2.提高数据安全技术防护能力
(1)自动化数据分级分类
数据资产庞杂,基于传统的人工方式难以达到动态化管理的要求,要确保分散在组织各处各层面的各类数据能够被及时发现和准确标注,需要建设自动化的数据分类分级能力,从而满足数据在不同应用场景下的动态化、体系化管控需求。在数据的分级分类中,有两个类别是需要格外重视的。
①敏感数据
敏感数据是指泄漏后可能会给社会或个人带来严重危害的数据,当前数据流转快,敏感数据随时可能出现在意料不到的位置。为此,需要进行持续的敏感数据发现和分级分类。根据不同的数据类型,可以采取的具体方法包括:字典匹配、模式匹配、算法匹配、机器学习等。
敏感数据的发现需要根据数据分类分级标准来进行,通过敏感数据属性分类来统一敏感数据结构描述方法,从而建立起统一的敏感数据发现体系。在这个体系基础上,来全面盘点敏感数据资产、形成敏感数据地图。
此外,组织还可以将数据威胁与敏感数据自动关联,实现敏感数据威胁的高效可视化管控,提升综合安全治理决策效率。
②非结构化数据
在许多数据分类中,非结构化数据通常被忽略或被很笼统地归结到一起。
相比于传统的结构化数据和半结构化数据,非结构化数据增长速度更快,每 1KB 结构化数据产生的同时,约有 1GB 非结构化数据产生,并且数据量庞大且采集渠道广泛,数据的处理链路非常长。这些都给非结构化数据的安全防护带来挑战。
非结构化数据的处理有一个核心的矛盾点是,数据处理者(业务方)有海量的数据和数据价值挖掘的需求,但是这些业务型企业的技术投入往往不足。因此这类企业在构建数据安全解决方案时,需要积极引入整个生命周期内不同角色的解决方案来协同工作。
(2)精细化数据权限管控
数据的权限,往往是单向扩张的。
随着数据需求的扩大化,增加权限的请求越来越多,而删除权限的请求几乎没有,这有时会导致权限的回收不及时的情况,增加了数据安全的不可控性。为了保障更准确的数据安全控制,企业可以从改进数据授权方式和关联数据访问信息两方面,来增强数据权限的管控能力。
①改进数据授权方式
目前比较流行的数据授权方式是基于角色来授权,通过定义角色权限,来授权用户访问数据。但在一个快速发展的组织中,角色工作范围及其权限的界定也是实时变化的,基于角色并不能保证其权限控制的准确性。
还有一种方法是基于属性来授权访问,这个方式相对更加灵活。它可以通过建立一个与数据平台分离的数据访问安全层,通过通用数据访问服务,从而在不限制访问的情况下确保数据安全。
②关联数据访问信息
要实现组织内部数据访问的高效追踪,就要将数据访问与用户身份、数据类型、访问意图等信息关联起来。但这些信息往往存在于多个系统中,比如用户身份存在于人员管理系统中、业务信息存在于主数据管理系统中、而与数据访问相关的日志则建立在数据存储系统中,这就需要组织通过数据共享,来实现信息的统一关联,从而保障数据访问的可高效追踪。
(3)加强抗数据风险能力
在数据的整个生命周期,从采集、传输、存储,到处理、使用和销毁的各个环节,都有可能存在着数据安全风险。我们需要从防御风险、识别风险、预测风险、解决风险四个方面,来提升组织的抗风险能力。
①防御风险
针对大数据环境下的恶意行为的攻击阶段、影响范围、威胁程度进行智能化评估,并结合实际情况制定相应的防御措施,分级别、分层次、分范围地对大数据系统进行协同防御策略制定和分发,形成“网络—应用—平台—数据”的协同防御系统。
②识别风险
首先,建立起一套安全风险描述模型,构建大数据环境下数据流通各个环节的安全风险集;然后,从安全事件中学习规则,使获得的各安全域的数据安全风险更加贴近真实情况,从而能够准确实时地识别出数据安全风险。
③预测风险
研究大数据环境下安全态势数据采集和统一的信息交互表示协议和标准、系统配置漏洞、运行环 境漏洞、目标代码漏洞及其关联环境漏洞,提出对 漏洞、违规操作、攻击行为的多维度监测识别手段。 研究态势量化评估和预测模型,利用机器深度学习 态势评估算法实现安全态势综合评估,基于攻击意图推演实现态势趋势预测和预警。
④解决风险
当数据安全风险出现时,企业需要实现对其的其实追踪溯源,并建立起基于数据安全风险的主动防御系统联动机制,在在发生安 全风险时能够及时采取对系统影响最小的应对措施进行阻断。
亿信华辰的数据治理平台睿治从技术层面为组织提供了数据安全的全方位防护,通过对隐私数据的加密、脱敏、模糊化处理、数据库授权监控等多种数据安全管理措施,从数据治理全过程来全面保障数据的安全运作。
— 03 —
做好数据安全监控审计
在技术的重重防护墙下,还需建立数据安全监控和审计的工作机制,从而从防范不正当的数据访问和操作行为角度,来建立起另一道防护墙,降低数据全生命周期未授权访问、数据滥用、数据泄漏等安全风险。
1.日常审计
针对账号使用、权限分配、密码管理、漏洞修复等日常工作的安全管理要求,进行组织内部的数据安全审计,从而保证能及时发现并解决问题。下图是可参考的审计内容范围。