有人想看数据安全能力成熟度模型(DSMM,以下简称DSMM)的数据处理安全部分,今天它来了….
前段时间整理了DSMM的一系列内容,已经介绍和分享了三个部分,分别为DSMM开篇的总结与交流、数据采集安全、数据传输安全、数据存储安全,各过程阶段链接如下:
天气逐渐变冷了,小伙伴们注意添加衣服保暖了。这段时间单位的事情也比较多,一直没有时间继续分享DSMM的相关内容,趁着下班的时间,将数据处理安全过程的相关内容进行了总结。也希望各位小伙伴能够和我多多交流,多提宝贵意见。废话不多说,开始本次分享的核心内容——DSMM之数据处理安全。
一、背景
数据安全生命周期分为采集、传输、存储、处理、交换、销毁几个阶段,其中数据处理阶段是整个周期的核心阶段,数据处理安全与否直接关系到整体数据安全。那么今天分享内容就是数据处理安全的相关要求和实现目标。
我们知道DSMM分为5个成熟度等级分别为:非正式执行、计划跟踪、充分定义、量化控制、持续优化;安全能力的维度包括组织建设、制度流程、技术工具、人员能力。我们在落地执行的时候一般按照等级3即充分定义级进行相关的工作,因为在充分定义级里面完整的包含了安全能力维度的四个方面,而等级1和等级2是没有覆盖完全的,至于等级4和等级5就是进行一些量化细化和持续改进的,可以在DSMM体系建设完成后进行拔高。每个过程域都是按照这样的思路进行要求的,所以接下来介绍的数据处理安全的各过程域都是按照这个思路进行建设的。
二、定义
数据处理,顾名思义,就是对数据进行操作、加工、分析等过程,此阶段对数据接触的最深入,所以安全风险也比较大。数据处理安全过程就是为了解决数据处理过程中的安全问题,降低该阶段的安全风险,该过程包含四个过程域,分别为:数据脱敏、数据分析安全、数据正当使用、数据处理环境安全。
2.1数据脱敏
数据作为一种重要的生产资料,充分分析与挖掘数据的内在价值成为了现代企业创新成长的必经之路,但同时敏感数据的泄露风险也与日俱增。严格意义上来讲,任何有权限访问数据的人员,均有可能导致敏感数据的泄露。另一方面,没有数据访问权限的人员,也可能有对该数据进行分析挖掘的需求,数据的访问约束大大限制了充分挖掘数据价值的范围。数据脱敏技术通过将敏感数据进行数据的变形,为用户提供虚假数据而非真实数据,实现敏感隐私数据的可靠保护。这样就可以在开发、测试和其他非生产环境以及外包环境中安全地使用脱敏后的真实数据集,既保护了组织的敏感信息不泄露,又达到了挖掘数据价值的目标。
DSMM标准在充分定义级要求如下:
组织建设:
组织机构设立统一的数据安全岗位和人员,负责制定数据脱敏的原则和方法,并提供相关技术能力。
在数据权限的申请阶段,由相关人员评估使用真实数据的必要性,以及确定该场景下适用的数据脱敏规则及方法。
在DSMM的要求中这个几乎都是一样的,每个过程域都需要指定专人和专岗负责该项工作,并能够胜任此工作。在实际工作中,可能所有的过程域在这个维度上都是同样的一个或多个人,可以单独任命,也可以在相应的制度章节中进行说明。
制度流程:
建立组织机构的数据脱敏规范,明确数据脱敏的规则、脱敏方法和使用限制等。
明确需要脱敏处理的应用场景、脱敏处理流程、涉及部门及人员的职责分工。
技术工具:
组织机构提供统一的数据脱敏工具,实现数据脱敏工具与数据权限管理平台的联动,以及数据使用前的静态脱敏。
提供面向使用者的数据脱敏定制化功能,可基于场景需求自定义脱敏规则。
数据脱敏后应保留原始数据格式和特定属性,满足开发与测试需求。
对数据脱敏处理过程相应的操作进行记录,以满足数据脱敏处理安全审计要求。
人员能力:
熟悉常规的数据脱敏技术,能够分析数据脱敏过程中存在的安全风险,基于数据脱敏的具体场景保证业务和安全之间的需求平衡。
具备对数据脱敏的技术方案定制化的能力,能够基于组织机构内部各级别的数据建立有效的数据脱敏方案。
以下是我们在数据脱敏过程中具体落地实践的内容。
在数据脱敏之前一定要按照之前的数据分类分级表对需要脱敏的敏感数据进行定义,并不是所有的数据都要脱敏。,于采用的脱敏技术根据具体的场景进行选择。数据脱敏的核心是实现数据可用性和安全性之间的平衡,既要考虑系统开销,满足业务系统的需求,又要兼顾最小可用原则,最大限度的防止敏感信息泄露。所有的数据脱敏操作都需要进行审计,留存审计日志记录,这点很重要。具体如下:
1.应结合数据分类分级表对敏感数据进行识别和定义,明确需要脱敏的数据信息,一般包括个人信息数据、组织敏感信息、国家重要数据(非涉密信息)等。
2.应定义不同等级的敏感数据的脱敏处理场景、流程、方法和涉及的部门及人员分工,脱敏技术一般包括:泛化、抑制、扰乱、有损等。
3.应根据数据使用者的职责、权限及业务范围采取不同的数据脱敏方式,如对开发人员使用的数据,可采用扰乱技术在脱敏后保留数据属性特征等;对投屏展示用的数据,可以选择掩码方式隐藏敏感的信息。
4.应配置统一的数据脱敏工具,提供静态脱敏和基于场景需求的自定义脱敏规则的动态脱敏功能,满足不同业务需求。
5.应在数据脱敏的各阶段加入安全审计机制,对数据脱敏过程的操作行为进行记录,用于后续问题排查分析和安全事件取证溯源。
2.2数据分析安全
在大数据环境下,企业对多来源多类型数据集进行关联分析和深度挖掘,可以复原匿名化数据,进而能够识别特定个人,获取有价值的个人信息或敏感数据。数据分析安全旨在规范数据分析的行为,通过在数据分析过程采取适当的安全控制措施,防止数据挖掘、分析过程中有价值信息和个人隐私泄露的安全风险。
DSMM标准在充分定义级要求如下:
组织建设:
组织机构设立统一负责数据分析安全的岗位和人员,负责整体的数据分析安全原则制定并提供相应技术支持。
组织建设要求和数据脱敏过程域中组织建设要求类似,这里不再赘述。
制度流程:
制定数据处理与分析过程的安全规范,覆盖数据清洗、转换、加载、构建数据仓库、建模、分析、挖掘展现等方面的安全要求,明确个人信息保护、数据获取方式、访问接口、授权机制、分析逻辑安全、分析结果安全等内容。
建立数据分析安全审核流程,对数据分析的数据源、数据分析需求、分析逻辑进行审核,以确保数据分析目的、分析操作等的正当性。
采取必要的监控审计措施,确保实际进行的分析操作与分析结果使用与其声明的一致,整体保证大数据分析的预期不会超过相关分析团队对数据的权限范围。
建立数据分析结果输出和使用的安全审核、合规风险评估和授权流程,防止数据分析结果输出造成安全风险。
技术工具:
在针对个人数据的大数据分析中,组织采用多种技术手段以降低数据分析过程中的隐私泄露风险,如差分隐私保护、K匿名(K-Anonymity)等。
记录并保存数据处理与分析过程中个人信息、重要数据等敏感数据的操作行为。
提供组织机构统一的数据处理与分析平台,并能够呈现数据处理前后数据间的映射关系。
人员能力:
能够基于合规性要求、业界标准对大数据安全分析中所可能引发的数据聚合的安全风险进行有效的评估,并能够针对分析场景提出有效的解决方案。
以下是我们在数据分析安全过程中具体落地实践的内容。
对数据分析过程中能够涉及的活动尽可能多的进行风险评估,对权限进行限制,去除数据分析结果中的敏感信息等。具体内容如下:
1.应明确定义数据获取方式、访问接口、授权机制、数据使用等内容,明确数据分析工具使用的算法,以及该算法如何具体使用数据,使用哪些数据,并对算法本身进行风险评估,以确定该算法输出的分析结果不会涉及到用户个人隐私和组织的敏感信息。如数据来源验证、接口token、分析算法输出结果的内容分析等。
2.应明确哪些人员可以使用数据分析工具,开展哪些分析业务,限制数据分析工具的使用范围,根据最少够用原则,允许其获取完成业务所需的最少数据集。
3.应制定数据分析结果审核机制,采取必要的技术手段和管控措施,保证分析结果不泄露敏感信息。如规定数据分析的结果需经过二次评估后才允许导出,重点评估分析结果是否与使用者所申报的使用范围一致。
4.应对分析算法的变更重新进行风险评估,以确保算法的变更不会导致敏感信息和个人隐私的泄露。
5.应明确规定数据分析者不能将分析结果数据用于授权范围外的其他业务。
6.应选择具有个人信息去标识化的数据分析工具,确保能够断开这些信息和个人信息主体的关联。
7.应对数据分析过程进行日志记录,以备对分析结果质量和真实性进行溯源,确保数据分析事件可被审计和追溯。
2.3数据正当使用
大数据时代,数据的价值越来越高,容易导致组织内部合法人员被数据的价值吸引而违规、违法的获取、处理和泄露数据。该过程域基于国家相关法律法规对数据使用和分析处理的相关要求,通过对数据使用过程中的相关责任、机制的建立保证数据的正当使用。
DSMM标准在充分定义级要求如下:
组织建设:
组织机构设立相关岗位或人员,整体负责组织内身份和权限管理。
组织建设要求和数据脱敏过程域中组织建设要求类似,这里不再赘述。
制度流程:
采取措施确保数据使用和分析处理的目的和范围符合国家相关法律法规要求。
建立数据使用正当性的内部责任制度,保证在数据使用声明的目的和范围内对受保护的个人信息、重要数据等数据进行使用和分析处理。
技术工具:
依据数据使用目的建立相应强度或粒度的访问控制机制,限定用户可访问数据范围。
完整记录数据使用过程的操作日志,以备潜在违约使用者责任的识别和追责。
人员能力:
负责该项工作的人员能够按照最小够用等原则管理权限,并具备对数据正当使用的相关风险的分析和跟进能力。
以下是我们在数据正当使用过程中具体落地实践的内容。
对数据的使用要有明确的权限授权管理,数据使用目的必须遵守国家相关法律法规和行业安全规范。数据访问权限严格控制最小化并建立惩罚措施,对过程进行审计记录。具体内容如下:
1.应建立组织的数据权限授权管理制度,明确授权审批的整个流程以及关键节点的人员职责。
2.基于国家相关的法律法规(《网络安全法》、《个人信息保护法》等)要求及组织数据分类分级标准和处置方式等,对数据使用进行严格规范管理。如,当使用个人信息时,必须征得个人信息主体的明示同意。
3.数据授权过程应遵循最少够用原则,即给与使用者完成业务处理活动的最小数据集。
4.应定期审核当前的数据资源访问权限是否合理。如,当人员岗位调动或者数据密级变更后是否对访问权限及时进行了调整,避免数据不正当使用。
5.应建立数据使用的违规处罚制度和惩罚措施,对个人信息、重要数据的违规使用等行为进行处罚,强调数据使用者安全责任。
6.应配置成熟的数据权限管理平台,限定用户可访问的数据范围。
7.应配置成熟的数据使用日志记录或审计产品,对数据使用操作进行记录审计以备责任识别和追责。
2.4数据处理环境安全
数据处理的安全是指如何有效的防止数据在录入、处理、统计或打印中由于硬件故障、断电、死机、认为的误操作、程序缺陷、病毒或黑客等造成的数据库损坏或数据丢失现象,某些敏感或保密的数据可能被不具备资格的人员或操作员阅读,而造成数据泄密等后果。本过程域设定就是为组织机构的数据处理环境建立安全保护机制,提供统一的数据计算、开发平台,确保数据处理的过程中有完整的安全控制管理和技术支持。
DSMM标准在充分定义级要求如下:
组织建设:
组织机构内设立的统一的岗位和人员,负责数据处理环境安全管控。
组织建设要求和数据脱敏过程域中组织建设要求类似,这里不再赘述。
制度流程:
数据处理环境的系统/平台的设计、开发和运维阶段均制定了相应的安全控制措施,实现对安全风险的管理。
建立数据处理环境(如大数据平台)的安全管理规范,明确数据处理分析的数据采集、存储、处理、导出、删除等方面的安全要求。
大数据加工平台建立分布式处理安全策略和规范,对外部服务组件注册与使用审核、分布式处理节点间可信连接认证、节点和用户安全属性周期性确认、数据文件鉴别和访问用户身份认证、数据副本节点更新检测、及防止数据泄露等方面进行安全要求和控制。
建立分布式处理节点间可信连接策略和规范,采用节点认证等机制来确保节点接入的真实性。
建立分布式处理过程中数据文件鉴别和访问用户身份认证的策略和规范,确保分布式处理数据文件的可访问性。
建立适合数据处理环境的数据加密和解密处理策略和密钥管理规范。
技术工具:
数据处理平台与数据权限管理平台实现了联动,用户在使用数据平台前已获得了授权。
基于大数据处理平台的多租户的特性,对不同的租户保证其在该平台中的数据、系统功能、会话、调度和运营环境等资源实现隔离控制。
建立数据处理日志管理工具,记录用户在数据平台上的加工操作,以备后期追溯。
针对基于云平台的数据处理平台,需保证各工作节点的功能稳定,实现对工作节点的伪装风险监测、恶意篡改风险监测。
记录用户在大数据平台上的加工操作以备后期追溯,提供数据在平台上加工计算的关联关系以保证对数据源的有效追溯。
建立分布式处理过程中的数据泄露控制机制,防止数据处理过程中的调试信息、日志记录等不受控制输出导致受保护个人信息、重要数据等敏感信息的泄露。
人员能力:
负责该项工作的人员了解在大数据环境下的数据处理系统/平台的主要安全风险,并能够在相关的系统设计、开发阶段通过合理的设计以及运维阶段的有效配置规避相关风险。
以下是我们在数据处理环境安全过程中具体落地实践的内容。
平台化、分布式的安全处理环境已经成为趋势,构建统一的访问控制策略,各分布式处理节点之间采用身份认证等措施,保证可信接入。对整个处理环境进行加解密管理,同时对所有的操作行为进行审计记录。具体内容如下:
1.应建立统一的数据计算、开发平台,在平台上实现统一的安全管理措施。
2.应通过数据处理平台进行统一管理,采取严格网络访问控制、账号和身份认证、授权、监控和审计来保证数据处理安全。
3.应建立分布式处理节点间可信连接策略和规范,采用节点认证来确保节点接入的真实性。
4.应建立分布式处理节点和用户安全属性的周期性确认机制,确保预定义安全策略的一致性。
5.应建立分布式处理过程中数据文件鉴别和访问用户身份认证的策略和规范,确保数据文件的可访问性。
6.应建立分布式处理过程中不同数据副本节点的更新检测机制,确保这些节点数据拷贝的完整性、一致性和真实性。
7.应建立分布式处理过程中数据泄露控制规范和机制,防止数据处理过程中的调试信息、日志记录、不受控制输出等泄露受保护的个人信息、重要数据等敏感信息。
8.应建立数据处理环境的数据加密和解密处理策略和密钥管理规范。如对于应用层可采取SSL证书形式加密、对于存储可采取AES等对称加密等。
三、总结
DSMM之数据处理安全主要内容就是上述四个部分,侧重对数据的后生命周期的安全管理。大数据时代,海量数据的处理安全直接决定数据整体安全,个人隐私信息和重要业务数据更是重中之重,稍有不慎,很可能对组织单位带来毁灭性的影响。
虽然在文中,很多制度和技术工具是分开叙述,但是在实际工作中可能是混在一起的,同时很多具体实现的部分也不仅仅只是应用在一个过程域或者一个生命周期阶段,甚至可以应用在整个生命周期过程中。比如数据处理环境安全过程域,制度和技术工具都是要求要构建统一的平台,在平台上实现统一安全管理。再比如对数据访问权限的管理,不仅仅是在数据脱敏、数据分析安全、数据正当使用、数据处理环境安全这几个过程域有要求,在其他各阶段,采集、传输、存储等也有相应要求。另外,现在都是大数据时代了,相应的安全管理和技术也要提升,切实贴合大数据业务,真正做到大数据安全。同时,也利用好大数据技术服务于安全,提升安全能力,做到安全大数据。只有这样相辅相成,才能做好当前大数据时代的安全。
以上就是DSMM数据处理安全过程的要求以及我们在实际落地执行过程中的一点心得和体会,希望能够给有真正有DSMM需求的组织和人员带来一点儿启发,也欢迎大家和我进行沟通交流,多提宝贵意见!
*本文原创作者:LJ_Monica,本文属于FreeBuf原创奖励计划,未经许可禁止转载
来源:freebuf.com 2019-12-10 08:00:55 by: LJ_Monica
请登录后发表评论
注册