数据安全复合治理与实践白皮书_67页_10mb.pdf
数据安全复合治理与实践白皮书 中国软件评测中心 国家信息中心信息安全研究 蚂蚁科技集团股份有限公司 2021年12月 - I - 前 言 伴随着以数据为关键要素的数字经济的蓬勃发展,数据已逐渐成为基础性、战略性、先导性资源,正在对国家治理、社会发展、个人生活等产生着革命性影响。当前,建设数字中国已成为国家发展战略的重要组成部分,如何保障数据安全、促进数字经济发展是事关国家安全、社会稳定和人民福祉的重大问题。此外,在数字产业化和产业数字化浪潮中,数据安全产业作为新兴数字产业为产业数字化提供有力支撑,是数字经济高质量发展的关键保障。目前,我国数据安全产业系列工作正在有序推进,相关政策及配套文件正在加紧制定。数据安全治理作为一项体系化工程是夯实产业基础的重要手段,而高水平的治理能力则是产业高质量发展的重要体现。 备受关注的数据安全法已于2021年9月1日起正式实施。作为数据安全领域的纲领性法律,数据安全法为下一阶段国家、地区、行业和组织开展数据安全工作提供了明确指引,贯彻落实数据安全法的具体要求需要政府部门、行业机构、企事业单位等各类组织在实践中建立健全数据安全治理体系,不断提升数据安全保障能力,切实履行数据安全保护义务。 近年来,数据非法贩卖、数据滥用、敏感数据泄露等数据安全风险持续加剧,数据安全形势空前严峻,提高数据安全治理能力迫在眉睫,组织需要新形势下能够有效落地的数据安全治理体系。本白皮书从组织建设数据安全治理体系的视角出发,通过对法律法规、标准规范、数据安全治理发展现状等进行充分调研和分析,并结合有关组织的实践经验,总结提出了帮助组织更好实现数据安全治理有效落地的数据安全复合治理模式。 数据安全复合治理模式强调系统性、落地性,对治理框架搭建中战略、管理和技术进行统筹规划设计,形成基线设定、心智运营、原生设计、安全度量、可证溯源、红蓝对抗、测评认证等丰富的治理环节,强化治理过程的联动,将安全与业务复合、管理与技术复合,发生化学反应,形成有机整体,充分发挥复合协同效能。 数据安全复合治理模式的特点概括为战略要位、实战牵引、全员参与、技术破局。战略要位强调明确数据安全保护工作在组织中的重要战略位置和管理部门对违反数据安全行为的处罚权责。实战牵引强调实战化红蓝对抗、头部风险治理和管控效果的精确度量来牵引整体治理工作落地。全员参与强调丰富、活泼的心智运营活动设计,充分调动全员主动参与积极性,实现不同特点人群的精确触达。技术破局强调依托系统、数据和算法方面的科技能力创 - II - 新,实现新形势下无法通过人工、协议达成数据安全治理目标难题的破局,促进数据安全治理工作的提质增效。 本白皮书对数据安全复合治理体系的核心思想与建设思路进行了全面阐述,旨在为组织开展数据安全治理工作提供参考和建议。 本白皮书由中国软件评测中心、国家信息中心信息安全研究、蚂蚁科技集团股份有限公司撰写。由于编者水平有限,本白皮书内容难免存在疏漏,不足之处恳请各位专家、同仁批评指正。 顾问专家(按姓氏拼音排序): 封化民 教育部高等学校网络空间安全专业教学指导委员会秘书长 李新友 国家信息中心首席工程师 唐 刚 中国软件评测中心主任助理兼网络空间安全测评工程技术中心主任 王 军 中国信息安全测评中心总工程师 左晓栋 中国信息安全研究院副院长 参编人员(按姓氏拼音排序): 白利芳、鲍姝睿、蔡佳良、陈树鹏、陈心怡、冯朝、冯越、付春红、顾为群、郭亮、黄琳、黄山、李亮、李婷婷、林明树、林青、刘凯元、刘威歆、刘焱、陆平、罗赛男、马冰珂、宁黄江、潘无穷、秦晓磊、宋铮、王嵩贺、王庭、王子廷、韦韬、卫振强、吴君佳、向上文、肖含笑、薛拾军、杨小芳、于泉、张吉智、张良杰、张天然、赵殿野 特别鸣谢(按姓氏拼音排序): 程斌、雷蕾、刘喜喜、刘寻、潘静 本白皮书编写组 二0二一年十二月 - III - 版权声明 本白皮书版权属中国软件评测中心、国家信息中心、蚂蚁科技集团股份有限公司所有,并受法律保护。任何转载、编撰或其他方式使用本白皮书文字或观点,应注明“来源数据安全复合治理与实践白皮书”。违反上述声明者,将追究其相关法律责任。 - IV - 目 录 前 言 . I 版权声明 . III 第一章 数据安全治理的形势与重要性 . 1 1.1 数据产业发展现状与安全形势 . 1 1.2 国内外数据安全法律法规与标准现状 . 2 1.2.1 国外现状 . 3 1.2.2 国内现状 . 4 1.3 数据安全治理理念与内涵 . 7 第二章 国内外数据安全治理框架 . 8 2.1 微软DGPC框架 . 8 2.1.1 框架介绍 . 8 2.1.2 框架分析 . 8 2.2 GARTNER数据安全治理框架DSG . 8 2.2.1 框架介绍 . 8 2.2.2 框架分析 . 9 2.3 数据安全能力成熟度模型DSMM . 10 2.3.1 框架介绍 . 10 2.3.2 框架分析 . 10 第三章 数据安全治理面临的挑战 . 11 第四章 数据安全复合治理模式 . 13 4.1 治理框架 . 13 4.2 数据安全战略 . 16 4.2.1 安全方针 . 16 4.2.2 制度规范 . 17 4.2.3 组织架构 . 18 - V - 4.2.4 保障体系 . 18 4.3 数据安全运营管理 . 19 4.3.1 可执行安全基线 . 20 4.3.2 互动式心智运营 . 21 4.3.3 原生式数据保护 . 23 4.3.4 多视角安全度量 . 24 4.3.5 可自证溯源处置 . 26 4.3.6 测评认证 . 28 4.3.7 红蓝演练 . 28 4.4 数据安全治理科技 . 29 4.4.1 产品能力 . 30 4.4.2 系统能力 . 40 4.4.3 算法能力 . 46 4.4.4 数据能力 . 48 第五章 数据安全复合治理实践案例 . 50 5.1 APP个人信息保护治理实践 . 50 5.2 数据分类分级技术实践 . 52 5.3 数据安全心智运营实践 . 55 第六章 趋势与建议 . 57 参考文献 . 59 - VI - 图目录 图1 全球每年新产生数据量及预测 . 1 图2 2018年- 2023年中国大数据产业规模及预测 . 1 图3 2015年- 2021年全球数据泄露平均总成本统计 . 2 图4 主要国家和地区数据安全立法现状 . 3 图5 我国数据安全与个人信息保护法律法规与政策现状 . 5 图6 GARTNER DSG框架示意. 9 图7 数据安全能力成熟度模型示意 . 10 图8 数据安全复合治理模式 . 13 图9 一套可参考的数据安全管理制度规范体系 . 17 图10 互动式心智运营示意 . 22 图11 原生式数据保护示意 . 23 图12 原生式数据保护中的安全要求示意 . 24 图13 多视角安全度量框架示意 . 25 图14 多层级安全度量指标示例 . 26 图15 数据安全治理科技示意 . 30 图16 全息资产画像框架示意 . 31 图17 自动化红蓝演练框架示意 . 35 图18 策略化风险感知框架示意 . 36 图19 多元化风险响应框架示意 . 37 图20 密态计算过程示意 . 39 图21 安全平行切面框架示意 . 40 图22 密码基础设施框架示意 . 42 图23 密码产品示意 . 42 图24 安全可信环境框架示意 . 44 图25 算法能力框架示意 . 46 图26 数据能力框架示意 . 48 图27 APP个人信息保护治理实践 . 50 图28 图像分类分级检测实践 . 53 图29 蚂蚁数据安全心智运营实践 . 56 - VII - 表目录 表1 数据安全基线与数据安全规范对比 . 20 表2 数据安全基线要求与配套解读示例 . 20 数据安全复合治理与实践白皮书 - 1 - 第一章 数据安全治理的形势与重要性 1.1 数据产业发展现状与安全形势 2020年4月,中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见发布,首次从国家层面明确将数据作为继土地、劳动力、资本和技术之后的第五大生产要素。随着云计算、人工智能、移动互联等新兴技术的快速发展和在各行各业的持续渗透,数据在国家治理、社会发展、个人生活中正扮演着愈发重要的角色。据国际权威机构Statista分析1,2020年全球新产生数据量已达到47 ZB(ZB为字节计量单位,1 ZB=1012 GB),到2035年这一数字预计将达到2142 ZB。 图1 全球每年新产生数据量及预测 伴随着数据规模的飞速增长,数据相关产业规模也呈现出快速递增的发展趋势。根据赛迪顾问2021年7月发布的数据显示 2,2 020年我国大数据产业规模已达到6388亿元,预计到2023年产业规模将突破10000亿元。 图2 2018年-2023年中国大数据产业规模及预测 数据安全复合治理与实践白皮书 - 2 - 然而,与数字经济的欣欣向荣、蓬勃发展相对应,近年来数据泄露、数据滥用、数据贩卖等数据安全事件频发,数据安全风险与日俱增,对国家安全、社会稳定、组织权益、个人隐私安全都造成了严重威胁。对近年来比较具有代表性的数据安全攻击和事件进行分析,可以发现数据安全风险主要呈现如下显著特征。 首先,由于数据的价值属性不断凸显,大规模、有组织的定制化数据安全攻击愈发频繁,针对高价值重要数据攻击屡见不鲜。据国家计算机网络应急技术处理协调中心发布的2 020年我国互联网网络安全态势综述报告 3显示,多家重要单位因钓鱼邮件、安全漏洞等网络攻击造成工作人员账号、重要文件等数据泄露。 此外,数据安全风险危害程度不断加深。据IBM Security发布的2021年数据泄露成本报告4 显示,2 021年全球数据泄露的平均总成本达到了424万美元,且近年来基本呈现持续递增的态势。除了造成严重的经济损失外,针对个人地理位置、生物特征、医疗健康等隐私信息的恶意攻击甚至会危害个人生命安全。 图3 2015年-2021年全球数据泄露平均总成本统计 最后,新兴技术、新兴产业特别是大数据、人工智能、云计算等的不断发展和持续应用带来了更多的安全方面的不确定性,勒索软件等新型攻击方法、远程办公等新场景也对数据安全提出了新的挑战。据IBM Security发布的2021年数据泄露成本报告4显示,与远程办公相关的数据泄露平均成本达到496万美元。 1.2 国内外数据安全法律法规与标准现状 为有效应对严峻的数据安全形势,保障数据的安全开发和利用,包括我国在内的全球多个国家和地区近年来高度重视数据安全领域的政策制定与立法工作。国际上,欧盟、美国、日本、韩国等主要国家和地区陆续推出了一系列数据安全与个人信息保护相关的政策与法律,数据安全复合治理与实践白皮书 - 3 - 旨在加强国家层面的数据安全保护。我国也先后出台了网络安全法、数据安全法、个人信息保护法等法律,并制定了一系列配套政策法规、标准规范等,加强对于数据安全工作的指导、监督与保障。 1.2.1 国外现状 为有效应对数字经济发展大背景下的政府信息、商业机密、个人隐私等数据所面临的潜在安全风险,各国均积极推动数据安全领域的立法和法律修订等工作,并将数据安全作为优先内容纳入各类网络空间治理议程中。 图4 主要国家和地区数据安全立法现状 欧洲方面,主要通过在欧盟范围内统一立法的模式促进数据保护。2018年5月,欧盟出台通用数据保护条例(G DPR),对涉及数据处理的所有环节均做出了详细规定,旨在加强欧盟自然人隐私数据保护,提高数据服务安全性,是目前数据安全领域比较具有代表性的立法之一。此外,欧盟于2020年2月发布了欧洲数据战略,对欧盟发展数据经济所需的政策措施和投资策略等进行了全面分析,并将数据治理、数据安全作为重点工作领域。在GDPR的基础上,欧盟于2020年6月进一步发布了欧洲数据保护监管局战略计划(2020- 2024),旨在从前瞻性、行动性和协调性三方面继续加强数据安全保护。 美国则主要采取分散立法模式实现数据保护。在电信、金融、健康、教育等多个行业和领域,先后颁布了儿童在线隐私保护法、视频隐私保护法、电子通信隐私法、联邦贸易委员会法等一系列数据安全相关法律。此外,美国国防部2020年10月发布了国防部数据战略,旨在实现数据推动作用下的联合全域作战,构筑国家安全保护屏障。除联邦立法外,美国加州于2018年6月颁布了加州消费者隐私法案(CCPA),防止消费者不知情数据安全复合治理与实践白皮书 - 4 - 情况下的个人隐私信息收集与滥用,明确了消费者的访问权、删除权、知情权等隐私权利。 此外,不少国家近年来在数据安全领域也出台了诸多政策与立法。韩国于2020年1月通过了新修订的“数据三法”,即个人信息保护法、信用信息法和信息通信网法,并对个人信息保护法执行令的相关内容进行了修订,进一步加强针对个人信息等敏感数据的保护。新加坡于2020年5月对本国个人数据保护法(PDPA)进行了修订,明确了个人数据处理的违法行为,加强个人对其数据的选择权和控制力。日本参议院于2020年6月颁布了个人信息保护法修正案,明确了个人有权终止其个人数据对企业的使用授权等,确保个人信息的合法使用。英国政府也于2020年9月发布了国家数据战略,旨在通过数据基础、数据技能、数据可用性、数据责任四支柱确保数据的可用性及安全可靠性。 在各国家和地区不断推动数据安全立法的同时,国外各标准组织近年来也高度重视数据安全领域的标准研究与制定工作,通过加强标准建设来推动数据安全治理的实施。以国际标准化组织ISO为例,其在数据安全、隐私保护领域已先后制定了包括安全技术- ISO/IEC 27001 和 ISO/IEC 27002 对隐私信息管理的扩展-要求和指南(ISO/IEC 2 7701:2019)、信息技术 大数据参考架构 第4部分:安全与隐私保护(ISO/IEC 20547- 4:2020)等多项国际标准。值得一提的是,我国在ISO数据安全国际标准制定过程中扮演了重要角色,由我国主导的大数据安全与隐私保护过程(ISO/IEC 27045)、大数据安全与隐私保护 实现指南(ISO/IEC 27046)等多个课题目前均处于持续研究和推进阶段。此外,ITU、IETF、NIST等比较有代表性的标准组织近年来在数据安全与隐私保护领域也开展了一系列标准研究与制定工作。 1.2.2 国内现状 近年来,我国政府高度重视数据安全领域的政策制定与立法工作,中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要明确提出:“加强涉及国家利益、商业秘密、个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护。” 为促进以数据为关键要素的数字经济发展,我国政府先后制定和发布了包括网络安全法、数据安全法、个人信息保护法等一系列数据安全相关法律法规和政策文件。2017年6月正式施行的网络安全法从法律层面强调了对于网络数据安全的保护要求。2021年9月,数据安全法正式实施,明确提出了国家建立健全数据安全治理体系,提高数据安全数据安全复合治理与实践白皮书 - 5 - 保障能力,统筹数据安全与发展,并对数据安全制度、数据处理者义务等做出了明确规定。个人信息保护法也于2021年11月正式施行,其对于个人信息保护的原则、个人信息主体的权利、个人信息处理者义务等均进行了明确要求。此外,刑法、民法典、国家安全法、消费者权益保护法等法律也基于特定关注领域对数据安全和个人信息保护做出了具体规定,共同构成了我国数据安全的基础法律体系。 图5 我国数据安全与个人信息保护法律法规与政策现状 基于数据安全领域的各项基础法律,近年来一系列配套法规和部门规章也陆续进行意见征集或正式颁布实施,包括个人信息和重要数据出境安全评估办法(征求意见稿)、数据安全管理办法(征求意见稿)、个人信息出境安全评估办法(征求意见稿)、儿童个人信息网络保护规定、App违法违规收集使用个人信息行为认定方法、网络安全审查办法(修订草案征求意见稿)、关键信息基础设施安全保护条例、数据出境安全评估办法(征求意见稿)、网络数据安全管理条例(征求意见稿)等,分别从个人信息和重要数据出境、数据安全管理、个人信息保护、数据安全审查、关键信息基础设施安全防护等关键领域,提出了具体的行政管理要求,进一步完善了国家层面数据安全制度体系的建设。 此外,各行业主管部门也分别制定了多个面向行业的数据安全专项保护政策。金融行业方面,央行、银保监会、证监会等金融业监管机构先后制定出台了银行业金融机构数据治理指引、证券基金经营机构信息技术管理办法、金融消费者权益保护实施办法等规章,旨在进一步规范金融业数据安全工作,提升金融业数据安全保护能力。工业和信息化领域,工信部联合多部委制定了移动互联网应用程序个人信息保护管理暂行规定等部门规章,数据安全复合治理与实践白皮书 - 6 - 对常见类型移动互联网应用程序必要个人信息范围规定(征求意见稿)、工业和信息化领域数据安全管理办法(试行)(征求意见稿)等进行意见征集,并开展了针对APP侵害用户权益等的专项执法行动。此外,医疗、交通等行业领域也推出了多项数据安全相关的监管规章,如互联网医疗健康信息安全管理规范(征求意见稿)、汽车数据安全管理若干规定(试行)等。 为支撑各类法律法规和监管要求的落地,我国数据安全标准体系建设也处于不断加速和持续完善过程中,并呈现出清晰的国家标准宏观指导、各行业各领域标准协同推进的特点。国家标准方面,全国信息安全标准化技术委员会(SAC /TC260)当前已发布多项数据安全国家标准,并初步形成了“标准制定项目标准研究项目标准实践指引”的层次化标准体系。当前,信息安全技术 大数据服务安全能力要求(GB /T 35274-2017)、信息安全技术 数据安全能力成熟度模型(GB/T 37988- 2019)、信息安全技术 大数据安全管理指南(GB/T 37973-2019)、信息安全技术 个人信息安全规范(G B/T 35273-2020)、信息安全技术 个人信息安全影响评估指南(GB/T 39335-2020)等数据安全和个人信息保护领域的关键标准已陆续出台,信息安全技术 重要数据识别指南、信息安全技术 数据出境安全评估指南等标准课题也正处于研究和制定过程中。此外,医疗、政务等领域也制定了一系列面向本领域的数据安全国家标准,包括信息安全技术 健康医疗数据安全指南(GB/T 39725 -2020)、信息安全技术 政务信息共享 数据安全技术要求(GB/T 39477- 2020)等。 行业标准方面,金融、电信、工业等行业均已出台一系列数据安全和个人信息保护行业标准,为本行业内的数据安全工作开展提供指导。金融行业方面,已先后制定和发布个人金融信息保护技术规范(JR /T 01712020)、金融数据安全 数据安全分级指南(JR/T 01972020)、金融数据安全 数据生命周期安全规范(JR /T 02232021)等行业标准,为金融业的数据分类分级和安全保护提供明确指导。电信行业,中国通信标准化协会发布了基础电信企业重要数据识别指南(YD /T 3867-2021)、基础电信企业数据分类分级方法(YD /T 3813-2020)、电信网和互联网数据安全通用要求(YD /T 3802-2020)等电信行业标准,对电信数据分类分级和重要数据识别等关键内容做出了具体规定。工业领域也制定了工业互联网数据安全保护要求(YD/T 3865- 2021)等行业标准。 总体来看,我国数据安全领域的法律法规、监管政策与标准规范的基本框架已初步构建完成,并处于不断补充和完善过程中,从宏观层面为数据安全及其治理提供了良好的政策环境保障。同时,随着数据安全法律法规、监管政策等具体要求的进一步明确,也对组织开展数据安全复合治理与实践白皮书 - 7 - 数据安全保护工作、落实数据安全保护责任提出了更高要求,需要组织建立健全数据安全治理体系,不断提升数据安全保障能力。 1.3 数据安全治理理念与内涵 近年来,数据安全治理的理念在国内外愈发得到关注和重视。Gartner提出的数据安全治理框架5 认为数据安全治理不能仅是一套集成了各类数据安全工具的产品级解决方案,而是需要从上而下贯穿整个组织架构,覆盖组织的全体人员,形成组织全员对数据安全治理目标的一致共识,并采取适当的管理和技术措施,有效地保护组织数据的全生命周期安全。微软的DGPC数据安全治理框架 6认为数据安全治理需围绕人员、流程和技术三个核心领域展开,与现有安全框架协同合作以实现隐私、保密和合规的安全治理目标。数据安全能力成熟度模型7认为“组织应关注数据的流转情况,将视角从数据本身扩展到其生命周期的各个阶段,使用一套以数据为核心的、围绕数据全生命周期构建的模型来指导其建立、持续改进并依此评价其数据安全能力”。 总体而言,数据安全治理的核心内涵包括从战略层面形成由上而下贯穿组织总体架构的对数据安全治理目标的共识,关注数据处理全生命周期安全,重视管理与技术措施并举,并能够根据安全形势、技术发展和演进趋势等的动态变化,对数据安全治理体系进行持续优化。组织在规划和开展数据安全治理工作时,需要依据数据安全治理的核心理念,从数据安全战略、管理机制和技术手段多方面建设数据安全治理能力。 数据安全法明确提出“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力”,数据安全治理的重要性已上升到国家高度、全局层面。伴随着网络安全法、数据安全法、个人信息保护法的相继出台,为应对日益严峻的数据安全形势,如何建立科学全面的数据安全治理体系,更加有效地保障数据安全,支撑以数据为关键要素的数字经济发展,已成为国家、全社会以及政府部门、行业机构、企事业单位等各类组织需要面临的共同挑战。 数据安全复合治理与实践白皮书 - 8 - 第二章 国内外数据安全治理框架 2.1 微软DGPC框架 2.1.1 框架介绍 DGPC框架(Data Governance for Privacy, Confidentiality and Compliance)由微软于2010年提出 6,该框架由组织的人员、流程和技术三个核心领域组成。 人员领域。首先需要建立由组织内部人员组成的DGPC团队,并明确人员角色与职责划分,负责对数据分类、保护、使用和管理过程中的原则、策略和流程步骤等进行定义。 流程领域。组织需要依赖DGPC团队对流程进行清晰定义。首先,需要从各类权威文件(如法律、法规、标准、组织政策与战略文件等)梳理分析组织必须满足的各类要求,形成合规要求集合。然后,定义相应的指导原则和策略以满足这些合规要求。最后,识别和分析数据流转中的数据安全、隐私和合规风险,并根据风险控制目标采取必要的安全控制措施。 技术领域。微软围绕DGPC框架开发了一套特定的数据流分析方法,围绕数据生命周期、核心技术领域、数据隐私和机密性原则三个核心元素构建。 2.1.2 框架分析 DGPC框架提供了一种以隐私、机密性和合规为目标的数据安全治理框架,以数据生命周期和核心技术领域为重点关注点,基于威胁建模与风险评估的方法,对组织如何实施数据安全治理进行了概要阐述。DGPC主要是从方法论层面明确数据安全治理的目标,缺少对在数据生命周期各环节落实数据安全治理措施的详细说明。 2.2 Gartner数据安全治理框架DSG 2.2.1 框架介绍 2015年,Gartner提出了数据安全治理(DSG, Data Security Governance)概念5,并从方法论的角度阐述了数据安全治理的框架。如图6所示,DSG框架从上到下主要包括五个部分,即平衡业务需求与风险、数据梳理和数据生命周期管理、定义数据安全策略、部署安全能力与产品、策略配置与同步。 数据安全复合治理与实践白皮书 - 9 - 图6 Gartner DSG框架示意1 平衡业务需求与风险。综合分析组织的经营策略、治理、合规、IT策略和风险容忍度,制定符合组织经营发展与风险管控需求的数据安全治理策略。 数据梳理和数据生命周期管理。对数据获取、存储、分析、演变、归档、销毁等全生命周期的数据进行识别、分类与分级,并关注不同环节的安全风险点。 定义数据安全策略。从两个方面定义组织的数据安全策略,一是明确数据保护的对象、所涉及人员与访问行为,二是基于数据分类分级的结果制定针对性的数据安全策略。 部署安全能力与产品。采用和部署多种安全工具以支撑数据安全策略的实施,包括密码系统Crypto、以数据为中心的审计和保护系统DCAP、数据防泄露系统DLP、云访问安全代理系统CASB、身份识别与访问管理系统IAM、用户与终端行为分析系统UEBA。 策略配置与同步。为所有安全能力与产品配置策略并保持策略的一致与同步,策略执行对象包括数据库、大数据系统、文件类数据、云端数据、终端数据等。 2.2.2 框架分析 与DGPC框架类似,Gartner的DSG框架也是从宏观层面和方法论的角度阐述了数据安全治理的思路和基本框架,组织在实施DSG框架时需要结合实际需求对治理框架和步骤进行细化。此外,DSG框架中列出的数据安全能力与产品也需要进行更加细化的分类,并由组织根据治理对象和场景的不同采取差异化的部署方式。 1 来源:Gartner,本白皮书编制组进行翻译、整理 数据安全复合治理与实践白皮书 - 10 - 2.3 数据安全能力成熟度模型DSMM 2.3.1 框架介绍 2019年8月,全国信息安全标准化技术委员会发布国家标准信息安全技术 数据安全能力成熟度模型(GB/T 37988 -2019),正式提出数据安全能力成熟度模型(DSMM, Data Security Maturity Model)模型7。DSMM模型参考通用的能力成熟度模型,对数据安全能力成熟度进行了定义和等级划分,从高到低划分了持续优化、量化控制、充分定义、计划跟踪和非正式执行五个等级。 图7 数据安全能力成熟度模型示意2 DSMM模型根据数据在组织业务场景中的数据生命周期安全要求与通用安全要求,定义了数据安全过程域体系,并在数据安全过程域体系中从组织建设、制度流程、技术工具以及人员能力四个方面构建了规范性的数据安全能力成熟度分级治理要求和评估方法,能够为组织建立和完善数据安全治理体系提供有益参考。 2.3.2 框架分析 DSMM模型要求组织将关注视角从数据本身扩展到数据生命周期的各个阶段,设计了一套以数据为核心、围绕数据全生命周期构建的安全模型来指导组织建立和持续改进数据安全能力。同时,DSMM模型也可以作为一种评估方法,组织可以根据DSMM模型对数据安全治理能力进行总体评价,更加直观地了解当前数据安全治理水平和需要改进的环节。 2 来源:信息安全技术数据安全能力成熟度模型(GB/T 37988- 2019) 数据安全复合治理与实践白皮书 - 11 - 第三章 数据安全治理面临的挑战 当前,许多组织已充分认识到数据安全治理工作的重要意义,并在数据安全治理体系建设与实践方面进行了诸多探索,形成了一定程度的经验和能力积累。但是,由于数据安全治理概念的提出时间相对较晚,国内外数据安全治理框架与模型又各有侧重,组织在建立数据安全治理体系时通常需要对具体环节进行针对性的细化和完善。分析许多组织在进行数据安全治理实践所面临的主要问题与挑战,主要体现在对数据安全的战略重视不足,管理机制离散化、甚至流于形式,技术手段适用性、精细度不足等方面。 一、战略重视不够,顶层驱动力有待提升。 从组织层面来看,数据安全治理实践由单个部门(如安全部门、信息化部门等)主导,缺少来自组织高层的重视和引领,是一个比较普遍的共性问题。由于在战略层面缺少足够的顶层支持和驱动,难以建立起全面完善的安全治理组织架构和制度规范体系,导致工作职责划分不明确、安全机制难落实等突出问题,数据安全治理仅能在部分关键业务或部门有限范围内实施,难以面向整个组织全面有效的开展。 二、管理过程离散化,缺少全局引领与监督评价。 数据安全治理的有效实施离不开科学规划与全员深度参与。当前,组织层面的数据安全管理存在如下典型问题: 以解决特定数据安全问题为导向的离散化、补丁式管理方式,缺少对管理体系的全局思考与规划。 管理过程中重制定轻落实的现象比较突出,制度追求大而全,内容过于宽泛,缺乏可落地性和可实施性。 组织在对业务、产品等进行规划和设计的过程中,缺少对数据安全理念的充分考量,导致数据安全能力在规划设计阶段的缺失,往往需要投入大量资源进行事后改造和补救,极大地增加了研发成本的重复投入和数据安全治理的难度。 针对数据安全管理中的核心元素“人”的管理,培训方式单一,培训内容针对性不强,缺少对培训效果的评价考核,导致培训效果差强人意,安全要求得不到充分理解与有效执行,难以形成有效的覆盖组织全员的数据安全意识提升。 缺少直接以数据为对象的针对性安全评估和红蓝演练,难以对数据安全能力和防护体系有效性进行全面深入的实战检验,导致安全风险和薄弱环节的主动发现和应对处置能力偏弱。 数据安全复合治理与实践白皮书 - 12 - 缺少治理成效量化评价与治理能力持续提升的有效机制,数据安全治理体系不能够根据不断变化的数据安全新形势、新要求进行持续更新、优化与演进。 三、复杂场景技术支撑能力不足,数据安全管控存在短板。 首先,数据本身具有多样性,且敏感程度不一,数据流转关系复杂,特别是面向海量、多维、碎片化、持续流动的数据处理场景,如何在数据全生命周期中对于数据、流转链路及风险事件进行准确识别与精细刻画是十分困难的问题,仅依靠传统的数据扫描和分类分级等无法充分满足需求,需要从算法设计、产品开发、能力应用多个维度加强数据识别、数据血缘图谱和异常访问检测等技术能力的建设。 其次,数据在全生命周期中的访问、调用、计算、提供等过程难以做到精细粒度的动态安全防护,特别是对于特定类型数据和高敏感数据需要满足“专数专用”、“高敏高保”等更高级别的安全要求,防止数据的未授权访问、违规存储和扩散、过度输出、恶意爬取等数据泄露和滥用行为,这就需要对传统网络安全场景下的安全能力进行以数据安全为目标导向的升级和突破。 此外,对于产品业务多、数据体量大的大型组织,过度依赖人工治理很难满足数据安全治理的实际需求,需要建设高效、准确、智能化的运营技术,提升数据安全治理的自动化水平和效率。 最后,如何兼顾数据安全和发展,在保障数据安全的前提下促进数据应用、挖掘数据价值、助力业务发展,也是当前许多组织正在面临的问题,需要借助隐私保护和隐私计算相关技术的应用,实现敏感数据“可用不可见”、“可算不可识”前提下的数据分析和价值挖掘。 数据安全复合治理与实践白皮书 - 13 - 第四章 数据安全复合治理模式 4.1 治理框架 为有效应对组织开展数据安全治理工作各方面的关键挑战,帮助组织有效落地数据安全管控,在对数据安全治理发展现状与趋势进行充分调研分析的基础上,结合有关组织的实践经验,本白皮书编写组总结提炼出数据安全复合治理模式,旨在为组织开展数据安全治理工作提供参考。 数据安全复合治理模式强调系统性、落地性,对治理框架搭建中战略、管理和技术进行统筹规划设计,形成基线设定、心智运营、原生设计、安全度量、可证溯源、红蓝对抗、测评认证等丰富的治理环节,强化治理过程的联动,将安全与业务复合、管理与技术复合,发生化学反应,形成有机整体,充分发挥复合协同效能。 图8 数据安全复合治理模式 数据安全复合治理模式的特点概括为:战略层面要求战略要位,运营管理层面强调实战牵引、全员参与,治理科技层面强化技术破局。 一、战略层面 战略要位强调从战略高度明确数据安全对于组织生存发展的重要意义,完善数据安全顶层设计,形成组织层面对于数据安全重要性和必要性的一致共识,并明确数据安全第一责任数据安全复合治理与实践白皮书 - 14 - 人机制和管理部门对数据安全行为的奖惩权责。制定完备的管理制度和规范体系,实现安全要求清晰明确、安全治理有章可循。同时,应建立由上而下、覆盖全员的数据安全治理组织架构,并通过设立数据安全接口人等创新机制进一步加强各层级、各部门的沟通协调与工作协同。此外,应重视对技术研发进行科学规划、持续投入和资源保障,推动重要技术落地应用。 二、运营管理层面 实战牵引强调实战化红蓝对抗、头部风险治理和管控效果的精确度量来牵引整体治理工作落地。全员参与强调丰富、活泼的心智运营活动设计,充分调动全员主动参与积极性,实现不同特点人群的精确触达。 复合治理模式下的数据安全运营管理以可执行安全基线、互动式心智运营、原生式数据保护、多视角安全度量、可自证溯源处置为基础,结合内外部测评认证与红蓝演练的全局机制,搭建起丰富的数据安全治理环节,并强化治理过程中各环节之间的串联、互补、联动与反馈,实现治理能力的复合叠加、持续优化。 可执行安全基线在安全制度和规范的基础上,针对组织重点关注的安全要求,通过清晰、明确、无歧义的规则化表达和指标化映射方式,建立可执行、可度量的安全基线。 互动式心智运营侧重于对人员安全心智和能力的提升,通过运营目标拆解、运营渠道有效触达以及设置激励机制等方式,提升心智运营的交互式体验,将被动的知识灌输转变为安全意识与能力的主动提升,帮助人员形成良好的数据安全心智。 原生式数据保护侧重于在产品研发过程中,通过设置管理流程机制和安全技术能力等方式将数据保护要求前置,保证产品发布前已采取必要充分的数据保护措施,满足数据安全风险可控的要求,推动数据安全成为产品的原生能力。 多视角安全度量通过设计安全度量指标、度量模型、度量算法等,建立覆盖重点安全要求和安全基线的安全度量体系,对人员、系统、数据等的安全风险态势与安全要求符合程度进行准确度量,实现安全态势持续监测、安全风险准确定位和安全水位直观呈现,并面向不同风险关注群体从不同视角呈现度量结果,为安全决策提供参考。 可自证溯源处置基于应急响应、安全审计等工作机制,强化溯源过程可证能力建设,加强对于安全事件和责任人员的应急处置与审计问责,形成数据安全风险与事件的闭环处置。 测评认证通过开展内部安全认证与外部测评认证工作,对组织的数据安全能力进行评估。首先,强化组织内部认证体系建设,包括针对特定角色/岗位/权限人员的专项认证、针对数据安全复合治理与实践白皮书 - 15 - 数据处理产品组件的产品认证以及面向业务的安全认证等。同时,通过组织和开展第三方测评认证,对数据安全治理能力和水平等进行客观评价,为数据安全治理的持续改进提供重要依据。 红蓝演练通过开展以数据为主体的红蓝演练,以定制化攻击的方式检验安全防护能力与水平,从攻防视角验证数据安全防护体系的有效性,促进未知安全风险的及时排查,达到以攻促防、攻防相长的效果。 三、治理科技层面 技术破局强调依托系统、算法、数据和产品方面的科技能力创新,实现新形势下无法通过人工、协议达成数据安全治理目标难题的破局,促进数据安全治理工作的提质增效。 复合治理模式下的数据安全治理科技以安全平行切面、密码基础设施、安全可信环境、终端安全等系统能力,数据识别、数据血缘图谱、异常访问检测等算法能力,以及准实时精准检索、压缩索引、异构数据提取等数据能力作为底层基础能力,从全息资产画像、深度安全防护、智能安全运营、隐私保护与隐私计算等领域构建全方位、体系化的产品能力,为数据安全复合治理提供技术支撑。 全息资产画像以数据认知、分类分级、链路刻画为核心,通过对数据及其流转链路的关系、态势等进行深入分析与全息刻画,提供更加精细的数据描述与能力支持。 深度安全防护包括数据服务海关、专数专用、数据反爬,面向数据处理过程提供细粒度、动态化的深度安全防护能力。数据服务海关针对数据流动场景,采取可信身份、合法性标识、合理场景、目标资源等技术机制,保证每一次数据流动均具有可追溯的用户授权和合规场景标识,为数据流动的安全合规提供保障。专数专用主要面向具有明确使用场景约束和安全管控要求的数据,通过建设数据加密、智能权限管控与场景流转管控等安全能力,避免数据的超范围使用。数据反爬从自动化流量分析、多维度风险检测与差异化风险处置三个方面建立纵深安全防护能力,有效防范接口遍历等数据爬取攻击。 智能安全运营通过建设高效、准确、智能化的安全运营技术能力,实现自动化
