数据安全“紧箍咒”
《数据安全法》出台后,很多企业客户的问题集中在最原始的基点上:不知道从哪里开始,无从下手。近日,就数据安全治理的相关问题,天空卫士董事、合伙人、高级技术总监杨明非接受了中国经营报《等深线》的采访。
以下为杨明非在访谈中的部分发言内容:
很多企业在收集数据时不遗余力,但谈到数据安全治理时往往两手一摊,无能为力。一方面是企业对数据安全关注度的提升,另一方面则是对数据安全治理落地觉得无从下手。缺乏专业人才支撑的企业都感觉起步非常困难。
以前消防对大部分有经营场所的企业是必过的项目,数据安全以后也可能会做成企业IT领域或整个经营过程中必过的题目。
《数据安全法》要求企业应当在网络安全等级保护制度(以下简称‘等保’)的基础上,履行数据安全保护义务。这意味着等保是数据安全的基础,企业要先满足等保,再发展数据安全的措施。
等保针对所有的行业,比如银行、医院、教育、政府机构、关键基础设施等等,只要达到一定的社会影响,就必须去保护系统的安全。
不过,与数据安全相比,等保就相当于一栋刚修好进行交付的大楼,这栋大楼里的门窗锁就是它的“等保措施”,而在此之后,大楼可能会装监控、摄像头、X光机或者类似机场的安检设备,这才是数据安全。防盗门是直接把人拒之门外的,但安检则是检查合格后可以进去,所以,数据安全是更高层面的安全措施,它不会阻碍数据的流动。
《数据安全法》一方面要数据安全,另一方面也保护数据的交易和流通,鼓励使用大数据创新,鼓励使用数据驱动业务,这是企业的难点所在。
《数据安全法》出台后,很多企业客户的问题集中在最原始的基点上:不知道从哪里开始,无从下手。比如不知道如何制定规章制度,不知道采用什么样的技术手段来支撑这些规章管理制度。对此,我们建议:
首先,企业要建立数据安全相关的管理制度。这套管理制度决定你如何合规,要找出法律法规中与自身业务相关联的内容,根据自身业务发展战略、公司治理、IT战略、风险容忍度来制定相应的制度。比如如何管理数据,哪些数据能流动出企业,哪些不能流动出企业,是必须用公司电脑来处理企业数据,还是也可以用私人电脑来处理企业数据,公司制度里都需要做出定义。
二是企业要对数据进行分类分级。分类分级的概念是要把企业所有的数据,按照重要级别的程度,或者叫作风险级别的程度,进行类别定义。就像一个人会对自己的家庭财产进行分类一样,对企业来说,数据资产也需要明确哪些是更重要的,哪些是不重要的,对最重要的就要妥当地保护起来。
三是采用技术手段来支撑管理制度和分类分级结果。有了管理制度和数据的分级分类结果后,就可以根据IT系统的实际情况,制定相应的数据安全保护策略,并通过技术手段来支撑保护策略的实现。围绕数据为核心的技术手段和传统针对网络威胁防护的手段不一样,数据安全保护的技术手段首要的要求是能支持分类分级,根据不同的IT场景来实现相应的保护措施。
数据资产最常见的是个人隐私信息,对此企业必须要加以保护。其次是知识产权,包括企业的图纸、源代码、生产工艺、配方等。再次是企业的经营信息,比如上市公司的财务报表,在发布之前属于一级机密,这些都属于企业里最重要的数据资产。同时,企业经营过程中可能会产生很多的数据,包括内部的规章、流程、管理制度、员工通讯录,这些数据也需要分级分类,并确定不同的保护级别。
需要注意的是,不同行业数据资产的重要性也有区别,比如制造业是知识产权密集型的,其图纸、生产工艺、配方就属于其生命线。对于金融行业来说则属于强监管行业,对数据资产的分级分类,央行已经有具体的指导。
如果没有监管对数据安全治理的推动,仅在支付领域,一旦把个人的所有信息拉在一起,后面的恶性事件就会出现,是非常危险的。
我们建议,互联网企业一定要在数据分类分级的基础上,建立起风险防控的制度。互联网企业有很多特点:一是业务变化比较快,拥有快速响应、轻资产等典型特点,所以在数据安全上不能是一锤子买卖,比如分级分类要为未来留下接口,做成持续动态的模式。二是互联网公司技术力量是比较强的,有各种各样的想法,但有时也过于迷信技术,或更重视技术,不太重视流程、理念、管理方式,包括对数据安全的看法很多还是停留在传统的网络威胁的防护方式上。事实上,一个数据安全治理的项目,50%的成功点在于咨询方面的内容。”
而咨询的核心就是风险管控。举例来说,互联网企业在咨询时最喜欢问的一个问题是:“这个问题你能不能防得住?”但事实上,数据安全是一套风险管控,不是过去谈论的“零和一”的安全防护,这是因为场景发生了变化,数据不再是存在硬盘里锁在保险柜里,绝对不能丢失的保护方式,而是需要一个风险防控的体系保证数据可以流动。
数据的价值在于流动,流动的目的在于共享,你要做分析和使用,这样数据才有价值,锁起来没有价值。因此对数据安全体系来说,风险管控首先就是要最大限度地降低风险事故的发生,其次是关注人的因素在中间产生多大的影响。在这两个维度上,再去评估数据安全的风险,以及要采取怎样的措施或手段,这不是单纯的技术性体系,更不是上了哪个技术产品就可以高枕无忧的问题。
从这些维度上来看,企业进行数据安全治理的时候,需要从企业高层就引起足够的重视,业务部门、风险管控部门、审计部门、IT管理部门、安全部门等共同参与形成数据安全治理小组。
比如数据的分级分类,业务数据中有几十种,哪些重要哪些不重要,需要业务部门参与来进行重要程度区分,比如企业的日产量、生产时的温度高低,哪些数据是不能对外泄露的,必须由业务部门来做指导。数据安全治理小组根据业务部门的这些需求,形成相应的规章制度最终制定相应的数据安全的策略,并且采用相应的技术产品来支撑这些策略的执行。
越来越多的企业开始注意到,大数据时代的数据安全管理与传统安全管理的最大区别在于“人”。传统安全基于边界定义,讲究的是纵深防御,企业安全的概念上是“修墙”,把坏人挡在外面。而现在,数据安全要内外一视同仁,甚至由于内部人才有更多的机会获取到数据,由此,以人为中心保护数据安全就变得更加重要。
“这首先是由于数据安全的敌人都是人。其次,从安全的角度来说,数据流动下唯一不能隔离的就是人。再次,人对数据资产的操作和使用,好的方面会促进业务的发展,坏的方面就是会产生数据安全事件。所以,大型企业非常流行的一种方式就是在零信任基础上对人进行行为分析(UEBA:user and entity behavior analytics)。
@SKYGUARD
天空卫士严格遵守《数据安全法》相关规定,基于Gartner DSG框架,提出以“人”与数据为中心,构建自适应的动态安全体系。在数据资产保护过程中,从业务入手,了解企业的重要资产内容和分布,平衡业务需求与风险,制定数据安全策略,对数据分级分类,保障数据在采集、传输、存储、使用、共享、销毁过程中的合规合法。通过数据安全治理,充分发挥数据的基础资源作用和创新引擎作用,促进以数据为关键要素的数字经济发展。