随着全球數(shù)字化進程加速,數(shù)據成為(wèi)影(yǐng)響經濟發展的關鍵生(shēng)産要素。數(shù)據安全已關系到經濟社會(huì)發展的方方面面,成為(wèi)事關國家(jiā)安全與經濟社會(huì)發展的重要組成部分。
随着《中華人(rén)民共和(hé)國網絡安全法》《中華人(rén)民共和(hé)國數(shù)據安全法》《中華人(rén)民共和(hé)國個(gè)人(rén)信息保護法》《網絡數(shù)據安全管理(lǐ)條例(征求意見稿)》《數(shù)據出境安全評估辦法(征求意見稿)》等法規相繼發布,不同單位亟需對所轄數(shù)據資源落實安全保障機制(zhì)。
如何體(tǐ)系化開(kāi)展數(shù)據安全建設更是成為(wèi)相關行(xíng)業單位的關注重點,下面我們從數(shù)據安全場(chǎng)景出發,看下不同群體(tǐ)的數(shù)據安全建設需求。
01
“基礎務實”的數(shù)據安全運營場(chǎng)景
該場(chǎng)景中,大(dà)部分單位處于務實建設階段,旨在打好數(shù)據安全建設基礎,以《中華人(rén)民共和(hé)國數(shù)據安全法》的相關要求切入,關注數(shù)據資産(分級分類)、數(shù)據安全風險監測、掌握流轉情況。
在數(shù)據資産管理(lǐ)方面,主要關注組織在某個(gè)時(shí)刻全局資産及對應的分級分類情況、在某個(gè)周期內(nèi)數(shù)據資産變化情況(如新增字段和(hé)已有(yǒu)字段中相關屬性內(nèi)容變化),并對該部分進行(xíng)跟進,保證風險可(kě)控。在數(shù)據安全監測方面,旨在對數(shù)據資産相關風險進行(xíng)持續監測并快速處置。因系統與數(shù)據間(jiān)存在着大(dà)量的訪問調用,運營者希望對應用系統間(jiān)數(shù)據流轉情況進行(xíng)測繪,保證數(shù)據流轉過程中風險可(kě)控。
02
數(shù)據安全“協同合規”場(chǎng)景
該場(chǎng)景在電(diàn)信運營商行(xíng)業較為(wèi)常見,該行(xíng)業數(shù)據安全工作(zuò)起步較早,基礎安全保障能力相對健全,并處于數(shù)據安全系統化合規落地階段。主管機構要求不同單位建立各類數(shù)據安全台賬清單(如分級分類清單、重要數(shù)據清單、數(shù)據安全策略清單、态勢報告、對外API接口清單、設備撥測清單、安全事件清單等)。主管單位定期考核不同單位數(shù)據安全工作(zuò)開(kāi)展情況,這些(xiē)清單需要相關單位中不同部門(mén)協同梳理(lǐ)完成,借此推動組織內(nèi)數(shù)據安全日常工作(zuò)開(kāi)展。
03
掌握全行(xíng)業數(shù)據安全态勢場(chǎng)景
該場(chǎng)景在主管單位、監管機構居多(duō),上(shàng)級單位會(huì)定義主管機構關注的數(shù)據安全指标,要求下級執行(xíng)并定期回傳,可(kě)能涉及部省市三級聯動。下級生(shēng)成的指标包括并不局限于行(xíng)業數(shù)據整體(tǐ)情況(重要數(shù)據、分級分類)、行(xíng)業內(nèi)部安全态勢(數(shù)據批量訪問操作(zuò)行(xíng)為(wèi))、數(shù)據共享情況(數(shù)據出境數(shù)量、API接口使用)、敏感數(shù)據使用情況等,以此保證行(xíng)業內(nèi)數(shù)據安全風險可(kě)控。
綠盟數(shù)據安全運營平台(以下簡稱:ISOP DS)為(wèi)體(tǐ)系化數(shù)據安全建設提供了新思路,該平台基于IPDRR模型構建,集數(shù)據資産管理(lǐ)、數(shù)據資産分級分類、數(shù)據安全風險監測、API接口安全管理(lǐ)、數(shù)據安全流轉監控、數(shù)據安全合規管理(lǐ)、數(shù)據安全策略統一管控為(wèi)一體(tǐ)的平台産品。
圖1 ISOP DS架構
ISOP DS以數(shù)據安全合規為(wèi)目标,以數(shù)據資産為(wèi)核心,彙聚全網數(shù)據安全日志(zhì)數(shù)據,內(nèi)置了多(duō)種數(shù)據安全場(chǎng)景分析模型,呈現全網數(shù)據安全綜合态勢,基于上(shàng)傳下達通(tōng)道(dào)拉通(tōng)不同部門(mén)參與數(shù)據安全工作(zuò),提升組織數(shù)據安全運營能力。
ISOP DS已經在運營商、金融、能源、政府、交通(tōng)、企業、科教文衛等多(duō)個(gè)行(xíng)業客戶現網中進行(xíng)使用。下面将從以下七個(gè)方面對ISOP DS在不同數(shù)據安全運營領域的相關實踐進行(xíng)介紹。
圖2 ISOP DS的七大(dà)實踐
01
分級分類數(shù)據資源目錄構建
ISOP DS內(nèi)置國家(jiā)和(hé)行(xíng)業管理(lǐ)機構頒布的數(shù)據資産分類分級規範,可(kě)以依據不同模闆對數(shù)據資産進行(xíng)分類分級匹配。ISOP DS可(kě)以對IDR下發分級分類掃描任務,通(tōng)過掃描方式為(wèi)數(shù)據資産的類别及敏感級别進行(xíng)打标,同時(shí)可(kě)對UTS流量探針下發分級分類策略,探針基于流量中還(hái)原的文件進行(xíng)分級分類匹配,并将匹配結果返回平台。
ISOP DS可(kě)同時(shí)對主被動發現的分級分類資産進行(xíng)維護,形成重要、核心數(shù)據資源目錄,運維者進而可(kě)對不同級别的數(shù)據資産加以不同級别的安全防護措施。
圖3 分級分類匹配模闆
02
各類數(shù)據安全清單輸出
ISOP DS可(kě)實現API、文件、數(shù)據庫等多(duō)類型數(shù)據資産管理(lǐ),在資産屬性方面除通(tōng)用信息外,加入其特有(yǒu)的數(shù)據安全屬性标簽,如數(shù)據庫資産會(huì)加入字段名、數(shù)據資源名稱、資源版本、集群信息、存儲數(shù)據大(dà)小(xiǎo)、數(shù)據特征、數(shù)據類型、不同生(shēng)命周期安全防護措施情況;API資産會(huì)加入接口名稱、接口類型、應用協議、開(kāi)放形式、安全措施、合作(zuò)方信息及保密協議簽署情況,以便支撐數(shù)據資産精細化運營。
在資産信息庫建立後,平台可(kě)通(tōng)過IDR掃描與流量發現識别出新增資産、已有(yǒu)資産內(nèi)容變化情況,通(tōng)過稽查入庫操作(zuò),可(kě)形成組織內(nèi)最新的數(shù)據資産底圖。平台提供一鍵導出功能,滿足行(xíng)業主管機構對下屬單位數(shù)據資産分級分類清單、重要數(shù)據清單、核心數(shù)據清單定期生(shēng)成數(shù)據安全管理(lǐ)要求。
圖4 數(shù)據資産地圖
03
數(shù)據安全流轉監控
ISOP DS可(kě)以對流轉中的數(shù)據進行(xíng)監控,自動化發現并測繪不同級别/類别數(shù)據與訪問主體(tǐ)、流轉途徑間(jiān)的鏈路視(shì)圖,并基于該流轉鏈路視(shì)圖,對高(gāo)敏感、重要數(shù)據傳輸風險進行(xíng)針對性聚焦呈現。
圖5 流轉大(dà)屏示意
在數(shù)據跨境方面,ISOP DS可(kě)以從跨境訪問數(shù)量、傳輸數(shù)據量、跨境業務系統TOP角度展示本機構與國外的交互行(xíng)為(wèi)。
圖6 數(shù)據跨境監測
04
數(shù)據安全威脅監控
依托于在數(shù)據安全領域多(duō)年的經驗積累,ISOP DS可(kě)覆蓋未報備接口/接口涉敏/接口訪問異常、未知資産監測、敏感數(shù)據明(míng)文傳輸、4A防繞行(xíng)、脫敏效果驗證等場(chǎng)景化數(shù)據安全風險監測場(chǎng)景;事件詳情可(kě)對事件觸發原因進行(xíng)高(gāo)亮展示,以便支撐研判。
ISOP DS實現了基于設備與資産綁定權限域的功能,對應事件大(dà)屏及頁面可(kě)以顯示資産所屬部門(mén)及系統;管理(lǐ)員賬号可(kě)以看到全局的數(shù)據安全信息,通(tōng)過資産組可(kě)以篩選關注部門(mén)系統對應的數(shù)據安全事件;對應子部門(mén)系統登錄自身賬号可(kě)以看到自身的數(shù)據安全數(shù)據,一套平台滿足組織內(nèi)多(duō)部門(mén)/多(duō)系統、總部集團分支單位間(jiān)數(shù)據安全協同運營需求。
圖7 事件觸發原因與部門(mén)歸屬
05
數(shù)據安全協同合規
ISOP DS可(kě)定義組織內(nèi)數(shù)據安全合規目标,不同角色登錄平台可(kě)以查看單位內(nèi)數(shù)據安全建設目标,以便牽引相關數(shù)據安全建設。
圖8 安全管理(lǐ)目标管理(lǐ)
ISOP DS內(nèi)置上(shàng)傳下達通(tōng)道(dào),可(kě)以下發分級分類、資産稽核、重要數(shù)據資産稽核、對外共享接口稽核、數(shù)據安全态勢稽核、API資産清單稽核等任務。不同部門(mén)負責人(rén)在收到任務後,可(kě)以執行(xíng)并分發至對應的負責人(rén),借此拉通(tōng)不同部門(mén)組織在數(shù)據安全領域的參與度。
圖9 合規模闆管理(lǐ)
06
數(shù)據安全事件上(shàng)報
ISOP DS可(kě)将上(shàng)級機構關心的數(shù)據安全指标信息通(tōng)過實時(shí)與離線方式上(shàng)傳至對端平台,上(shàng)報的信息包括本級單位基礎信息(編号标識、主體(tǐ)經營信息、企業IP/域名信息)與數(shù)據安全業務類數(shù)據(數(shù)據安全事件、數(shù)據安全策略、數(shù)據相關基礎設施、數(shù)據資産分級分類清單、對外API開(kāi)放等情況),進而完成本行(xíng)業數(shù)據安全相關指标彙聚呈現。
圖10 數(shù)據安全信息上(shàng)報
07
更體(tǐ)現工作(zuò)成果的大(dà)屏呈現
ISOP DS相關大(dà)屏從整體(tǐ)數(shù)據安全态勢、數(shù)據資産安全情況、數(shù)據安全威脅分析角度出發,可(kě)真實呈現組織內(nèi)數(shù)據安全領域工作(zuò)開(kāi)展成果,便于對外總結彙報。
圖11 數(shù)據安全綜合态勢
圖12 數(shù)據資産态勢
