数据分级分类·实践指南
2019年8月30日,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020年3月起正式实施。
DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。
在此基础上,DSMM将上述6个生命周期进一步细分,划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段,部分过程域贯穿于整个数据生命周期。
随着《中华人民共和国数据安全法(草案)》的公布,后续DSMM很可能会成为该法案的具体落地标准和衡量指标,对于中国企业而言,以DSMM为数据安全治理思路方案选型,可以更好的实现数据安全治理的制度合规。
本系列文将以DSMM数据安全治理思路为依托,针对上述各过程域,基于充分定义级视角(3级),提供数据安全建设实践建议,本文作为开篇,将介绍数据采集安全阶段的数据分类分级过程域(PA01)。
1、定义
DSMM标准在充分定义级对数据分类分级要求如下:
组织建设
组织应设立负责数据安全分类分级丁作的管理岗位利人员,主要负责定义组织整体的数据分类分级的安全原则(BP.01.04)。
制度流程
1)应明确数据分类分级原则、方法和操作指南(BP.01.05);
2)应对组织的数据进行分类分级标识和管理(BP.01.06);
3)应对不同类别利级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施(BP.01.07);
4)应明确数据分类分级变更审批流程和机制,通过该流程保证对数据分类分级的变更操作及其结果符合组织的要求(BP.01.08)。
技术工具
应建立数据分类分级打标或数据资产管理工具,实现对数据的分类分级自动标识、标识结果发布、审核等功能(BP.01.09)。
人员能力
负责该项工作的人员应了解数据分类分级的合规要求,能够识别哪些数据属于敏感数据(BP.01.10)。
2、实践指南
组织建设
组织机构在条件允许的情况下应该设立一个数据分类分级部门并招募相关人员,负责公司整体的数据分类分级工作,包括负责定义组织机构整体的数据分类分级安全原则和操作指南、推动相关指南的落地情况、建立数据分类分级审批机制、对组织机构中的进行完数据分类分级的数据进行标识和管理、对识别到的敏感数据进行脱敏处理、对数据分类分级中的重要操作进行审计和记录等。
人员能力
针对数据分类分级岗位的相关人员,需要具备良好的数据安全风险意识,熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求,在采集数据的过程中严格按照《网络安全法》、《个人信息安全规范》等相关国家法律法规和行业规范执行,除此之外,还需要相关人员具备良好的数据分类分级基础,了解公司内部的数据资产范围、组织架构,能够准确识别出哪些数据属于敏感数据等,同时还需要相关人员熟悉数据分类分级的合规要求,熟练掌握数据安全措施,拥有制定标准化流程或制度的经验,能够根据公司的具体情况制定出符合公司真实环境的数据分类分级原则、数据分类分级操作指南、数据分类分级管理制度、数据分类分级清单等,并推动相关要求与制度的真实落地。
落地执行性确认
针对组织建设和对应人员能力的实际落地执行性确认,可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。
制度流程
1)数据分级分类原则
数据分级分类应结合实际情况,明确需求,以数据的属性为基础,遵循科学性、稳定性、实用性和扩展性原则。
❖ 科学性——按照数据的多维特征以及相互间客观存在的逻辑关联进行科学和系统化的分级分类;
❖ 稳定性——根据实际情况,以数据最稳定的特征和属性为依据指定分级分类方案;
❖ 实用性——数据的分级分类要确保每个类目下要有数据,不设没有意义的类目;
❖ 扩展性——数据分级分类方案在总体上应具有概括性和包容性,能够实现各种类型数据的分类,以及满足将来可能出现的数据类型。
2)分级分类方法及细则
❖ 数据分类常用方法:按关系分类,基于业务(来源)、基于内容、基于监管等。
❖ 数据分级常用方法:按特性分级,基于价值(公开、内部、重要核心等)、基于敏感程度(公开、秘密、机密、绝密等)、基于司法影响范围(大陆境内、跨区、跨境等)。
❖ 常见公用数据分类方法:重要数据、个人及企业信息、业务数据。(重要数据指泄露可导致危害国家安全/公共利益生命财产安全/危害国家关键基础设施/扰乱市场秩序/可推论出国家秘密等的数据。)
❖ 个人及企业信息包含直接个人信息:以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份或企业的各种信息。
❖ 业务数据包含:企业或公共组织从事经营活动或例行社会管理功能、事务处理等一系列活动产生的可存储的数据。
根据上述公共分类,其对应分级分别如下:
企业可基于上述公共分类、分级策略,结合自身业务、合规需求实际,规划出自己的数据分类分级方法,建立组织/公司自己的的数据分类分级原则和方法,将数据按照重要程度进行分类,然后在数据分类的基础上根据数据安全在受到破坏后,对组织造成的影响和损失进行分级。
(企业自主分类分级示例)
在进行数据分类分级后需要有针对性地制定数据防护要求,设置不同的访问权限、对重要数据进行加密存储和传输、敏感数据进行脱敏处理、重要操作进行审计记录和分析等。
3)变更审核
在进行分类分级工作中要明确相关内容和操作流程的审核和审批机制,保证数据分类分级工作符合组织的分类分级原则和制度要求。原则上已被明确分类分级的数据,其分级只可升级不可降级(防止泄密),审批需多人控制,涉及数据所有者、数据分类分级管理者,行者管理者等。
4)技术工具简述
数据分类分级技术工具实现落地的前提是确定了组织内部的数据分类分级方法和策略,也就是分类和分级的规则。技术层面看,数据分类分级首先涉及到最初的数据发现,目前数据类型可以分为两种,一种是结构化的数据,如业务数据、数据库等;另外一种则是非结构化的数据,如商业文件、财务报表、合同等,依据标签库、关键词、正则表达式、自然语言处理、数据挖掘、机器学习等内容识别技术,进行数据分类,根据数据分类的结果,依据标签进行敏感数据的划分,最终实现数据分级的效果。
按元数据类型分类技术:
内容感知分类技术,对非结构化数据内容的自动分析来确定分类,涉及正则表达式、完全匹配、部分或完整指纹识别、机器学习等。
情境感知分类技术,基于数据特定属性类型,利用广泛上下文属性,适用于静态数据(如基于存储路径或其他文件元数据)、使用中的数据(如由CAD应用程序创建的数据)和传输中的数据(基于IP)。
按实际应用场景分类技术:
根据分类分级规则,建立标签库,利用机器学习算法经过训练形成分类器,利用分类器将生成的分类器应用在有待分类的文档集合中,获取文档的分类结果,并可进行自动化打标。
受限于篇幅,此处技术工具不进行进一步展开,下图为数据分级分类的技术工具进行分类分级作业的基本流程图。
数据采集管理·实践指南
本文将介绍数据采集安全阶段的数据采集安全管理过程域。
❖ 最小必要——只处理满足数据主体授权同意的目的所需的最少数据类型和数量。目的达成后,应及时删除所采集的数据;❖ 公开透明——以明确、易懂和合理的方式公开处理数据的范围、目的、规则等,并接受外部监督;大数据采集主要有4种来源:数据采集周期可根据数据状态分为以下两种:❖ 对于系统生产基础数据采用固定期限加动态调整的方式进行采集。例如变化不大的数据信息采集周期可为6个月,涉及数据信息变动的调整的可根据需要动态调整。❖ 对于初次采集的数据,需采用人工与技术相结合的方式进行数据采集,并根据数据的来源、类型或重要程度进行分类;❖ 最小化采集数据,仅需要完成必须工作即可,确保不收集与提供服务无关的个人信息和重要数据;❖ 对采集的数据进行合理化存储,依据数据的使用状态进行及时销毁处理;❖ 对采集的数据进行分级分类标识,并对不同类的级别的数据实施相应的安全管理策略和保障措施,对数据采集环境、设施和技术采取必要的安全管理措施。
2019年8月30日,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020年3月起正式实施。
DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。
在此基础上,DSMM将上述6个生命周期进一步细分,划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段,部分过程域贯穿于整个数据生命周期。
随着《中华人民共和国数据安全法(草案)》的公布,后续DSMM很可能会成为该法案的具体落地标准和衡量指标,对于中国企业而言,以DSMM为数据安全治理思路方案选型,可以更好的实现数据安全治理的制度合规。
本系列文将以DSMM数据安全治理思路为依托,针对上述各过程域,基于充分定义级视角(3级),提供数据安全建设实践建议,本文作为本系列第二篇文章,将介绍数据采集安全阶段的数据采集安全管理过程域(PA02)。
1、定义
数据采集安全管理,DSMM官方描述定义为在采集外部客户、合作伙伴等相关方数据的过程中,组织应明确采集数据的目的和用途,确保满足数据源的真实性、有效性利最少够用等原则要求,并明确数据采集渠道、规范数据格式以及相关的流程和方式,从而保证数据采集的合规性、正当性、一致性。
DSMM标准在充分定义级对数据采集安全管理要求如下:
组织建设
组织应设立数据采集安全管理的岗位和人员,负责制定相关的数据采集安全管理的制度,推动相关要求、流程的落地,并对具体业务或项目的风险评估提供咨询和支持。
制度流程
1) 应明确组织的数据采集原则,定义业务的数据采集流程和方法;
2) 应明确数据采集的渠道及外部数据源,并对外部数据源的合法性进行确认;
3) 应明确数据采集范围、数量和频度,确保不收集与提供服务无关的个人信息和重要数据;
4) 应明确组织数据采集的风险评估流程,针对采集的数据源、频度、渠道、方式、数据范围和类型进行风险评估;
5) 应明确数据采集过程中个人信息和重要数据的知悉范围和需要采取的控制措施,确保采集过程中的个人信息和重要数据不被泄漏;
6) 应明确自动化采集数据的范围。
技术工具
1) 应依据统一的数据采集流程建设数据采集相关的工具,以保证组织数据采集流程实现的一致性,同时相关系统应具备详细的日志记录功能,确保数据采集授权过程的完整记录;
2) 应采取技术手段保证数据采集过程中个人信息和重要数据不被泄漏。
人员能力
负责该项工作的人员应能够充分理解数据采集的法律要求、安全和业务需求,并能够根据组织的业务提出针对性的解决方案。
2、实践指南
组织建设
组织机构在条件允许的情况下可以设立两个数据采集安全团队,其中一个团队为数据采集安全管理团队,主要负责为公司制定整体的数据采集安全合规管理制度,同时推动相关要求、制度、流程的真正落地;另一个数据采集安全团队为数据采集风险评估团队,主要负责为公司的业务部门提供针对不同业务或项目场景的数据安全评估服务支持,并制定相应的改进方案。
理论上数据采集安全管理团队应该提供对数据采集风险评估团队的咨询和支持,但若是组织机构没有设立两个数据采集安全团队的条件,可以将两个团队的职责合并在一起,仅仅只设立一个数据采集安全团队,既负责制定合规制度、又负责提供对项目的风险评估服务。
人员能力
针对该项工作的相关人员,需要熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求,在采集数据的过程中严格按照《网络安全法》、《个人信息安全规范》等相关国家法律法规和行业规范执行,同时还需要相关人员熟悉组织机构的业务特征,了解业务线的政策方向和战略调整,具备良好的数据采集安全风险意识,能够根据组织机构内不同的业务场景提出针对性的风险评估报告以及相应解决方案,能够确保项目实施过程中的数据分析能够顺利有序地进行。
落地执行性确认
针对组织建设和对应人员能力的实际落地执行性确认,可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。
制度流程
1)基本原则
进行数据采集活动时,应遵循合法、正当、必要的原则,具体包括:
❖ 权责一致——采取技术和其他必要的措施保障个人数据和重要数据的安全,对数据处理活动,对数据主体合法权益造成的损害承担责任;
❖ 目的明确——具有明确、清晰、具体的信息处理目的;
❖ 选择同意——向数据主体明示信息处理目的、方式、范围等规则,征求其授权同意;
❖ 确保安全——具备所面临过的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护数据的保密性、完整性、可用性;
❖ 主体参与——向数据主体提供能够查询、更正、删除其信息,以及撤回授权同意、注销账户、投诉等方法。
2)数据采集源
❖ 管理信息系统:管理信息系统是指企业、机关内部的信息系统,如事务处理系统、办公室自动化系统,主要用于经营和管理,为特定用户的工作和业务提供支持。数据的产生既有终端用户的始输入,又有系统的二次加工处理。系统的组织结构是专用的,数据通常是结构化的。
❖ Web信息系统:Web信息系统包括互联网中的各种信息系统,如社交网站、社会媒体、系统引擎等,主要用于构造虚拟的信息空间,为广大用户提供信息服务和社交服务。系统的组织结构是开放式的,大部分数据是半结构化或者无结构的。数据的产生者主要是在线用户。
❖ 物理信息系统:物理信息系统是指关于各种物理对象和物理过程的信息系统,如实时监控、实时检测,主要用户生产调度、过程控制、现场指挥、环境保护等。系统的组织结构是封闭的,数据由各种嵌入式传感设备产生,可以是关于物理、化学、生物等性质和状态的基本测量值,也可以是关于行为和状态的音频、视频等多媒体数据。
❖ 科学实验系统:科学实验系统实际上也属于物理信息系统,但其实验环境是预先设定的,主要用于学术研究等,数据是有选择的、可控的,有时可能是人工模拟生成的仿真数据。数据往往具有不同的形式。
3)数据采集方式
数据采集的目的是获得数据,数据采集的方式包括但不限于:
❖ 网络数据采集;
❖ 系统日志采集;
❖ 其他数据采集。
4)数据采集周期
❖对于实时检测数据,应按照实际工作条件制定数据采集周期。例如系统连续进行10次采集,10次采集时间的平均值作为系统的数据采集周期;
5)数据采集法律要求
采集的数据及采集过程严格按照《网络安全法》、《个人信息安全规范》等相关国家法律法规和行业规范执行。
6)数据采集安全策略
组织开展数据采集活动的过程中应遵循如下基本要求,确保采集过程中的个人信息和重要数据不被泄露:
❖ 定义采集数据的目的和用途,明确数据来源、采集方式、采集范围等内容,并制定标准的采集模板、数据采集方法、策略和规范;
❖ 遵循合规原则,确保数据采集的合法性、正当性和必要性;
❖ 设置专人负责信息生产或提供者的数据审核和采集工作;
7)数据采集风险流程评估
在对数据进行采集的过程中,应组织风险评估小组,对采集过程进行风险评估,评估内容包括但不限于合规安全性、技术安全性等。
8)技术工具简述
针对数据采集和数据防泄漏,目前均有多种解决方案。数据采集根据采集的数据类型和数据源不同,也会有不同的技术工具。目前主要有三类数据:数据库数据、网络数据、系统日志数据,根据数据类型的不同,主要有三类数据采集系统。数据防泄漏目前主要有数据加密技术、权限管控技术及基于内容深度识别的通道防护技术。
数据采集系统
1)数据库采集系统
❖ 在政府、企业、高校中,目前绝大部分业务相关的数据都采用结构化的方式保存在后端的数据库系统中,数据库系统主要包含2大块,一块是关系型数据库,如oracle、sql server、mysql。另一块是非关系型数据库如mongodb,redis。针对此种源数据,主要有3种实现数据采集的方式:直接数据源同步、生成数据文件同步、数据库日志同步。
2)网络数据采集
❖ 通过网络爬虫或网站公开API等方式从网站上获取数据信息的过程。
3)系统日志采集
❖ 不管是业务系统、操作系统、数据库系统每天都会产生大量的日志数据,针对此类日志,目前有多款开源工具可实现数据采集功能,如Hadoop的Chukwa、Cloudera的Flume、Facebook的Scribe等,这些工具均采用分布式架构,能满足每秒数百兆字节的日志数据的采集和传输需求。
数据防泄漏技术
1)数据加密技术
❖ 数据加密包含磁盘加密、文件加密、透明文档加解密等技术路线,目前以透明文档加解密最为常见。
2)权限管控技术
❖ 数字权限管理(Digital Right Management,
DRM)是通过设置特定的安全策略,在敏感数据文件生成、存储、传输的瞬态实现自动化保护,以及通过条件访问控制策略防止敏感数据非法复制、泄漏和扩散等操作。
3)基于内容深度识别的通道防护技术
❖ 基于内容的数据防泄漏(Data Loss Prevention,DLP)概念最早源自国外,是一种以不影响用户正常业务为目的,对企业内部敏感数据外发进行综合防护的技术手段。
受限于篇幅,此处技术工具不进行进一步展开,下图为数据采集安全管理的技术工具进行数据采集作业的基本流程图。
数据供应链安全·实践指南
本文将介绍通用安全过程域的数据供应链安全过程域。
2019年8月30日,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020年3月起正式实施。
DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。
在此基础上,DSMM将上述6个生命周期进一步细分,划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段,部分过程域贯穿于整个数据生命周期。
随着《中华人民共和国数据安全法(草案)》的公布,后续DSMM很可能会成为该法案的具体落地标准和衡量指标,对于中国企业而言,以DSMM为数据安全治理思路方案选型,可以更好的实现数据安全治理的制度合规。
本系列文将以DSMM数据安全治理思路为依托,针对上述各过程域,基于充分定义级视角(3级),提供数据安全建设实践建议,本文作为本系列第二十四篇文章,本文将介绍通用安全过程域的数据供应链安全过程域(PA24)。
1、 定义
数据供应链安全,DSMM官方描述定义为通过建立组织的数据供应链管理机制,防范组织上下游的数据供应过程中的安全风险。
DSMM标准在充分定义级对数据供应链安全要求如下:
组织建设
应设置了组织整体的数据供应链安全管理岗位和人员,负责制定整体的数据供应链管理要求利解决方案。
制度流程
1) 应明确数据供应链安全管理规范,定义数据供应链安全目标、原则和范围,明确数据供应链的责任部门和人员、数据供应链上下游的责任和义务以及组织内部的审核原则;
2) 组织应通过合作协议方式明确数据链中数据的使用目的、供应方式、保密约定、安全责任义务等;
3) 应明确针对数据供应商的数据安全能力评估规范,根据该规范对数据供应商的数据安全能力进行评估,并将评估结果应用于供应商选择、供应商审核等供应商管理过程中。
技术工具
应建立组织整体的数据供应链库,用于管理数据供应链目录和相关数据源数据字典,便于及时查看并更新组织上下游数据链路的整体情况,并用于事后追踪分析数据供应链上下游合规情况。
人员能力
负责该项过程的人员应了解组织上下游数据供应链的整体情况,熟悉供应链安全方面的法规和标准,并具备推进供应链管理方案执行的能力。
2、 实践指南
组织建设
数据供应链是指围绕数据主体,通过制定统一数据标准、管理统一数据质量、保障数据全生命周期安全,从对供应部门数据的采集开始,到数据的存储、治理、共享交换、挖掘计算、开放,最后把数据供应到需求部门手中进行数据应用,将组织内外部数据生产方、数据采集方、数据治理方、数据运营方、数据平台方、数据开发方、数据消费方等连成一个整体的功能网状结构,以实现数据资源资产化、数据资产服务化、数据服务价值化的目的。
基于上述目标,为实现数据供应链安全,首先依然是需要组织针对数据供应链安全管理进行专岗专人,主要需负责制定组织整体的数据供应链管理要求和解决方案,因此该岗位需要对组织现有数据整体供应流程、介入各方以及对应职责和应用需求等进行明确,并基于此实现相关方案制定、输出以及落地。
人员能力
根据上述组织建设思路,对应的数据供应链安全管理团队的人员,应至少具备3方面能力:
1、了解组织数据供应链整体架构,如组织建设思路所述,该岗位人员需负责制定组织整体的数据供应链管理要求和解决方案,因此该岗位需要对组织现有数据整体供应流程、介入各方以及对应职责和应用需求等进行明确,并能够清楚理解组织数据供应链整体架构,以便于后续分析和方案制定。
2、了解数据供应链安全相关标准法规,在了解组织数据供应链整体架构之上,为明确方案需求,需要相关人员能够从法律合规层面了解所需进行的方案构建内容,因此相关人员需对数据供应链相关安全标准、法律法规有较为深刻的理解。
3、方案输出与推进落地,需要相关人员根据上述内容输出对应组织整体的数据供应链管理要求和解决方案,并有能力将其推进落地。
落地执行性确认
针对组织数据供应链安全能力的实际落地执行性确认,与上述各数据安全生命周期确认方式类似,可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。
制度流程
针对数据供应链相关制度流程,主要包含数据供应链框架、数据供应链外部供应商合作规范与能力评估规范。
1、数据供应链框架
数据供应链的总体框架通常由五大功能体系、九大流程环节构成。
五大体系由数据生产运营体系、数据质量管理体系、数据价值评估体系、数据安全风控体系、数据联盟协同体系组成。九大流程环节包括数据归集、数据存储、数据治理、数据开发、内部共享交换、数据应用、外部共享交换、数据开放、数据交易环节。五大体系对九大流程环节提供全面的流程、质量、价值、安全和联盟协同保障能力。不同的功能保障体系都有其重点流程环节。
2、数据供应链外部供应商合作规范
针对外部供应商相关数据合作,组织应通过合作协议方式明确数据链屮数据的使用目的、供应方式、保密约定、安全责任义务等,并通过合作协议等书面文件形式确保供应商数据使用目的无未授权扩散、供应方式可靠,并严格遵守数据流动保密要求,明确列举双方安全责任义务与违约处置等。
3、数据供应链外部供应商能力评估规范
针对外部供应商数据流动合作,组织也同样应基于数据安全能力成熟度指南标准,根据组织自身已达到标准,对外部供应商进行对应能力评估,确认其在数据安全生命周期过程中可达到的数据安全能力成熟度,并判定其等级是否不低于组织已达到、或需要数据流动过程中需达到的最低等级要求,若否则无法进行合作,通过对供应商进行数据安全能力成熟度评估,实现对供应商的安全要求选型,降低由于数据供应链中因供应商的数据安全隐患导致的数据泄露或损失。
技术工具简述
在组织内部,根据数据的流向关系会存在一个数据供应链。组织从数据供应链的上游取得数据进行使用,同时组织也将数据提供给数据供应链的下游使用。从上游而来的数据可能会有恶意数据夹带风险,提供给下游使用的数据可能会有数据泄露的风险。所以,组织为了保证数据供应链上下游的安全,必须建立数据供应链相关的技术工具,对从上游下来的数据进行审查记录,对分发到下游的数据进行控制记录,并建立独立的供应链数据库以便于管理。
技术工具的方法和原理
1、数据供应链元数据管理
元数据描述的是数据的背景、内容、数据结构及其生命周期管理。简而言之,元数据是“数据的背景”。通俗可以理解为数据模型就是元数据。元数据管理是数据供应链管理的基础,数据供应链的安全也需要元数据的有效管理。在数据供应链中,其元数据包括但不限于数据供应链授权信息、流转对账信息、场景使用信息、供应链节点信息、数据鉴别标志信息等。通过对元数据的管理,可以实时监测和查询数据供应链路整体情况,更好的掌握数据情况。而且通过对数据供应链元数据的鉴别等措施,就可以元数据层面对异常数据、恶意数据等进行检测清洗拦截。
2、流入数据审查
在数据供应链中,组织必定存在于数据供应链的某个节点,组织从这个节点的直接上游获得数据。从上游获得的数据不一定是安全的,有可能已经被攻击者恶意篡改,所以组织在使用数据供应链上游提供的数据之前,必须先通过数据鉴别技术进行严格的审查。数据审查包括来源审查、完整性检查、恶意数据检测等。可以使用的技术包括加密技术、数字签名技术、数字证书技术、恶意代码检测技术等。可以利用加密技术,使数据供应链中传递的数据都是加密的,同时在加密数据中加入数字签名、数字证书等。当组织接收到来自上游的数据时,首先利用对应的解密技术的密钥解密数据,然后使用数字签名和数字证书校验数据的完整性,最后利用恶意代码检测工具检查数据是否安全。保证流入组织的数据是可用的、完整未被篡改的、安全的。
3、数据流出控制
在数据供应链中,组织除了会从供应链上游获取数据之外,也会将组织数据传递给数据供应链的下游。数据从组织内流出往往会带来敏感信息泄露的问题,所以,使用相关技术对流出的数据进行控制对数据供应链整体的数据安全至关重要。流出数据的敏感信息泄露问题一方面是把组织内部不希望流出的数据在未知情况下流向了数据供应链下游,另一方面是流出的数据被攻击者恶意拦截窃听。基于第一种情形,数据在从组织内流出之前需要进行严格的授权审批,多级审批全部通过之后数据才可以流出。同时,使用数据打标工具对提前对授权流出的数据打上变迁,在流出时进行检测,一旦检测到未标记数据的流出行为,会立即阻断并停止数据的流出,告警提示流出数据异常。针对流出数据可能会被攻击者恶意获取的情况,数据供应链需要事先建立统一的传输数据加密规定,按照统一的加密标准进行数据供应链内的数据加密传输,同时使用安全可信的数据传输链路,如SSL等。
技术工具工作流程和目标
数据供应链安全技术工具应能实现如下的目标:
元数据管理及鉴别:能够管理数据供应链的相关元数据信息,并支持在数据供应链内不同的节点间传递数据时进行数据供应链元数据的鉴别。
流入数据审查:能够对从数据供应链上游节点流入组织内的数据进行审查,包括完整性、恶意代码等检查,保证组织使用的数据是安全可用的。
流出数据控制:能够对组织内流向数据供应链下游节点的数据进行控制,防止未授权数据在未知情况下流出。
供应链日志审计:工具需要能够对数据供应链内各阶段的操作、数据、鉴别信息、控制记录等进行审计,以供追溯数据供应链上下游数据使用安全情况。
下图为数据供应链安全的技术工具进行作业的基本流程图:
元数据管理·实践指南
本文将介绍通用安全过程域的元数据管理过程域。
2019年8月30日,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020年3月起正式实施。
DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。
在此基础上,DSMM将上述6个生命周期进一步细分,划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段,部分过程域贯穿于整个数据生命周期。
随着《中华人民共和国数据安全法(草案)》的公布,后续DSMM很可能会成为该法案的具体落地标准和衡量指标,对于中国企业而言,以DSMM为数据安全治理思路方案选型,可以更好的实现数据安全治理的制度合规。
本系列文将以DSMM数据安全治理思路为依托,针对上述各过程域,基于充分定义级视角(3级),提供数据安全建设实践建议,本文作为本系列第二十五篇文章,本文将介绍通用安全过程域的元数据管理过程域(PA25)。
1、定义
元数据管理,DSMM官方描述定义为建立组织的元数据管理体系,实现对组织内元数据的集中管理。
DSMM标准在充分定义级对元数据管理要求如下:
组织建设
应设立组织层面的元数据管理人员,统一负责建立组织内部元数据语义规则、管理要求和技术工具。
制度流程
1) 应明确数据服务元数据语义统一格式和管理规则,如数据格式、数据域、字段类型、表结构、逻辑存储和物理存储结构及管理方式;
2) 应明确数据安全元数据管理要求,如口令策略、权限列表、授权策略。
技术工具
1) 元数据管理工具应支持数据表的导航和搜索,提供表血缘关系、字段信息、使用说明、其他关联信息,方便用户使用数据表;
2) 应建立元数据访问控制策略和审计机制,确保元数据操作的追溯。
人员能力
负责该项工作的人员应了解元数据管理的理论基础,理解组织的元数据管理的业务需求。
2、实践指南
组织建设
组织机构应该在条件允许的情况下设立元数据管理部门并招募相关的管理人员和技术人员,负责为公司提供必要的技术支持,负责为组织机构内部制定整体的元数据管理制度、元数据语义规则等,负责对组织机构内部的元数据场景进行风险评估,负责为技术人员建立规范的元数据访问控制策略和审计机制,确保任何人对元数据的操作都可以追踪溯源。除此之外,元数据管理部门还需要为元数据审核人员(技术人员)进行专门的安全意识培训,并推动以上相关要求再组织机构中确实可靠的落地执行。
人员能力
针对元数据管理部门的管理人员来说,必须具备良好的数据安全风险意识,熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求,在进行元数据管理以及制定元数据管理制度和元数据语义规则的时候,严格按照《网络安全法》、《数据安全法》、《个人信息保护法》等国家相关法律法规和行业规范执行,同时还需要相关的管理人员具备一定的元数据管理经验,拥有良好的元数据管理专业知识基础且通过了岗位能力测试,熟悉主流的元数据管理制度、管理流程、管理要求和技术工具,能够根据不同的管理要求和元数据安全属性进行相应的风险评估,能够根据元数据管理和审核的整体需求明确应使用的元数据管理和审核工具。除此之外,还需要管理人员能够主动根据行业及政策变化更新相关的知识和技能,具备能够结合业界标准、合规准则、业务场景制定标准化元数据管理制度的能力。
针对元数据管理部门的技术人员来说,同样也必须具备良好的元数据管理安全风险意识,熟悉相关的法律法规以及政策要求,熟悉主流厂商的元数据审核案例,熟悉主流的元数据访问控制和审计的工具及其使用方法,拥有至少一年以上的元数据审核经验,充分理解并执行由管理人员制定的元数据管理方案,充分理解组织机构内部的元数据管理的业务需求,具备能够主动根据政策变化和技术发展更新自身相关知识和技能的能力,具备能够对突发的元数据审计事件进行应急处理的能力。
落地执行性确认
针对元数据管理岗位人员能力的实际落地执行性确认,可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。
制度流程
1)元数据管理目的
元数据主要是描述数据属性的,或者描述信息资源或数据等对象的数据。同时元数据本身也是数据, 因此可以用类似数据的方法在数据库中进行存储和获取。进行元数据管理目的在于:识别和评价数据资源,追踪数据资源在使用过程中的变化;实现简单高效地管理大量网络化数据;实现信息资源的有效发现、查找、一体化组织和对使用资源的有效管理。如果没有元数据,组织IT系统中收集和存储的所有数据都会失去意义,也就没有业务价值。
2)元数据管理规范
组织应熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求,结合实际情况建立元数据管理制度,明确元数据的编写要求(如数据格式、数据域、字段类型、表结构、逻辑存储和物理存储结构及管理方式等)、元数据访问控制要求、元数据变更管理流程、元数据变更和访问操作日志记录和审计要求等,防止组织内部合法人员利用违规或违法取得的权限进行不正当的操作。并通过建立元数据管理平台进行统一管理,采取严格的访问控制、监控审计和职责分离来确保数据处理安全。
①元数据访问控制要求
a.元数据管理部门需按照“角色”对用户进行划分,并制定元数据管理平台的访问规则,管理用户对元数据库的访问,如:元数据库中数据的访问控制、元数据分析的访问控制、元数据维护的权限等。所有使用的用户都必须按规定执行,以确保元数据的安全;
b.元数据管理部门必须确保用户权限被限定在许可的范围内,同时能够访问到有权访问的信息;
c.元数据管理部门需对元数据管理平台进行设置,保证在进入系统平台前必须执行登录操作,并且记录登录成功与失败的日志;
d. 访问控制的规则和权限应结合实际情况,并记录在案;
②元数据变更管理流程
为保证元数据变更过程中的安全性和规范性,元数据管理部门应制定元数据变更相关的安全规范。关于元数据变更管理的流程可参考如下:
组织人员根据实际情况,结合业务需求,明确需要变更的元数据,并在元数据管理平台上行提出元数据变更申请,需要填写的内容包括申请人、元数据变更内容、变更原因等。
提交数据变更申请后,元数据管理平台会启用自动审核,对变更的元数据进行初步的有效性审核,主要以过滤数据结构性错误为主,例如缺少字段类型错误、编码确实或不可识别字符编码等。如果自动检查发现错误,会将错误数据放入问题数据栏,以便数据管理员进行人工审核。经元数据平台自动审核后,提报元数据管理部门审批。
元数据管理部门接到元数据变更申请后,组织相关人员开展元数据变更评审会议,对所申请的元数据的变更进行合理性和必要性的评估,并对元数据的质量以及变更影响进行评估。对于评审通过的元数据变更申请,元数据管理部门在元数据管理平台上录入元数据变更实施期限并确认元数据变更申请审核。若评审结果为否决变更,则由元数据管理部门在元数据管理平台进行否决需求操作。
如果元数据变更申请已通过元数据管理部门审核,元数据将自动进入待发布流程。经元数据管理部门作最后确认后,元数据平台会将需要变更的元数据正式入库并发布上线,同时发布元数据变更通知和变更说明文档。
③元数据变更和访问操作审计记录
为了安全起见,在元数据变更和维护的各个阶段都需要加入安全审计机制,严格、详细地记录元数据变更和维护过程中的相关信息,方便后续问题排查分析和安全事件取证溯源。同时,元数据管理部门需设置专人定期对元数据变更和维护相关的日志记录进行安全审计,发布审计报告,并跟进审计中发现的异常。
技术工具简述
元数据是“关于数据的数据”,即对数据的描述信息。对数据不同方面的描述形成不同类型的元数据,一般而言,元数据一般分为业务元数据(如业务术语、业务规则等)、技术元数据(如数据库表结构、文件结构等)、操作元数据(如数据的更新时间、更新频率等)和管理元数据(如数据的负责部门、负责人等)。元数据管理是关于元数据的创建、存储、整合与控制等一整套流程的集合。因此通过元数据管理工具实现识别和评价数据资源,追踪数据资源在使用过程中的变化;实现简单高效地管理大量网络化数据;实现信息资源的有效发现、查找、一体化组织和对使用资源的有效管理。
技术工具的方法和原理
如下,为元数据管理系统的主要设计流程图:
元数据管理系统的功能框架包括数据源层、元数据获取层、元数据存储层、元数据服务接口层、元数据管理层和元数据应用层。
- 元数据源层。元数据层包括数据仓库设计的数据仓库产品、数据挖掘工具、建立数据仓库过程中所需的数据信息等。
- 元数据获取层。实现元数据源中各个系统的元数据抽取。元数据桥接器通过符合双方约定规范的接口或各个产品提供的特定接口实现元数据的抽取,并把抽取出的元数据存入元数据存储部分中的元数据库。
- 元数据存储层。实现元数据的存储,存储的元数据包括业务元数据和技术元数据,元数据按模型主题组织。存储库的逻辑模型设计须兼顾效率和模型的可拓展性与灵活性。
- 元数据管理层。由元数据管理和系统管理2个部分构成。元数据管理实现元数据的更新管理、同步管理、版本管理等功能。系统管理实现用户管理、权限管理、日志管理、备份与恢复等功能。一些元数据管理部分的功能需要人工或半人工操作。
- 元数据服务接口层。包括元数据对外的访问接口,包括ETL、DQM、OA系统或其他系统的服务接口,这些系统通过元数据服务接口部分访问元数据存储部分的元数据。该部分为其他用户或系统使用元数据提供了扩展方式。通过数据访问接口返回元数据中的数据内容,并生成其他数据系统需要的数据字典或提供其他应用的访问接口,提供与ETL系统、数据质量管理系统的数据交换机制。
- 元数据应用层。提供元数据管理、技术、业务用户的访问。该部分实现元数据查询、元数据浏览、元数据分析等基本功能模块。
技术工具工作流程和目标
元数据管理系统应能实现以下目标:
- 元数据管理工具应支持数据表的导航和搜索:集中展现数据仓库系统的各模块元数据,保持数据在各模块描述的一致性。全面实现系统各模块资源共享,实现元数据的快速访问。提供表血缘关系:能够通过血缘路径(指数据的来源、处理过程以及与其他数据之间的关系)查找问题的原因并加以解决。同时提供字段信息、使用说明、其他关联信息,方便用户使用数据表。
- 应建立元数据访问控制策略和审计机制,确保元数据操作的追溯。
元数据工作流程及框架详细图如下:
通过元数据获取、存储来获取元数据,结合实际需求进行元数据相关应用和功能的实现。在实际访问过程中,添加用户认证和授权管理,从而控制相关功能模块的使用。