数据安全--9--数据安全治理浅析

一、引子

数据安全治理是一个属于纲领战略性的概念，一般和数据安全管理放在一起做参照，以便于增进理解。但这两个概念有所不同，在实际上，数据安全治理是在数据安全领域采取的战略、组织、政策框架的集合。数据安全管理则主要侧重于战术执行层面。

本篇我们来聊聊数据安全治理相关的东西。

二、数据安全治理简介

数据安全治理是企业为达成数据安全目标而采取的战略、组织、政策的总和。

数据安全治理的需求来自于企业的战略、所面临的法律法规或监管层面的合规要求、业务面临的风险等，目的是让企业在市场中保持竞争优势、法律合规以及数据的安全。

对于数据安全的目标，一般是保障数据的安全收集、安全使用、安全传输、安全存储、安全披露、安全流转与跟踪，防止敏感数据泄露，并满足合规要求。

同时，数据安全治理确定了边界、改进方向，以及朝着目标方向前进所进行的战略决策、组织架构设计、政策制定、监督等活动。

数据安全治理大致分为如下几个子领域：

● 确定数据安全战略。
● 数据安全组织的设计，确定权责边界、监督与问责机制。
● 制定数据安全政策文件体系（含政策总纲、管理规定、标准规范、流程等）。

数据安全治理三要素：

● 战略：数据安全的长期目标，可以长期指引大家工作的方向。具体包括差别防护、工作重心、生命周期保护等。
● 组织：主要是从业者技能职责认定、责任归属等。
● 政策：政策总纲确定整体的数据安全治理原则，并在管理层达成共识，这个政策总纲可以在组织内部自行制定，也可以选择引入业界成熟的标准或框架。

数据安全管理三要素：

● 项目管理：围绕战略展开，通过项目建设支撑安全战略。包括防御基础设施建设、运维基础设施建设、支撑系统建设、流程/工具建设、业务数据安全改进项目等；
● 运营管理：围绕组织展开，通过运营管理支撑组织职责、管理问责与绩效考核。包括高层支持、管理者当责、跨部门协作配合、员工支持、数据分析与绩效可视等；
● 风险管理：围绕政策展开，通过风险管理支撑业务内外合规与风险可控。包括合规管理、安全开发生命周期管理、风险管理、业务连续性管理、应急预案预事件管理等。

三、安全项目管理

项目管理主要包括为支撑数据安全战略而发起的各种建设性项目，如安全防御基础设施、安全运维基础设施、支撑系统、流程、工具，以及重大的安全改进项目。

为了保障安全架构能力在各业务线的落地，安全团队最好能够提供统一的数据安全管理系统，或者将数据安全管理功能融入数据管理平台或中台。

数据安全管理系统功能参考：

● 提供数据分级分类信息、数据对应的CMDB、数据安全负责人、业务线安全接口人等信息的登记。
● 数据的权限申请，含权限明细、有效期等。
● 数据流转的审批或登记。
● 数据生命周期状态的跟踪，直至数据销毁。
● 内外部合规要求与改进指引。
● 使用数据的业务登记。
● 设计数据安全检查表（Checklist），使用数据的业务，对照合规要求与改进指引，执行自检并保存检查结果，可以用于对业务进行设计合规性的度量。
● 风险数据（基于安全的扫描或检测方法，可视化展示各业务的风险）。
● 改进计划与改进进度的展示与跟踪。

数据安全管理系统可以视为数据安全的仪表盘，让大家直观地感受到当前的数据安全风险现状及改进趋势，系统提供的数据可直接作为向上汇报的数据来源。

四、安全运营管理

安全运营管理，即日常运营活动的管理，包括了5个层面。

1、高层支持

数据安全治理是一个需要高层支持的工作。要获得高层的支持，一般需要通过汇报来进行，那么，应该汇报什么内容，以及希望获得什么样的支持呢？通常来说，需要包括以下点：

● 法律法规、监管、合同的要求。其中，以法律法规的强制性要求最为权威。比如《网络安全法》明确规定了网络产品、服务提供者有修复漏洞或安全缺陷的义务。
● 违法的处罚，比如违反《网络安全法》要求拒不修复漏洞，最高可罚款50万元，导致严重个人信息泄露事件的最高可罚100万元等。
● 风险现状的总结与分析，含风险等级以及对公司的影响。
● 业界的实践经验参考，主要包括本行业内的头部企业是怎么做的。
● 下一步计划、对公司的意义，以及希望得到的支持，比如建议由高层发起，启动业务改进项目，这一行动在达成合规的同时，将赢得市场的竞争优势地位。

2、管理者当责

安全运营团队需要通过适当的方式，将此类问题暴露出来并同步到业务管理层。可以采用的方式有风险数据统计与分析、各业务线的改进得分排名等。

必要时，也需要针对领导不当责、不严格要求团队或团队负责的业务综合安全风险长期居高不下的情况，向更高级别的管理层提出，供管理问责参考。

3、跨部门协作配合

良好协作的前提是构建信任，作为安全运营，需要帮助业务真正地解决问题，建立信任，比如主动解决业务的求助、主动输出培训、主动输出案例与解决方案分享、及时提供技术支持等。

在进行总结汇报时，也要注意分享利益，提及合作团队为克服什么样的困难而做出的努力，感谢合作团队的付出。在申请项目奖项时，主动纳入各协作团队的同事。

4、员工支持

在企业内部推行数据安全时，不是发几个通知就能完成的，也离不开持续的宣传、教育、培训、推广等活动，逐步将数据安全的理念深入人心，将数据安全的最佳实践在内部达成共识。

5、数据分析与绩效可视

安全运营的一项重要工作，就是对风险度量数据进行分析总结，用于汇报、沟通，发现需要重点关注的问题，以及展示团队取得的成果，让高层满意。度量数据按照团队进行聚合，比如针对选取的风险指标，给各业务线进行打分和排名，以及输出改进的变化趋势，用于评价各团队的绩效。

五、合规风险管理

数据安全合规与风险管理，其目的是为了支撑数据安全治理中的政策总纲与框架，将政策总纲与框架中的原则和精神在日常的产品开发与业务活动过程中落地。

合规与风险管理可以概括为：定政策、融流程、降风险

● 定政策：是指合规管理，包括建立并完善内部政策，使之符合法律法规的要求并作为内部风险改进的依据，以及合规认证与测评，促进合规政策体系改进、业务改进。

● 融流程：是指将安全活动在流程中落地，如果将安全要素融入产品开发与发布相关流程，可保障产品全生命周期的安全性。如果将安全相关要求融入业务流程，可保障业务活动的安全合规。

● 降风险：是指风险管理，就是以内部政策为依据，在流程中以及日常活动中，评估、识别、检测各业务的数据所面临的风险，根据严重程度对其定级，确定风险处置的优先级，并采取风险控制措施降低风险，防止风险演变为事故，以及对风险进行度量，提升整体数据安全能力。

六、SDL核心工作

这一部分主要是为了支撑融流程。

1、安全培训

产品是由人来设计、开发、测试、实施的，参与人员的安全能力和安全意识，不可避免地影响所交付产品的安全性。所以安全团队的日常运营工作还包括持续的宣传、培训、推广等活动。

2、安全评估

评估就是主动识别产品可能的缺陷、漏洞、不合规等风险，评估的形式包括但不限于：

● 方案架构设计的评估，可通过同行评审、自检等方式完成。
● 代码漏洞的主动发现，可通过代码审计工具来完成。
● 安全测试，可通过扫描、测试用例、渗透测试等方式完成。
● 合规性评估，如隐私保护措施是否符合所有适用法律法规的要求。

七、风险管理

这一部分主要是为了支撑降风险。对于风险管理，可以使用安全架构的5A方法论，来审视产品的架构安全性。

7.1、风险评估

以涉及敏感数据的业务为评估对象，来评估其安全性。如果是普通业务，相应的控制措施可以适当放宽。

1、身份认证

架构层身份认证机制应用和数据层SSO/PKI、DB认证设备和主机层运维认证、设备登录网络和通信层接入认证物理和环境层门禁认证、人脸识别

2、授权

架构层授权机制应用和数据层授权管理设备和主机层运维授权网络和通信层动态授权物理和环境层授权名单

3、授权控制

架构层访问控制应用和数据层RBAC/ABAC、应用网关/风控设备和主机层运维通道、内部源网络和通信层防火墙、NAC物理和环境层门禁开关

4、审计

架构层审计应用和数据层操作审计、日志平台、应用流量审计设备和主机层运维审计网络和通信层流量审计物理和环境层视频监控、来访记录

5、资产保护

架构层资产保护应用和数据层加密/隐私保护、WAF/CC防护设备和主机层补丁/防病毒、HIDS网络和通信层抗DDOS物理和环境层防火防盗防水7.2、风险度量

我们将安全能力分为5级，从3级开始，作为敏感业务数据安全改进的及格线，4级可视为良好，5级则为优秀。

级别能力简述数据安全架构能力概述5最佳实践+持续改进安全架构实践符合最佳实践并具备持续改进的流程机制4增强安全+风险量化安全措施接近最佳实践，并具备风险量化与闭环跟进机制3充分定义与合规已按内外部合规要求执行所有必要的安全改进并重复执行2计划跟踪仅具备针对典型高危风险的改进计划及跟进措施1非正式执行数据安全工作来自于被动需求，尚未主动开展数据安全合规与改进工作

1、身份认证

分级要求参考5级在4级基础上：员工/用户入口超时退出时间不超过15分钟4级在3级基础上：员工/用户入口超时退出时间不超过30分钟；客户端到后端以及后端之间身份认证具备防重放能力；主机双因子身份认证客户端到后端以及后端之间如果只有固定的ApplD+AppKey机制，则达不到该标准3级员工/用户入口使用HTTPS集成SSO双因子身份认证，并具备超时退出机制；客户端到后端以及后端之间具备身份认证机制客户端到后端以及后端之间如果只有来源IP机制，则达不到该标准

2、授权

分级要求参考5级在4级基础上：具备权限分离(SOD)机制；授权与行权分离；具备权限申请流程操作系统管理员、DBA、业务管理员分离；流程上不能审批自己提交的申请4级业务自身具备权限最小化机制，且交叉测试通过，能够防止平行越权、垂直越权；具备权限清理机制通过交换URL测试3级具备基本的权限管理，比如接入了权限管理系统权限管理系统往往只能控制到CGI这一级，无法控制到基于参数值的权限

3、访问控制

分级要求参考5级在4级基础上：完善的自动化运维管理平台基本不再登录服务器4级具备ABAC或其他针对资产的细粒度访问控制能力；针对数据库的访问，具备唯一路径；应用如对外提供服务则通过应用网关统一接入；具备自动化运维平台典型场景，只能用户自己访问自己创建的数据；使用统一的数据访问层或数据服务，只从一个来源访问数据库3级数据接口具备基本的防遍历拉取能力;具备跳板机或自动化运维平台比如频率限制、总量限制、来源限制等

4、审计

分级要求参考5级在4级基础上：日志平台具备发现异常的自动化审计能力建立基于大数据的分析模型并执行数据挖掘4级在3级基础上：日志上传到业务之外的日志平台且日志平台中的日志无法从业务自身发起删除通过Web API或RPC上报日志，而不是直接操作数据库3级记录所有对敏感数据的操作日志并保存6个月以上记录时间、来源IP、用户ID、操作等

5、资产保护

分级要求参考5级在4级基础上：具备数据分级管理系统及登记、自检或检测机制；数据流转跟踪机制；隐私数据统计接口使用差分隐私等机制最好是建立统一的数据安全管理系统4级使用KMS配合的存储加密；内外网HTTPS或RPC加密；用户侧收集行为合规及采用差分隐私等机制处理没有KMS则数据无法解密3级数据分级；无KMS配合的存储层静态加密；外网HTTPS；敏感个人信息展示脱敏；数据登记，业务纳人安全防御基础设施保护范围应用层继续按明文方式使用存储7.3、风险处置

风险定级之后，接下来就是如何推动业务改进或收敛风险了。风险收敛跟踪需要运营支持系统来进行管理和跟进，一般需要覆盖风险列表展示及风险处置流程两个功能。

7.4、风险运营

对于风险的量化管理，我们需要选取重要的风险指标（比如弱口令、高危漏洞数量、风险闭环比例等），将风险数据化（包括风险数量、风险等级等），实时体现当前风险的现状；通过持续化的运营活动，记录不同时间段（比如按天、按周、按月等）的风险，并分析变化趋势是否在收敛，以体现安全团队的绩效；对于那些高危且难以收敛的风险，需要重点投入资源加以攻克。

在这个过程当中，通过各类安全运营活动驱动业务安全改进，就需要使用各种安全风险数据化运营工具。这些工具和技术一般包括：

● 风险总览大盘
● 例外事项备案登记
● 漏洞报告系统
● 扫描/检测工具和技术
● 风险或问题跟踪系统
● 代码审计工具
● 项目管理工具