从网络安全到数据安全的企业安全建设实践转变 – 作者:happy1

信息安全领域经过这几年外部环境的变化，企业信息安全威胁经历了从最早的网络攻击到如今数据泄露，从等保的系统分级保护到数据的分类分级保护，加上一年一度国家级、省级hvv行动的严峻考验，不断促使企业安全建设者们对安全架构去做出持续调整，以满足日益复杂的监管要求、内外部错综复杂的新挑战。

本文从合规、技术体系、运营三方面，对企业安全建设实践的变化和思考进行一点总结。归纳网络安全为主导的企业安全建设到以数据安全为主要的安全体系建设的主要变化和今后趋势。

从网络安全到数据安全的监管趋势

《国家安全法》明确将网络与信息安全保障作为国家安全的具体要义之一，并突出强调了要实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。

从现有网络安全立法的角度来看，草案尝试在既有的关于“网络数据”安全之上，建立普适于各类“数据”的安全规则。我国《网络安全法》已将“网络数据”的完整性、保密性和可用性作为“网络安全”的基本内容之一，而“网络数据”则被定义为“通过网络收集、存储、传输、处理和产生的各种电子数据”。

《网络安全法》对于网络环境的安全保护显然不仅仅局限于网络运行安全规则，还包括网络数据。这使得《数据安全法》与《网络安全法》在保护客体上形成了某种程度的“交叉关系”。而就两者保护客体的重叠部分而言，未来将建立起何种层次的优先适用规则（特别法优于一般法，抑或新法优于旧法），不同的适用规则之间如何实现有效的衔接，有待立法者在草案条款的发展、完善过程中予以明确。

以下表格是相关法律法规的关注点（不分时间先后顺序），可以看出从网络安全到数据安全聚焦：

因此，企业要满足合规，必须对自身信息安全体系建设工作根据监管要求做出新的调整和变化，首先是技术体系方面的变化。

从网络安全到数据安全的技术体系变化

传统安全模型在组织的基础设施之上建立基于治理策略（govern）、防护（Protection）、检测（Detection）和响应（Response）的动态的安全循环体系，简称P2DR。安全体系离不开组织的信息基础设施，基础设施很大程度影响P2DR体系的嵌入程度和流畅程度。

安全策略的核心围绕公司能接受的风险水平，制定一系列的安全标准、指南。如主机安全标准、网络安全标准、主要目的是解决在多层级网络安全域下资产安全访问。网络安全体系主要以安全攻防为重点，解决攻与守的矛盾关系，形成多道安全防线的纵深防御体系，如合规、风控、信息技术安全保障、员工意识宣贯等。为了保障安全体系的可靠性、匹配性、需要有一系列的检测措施，来确保安全标准的落实。最后，一旦发生绕过安全防线的事件时，必须启动必要的响应机制，将事件的影响性、破坏性降低，确保业务连续性。

传统安全体系强调对应用、资产、人员、网络、系统方方面面的全方位防护。国内形成了各种评估方式，如等保。国外也有多种标准，如27001等。

网络安全体系强调企业业务自修复能力，在若干领域的安全建设后，安全基础设施和框架达到一定的成熟度，达到能感知、发现、阻断安全威胁。

随着近几年数据安全立法及政策要求强化，出台了APP、个人隐私、数据治理、大数据、等多个领域的监管要求或标准，特别在银行、证券、保险等行业涉及关键信息基础设施，针对性的出台多个法律法规，强调且明确了主管部门责任和义务。同时、国外主流厂商起草或者形成多个数据治理标准，其中涵盖了数据安全方面的约束和要求，值得企业借鉴和进行自评估风险。因此，在企业安全体系架构应随着外部监管而作相应调整，以应对来自外部监管要求和外部错综复杂的安全形势的挑战。因此，网络安全体系不可避免将向数据安全体系演化，强化数据安全为核心的新的安全架构。

数据安全，是指通过采取必要措施，保障数据得到有效保护和合法利用，并持续处于安全状态的能力。数据安全体系重点目标是实现数据机密性、数据完整性、数据合规合法流动。数据安全通过采用一系列控制措施，如应用程序和技术来保护网络上的文件，数据库和帐户的过程，应用程序和技术可以识别不同数据集的相对重要性，其敏感性，法规遵从性要求，然后应用适当的保护措施来保护这些数据集资源。数据安全离不开成熟的网络安全基础设施。

数据安全体系在建构之初，需要先思考一下几个问题，才能设置相应的预防措施来保护公司的重要数据：

1、知悉敏感数据在哪里。做好数据发现，常规静态梳理资产定位数据。动态梳理数据，分清数据使用热度、数据访问量、数据类型、数据关联与流动等。如果无法定位敏感数据的逻辑和物理位置，则无法开展保护数据活动。知悉数据所在只是第一步。根据数据的规模和数据类别，定义数据等级，根据数据等级制定相关访问策略。

2、谁有权访问数据。数据等级明确后，须明确访问主体，是公司用户、系统、还是第三方。当数据访问主体未经检查的访问权限或不频繁的权限检查时，将使组织面临数据滥用，盗窃或滥用的风险。始终知道谁有权访问公司的数据是最重要的数据安全考虑因素之一。

不同场景下数据访问的安全隐患应做出不同区分。如开发测试场景、数据库运维场景、业务数据访问场景等。不同场景的风险根据数据访问主体和网络区域、控制措施等对数据保护形成不同的安全风险。

3、是否对数据操纵实施了持续监控和实时警报。持续监视和实时警报不仅对于遵守合规性很重要，而且可以在为时已晚之前检测到异常文件活动，可疑帐户和计算机行为。发现数据在各种流动场景中的安全风险：如数据滥用、数据暴露面过大、数据操纵无法回溯，缓释安全风险是数据安全体系首要解决的问题。

上述三个问题一般会和公司的数据管理部门等联合落实，实施具体的数据治理措施，从而为数据安全体系创造条件，数据安全体系搭建可从如下三方面考虑着手：

1、合规顶层：基于法律法规、行业监管、公司级制度与标准

梳理监管部门、行业发布各项法律法规和标准规范，解读其中的关注点，转化为公司级的制度，达到合规的目的。

2、框架层：此层根据合规要求，将公司现有数据安全问题切成若干子问题，对每个问题用单独的框架解决。

框架层由许多小框架组成，如数据分类分级框架；角色权限与审批框架、客户个人信息保护框架、app用户隐私框架。

3、基础设施层：此层用于支撑框架层，包括硬件基础设施和软件基础设施，向上支撑框架所需数据、流量等。

4、风险评估：定期进行数据保护风险评估和体系查漏补缺，对整个体系不断迭代更新。

从网络安全到数据安全的运营重心变化

由于近几年数据安全形势十分严峻，类似facebook的8700万条个人数据泄漏、谷歌50w用户数据泄漏、国内一些快递、支付金融公司的数据泄漏层出不穷。鉴于此，我们需要将网络安全运营转变为以数据保护为主安全运营。

在网络安全基础设施之上，建立数据安全相关的运营工具，流程，平台，人员，响应机制，形成企业整体信息安全体系。借助网络安全运营的事件处置流程，增加数据安全情报，数据安全泄露事件感知，在网络安全运营基础上增加数据安全运营的属性。达到在数据安全事件发生时可溯源，可定位，可补救的运营体系。

虽然网络安全运营和数据安全运营有共同目标，就是保证企业信息安全，但是由于重心不同，以及数据安全本身的聚焦数据保护，主要是围绕个人和数据之间的关系作为运营的核心。如在开展事件调查时，希望是精确到哪些个人非法访问什么等级的数据，一般独特指向个人信息数据和个人敏感数据。

通过溯源访问关系，加上时间，访问方式，访问频次，访问范围，结合多维度关联分析，包括会话、行为检索、对象统计、风险命中，逐步形成事件调查的初步全局画像。

在这里，完整画像对安全基础设施不完善的公司来说是极其困难的，因为无法从基础设施调度，协调到必要的信息：如探针的网络覆盖，日志的保留期限，日志的详细程度等。

同时，数据安全运营应该指定可量化的运营指标，如恶意事件数和良性事件数，闭环处理时效，有效事件数统计，事件类别等，用于评价数据安全运营的有效性，才能从量化指标中看到不足，持续不断完善运营。

安全运营取决于员工规模和组织规模。不同组织，考虑到预算成本、人力投入、业务规模，必须分主次在不同方面投入宝贵的安全资源。

所以数据安全运营是建立在相对健全的安全基础设施之上，加上可量化的运营指标，才形成数据安全整个运营模式。

来源：freebuf.com 2020-11-27 11:10:03 by: happy1