Categories
程式開發

聊聊企業數據安全建設的難點、思路和前期準備


聊聊企業數據安全建設的難點、思路和前期準備 1

DT社會,數據被視為這個時代的“石油”。它不僅是數字化轉型的推動力,而且還是業務發展的抓手。對企業而言,數據的地位越來越重要。

為充分發揮數據價值,企業需要首先做好數據安全,因為它是一切數據工作的基礎和前提。打個比方,數據安全猶如數據這座大廈的“地基”,“地基”若不穩,大廈則危矣,後果可能是“樓塌人亡”。所以,對企業來說,數據安全建設非做不可。

但是,關於企業數據安全建設,筆者仍有很多疑問:

企業數據安全建設有哪些常見難點?企業數據安全建設的思路是什麼?如果企業開始進行數據安全建設,需要做哪些準備工作? …

帶著這些問題,InfoQ記者採訪了深圳網安集團副總工程師黃偉傑。

聊聊企業數據安全建設的難點、思路和前期準備 2

在他看來,隨著互聯網和信息技術的發展,企業從業務數據化到數據業務化的進程中快速實現全面數據化轉型,數據逐漸成為企業重要乃至核心資產。並且,它還成為新的生產資料和戰略資源,為企業的業務增益、創新和發展提供新鮮”血液“和新動力。

聊聊企業數據安全建設的難點、思路和前期準備 3

黃偉傑表示,“數據安全是對企業數據資產價值創造與實現進行的持續有效的保障。數據安全和數據兩者是相互辯證的關係,與‘網絡安全與信息化是一體之兩翼’異曲同工。

與傳統網絡安全相比,數據安全對企業的影響更直接、更深刻、更整體。一旦發生重大數據安全事故,比如核心商業秘密數據洩露或大規模個人隱私數據洩露,將讓企業面臨重大風險。

我們以金融行業為例。根據中國信息通信研究院《2018-2019年度金融科技安全分析報告》表明,過去一年,所有被調研企業均表示發生過不同類型的網絡安全事件。

其中,針對客戶資料及企業重要業務數據的安全事件成為發生頻率最高的安全事件類別,合計高達44%的比例(造成“客戶資料”洩露約22%,以及“企業敏感信息洩露”約22%),成為持續影響金融科技企業最主要的網絡安全風險。

從組織架構上,黃偉傑稱,企業整體安全逐漸形成一種大安全部的概念,尤其是大型金融企業、互聯網企業,在大安全部下設安全合規、數據安全、業務安全、網絡安全、應用安全等部門組織。

鑑於數據安全的重要性,它開始獨立成為一個重要部門,承擔企業數據安全工作,並在組織架構中的地位不斷提升。並且,部分企業數據安全負責人作為數據治理委員會的成員,向企業高層匯報。 “不過,在很多企業和機構,數據安全工作只是網絡安全部門中的一個崗位或職能,甚至是兼職角色。”他坦承說。

數據安全建設為什麼那麼難?

目前,很多企業的數據安全建設工作正處於起步和初步建設階段,由於數據特性複雜和規模龐大等問題,其數據安全建設工作也面臨一些難點。

1.數據資產識別梳理難

對企業而言,開展數據安全建設工作,其首要任務是對數據資產識別梳理,分類分級

據了解,企業數據資產類型呈多樣化,從業務特性和敏感性上可以分為產品設計、產品配方、製作工藝、技術訣竅、財務數據、客戶信息、用戶行為特徵數據、運營數據等等。從形態上,有文檔、圖片、視頻、音頻、記錄、報告、代碼等。

並且,很多企業數據載體分佈廣,數據分散於電腦端、雲端、移動端和外部處理供應鍊等,經常不清楚數據在哪;數據源眾多,有來自業務產生、用戶收集和上游供應等諸多方式。此外,數據規模越來越龐大,這些因素給數據安全建設帶來很大難題。

2.數據資產安全管控難

企業數據展現了一種生命週期形態,涉及數據產生、傳輸、存儲、使用、委託處理、共享、交換、披露和銷毀等環節,每個環節都有可能面臨不同威脅,面臨安全風險,且安全監測和實施難度控制大。

同時,因業務需要,數據會不斷流動和變化,並非靜態,不僅流經企業自己的受控網絡,也可能轉移到其他數據處理者手中,甚至跨境流動。 ”面對不同安全控制水平和更複雜的法律合規環境,一旦發生敏感數據安全洩露事件,責任難溯源,難追責”。

聊聊企業數據安全建設的難點、思路和前期準備 4

3.數據安全建設涉及多部門協作

數據安全建設和運營工作橫向上跨業務、產品、市場、IT、運營、開發、財務、法務、合規等諸多部門和環節。

同時,不同部門數據的應用場景不同,部分場景需要多種職能角色共同參與,“這導致數據管理職責不清,不知道誰負責,誰有權限獲取數據,誰能提供所需數據,安全責任難明確。這些情形的出現,導致企業數據安全建設工作溝通成本高,協同難,容易產生扯皮現象。”黃偉傑說。

4.數據安全合規相關法律未完善

近年來,國家數個監管機構針對數據安全和個人隱私保護方面陸續出台相關法律要求,比如《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》、《APP違法違規收集使用個人信息行為認定方法》等。

因司法機關介入,數據安全不僅是企業內部管理問題,而且可能牽扯到相關負責人的刑事責任。

黃偉傑認為,《數據安全法》尚在製定,而《數據安全管理辦法》和《個人信息和重要數據出境安全評估辦法》等規範又處於徵求意見階段,企業在數據安全與合規方面的風險難以獲得明確、具體的合規基準,不利於企業開展數據安全建設工作。

5.人員的數據安全意識薄弱

在企業數據安全建設中,部分人員數據安全意識薄弱,對數據敏感性、個人信息隱私合規等缺乏足夠的安全認識,出現弱口令、明文存儲高敏信息、隨意轉發數據等,導致數據洩漏事件頻發。

同時,由於數據流動性,跨部門、跨組織、跨區域,企業數據處理的生命週期牽扯眾多人員,人員安全意識參差不齊,這也是企業數據安全建設工作的難點之一。

在所有行業中,金融行業最重視數據安全,因為它們將其視為生命線,這也意味它們對數據安全的訴求最為強烈。

黃偉傑表示,一方面,隨著大數據、人工智能、區塊鍊等技術在金融業務上的應用和融合,金融科技在重塑金融行業形態的同時,也面臨巨大的安全風險和挑戰。另一方面,外部非法組織針對金融行業長期實施網絡攻擊,入侵和竊取金融核心數據。

從金融企業角度講,他們對數據安全一般有四大訴求。

訴求1:防止數據洩露

《2018-2019年金融科技安全分析報告》顯示,金融行業機構數據洩露主要包含客戶個人資料和企業敏感數據,洩露頻率高達44%,成為最主要的安全風險。

“曾經,一些大行還出現過批量客戶數據被掛在暗網中販賣,難以溯源洩露路徑。近年來,證券基金行業客戶手機號洩露事件也是層出不窮,防不勝防,這引起大量客戶投訴和質疑。“黃偉傑稱。

訴求2:滿足數據與個人隱私監管合規

金融行業是合規重點行業。隨著《網絡安全法》、《消費者權益保護法》、《網絡安全等級保護基本要求》、《銀行業金融機構數據治理指引》和《個人金融信息(數據)保護試行辦法(初稿)》以及《個人金融信息技術保護規範》等法律法規的陸續出台,從國家法律、行業監管多個層面和個人金融信息隱私保護、金融數據安全等領域,都提出全面的數據合規要求,金融企業需要明確監管的紅線。

訴求3:數據安全的有效治理措施

據悉,金融機構信息系統一般數量比較多​​,尤其是一些大型的綜合性金融機構,應用系統至少超過一百個。

各種用戶金融信息、個人隱私信息和業務數據等規模龐大、分散,且錯綜複雜。通過多個業務系統不同環節的處理後,形成海量數據。在黃偉傑看來,如何利用治理機制和技術措施有效實現分類、分級和摸清數據資產的底數以及分佈,這成為金融行業數據安全治理的一個重大挑戰。

聊聊企業數據安全建設的難點、思路和前期準備 5

訴求4:平衡數據保護和業務發展的關係

數據安全治理策略要求金融機構建立滿足數據保護與合規的組織架構,實施對數據流動和處理的管控措施,限制獲取與使用的權限和範圍,增加數據審核流程,比如收集用戶個人信息與行為特徵的合規化,或對數據加密存儲等數據保護措施。

無疑,這不僅一定程度上增加了企業的投入成本,而且降低數據價值開發的效率。因此,如何通過構建完善的數據安全治理體系,既加強數據保護,又能推動業務發展,建立客戶信任關係,這同樣是金融企業的訴求之一。

數據安全建設的三大思路

對不同行業而言,數據安全建設思路有差異。在黃偉傑看來,有三大思路可供借鑒和參考。

思路一,建立數據安全治理組織架構以及數據全生命週期風險管理機制

企業應結合公司發展戰略,依托企業數據統一治理的框架,建立數據安全治理組織架構以及數據全生命週期風險管理機制。這樣,可以確保數據合規、持續可控和安全存儲,切實履行數據安全管理職責,提升數據使用價值保障能力。

據黃偉傑介紹,在銀行、證券、基金等傳統金融行業中,2018年銀保監印發《銀行業金融機構數據治理指引》22號文件,中國證監會要求2019年6月1日起施行的《證券基金經營機構信息技術管理辦法》【第152號令】,兩者均推行類似的建設思路。

思路二,整體構建數據安全管理保障體系

對高度依賴數據提供業務服務的企業,則可以圍繞數據安全為中心,從數據全生命週期(比如數據生產、傳輸、存儲等)、業務應用形態(比如特定業務、大數據業務、AI服務等)和IT基礎設施(物理、網絡、平台、雲端等不同層面和形態)等方面整體構建數據安全管理保障體系。

聊聊企業數據安全建設的難點、思路和前期準備 6

思路三,參考“等保2.0”

部分企業可參考《信息安全技術 網絡安全等級保護基本要求》,即“等保2.0”和《信息安全技術 數據安全能力成熟度模型》。

根據自身情況,在網絡安全方面對標等保相應級別的要求,在數據安全方面對標能力成熟度中相應的水平,通過等保保障網絡機構性安全,同時結合數據安全能力成熟度模型提升數據防護能力,形成有機結合體來建立數據安全管理體系。

他說,“不同數據安全建設思路,其背後的實質不外乎各家企業在數據安全建設工作的歷程、發展的成熟度、對數據安全的重視程度以及投入資源不一樣,企業應根據自身情況確定適合自己的建設思路。”

數據安全建設的前期準備

黃偉傑解釋,企業數據安全建設工作是一個長期性、持續改進的過程,需要製定一份可行、有效的計劃。 “而充分的準備工作,有助於調動相關人員,順利開展數據安全體系建設後續工作“。

他給出一份簡單的準備清單,企業可根據自身情況,靈活採用:

1.開展基礎信息調研,了解企業數據資產價值體現,包括數據分佈、數據敏感度、數據形態、載體對象、數據來源、相關供應關係以及範圍與邊界等現狀。

2.開展數據安全風險基礎評估,包括法律法規差距分析和對標、網絡安全控制措施、數據安全的防護能力、數據安全預案應急機制,以進一步了解數據安全現狀。

3.開展跨部門的安全需求溝通和高層訪談,理解和明確企業各個應用場景的數據安全需求、工作側重點和範圍,通過高層了解數據安全建設的定位、方針、策略等信息。

4.確定相關責任人和組織,確定數據保護策略和路線(分類分級、保護級別、分步實施等),制定工作計劃,覆蓋人、財、物等方面。

聊聊企業數據安全建設的難點、思路和前期準備 7

據悉,他們為一家銀行機構提供過數據安全風險評估與服務。

這個數據安全服務項目大致分為6個階段,包括前期信息調研、項目準備階段、現場評估階段、溝通諮詢階段、報告編制階段、成果總結交付階段等,中間現場實施大概3個多月,歷時5個多月。

一、針對不同維度的數據及安全控制進行梳理

1.分層維度梳理

IT基礎設施(業務實現載體、數據流動載體)、管理體系(數據策略)、組織架構體系(人的執行)、業務流程和數據處理流程(包括體內數據和體外數據)等從下到上形成相互關聯、支撐的不同層面。

2.基於業務線的數據生命週期梳理

從數據採集、委託錄入、數據回收、數據入庫存儲、制卡處理、定期銷毀、市場營銷、遞送、催收、呼叫中心等,梳理每一個業務環節中數據處理全生命週期的情況。

二、數據安全、敏感性和合規性綜合評估諮詢

這主要圍繞數據在不同業務場景處理過程中存在的安全控制不足,比如市場營銷場景,要從大數據平台查詢分析各種客戶信息,是否進行查詢權限、時間、次數和展示條目等項的控制。

並且,還有數據敏感性的分類分級保護,例如大數據客戶行為分析,是否進行升維或降維處理;以及評估業務獲取、使用數據場景中的合法合規性風險,比如爬蟲行為、SDK收集個人信息等問題。

三、數據安全管理體系能力成熟度評估

“這主要依據我們多年積累的實戰經驗,自主編制的數據安全能力成熟度三位立體模型(安全領域維度、安全能力維度和安全級別成熟度)和評價標準。在明確數據安全保護需求和目標後,開展差距分析和對標評估,制定對應保護級別的規劃建設方案。”黃偉傑說。

在筆者看來,數據安全是一項“龐大工程”,因為它涉及企業所有與數據有關的人、財、物、信息等。

如果我們能抓住企業數據安全建設的核心,那麼工作或許更容易推進。但是,何為企業數據安全建設的核心,觀點存在差異。有人認為技術是核心,通過一整套數據安全防護產品解決方案,全面落實數據防控措施,基本上就可確保數據安全可控,解決數據安全風險。

也有人將“人”視為企業數據安全建設的核心,以人為本,需要不斷提高員工的數據安全素養和意識,遵守國家相關法律法規,避免違法和不當行為,並認真落實企業規章制度,嚴格執行安全管理流程。

還有人認為“責任”是企業數據安全建設的核心。 “一個負責任的企業,能積極推動數據安全建設工作,履行網絡安全合規義務,從組織、制度、技術和機制等幾個方面建立數據安全治理體系,將數據安全融入到企業運營、業務運營、產品設計和企業的品牌影響力。最終,數據安全成為企業發展的重要責任之一和管理企業文化的一部分。”黃偉傑說。

相關閱讀:

企業數據安全怎麼建設?看看 OTA 巨頭攜程的具體實踐