数据安全的必由之路——数据安全治理

引言：数据治理或者数据安全在大多数安全从业者的印象中是比较熟悉的概念，但数据安全治理似乎是个新名词。实际上，对于拥有重要数据资产的各类企业，在数据安全治理方面或多或少都有实践，只是尚未系统化的实行。比如客户数据安全管理规范及其落地的配套管控措施，以及数据分级分类管理规范。这篇文章我们希望能相对系统化地对此概念进行阐述。

数据安全治理的概念——以数据的安全使用为目的的综合管理理念，具体框架见下图：

图1数据安全治理理念框架

数据安全治理与传统安全概念的差异

为了更加有效地理解数据安全治理概念与传统数据安全的差异，对比传统安全理念如下：

表1数据安全治理与传统数据安全的差异对比

一、数据安全治理的组织和受众

数据安全治理首先要成立专门的数据安全治理机构，以明确数据安全治理的政策、落实和监督由谁长期负责。该机构通常是虚拟机构，可称为数据安全治理委员会或数据安全治理小组，成员由数据的利益相关者和专家构成。其成立，标志着组织的数据安全治理工作正式启动，使组织内数据安全规范制定、数据安全技术导入、数据安全体系建设得以不断完善。该机构成立后，履行以下职责：

A．数据的分级分类原则的制定

B．数据安全使用（管理）规范的制定

C．数据安全治理技术的导入

D．数据安全使用规范的监督执行

E．数据安全治理的持续演进

二、数据安全治理的策略与流程

数据安全治理，最为重要的是实现数据安全策略和流程的制订，在企业或行业内经常被作为《某某数据安全管理规范》进行发布，所有的工作流程和技术支撑都是围绕此规范来制订、落实。

2.1  外部所要遵循的策略

数据安全治理同样需要遵循国家级的安全政策和行业内的安全政策。举例如下：

1. 网络安全法；

2. 等级保护政策；

3. BMB17；

4. 行业相关的政策要求举例：

(a)  PCI-DSS、Sarbanes-Oxley Act（SOX 法案）、HIPPA；

(b)  企业内部控制基本规范；（三会、财政、审计）

(c)  中央企业商业秘密保护暂行规定；

这些政策通常是在制订组织内部政策时重点参考的外部政策规范。

2.2  数据的分级分类

数据治理主要依据数据的来源、内容和用途进行分类；以数据的价值、内容敏感程度、影响和分发范围进行敏感级别划分。

2.3  数据资产状况的梳理

2.3.1  数据使用部门和角色梳理

数据资产梳理中，明确数据如何被存储、数据被哪些对象使用、数据被如何使用。对于数据的存储和系统的使用，需要通过自动化的工具进行；对于部门、人员角色梳理，更多在管理规范文件中体现；对于数据资产使用角色的梳理，关键要明确不同受众的分工、权利和职责。

2.3.2  数据的存储与分布梳理

清楚敏感数据分布，才能知道需要对什么样的库实现何种管控策略；对该库运维人员实现怎样的管控措施；对该库的数据导出实现怎样的模糊化策略；对该库数据的存储实现何种加密要求。

2.3.3  数据的使用状况梳理

明确数据被什么业务系统访问，才能准确地制订业务系统工作人员对敏感数据访问的权限策略和管控措施。

数据的访问控制

针对数据使用不同方面，完成对数据使用的原则和控制策略，包括：数据访问的账号和权限管理、数据使用过程管理、数据共享（提取）管理、数据存储管理。

定期的稽核策略

定期稽核，保证数据安全治理规范落地，包括：

A、合规性检查；

B、操作监管与稽核；

C、风险分析与发现。

三、数据安全治理技术支撑框架

3.1  数据安全治理的技术挑战

数据安全治理面临数据状况梳理、敏感数据访问与管控、数据治理稽核三大挑战。

图2 当前数据安全治理面临的挑战

3.1.1  数据安全状况梳理技术挑战

组织需要确定敏感性数据在系统内部的分布情况，关键问题在于明确敏感数据的分布；确定敏感性数据如何被访问，如何掌握敏感数据以何种方式被什么系统、什么用户访问；确定当前账号和授权状况，清晰化、可视化、报表化的明确敏感数据在数据库和业务系统中的访问账号和授权状况，明确当前权控是否具备适当基础。

3.1.2  数据访问管控技术挑战

在敏感数据访问和管控技术方面，面临以下挑战：

（1）如何将敏感数据访问的审批在执行环节有效落地对于敏感数据的访问、对于批量数据的下载要进行审批制度，这是关键；

（2）如何对突破权控管理的黑客技术进行防御基于数据库的权限控制技术；

（3）如何在保持高效的同时实现存储层的加密基于文件层和硬盘层的加密将无法与数据库的权控体系结合，对运维人员无效。

（4）如何实现保持业务逻辑后的数据脱敏对于测试环境、开发环境和 BI 分析环境中的数据需要对敏感数据模糊化。

（5）如何实现数据提取分发后的管控。

3.1.3  数据安全的稽核和风险发现挑战

1、如何实现对账号和权限变化的追踪

定期对账号和权限变化状况进行稽核，保证对敏感数据的访问在既定策略和规范内。

2、如何实现全面的日志审计

全面审计是检验数据安全治理中的策略是否在日常执行中切实落地的关键。《网络安全法》针对全面的数据访问审计的要求，日志存储最少保留6个月；全面审计工作对各种通讯协议、云平台的支撑，1000 亿数据以上的存储、检索与分析能力上，均形成挑战。

3、如何快速实现对异常行为和潜在风险的发现与告警

数据治理关键要素是发现非正常的访问行为和系统中存在的潜在漏洞问题。如何对日常行为建模，是海量数据中快速发现异常行为和攻击行为避免系统面临大规模失控的关键。

3.2  数据安全治理的技术支撑

对应数据安全治理上述三大挑战，提出针对数据安全状况梳理、数据访问管控及数据安全稽核的技术保障体系。

3.2.1  数据安全状况梳理的技术支撑

1、数据静态梳理技术

静态梳理完成对敏感数据的存储分布状况、数据管理系统的漏洞状况、数据管理系统的安全配置状况的信息采集技术。

2、数据动态梳理技术

动态梳理技术实现对系统中的敏感数据的访问状况的梳理。

3、数据状况的可视化呈现技术

通过可视化技术将静态资产和动态资产梳理技术梳理出的信息以可视化的形式呈现，比如敏感数据的访问热度、资产在组织内不同部门或业务系统内的分布、系统的账号和权限图、敏感数据的范围权限图：

图3 数据资产分布图

图4 数据访问热度图

图5 敏感数据账号和授权状况概况图

4、数据资产的管理系统支撑

基于静态梳理、动态梳理和可视化展现技术，建立数据资产的登记、准入、准出和定期核查。

图6 以自动流量分析技术完成存量资产梳理图

3.2.2数据访问管控的技术支撑

1、数据库运维审批技术

数据库的专业运维管控工具可以控制到表、列级及各种数据库操作；可精确控制到具体的语句、语句执行的时间、执行阈值；满足事前审批，事中控制的模式。

图7 数据库安全运维审批流程示意

2、防止黑客攻击的数据库防火墙技术

除管理内部人员对敏感数据的访问行为，也要对付黑客攻击和入侵或第三方外包人员突破常规的权限控制，因此需要数据库防火墙技术实现防御漏洞攻击。

图8 数据库防火墙技术中最核心技术——虚拟补丁技术

3、数据库存储加密技术

数据库的存储加密保证数据在物理层得到安全保障，加密技术的关键是解决几个核心问题：

a) 加密与权控技术的整合；

b) 加密后的数据可快速检索；

c) 应用透明技术；

4、数据库脱敏技术

数据库脱敏技术，是解决数据模糊化的关键技术，通过脱敏技术来解决生产数据中的敏感信息在测试环境、开发环境和 BI 分析环境的安全。

图9 数据脱敏技术

在脱敏技术中的关键技术包括：

a)数据含义的保持；

b) 数据间关系的保持；

c) 增量数据脱敏；

d) 可逆脱敏；

5、数据水印技术

数据水印技术是为了保持对分发后的数据的追踪，在数据泄露行为发生后，对造成数据泄露的源头可进行回溯。在分发数据中掺杂不影响运算结果的水印数据，水印中记录分发信息，当拿到泄密数据的样本，可追溯数据泄露源。

3.2.3  数据安全稽核的技术支撑

数据安全稽核保障数据治理的策略和规范被有效执行和落地，快速发现潜在的风险和行为。但面对超大规模的数据流量、庞大的数据管理系统和业务系统数量，数据稽核面临着很大技术挑战。

1、数据审计技术

数据审计技术是对工作人员行为是否合规进行判定的关键，是基于网络流量分析技术、高性能入库技术、大数据分析技术和可视化展现技术：

图10 数据审计技术

2、账户和权限变化追踪技术

账号和权限总是动态被维护，如何快速了解在已完成的账号和权限基线上增加了哪些账号，账号权限是否变化，变化是否遵循合规性保证，需要通过静态的扫描技术和可视化技术完成账号和权限的变化稽核。

图11 授权变更统计分析管理界面

3、异常行为分析技术

很多数据入侵和非法访问掩盖在合理的授权下，因此需要通过一些数据分析技术，对异常行为发现和定义。定义异常行为，一是通过人工的分析完成；一是对日常行为进行动态的学习和建模，不符合日常建模的行为予以告警。

表4 异常访问行为定义

以上很多异常访问行为，都与频次有密切关系，引入StreamDB这种以时间窗体为概念，对多个数据流进行频次、累计量和差异量进行分析的技术，用于对大规模数据流的异常发现：

图12 Stream 数据处理技术

数据安全治理理念，首先需要成立数据安全治理的组织机构，确保数据安全治理工作在组织内能真正地落地；其次，完成数据安全治理的策略性文件和系列落地文件；再次，通过系列的数据安全技术支撑系统应对挑战，确保数据安全管理规定有效落地。