数据安全生态认知
相对于应用安全及基础IT设施安全,数据安全是一个新兴生态。里面的安全从业者,方法论,工具等都是非常贫乏的。比如应用安全,有burp,sqlmap,waf,扫描器,代码审计,字典等等工具。基础安全,有NMAP,osssec,hydra,nids,onlydebug等等工具。数据安全的工具,就数不出来几个了。数据安全里面,我们需要帮助数据梳理的工具,有帮助数据分类分级的工具,有帮助数据解析(AI关联价值分析)的工具,有帮助文件解析的工具(非结构化数据),然而市面上,其实并没有这些工具。当然,可能有数据安全的从业者有一些自己的脚本积累。
乙方产品里面,数据安全的产品,最成熟的是数据防泄漏的客户端。而数据防泄漏,只是在办公终端,数据链路的最末端对数据进行安全防护。它并不覆盖数据仓库,也不覆盖数据生命周期。也有乙方公司研发了整体数据安全系统的产品,但是其研发思路,还是基于应用安全/基础IT设施安全产品的思路来进行的,依赖流量镜像分析,这种思路与模式,完全无法满足甲方的需求。
因为数据安全本身的工作特性,其生态发展也是缓慢的。数据安全对从业者能力的要求,要求更多的是体系化能力,而非数据生命周期的技术能力。
企业数据安全落地
1、应急及领导的需求调研处理:调研公司层面是否需要安全应急,以及公司层面有没有什么迫切的安全需求。
2、熟悉人员:请领导带着安全跟各部门的领导认识一下,简单对齐一下信息。留一下联系方式。
3、数据安全组织建设:建立虚拟组织,人员组成有公司高层以及各部门负责人。要有公司明文的制度规定,明确各人员的权责划分。
4、宣讲会:会议应该讲清楚为什么做数据安全,它的意义价值是什么。数据安全建设的方法论是什么,在接下来的实际工作中,内容顺序是什么,安全负责什么,其他部门负责什么。各个业务的优先级顺序是怎样的。
5、确定沟通协调机制:让领导们在自己部门里定一个安全的对接人,安全部门后续的会议,跟一些工作的对接,可以找这个对接人来做。
6、数据梳理:数据梳理是落地执行的第一步,是数据安全治理的基础。数据安全治理需要对公司的信息数据有清晰的了解,因此需要进行数据梳理。又因为数据特性,只有其他部门自己才能梳理自身的数据,并给出价值分析,使用场景及排序等信息。数据安全治理是一个长期过程,不是一蹴而就的。因此,数据梳理也建议分期进行。先从高优先级部门,高优先级的数据开始。数据类型先从结构化数据开始。一期一期推进,持续安全运营。
7、建设组织人员变化的发现能力:发现变动,安全部门有责任去跟新的部门及人员对接,将之纳入到数据安全体系中,确保数据安全的覆盖是完整的。通过管理方面,在工作流程上做一些建设,让人事部门在有相关变化的时候及时通知安全。通过技术方面,进行一些监控建设,通过公司组织及通讯录变化发现人事变动,调整数据安全相关的制度,组织等,与新部门新员工做好对接沟通。
8、方案制定:安全按优先级,针对具体数据情况及安全建设情况,制定细化的安全建设方案。确定其具体数据适配的安全措施。此时应该将法律法规纳入考虑范畴,判断什么数据需要进行合规处理。
9、具体方案讲解:讲好安全要做什么,技术这边的人要做什么。优先级是什么,时间预期是什么。这样方便实施人员事先了解,以进行工作安排。
10、落地执行:
对于单条数据,工作有采集,传输,存储,使用,加工,销毁的生命周期内的安全保护。
对于非结构化数据,可能还有自动化的解析,AI智能分析,整体文件加密,密钥管理等系统工具的开发建设内容。
对于整体的数据安全,应该建设整体的安全管理与运营体系。如:统一的数据信息备案系统,智能化自动化的分类分级系统,统一的数据权限申请系统,统一的安全监控审计系统,统一的安全管理及运营系统,统一的培训考核系统,统一的流转视图展示系统等。
11、持续运营:要对数据安全进行持续运营,比如以上系统的运营,安全设备的运营,跟进漏洞修复,跟进更新,跟进新项目等。
12、合理分配资源:在整体数据安全建设到达一定水位后,最好将资源投入到其他方面的安全建设中去。
总结
1、数据安全更加依赖部门协作。
2、数据安全生态较弱,工具较少。
3、最好提前争取高层支持,建立好公司内的数据治理组织。
4、方案提前讲好,让其他部门有数。
5、建立好沟通协调机制,随时沟通,及时信息互通。
6、安全意识的培训培养。
7、注意投入产出比,灵活配置数据安全资源。
