- 产品中心
- 解决方案
- 成功案例
- 渠道合作
- 安全资讯
- 关于文盾
时间:2022-08-23 15:50:34来源:安信证券安全总监 truebasic 浏览数:次
我以往在文档安全领域还是有比较多的认知,但是当面对数据安全这个课题的时候,发现还是有一些领域是力不从心的;同时在做规划过程中,与一些同行有过一些讨论,觉得有几个点可能比较容易被忽视,分享出来、以飨读者。
先回答清楚下面几个问题:我们负责的“数据安全”范畴中
(1)“数据”是指公司控制范围内流转、存储的所有数据吗?还是仅指识别、分级后的需要加以控制的数据?
(2)“数据”包括结构化数据和非结构化数据吗?格式化数据大体指的是数据库、大数据平台存储的数据,以及应用系统内部和系统之间流转的数据;非格式化数据大体指是各种办公文档、文件、聊天记录、邮件、图片音视频等。
(3)“数据”包括电子数据、纸质数据吗?
(4)以上定义的“数据”有可能会包含员工的个人数据吗?比如聊天记录、个人文档图片、邮件等,都是什么形态存在的?
(5)“安全”指的是什么意思?是数据的机密性、完整性、可用性、抗抵赖性、可追溯性中的哪几个?除了通常说数据安全要做到防泄漏、防滥用、防篡改,“安全”一词还包括什么含义?
(6)机密性、完整性、可用性、抗抵赖性、可追溯性分别要做到什么地步?是绝对不允许泄漏,还是允许低频度、低危害的泄漏或滥用?完整性强度要达到怎样的状态?追溯能力要达到什么状态?某些行业,“安全”还隐含“自证清白”的目标,也就是万一有投诉或者外部调查,自己可以举证自己是否清白。这个可以列入到追溯能力的定义中。
(7)“安全”的状态、强度,对于不同密级、敏感程度的数据是否有区别?如果有,是怎样的?
(8)如果你是数据安全负责人,你未来如何评价数据安全工作的好坏,如何向客户、领导展现工作质量的高低?
识别清楚以上几个问题,才能真正把数据安全工作的目标、内涵、边界定义清楚。
数据安全始终是信息安全工作的一部分,而信息安全工作是必须要为业务服务、为业务增长服务的,因此,数据安全也必须要为业务服务,而不是为了安全人员服务。
我记得方兴(FlashSky)写过一个系列的5篇文章,论述了数据安全的价值和重要性,其核心思想之一就是“数据必须要流动起来才能产生价值,数据安全也必须在数据流动中采取安全措施,否则数据虽然安全了,但是数据的价值也没有了”。当今数字化转型的大潮席卷中国各行各业,其技术方向之一就是大数据的应用为业务赋能。在这个过程中,数据必然会大量、自由地流动、分享、使用,爆发价值。那么数据安全在企业中怎么做?
我的主要思路是
(1) 尽一切努力减少纸件数据的流转,把业务过程推上系统,先完成信息化过程;
配合、推动公司的流程标准化、规范化进程,标准化、规范化之后,才能把线下的流程(2)(纸质流转过程,靠邮件和电话的业务流程,靠文档发来发去的业务过程)线上化、系统化、服务化;
(3)在各类线上、系统、服务中嵌入安全手段、工具,实现数据安全的服务化;
隐私保护的重要性已经不言而喻。而企业在开展数据安全工作过程中,只要涉及到员工个人隐私或客户信息(乃至客户隐私信息),不管你愿不愿意,都必须回答“数据安全与隐私保护(数据合规)是什么关系”这个问题。在当前语境下,隐私保护的范畴比数据合规还要小。根据我的理解,数据合规指的是在某国/地区的法律法规要求下,合规合法地采集、传递、存储和使用某些重要数据,比如邮件、个人信息、客户信息等。
要回答这个问题,要从企业实际环境出发,具体回答、明确这几个问题
(1)数据安全和数据合规工作分别由哪个部门/团队或哪个人负责?
(2)数据安全工作开展的组织、方法、工具可以在哪些方面或维度帮助数据合规工作?具体怎么做?
(3)如果现在没有明确地定义数据合规工作的责任方,数据安全的责任方又能做些什么,使得公司的数据合规风险可控?
(4)公司内部员工的隐私保护不善,可能也会给公司运营带来风险。那么数据安全工作应如何界定公司员工的隐私保护策略呢?需要将之作为一种敏感、重要数据加以安全控制吗?
数据安全是总体信息安全工作的一部分,当然,对于某些行业、企业,约等于其总体信息安全工作。因此,数据安全的策略、导向必然要体现总体安全文化。
比如,总体的安全文化可能是趋严的,对于违规行为是低容忍的,那么数据安全的策略、导向大概率就是牺牲一些可用性和用户体验,尽可能避免数据安全风险的发生。比如,总体的企业文化可能是相对宽松、自由的,对于违规行驶是低容忍的,那么数据安全的策略、导向大概率就是要千方百计保障用户体验,但是默默地在后台做好记录、检测和审计,一旦发现涉嫌违规就要及时出现,以体现无处不在的潜在威慑。甚至可能领导们现在也没想好数据安全策略到底怎么定,数据安全风险高不高,那可能刚开始的时候,数据安全策略就以记录、检测为主,等发现了较严重、高发的数据安全事件后,或发生了外部事件以后,再以事件推动策略的调整。
我印象中不止一家企业提到过这样的现象:企业内部有些高价值人员对公司的数据安全、信息安全措施不信任,不用公司的电脑,不装公司的安全软件甚至不用公司的邮箱(除非迫不得已)。
出现这种情况的绝大部分原因,都在于他们都认为IT人员、安全人员掌握了超级权限,要么可以在后台改数据,要么可以在后台进行监控,出于各种原因,这些高价值人员对IT、安全人员不信任。我认为这时应采取2种方式破局
(1)将IT人员掌握超级权限、可以后台改数据看数据的风险视为高风险,优先采取安全控制措施、加以改进;
(2)尝试引入第三方力量对IT人员、安全人员进行监管,比如合规部门、审计部门或者外部单位。这其实也是整个信息安全文化在数据安全工作的一个缩影。
之所以写这条,是因为数据安全工作无论最后由谁负责,一定是需要其他团队、部门的协作与配合的。因此,一定要在组织层面进行协作和打通,比如:
(1)要有数据安全组织。一线、业务部门发现数据安全风险要上报,数据安全工作要求要下达、落实,都得在一线有人。可以在每个部门新建个数据安全专员,也可以复用现有的安全专员、合规专员、风险专员、数据治理专员。有了人,就要给他们培训、赋能,奖励机制等等。
(2)要在关键流程上有卡点、控制措施。比如新建系统要立项评审,如果涉及敏感数据就要满足一系列要求;比如数据在系统间同步、流转,就要控制变更过程,在其中加入评审点,识别并评估数据安全风险;比如业务部门要求数据团队提取敏感业务数据给他们,那就要在IT服务流程中设置卡点,进行必要的审批、数据的安全传递等等。
(3)要和其他团队协作。终端上的安全管控措施可能在终端团队,那终端DLP、文档加密等这些措施必须要合作吧?数据从生产环境到测试环境的中转过程要加脱敏措施,要和运维团队合作吧?公司是不是允许微信的开放式沟通,内部的文档、知识要不要集中式管理?怎么管?这些都会极大地影响数据安全的策略和工具配置,必然要和相关团队合作。
(4)有了组织,有了协作需求,就要通过绩效目标、会议、定期沟通汇报等形式把相关部门、团队、人员的目标对齐,把政策规范、项目建设、系统运营、检查审计、问题改进等情况“可视化”出来,真正地推动组织协同。
文盾信息非结构化数据安全协作平台:实现了企事业单位核心数据从采集、储存、使用、销毁等全生命周期的智能化、多元化、一体化管控,支持在不替换原有系统的前提下确保组织敏感数据安全,并智能对数据进行分级保护、协同办公、权限控制,保护脱离组织内网环境的数据文档安全可控,实现安全与效率共存,轻松保障数据资产安全。该平台已在军队、科研、教育、政企单位等重点领域得到广泛应用并获得高度认可。
文盾信息敏感数据态势感知与风控平台:是集数据资产采集、敏感数据发现与分类分级、数据地图、异常数据访问分析、研判预警、处置建议于一体的综合性数据安全管理平台,该平台能够有效感知单位内部存在的敏感信息与安全风险,探测发现威胁企业的数据安全事件对其进行预警并提出处置建议,提供完整追溯取证证据链,全面保障客户数据安全。