數據安全的必由之路——數據安全治理

安華金和 石川

引言：數據治理或者數據安全在大多數安全從業者的印象中是比較熟悉的概念，但數據安全治理似乎是個新名詞。實際上，對於擁有重要數據資產的各類企業，在數據安全治理方面或多或少都有實踐，只是尚未系統化的實行。比如客戶數據安全管理規範及其落地的配套管控措施，以及數據分級分類管理規範。這篇文章我們希望能相對系統化地對此概念進行闡述。

數據安全治理的概念——以數據的安全使用為目的的綜合管理理念，具體框架見下圖：

圖1數據安全治理理念框架

數據安全治理與傳統安全概念的差異

為了更加有效地理解數據安全治理概念與傳統數據安全的差異，對比傳統安全理念如下：

一、數據安全治理的組織和受眾

數據安全治理首先要成立專門的數據安全治理機構，以明確數據安全治理的政策、落實和監督由誰長期負責。該機構通常是虛擬機構，可稱為數據安全治理委員會或數據安全治理小組，成員由數據的利益相關者和專家構成。其成立，標誌著組織的數據安全治理工作正式啟動，使組織內數據安全規範制定、數據安全技術導入、數據安全體系建設得以不斷完善。該機構成立後，履行以下職責：

A．數據的分級分類原則的制定

B．數據安全使用（管理）規範的制定

C．數據安全治理技術的導入

D．數據安全使用規範的監督執行

E．數據安全治理的持續演進

二、數據安全治理的策略與流程

數據安全治理，最為重要的是實現數據安全策略和流程的制訂，在企業或行業內經常被作為《某某數據安全管理規範》進行發布，所有的工作流程和技術支撐都是圍繞此規範來制訂、落實。

2.1 外部所要遵循的策略

數據安全治理同樣需要遵循國家級的安全政策和行業內的安全政策。舉例如下：

1. 網路安全法；

2. 等級保護政策；

3. BMB17；

4. 行業相關的政策要求舉例：

(a) PCI-DSS、Sarbanes-Oxley Act（SOX 法案）、HIPPA；

(b) 企業內部控制基本規範；（三會、財政、審計）

(c) 中央企業商業秘密保護暫行規定；

這些政策通常是在制訂組織內部政策時重點參考的外部政策規範。

2.2 數據的分級分類

數據治理主要依據數據的來源、內容和用途進行分類；以數據的價值、內容敏感程度、影響和分發範圍進行敏感級別劃分。

2.3 數據資產狀況的梳理

2.3.1 數據使用部門和角色梳理

數據資產梳理中，明確數據如何被存儲、數據被哪些對象使用、數據被如何使用。對於數據的存儲和系統的使用，需要通過自動化的工具進行；對於部門、人員角色梳理，更多在管理規範文件中體現；對於數據資產使用角色的梳理，關鍵要明確不同受眾的分工、權利和職責。

2.3.2 數據的存儲與分布梳理

清楚敏感數據分布，才能知道需要對什麼樣的庫實現何種管控策略；對該庫運維人員實現怎樣的管控措施；對該庫的數據導出實現怎樣的模糊化策略；對該庫數據的存儲實現何種加密要求。

2.3.3 數據的使用狀況梳理

明確數據被什麼業務系統訪問，才能準確地制訂業務系統工作人員對敏感數據訪問的許可權策略和管控措施。

數據的訪問控制

針對數據使用不同方面，完成對數據使用的原則和控制策略，包括：數據訪問的賬號和許可權管理、數據使用過程管理、數據共享（提取）管理、數據存儲管理。

定期的稽核策略

定期稽核，保證數據安全治理規範落地，包括：

A、合規性檢查；

B、操作監管與稽核；

C、風險分析與發現。

三、數據安全治理技術支撐框架

3.1 數據安全治理的技術挑戰

數據安全治理面臨數據狀況梳理、敏感數據訪問與管控、數據治理稽核三大挑戰。

圖2 當前數據安全治理面臨的挑戰

3.1.1 數據安全狀況梳理技術挑戰

組織需要確定敏感性數據在系統內部的分布情況，關鍵問題在於明確敏感數據的分布；確定敏感性數據如何被訪問，如何掌握敏感數據以何種方式被什麼系統、什麼用戶訪問；確定當前賬號和授權狀況，清晰化、可視化、報表化的明確敏感數據在資料庫和業務系統中的訪問賬號和授權狀況，明確當前權控是否具備適當基礎。

3.1.2 數據訪問管控技術挑戰

在敏感數據訪問和管控技術方面，面臨以下挑戰：

（1）如何將敏感數據訪問的審批在執行環節有效落地對於敏感數據的訪問、對於批量數據的下載要進行審批制度，這是關鍵；

（2）如何對突破權控管理的黑客技術進行防禦基於資料庫的許可權控制技術；

（3）如何在保持高效的同時實現存儲層的加密基於文件層和硬碟層的加密將無法與資料庫的權控體系結合，對運維人員無效。

（4）如何實現保持業務邏輯後的數據脫敏對於測試環境、開發環境和 BI 分析環境中的數據需要對敏感數據模糊化。

（5）如何實現數據提取分發後的管控。

3.1.3 數據安全的稽核和風險發現挑戰

1、如何實現對賬號和許可權變化的追蹤

定期對賬號和許可權變化狀況進行稽核，保證對敏感數據的訪問在既定策略和規範內。

2、如何實現全面的日誌審計

全面審計是檢驗數據安全治理中的策略是否在日常執行中切實落地的關鍵。《網路安全法》針對全面的數據訪問審計的要求，日誌存儲最少保留6個月；全面審計工作對各種通訊協議、雲平台的支撐，1000 億數據以上的存儲、檢索與分析能力上，均形成挑戰。

3、如何快速實現對異常行為和潛在風險的發現與告警

數據治理關鍵要素是發現非正常的訪問行為和系統中存在的潛在漏洞問題。如何對日常行為建模，是海量數據中快速發現異常行為和攻擊行為避免系統面臨大規模失控的關鍵。

3.2 數據安全治理的技術支撐

對應數據安全治理上述三大挑戰，提出針對數據安全狀況梳理、數據訪問管控及數據安全稽核的技術保障體系。

3.2.1 數據安全狀況梳理的技術支撐

1、數據靜態梳理技術

靜態梳理完成對敏感數據的存儲分布狀況、數據管理系統的漏洞狀況、數據管理系統的安全配置狀況的信息採集技術。

2、數據動態梳理技術

動態梳理技術實現對系統中的敏感數據的訪問狀況的梳理。

3、數據狀況的可視化呈現技術

通過可視化技術將靜態資產和動態資產梳理技術梳理出的信息以可視化的形式呈現，比如敏感數據的訪問熱度、資產在組織內不同部門或業務系統內的分布、系統的賬號和許可權圖、敏感數據的範圍許可權圖：

圖3 數據資產分布圖

圖4 數據訪問熱度圖

圖5 敏感數據賬號和授權狀況概況圖

4、數據資產的管理系統支撐

基於靜態梳理、動態梳理和可視化展現技術，建立數據資產的登記、准入、准出和定期核查。

3.2.2數據訪問管控的技術支撐

1、資料庫運維審批技術

資料庫的專業運維管控工具可以控制到表、列級及各種資料庫操作；可精確控制到具體的語句、語句執行的時間、執行閾值；滿足事前審批，事中控制的模式。

2、防止黑客攻擊的資料庫防火牆技術

除管理內部人員對敏感數據的訪問行為，也要對付黑客攻擊和入侵或第三方外包人員突破常規的許可權控制，因此需要資料庫防火牆技術實現防禦漏洞攻擊。

圖8 資料庫防火牆技術中最核心技術——虛擬補丁技術

3、資料庫存儲加密技術

資料庫的存儲加密保證數據在物理層得到安全保障，加密技術的關鍵是解決幾個核心問題：

a) 加密與權控技術的整合；

b) 加密後的數據可快速檢索；

c) 應用透明技術；

4、資料庫脫敏技術

資料庫脫敏技術，是解決數據模糊化的關鍵技術，通過脫敏技術來解決生產數據中的敏感信息在測試環境、開發環境和 BI 分析環境的安全。

在脫敏技術中的關鍵技術包括：

a)數據含義的保持；

b) 數據間關係的保持；

c) 增量數據脫敏；

d) 可逆脫敏；

5、數據水印技術

數據水印技術是為了保持對分發後的數據的追蹤，在數據泄露行為發生後，對造成數據泄露的源頭可進行回溯。在分發數據中摻雜不影響運算結果的水印數據，水印中記錄分發信息，當拿到泄密數據的樣本，可追溯數據泄露源。

3.2.3 數據安全稽核的技術支撐

數據安全稽核保障數據治理的策略和規範被有效執行和落地，快速發現潛在的風險和行為。但面對超大規模的數據流量、龐大的數據管理系統和業務系統數量，數據稽核面臨著很大技術挑戰。

1、數據審計技術

數據審計技術是對工作人員行為是否合規進行判定的關鍵，是基於網路流量分析技術、高性能入庫技術、大數據分析技術和可視化展現技術：

圖10 數據審計技術

2、賬戶和許可權變化追蹤技術

賬號和許可權總是動態被維護，如何快速了解在已完成的賬號和許可權基線上增加了哪些賬號，賬號許可權是否變化，變化是否遵循合規性保證，需要通過靜態的掃描技術和可視化技術完成賬號和許可權的變化稽核。

3、異常行為分析技術

很多數據入侵和非法訪問掩蓋在合理的授權下，因此需要通過一些數據分析技術，對異常行為發現和定義。定義異常行為，一是通過人工的分析完成；一是對日常行為進行動態的學習和建模，不符合日常建模的行為予以告警。

以上很多異常訪問行為，都與頻次有密切關係，引入StreamDB這種以時間窗體為概念，對多個數據流進行頻次、累計量和差異量進行分析的技術，用於對大規模數據流的異常發現：

數據安全治理理念，首先需要成立數據安全治理的組織機構，確保數據安全治理工作在組織內能真正地落地；其次，完成數據安全治理的策略性文件和系列落地文件；再次，通過系列的數據安全技術支撐系統應對挑戰，確保數據安全管理規定有效落地。