目前数据安全领域大多在整体与局部围绕着数据全生命周期开展防御能力建设,有的以数据全生命周期为理论依托构、有的以零信任、ATT&CK、网络安全滑动标尺等为理念在技术层面围绕数据全生命周期延展强化防御能力。因此,本文按照数据全生命周期维度划分,结合市场痛点、行业动态及发布的相关指南,梳理各阶段可能面对的威胁与脆弱性,识别各阶段可能面临的安全风险,辅助强化数据安全防御能力建设。本文首先梳理各阶段的脆弱性,通过对脆弱性的梳理反推可能面临的风险。

具体如下:

一、数据采集阶段

在此阶段中需要重点对采集范围约束性、采集内容合法性、被采集对象同意原则、采集数据质量情况等进行综合考量,量化数据采集阶段的威胁与脆弱性。具体内容如下:

(1) 脆弱性:

● 是否按照数据的重要程度进行分类;

● 是否在分类的基础上围绕数据损坏、丢失、泄露等建立数据分级;

● 数据分级满足保密性、完整性和可用性安全目标;

● 数据分类分级制度中是否映射了业务属性;

● 是否以数据分类分级为基础采取了不同等级的安全防护措施;

● 数据分类分级工具是否具有敏感数据识别、敏感数据类型发现、自定义分类和分级、数据标记管理、过程记录、过程分析能力;

● 是否留存了数据分类分级清单;

● 是否围绕《网络安全法》、《数据安全法》、《个人信息保护法》等国家法律法规及行业规范,制定了数据采集安全合规管理规范;

● 是否以数据采集安全合规管理规范为基础,建立数据采集的风险评估流程;

● 是否围绕数据脱敏、数据加密、链路加密等建立数据采集过程保护;

● 是否围绕采集周期、采集频率、采集内容等设置了统一数据采集策略;

● 是否具有数据源鉴别、数据源管理、数据源安全认证能力;

● 是否对数据采集过程进行了记录与留存;

● 是否建立了数据采集质量管理规范、数据质量管理流程、实施数据质量校验、数据质量监管,强化数据采集质量能力。

(2) 威胁:

● 网络钓鱼;

● 偷渡式妥协;

● 采集法律法规严令禁止数据;

● 采集数据难以追溯、定责;

● 数据资源混乱;

● 敏感数据丢失;

● 数据采集频次、内容混乱;

● 数据采集质量低下,无使用价值;

● 数据变更情况无法实时感知等;

● 账号操控;

● ……

二、数据传输阶段

在此阶段中需要重点对传输介质可用性、安全可信度进行综合考量,量化数据传输阶段的威胁与脆弱性。具体内容如下:

(1) 脆弱性:

● 是否围绕保密性、完整性明确了加密传输的业务场景(如:不可控网络、高安全等级区域、等保定级三级或三级以上等);

● 是否对涉及国家重要信息、企业机密信息和个人隐私信息的数据场景进行了加密;

● 是否明确需要加密传输的数据(如:系统管理数据、鉴别数据、重要业务数据、重要个人数据等)

● 是否对不同级别数据建立了不同等级的加密传输能力;

● 是否对不同级别数据应采用了加密算法、加密强度密钥、密钥的有效期等;

● 是否在传输两端建立了身份鉴别和认证,确保数据传输双方可信;

● 是否建立对加密算法配置、变更、管理等操作过程审核机制和监管手段;

● 是否对密钥进行了安全管理;

● 是否对密钥系统管理人员建立了审核监督机制;

● 是否对关键业务网络的传输链路、网络设备节点进行了冗余建设;

● 是否借助负载均衡、防入侵攻击等设备建立了网络风险防范。

(2) 威胁:

● 数据从高安全区域传输到低安全区域;

● 重要数据未进行安全加密;

● 传输两端发起端与接收端不一致;

● 运维管理人员误操作;

● 网络堵塞;

● 攻击窃听;

● 非法篡改;

● 病毒感染。

● 终端拒绝;

● 网络拒绝;

● 资源劫持;

● 伪造网络凭证;

● 窃取应用程序访问令牌;

● 使用替代身份验证材料。

三、数据存储阶段

在此阶段中需要重点对存储介质、存储容器、存储架构、存储备份等进行综合考量,量化数据存储阶段的威胁与脆弱性。具体内容如下:

(1) 脆弱性:

● 是否对存储介质进行分类分级;

● 是否对存储介质上操作行为进行了记录;

● 是否对建立了存储介质使用审批制度;

● 是否定期对存储介质开展测试;

● 是否对存储设备建立安全管理规范和操作规程;

● 是否对存储介质配置了安全能力(如:认证鉴权、访问控制、通信举证、文件防病毒等);

● 是否建立数据存储冗余策略和设计指导;

● 是否建立数据复制、备份与恢复的操作规程;

● 是否对备份数据定期开展检查;

● 是否对备份数据建立安全管控能力。

(2) 威胁:

● 存储设备故障;

● 存储数据丢失;

● 存储设备漏洞;

● 不安全存储介质;

● 内部人员误操作;

● 存储数据无法复原;

● SQL注入;

● 权限滥用;

● Web应用程序安全性不足;

● 审计线索不足;

● 过多特权账号。

● 盗取应用程序访问令牌;

四、数据处理阶段

在此阶段中需要重点从预防敏感数据泄露、提升数据访问效率、规范数据分析行为、数据使用过程安全、数据处理过程安全等进行综合考量,量化数据处理阶段的威胁与脆弱性。具体内容如下:

(1) 脆弱性:

● 是否明确需要数据脱敏的业务场景;

● 是否建立了数据脱敏制度规范和流程;

● 是否建立了敏感数据访问机制;

● 是否具备统一数据脱敏工具(包括:静态脱敏、动态脱敏);

● 数据脱敏工具是否与数据权限管理平台实现联动;

● 是否对数据脱敏操作过程进行了记录;

● 是否建立审核违规使用和恶意行为;

● 是否制定了数据分析过程中数据资源操作规范和实施指南;

● 是否建立了数据分析结果风险评估机制;

● 是否具备对个人信息去标识化的处理能力;

● 是否明确各种数据分析工具所用算法情况;

● 是否制定了对数据分析结果审核机制;

● 是否规定了分析者将分析结果授权范围;

● 是否制定了整体的数据权限管理制度;

● 是否建立了数据使用者安全责任制度;

● 使用个人信息,是否建立在明示同意的基础上进行使用;

● 是否围绕损坏、丢失、窃取等建立了数据处理环境保护机制;

● 是否建立数据处理过程中统一管理措施;

● 是否围绕访问控制、监管审计、职责分离等建立数据处理安全能力;

(2) 威胁:

● 错误处理敏感数据;

● 信任滥用威胁;

● 分析结果滥用;

● 违规操作;

● 恶意授权;

● 恶意盗取;

● 伪装;

五、数据交换阶段

在此阶段中需要重点从数据导入导出安全、数据共享过程安全、数据发布公开安全、数据交换接口安全等进行综合考量,量化数据交换阶段的威胁与脆弱性。具体内容如下:

(1) 脆弱性:

● 是否建立可数据导入导出安全保障制度规范;

● 是否在安全保障制度中建立权限审批和授权流程;

● 是否基于数据分类分级要求建立了数据导入导出安全策略;

● 是否建立导出数据介质的标识规范;

● 是否对导入导出行为进行记录;

● 是否具有导入导出技术方案对身份的真实性和合法性进行保证;

● 是否具有导入导出管理和审计能力;

● 是否具有导入导出权限管理能力;

● 是否具有导入导出身份认证能力;

● 是否具有导入导出完整性验证能力;

● 是否具有导入导出日志审计和风险管控能力;

● 是否具有面向数据共享风险控制措施及能力;

● 是否建立了根据共享场景的规范要求;

● 是否建立了数据共享审核流程;

● 是否具有数据共享审计策略;

● 是否利用数据加密、安全通道等措施保护共享数据;

● 是否具有对数据共享权限管理能力;

● 是否具有敏感数据保护能力;

● 是否具有对数据共享的日志审计和风险控制能力;

● 是否基于数据分类分级建立了数据发布管理制度;

● 是否具有数据资源公开应急处置能力;

● 是否具有API数据接口安全防范能力。

(2) 威胁:

● 伪装攻击;

● 篡改攻击;

● 重放攻击;

● 数据信息监听;

● 数据篡改;

● 恶意加密;

● 资源劫持;

● 终端拒绝;

● 网络拒绝;

● 病毒横向蠕动;

六、数据销毁阶段

在此阶段中需要重点从数据销毁合规性、数据销毁必要性、介质销毁必要性等进行综合考量,量化数据销毁阶段的威胁与脆弱性。具体内容如下:

(1) 脆弱性:

● 是否结合业务、数据重要性等明确数据销毁场景;

● 是否基于数据分类分级确定了数据销毁手段和方法;

● 是否基于重要性、合理性、必要性建立了数据销毁流程;

● 是否基于重要性、合理性、必要性建立了介质销毁流程;

● 是否采用了多样化销毁工具,保证各种类型数据销毁。

(2) 威胁:

● 残余数据利用;

● 残余介质利用;

● 资源劫持 ;

● 容器和资源发现。

(本文作者:杭州美创科技有限公司 王泽)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。