近几年,数据安全领域出现了一个热词是Data-centric Security,简称DCS,即 “以数据为中心的安全”。虽然DCS这个概念被行业很多机构频繁提出,但是大家对这个概念的理解似乎并没有形成统一的认识。于是,我们写了一篇题为《什么是“以数据为中心的安全”?(一)—— 大家眼中的DCS》的文章,系统介绍了安全行业里几个知名机构对DCS概念的解释,便于各位读者直观对比行业各机构对DCS的理解。
今天这篇文章,将详细介绍阿里巴巴基于多年的数据安全行业实践形成的对DCS概念的理解,并介绍几家企业的DCS最佳实践经验。为便于阅读,本文以下内容将统一使用DCS表示“以数据为中心的安全”。
一、DCS的目标是防窃取、防滥用和防误用
不同于许多观点仅强调了DCS用于防止数据泄露,我们认为DCS的目标包括三方面的内容:防窃取、防滥用和防误用。
防窃取是指防止数据被主动窃取或被动泄露到外部的过程。例如,员工信息泄露到外部、邮件内容被第三方获取、内部系统日志被外部访问等。
防滥用是指防止数据被主动不正当使用的过程。数据滥用是靠故意的、带有目的性的动作完成的。例如,剑桥分析公司对Facebook用户数据进行合同约定之外的各种分析就属于典型的数据滥用。
防误用是指防止数据被不经意间错误使用的过程。数据误用是由于非故意的、过失性动作导致的。例如,某公司针对不同类型的数据采用了不同的脱敏策略,单独看每类数据脱敏后都没有信息泄露问题,但却可以通过多类脱敏后的数据拼凑出原本公司希望保护的敏感信息,造成信息泄露问题。
二、DCS需要在全数据生命周期进行保护
DCS应该以数据的防窃取防滥用防误用作为主线,将数据的生命周期内各不同环节所涉及的信息系统、运行环境、业务场景和操作人员等作为围绕数据安全保护的支撑,在全数据生命周期进行数据保护。
我们将数据生命周期总结为6个环节,分别是:数据采集、数据存储、数据传输、数据处理、数据交换、数据销毁。
数据采集:指新的数据产生或现有数据内容发生显著改变或更新的阶段。对于组织机构而言,数据的采集既包含在组织内部系统中生成的数据也包含组织从外部采集的数据。
数据存储:指非动态数据以任何数字格式进行物理存储的阶段。
数据处理:指组织在内部针对动态数据进行的一系列活动的组合。
数据传输:指数据在组织内部从一个实体通过网络流动到另一个实体的过程。
数据交换:指数据经由组织与外部组织及个人产生交互的阶段。
数据销毁:指通过对数据及数据的存储介质通过相应的操作手段,使数据彻底灭失且无法通过任何手段恢复的过程。
特定的数据所经历的生命周期由实际的业务场景所决定,并非所有的数据都会完整地经历六个阶段。
图1. 阿里巴巴数据生命周期
我们将上述6个生命周期进一步细分,划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段,部分过程域贯穿于整个数据生命周期,具体如下图所示。限于篇幅,本文将不对每个过程域进行详细介绍,这部分内容已写入国家标准中,感兴趣的读者可以参考国标GB/T 37988《信息安全技术 数据安全能力成熟度模型》和《数据安全能力建设实施指南》。
图2. 阿里巴巴数据生命周期及过程域划分
三、DCS需要通过数据安全治理的方法达到最佳效果
DCS的目的是保护数据,降低数据被泄露、被滥用、被误用的风险。想要达到数据防护的最佳效果,就需要通过数据安全治理的方法。
1、数据安全治理应以“组织”为单位
当今,用户的数据并不都是沉淀在移动应用软件内部、存在用户终端上的。大数据时代下数据的边界是在产品、设备、业务、人员还是系统?我们认为都不是。数据至少会在提供服务的组织内部的不同产品、业务、设备、系统、人员中流动,甚至为了完成用户的一个服务需求,数据还必须在产业链上的不同组织之间流动。
因此,更合理的方式是以一个组织为单位来衡量数据安全的情况。这里“组织”指的是拥有数据、提供服务的企业或者机构,其具有相对独立和完整的管理,也能够对业务和安全负责。数据在一个组织内的不同产品业务中形成流转闭环,组织是数据流动的最小边界。组织与组织之间通过可控的制度程序或者接口实现数据的跨组织流动、共享、交易等,这时候也可以以单个组织的数据安全能力为基础,进行责任的划分或者数据流动风险的控制。
2、通过治理而非管理实现数据安全
所谓管理,是指根据事务的规律制定一整套规则,然后自上而下进行规则的执行落地,控制系统达到预期状态。所谓治理,是指找到若干关键抓手和基本逻辑,调动多方力量和资源形成某种协同或者生态,通过社会协同引导整个系统达到预期状态。大数据时代下的数据安全治理无法使用传统的管理模式达到目标,必须走协同治理的道路。
数据安全问题已经涉及所有行业,并且涉及产品、业务、人员、共享机制等,并不是某个垂直领域的知识或者某个层面的单一方法就可以解决的。如果按照过去管理某个垂直特定行业的方式,设立若干部门自上而下进行管理,不但成本无法承担,效率也无法适应今天的实际情况。因此,政府、行业、企业、安全、第三方机构等需要发挥各自的优势形成有效的配合,才能建立适应当今数字时代的协同治理模式,共同提升全社会的数据安全水平。
各方协同开展数据安全治理时,应瞄准一个主要的目标:让数据安全成为组织的竞争力而不是成本,实现“能者多得”,即数据安全做得好意味着有资格得到更多的业务机会。以前,安全大都被认为是成本,每一个创新业务、每一个创业公司、每一个创新产品一开始都不愿意做安全,因为大家首先考虑的都是活下来的问题,没有精力和资源管活得好不好的问题,而且若对安全进行投入,可能在竞争中由于开发速度更慢、开发成本更高而失败。这样造成的后果是,谁不做安全或者少做安全,谁更可能赢得竞争,从安全的角度来说,这就是“劣币驱逐良币”。在数据安全领域通过建立科学的治理模式可以改变这个现象,要点是让一个组织能处理数据的类型和规模,与其数据安全能力水平挂钩。当一个组织想要使用某类数据开展研究或业务之前,就需要先具备足够的处理此类数据的安全能力。于是数据安全能力越高的企业,意味着有权处理更多类型和数量的数据。这样他们才会积极而且认真地去提升自己的数据安全能力,实现业务竞争力上与安全的正向挂钩,带动整个数据安全产业发展和水平逐渐提高。
3、DSMM是数据安全治理的有力抓手
DSMM是Data Security Capability Maturity Model的简称,即国标GB/T 37988《信息安全技术 数据安全能力成熟度模型》,是一个用于描述组织数据安全能力水平的框架模型,目的是基于数据生命周期及通用安全过程定义数据安全过程域和基本实践,指导组织机构如何满足目标能力成熟度等级所对应的安全要求。
用DSMM衡量一个组织的数据安全能力,能够更好地适应风险的变化情况。如果能力不够,即便今天做到了合规或解决了已知风险,明天出现新规、产品变化、威胁手段变化等还是会导致不合规或风险失控。因此,能力成熟度是更加内在的指标。通过科学的方法衡量一个组织的数据安全能力成熟度等级,用这个等级决定一个组织能够做什么、不能够做什么。当用户选择一个服务的时候,可以根据服务方数据安全能力的等级,判断把自己数据给到对方的风险大小,若可以获得同样功能的情况下他们会更愿意选择数据安全能力成熟度等级更高的服务方。在数据共享、交换、交易、流通的过程中,可以通过双方数据安全能力成熟度等级的情况分析数据风险的变化,发起方可以据此决定是否要继续与对方进行数据流动。政府建立多部门数据共享流通促进大数据利用的机制时,可以通过组织的数据安全能力成熟度级别决定允许数据流动的方向,从而实现总体数据安全风险可控。
阿里巴巴近年来一直致力于推进数据安全治理工作,已参与制定了我国第一个数据安全国家标准GB/T 37988《信息安全技术 数据安全能力成熟度模型》,并在ITU、ISO等国际标准化组织中率先立项数据安全国际标准。
四、DCS最佳实践建议
数据安全是和业务耦合非常紧的安全,必须在熟练掌握数据全貌、业务细节的基础上才可能提炼出有效好用的安全策略。所谓“安全三分靠技术,七分靠运营”,其中运营的核心就是安全策略,许多机构给出的DCS最佳实践本质就是在介绍最佳的安全策略要点和经验。
IAPP是世界最大的全球信息隐私保护社区。它在一份报告中曾指出,最佳的DCS方案是能够最小化风险的方案,应该充分使用强加密和权限管理的自动化方案。这种最佳的DCS解决方案应该具有如下几个特性:
用强加密保护企业文件、文件名、邮件内容和邮件附件;
降低复杂性,无缝集成到常用桌面或办公应用,如Work、Excel、Outlook等;
对敏感文件使用数字签名和复杂密码;
防止对已删除敏感文件的恢复;
在企业内使用中央管理策略保护使用中的文件;
提供应急秘钥(contingency key)以便解开被IT安全员临时加密的文件,以应对恶意加密行为和审计;
对信息流和工作流提供容易接入的命令行API;
确保可以解开移动设备上的加密数据。
Securosis指出DCS的关键技术包括数字加密、令牌化、数据脱敏等,准确使用这些技术可以达到最佳DCS防护效果。其报告建议针对不同类型的数据采用不同的技术进行保护,并给出一个技术应用场景的建议表格。
表1. 数据类型与数据安全技术映射表
数据类型 | 静态脱敏 | 动态脱敏 | 令牌化 | 保格式加密 |
金融数据 | 建议使用 | 建议使用 | ||
应用数据 | 建议使用 | 建议使用 | 建议使用 | |
测试数据 | 建议使用 | |||
数据仓库/ 大数据 | 建议使用 | |||
个人身份信息 | 建议使用 | 建议使用 | 建议使用 | |
个人健康信息 | 建议使用 | 建议使用 |
TDWI是一家专业做数据相关的教育和研究机构,它在《Data_Centric_Security:Seven Best Practicesfor Protecting Your Most Sensitive Data 》报告中提出了7个关于DCS的最佳实践原则,分别是:
1)在动态变化的前提下理解DCS。越来越多的数据处于流动中,且架构也在改进变化中。
2)数据分类是必须的。
3)数据加密和令牌化是DCS的关键技术。加密用来保护数据,令牌化用来替换敏感数据,最佳实践是两者都使用。
4)身份认证和授权也是必须的。
5)最好具有分层纵深防御策略。这种花销比较大,需要借助风险管理模型来权衡重点花销在哪个方向。
6)变被动为主动。需要通过UEBA、SIEM等监测手段提升主动性,例如监测敏感数据的访问情况、成功/失败登录情况、访问权限变更、弱口令、合作伙伴SLA和合规、用户组动作等。
7)数据安全问题不能只靠技术解决。制定数据安全治理策略,开展安全培训,制定应急响应计划,在遇到突发数据安全实践后具有step-by-step的应对流程。
五、小结
今天DCS的基本思想是,技术上以数据为中心,管理上以组织为单位,治理的基本抓手是能力成熟度。数据安全治理的关键是让数据安全能力和组织所能处理的数据类型和规模挂钩,让数据安全成为竞争力而不是成本,让数据安全成为内生需求而不是被动合规。
DCS需要多方面工作的协同。仅靠法律法规或者单纯依靠技术都解决不了数据安全问题。因为无论怎么样都会有数据进入服务方,法律能解决数据来源的合法性,但不能解决这些合法获得的数据是否会被安全保存或安全使用;过去的信息安全行业管理经验不适用。今天的数据安全是全社会全行业的事,过去把安全行业当作特种行业进行管理的思路是行不通的;很多数据安全前沿技术还有待突破。
DCS需要政策、技术、学术的结合,需要多方参与形成治理模式。另外,这个领域才刚起步,需要创新和持续改进。在今天的发展速度下,没有办法给出一个完美的方案以后再执行,只能是小步快跑,不断迭代。DSMM中最高能力级别要求的也是持续改进的能力,即不断发现新的问题,不断调整自己,这是最高的能力要求。
参考文献
[1]. 《Data Security Lifecycle》,Securosis
[2]. 《Data Security Lifecycle 2.0》,Securosis
[3]. 《信息安全技术 数据安全能力成熟度模型》,阿里巴巴等,2019
[4]. 《数据安全能力建设实施指南》,阿里巴巴等,2018
[5]. 《Data-Centric Security: Reducing Risk at the Endpointsof the Organization》,IAPP,2014
[6]. 《Trends In Data Centric Security》,Securosis,2014
[7]. 《Data_Centric_Security:SevenBest Practices for Protecting Your Most Sensitive Data 》,TDWI,2016
扩展阅读
2018.12.04 数据安全治理的几个基本问题
2018.12.20 阿里巴巴发布《数据安全能力建设实施指南》
2019.05.20 对数据安全的六大误解
2019.08.14 什么是“以数据为中心的安全”?(一)—— 大家眼中的DCS
声明:本文来自阿里巴巴数据安全研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
