点和需求的角度去出发,那就要去做调研,调研我觉得就是之前我们主要是做四块,第一个就是已有制度一个调研,当前我那些制度已经有了。已有流程的一个调研,哪些流程我已经有了。然后业务场景调研,就是我涉及哪些业务场景,比如说我数据会不会出境这个业务场景,后面也会说什么是业务场景。第四个就是组织架构,因为咱们管理体系里面有一个环节不是组织架构优化,那我肯定也要调研清楚,现在的一个组织架构是啥,那OK,这块就是现状调研。
第三个就是分析设计开始搞了,调研回来材料肯定会很乱,我们肯定就是去分类啊,去整理,去梳理,然后把这个调研的结果去进行一个梳理,然后就是差距分析,也可以理解为碰撞,就是他现有的一个情况是怎样的,跟我们这个呃,材料底稿应该有的,它是怎样的,有哪些差距,去做一个分析,然后下面就是进行设计工作。设计工作我其实在逻辑上分为两块,一个叫容标,一个叫新增标。是什么意思?融标就是说可能我有些制度已经有了,可能咱们有些企业现有,比如说什么数据审批制度,数据报送制度,可能这块之前完全是依照于咱们的一个业务需求去走的,但是现在因为数据安全合规里面,它对这个报送流程与审批它也有自己的一个要求,但是我们就在这个现有文档基础上去结合合规这个要求,就是从底稿里面去复制粘贴它这个要求,然后再进行一个优化,就是去融标,就是把标准融到现有里面。然后第二个就是新增,就是我完全没有,就比如说数据分类分级标准,数据分类分级管控要求这类材料,我们没有做分类分级,或者数安法出来之前,我们没有任何一家企业会有新写,那这个就是新增,就是其实把底稿拿过来,再结合他这个碰撞结果,然后咱们按需实际去写。
最后就是给领导讨论汇报。然后去把这个管理体系流程去试运行,那运行的过程中呢,我们就注意去收集一些业务人员或者一些相关人员的反馈,然后不断就是在对它进行一个迭代优化,最后这个流程化管理,其实这个就是我们做这些是解决有没有,最后实际要去关注落没落,落没落的话,就可能通过技术手段这块去做。这个就随便截了个图。就比如说我定了采集管理规范,数据传输管理规范啊,数据使用的一个管理规范,那可能有些规范我可以通过技术手段去提炼出来。比如说我这个交换规则,我交换只能通过我API去交换,或者走我审批要求我不能不能通过微信这种方式去外传,未经审批部的外发。我就去做这些策略,然后去相当于给业务人员给一定心理上的一个压力吧,让他们去尽量少做这些违规的一些事情,然后通过这种东西去把前面管理的一些材料和流程去做一个落地。这个就是完成管理体系有没有和落没落
数据安全管理体系建设的意义
1、满足合规
2、通过安全咨询去解决有没有
3、监控平台这个名称不用管。通过技术手段去解决落没落
4、提高数据安全管理能力,最后就是为咱们整个数据安全运营去打下一个就夯实一个基础,这个是管理体系
5、指导技术体系建设,技术体系这个就也不用太关注,就是咱们关注一下这个数据,数据的类型,其实结构非结构半结构,从使用状态角度来说,就是存储、传输和使用,就是这三种状态。我们要对这些数据都进行一个监测和保护。
技术体系建设
然后再就是基于数据生命周期,然后这个中间就不用看了,这个从我们那拷过来,然后这个可以看一下,这个就是数据安全能力支撑的个组件啊,就是咱们常用数据安全,可能常见一些设备类型网关啊,加密解就这些东西,这个判定的一个依据,不是说什么都要上的,因为很多它是会有一些冗余。但是还是按需去走,这个按需就是依托于风险评估的一个的一个结果去判定,按需去做建设,最后是因为数据安全,它肯定是跟网络安全它不是脱离的,或者说跟咱们信息安全不脱离,它是在这个基础之上,肯定要用当前已有安全通信。
这块东西就你不能说我网络安全,我搞数据安全,我可能搞得特别好,权限控制啊,这块我做的特别棒,然后我的数据库被人偷了,然后我的机房被人跳了,那这个肯定也有问题,所以说这块就是咱们复用网络安全的东西去做
保护体系
数据安全保护体系其实就是三大块,第一个就是做分类分级,然后做隐患排查,第二个的话就是依托于隐患排查一个结果,找出短板,去做管理体系。一个建设管理体系就是组织架构和那个管理,还有流程这一块,再就是建设技术体系,然后去做这一块的东西
其他
数据出境审查
数据出境审查,我的思路其实就是前面那个数据审查的那个要求,然后去自己提。这块主要偏向于就是政企这一块吧,其实这一块的数据都是严格不出境的。所以说我对于个人,因为数据它其实严格来说就是广义来说,我觉得可以分两类,这个从合规里面都能看,一个就是业务类数据这一块,第二个就是隐私。隐私就是指的是个人类数据这一块,然后我隐私这一块的一些要求,还真的知道不是太多,包括数据出境,因为我暂时没有遇到过数据出境这种场景啊,但是我觉得思路应该是那个check list这种东西的。就可以去做做对照,然后数据出境,我记得有一个就是要去审批,就是去报送,要去监管部门备案,这个是要做的,然后怎么备案呢?前面其实也提到,你要去给他描述清楚你的数据类型,数据数量,数据使用目的。针对数据安全治理的详细的规范指南,没有。就是这个东西就是很缺,就是现在只是有提要求,但实际上没有,你像各个厂家,他可能有自己的数据安全治理的一些方法论或者一些流程,但是这个东西没有像等保2.0这种东西,就是约定俗成是监管部门去发的。所有人都来适应我这个标准,这个目前没有。只能说可能有一个很相似的东西叫做dsm,他这个发布的这个部门是国家市场监督总局和新标委,和标准委员会这两个部门牵头去发了一个dsm认证,然后他也没给具体的项,需要自己去拆,看他有哪些东西。
DLP应该是处理不了加密数据的,终端DLP可以就是网络监测,你像什么邮件这些DLP都不行,因为能处理加密的一般都是在终端去做,因为你的数据通过什么微信QQ或者一些百度网盘这种私有的加密协议去搞的话,数据之前在你的终端上它都是明文的。所以说这块一般只能通过终端DP做,跟那个SLP卸载设备一样,你卸载之后你在内网做流量识别,你在外面都是加密
法规区别
这个是之前给别的公司做的一个,这个就是就是是属于一些商法,像国家安全法啊,国家安全法,民法典网络安全法还有。数据安法包括密码法,保护法这块其实对我们来都是一个上位,就是国家那个层面要去做的一个,包括这个数据安全法,它属于经济信息保护法也经济法,密码法属于行政法,然后数据安全法,网络安全法啊,网络安全法也是经济法,然后宪法这个肯定最高的是国家安全法,然后这个是他们的一个区别,至于具体的你像别的可能就属于下面的这个,你像那个国家法规对吧,顶层规划十四五这个不说,然后国家法规可能就是包含刚才说的这几类,然后他们的一个区别就在于侧重点不一样。你像那个数据安全法,数据安全法其实它很宽泛的,它相当于给了一个框架,我这框架里面包含很多很多东西,但是那个像个人信息保护法,因为那个数据不是就前面提了两类,就是两笼统两大类啊,一个是业务类,一个是个人信息,就是隐私类数据,那数据安全法可能就是针对于个人信息保护法,就针对于数据安全法里面,就是个人隐私个人数据这一块,他再出一个专门针对于它,就是不断细化,不断拆解,不断分解的一个过程。然后的有一些吧,就是各个行业的一个法规,包括一些审视的一个规,这个我觉得就是法律之间的一个一个关系和联系,然后这个的话可以去网上搜一下,你比如数据安全法解析,然后个人信息保护法,就是解读这块就都比较多,就是可以去看一下它这些法律之间的联系和区别。总体来说逻辑是自上而下的。
云数据安全
云上数据安全和咱们在本地做有什么区别?
不知道啊,我不是太懂云。提供商说你的数据在哪儿,真的在哪儿,不在哪儿。你也不知道,这是我觉得最主要的一个区别。包括云上我觉得那个删除就是数据销毁那块,我觉得可能不太好搞。云上特别依赖于合同的约定,因为之前确实有一个项目,就是客户他们是在这个私有云,就是在阿里云,然后那块儿的话,我们给他做的就是去细抠那个合同的细节,就是去把那些东西约定清楚,责任工单,这个数据超期留存,这个超期留存就看从哪方面走,就是你像咱们那个就是从咱们的业务角度,或者咱们内部管理规定,可能会有一些规定,就是我数据留存多少,然后还有一个角度就是你像咱们现在的一些APP,不会收集我们一些个人信息,他的那个隐私条款啊,那些我不知道大家有没有仔细看啊,那里面其实是提到了,就是他给我们有承诺,他数据留存多久,比如说留存三年,他三年如果没有删,那这就是一个留存超期的一个问题。看他自己对外给客户承诺,和他实际的一个中间的一个区别,包括这块监管也是会有相应的一个要求,就针对于不同,其实这个还是依赖于数据分类分级啊,这个你像不同级别不同类型的数据,它其实这个留存期限是不太一样的,你像这种可能一级数据就是不那么核心敏感可能就无所谓,你像重要数据可能真的留存十年的。
有哪些参考?
金融的数据安全做的没我感觉没那么好,但是他们监管出的很多啊,可以去参考参考金融,金融还有运营商行业的一些,就是评估的一些规范要点,就是你去看一下,因为这两个行业走的很前,可能别的行业你像我知道的教育和交通就是在参考他们再去做,所以说你可以去看看他们想检查啥,他们关注啥,你就对应的去放到自己的一个方案。就可以了。
学习程度
然后数据安全学习到哪种程度就可以就业了?哪些岗位可以?
哎这我也不知道,就我转数据安全,去年我之前是干那个安全运营的,就有点就红蓝对抗的,然后我是去年八月份,转数据到现在。数据安全的岗位,岗位其实挺多的,岗位,比如说那个最近那个贵州那边疯狂的招那个DMM测评,测评师,就数据安全这块。我现在知道能想到的数据安全开发,不是说数据安全运营,包括数安产品啊,还有数据安全服务,数据安全咨询这个口子特别多,数据安全咨询这个口子需要的人特别多,因为现在大家都要做据安全风险评估,数据安全合规评估,什么个人隐私合规评估这种特别多,这个就是需要第三方,就是无论你像四大也做这个东西,就包括安全厂商也做,现在你像我知道安天好像也搞了一个数据安全服务团队,要去做这些事儿。然后我大概目前能想到的就是这些啊,你可以去看一下那个贵州的那个是吧,有一个叫做全国DSMM,全国DSMM公共服务平台,你可以去看一下这个,这个就是那个贵阳那边搞的。就是www.dsmm.com.cn数据安全产品有图,有图有一个所有的图,那个图是之前用来下客户的,就是因为数据安全产品说实话细分下来可能有个七八十类的,但没有网络安全那么多啊,但是七八十类绝对是有的,然后你不对吧,你客户不想做风险评估,那可以啊,那七八十类你按照合规要求你都搞吧,没钱那咋办?那就做风险评估吧,你看看你缺啥缺啥补啥。那个什么厂商的一个维度,然后你再去,你要先把厂商捞出来,然后再去厂商那找产品,你这产品单就出来了。