大数据安全能力实践
大數據安全能力實踐
杜躍進,鄭斌
阿里巴巴集團,浙江 杭州 310013
摘要:安全的目的是為了保障發展,如何衡量一個擁有數據的組織的數據安全保護能力是十分重要的。探討了擁有數據的組織面臨的數據安全問題及挑戰,介紹了大數據環境下的數據安全發展趨勢和完整的組織級數據安全能力框架,闡述了數據安全保護能力實現的路徑及實踐過程中可能遇到的難點。最后,以某互聯網金融企業為例,分析了利用數據安全能力成熟度模型指導企業進行數據安全保護能力建設的過程和方法。
關鍵詞:大數據;安全能力;成熟度模型;安全管理
doi:10.11959/j.issn.2096-0271.2017049
論文引用格式:杜躍進, 鄭斌. 大數據安全能力實踐[J]. 大數據, 2017, 3(5): 30-37.
DU Y J, ZHENG B. Security capability practice of big data[J]. Big Data Research, 2017, 3(5): 30-37.
1? 引言
數據被稱為新時代的“黃金”或者“石油”,正在成為企業的核心資產,成為創新的關鍵來源,成為國家的戰略資源。數據越來越值錢,自然成為違法犯罪分子的重點關注目標。他們除了直接盜取數據進行倒賣之外,也會用全面的數據構建精準詐騙活動,甚至對用戶數據進行加密,然后勒索贖金,這也成為了當今的主流攻擊行為之一。在我國,以營利為目的的網絡“黑灰”產業鏈活動從2004年底就開始了。隨著網絡中的應用日漸廣泛和深入,犯罪分子能夠攫取利益的地方也越來越多,因此團伙的人員規模也在不斷膨脹。在網絡“黑灰”產業鏈中,竊取用戶數據是非常重要的一環。但是,直到2016年“徐玉玉事件”的發生才真正讓我國全社會開始重視電信詐騙以及背后的數據泄露問題。隨后,從各種不斷披露的案例中可以發現一個現象:很多數據泄露都是通過買通內部人員來實施的,這完全不同于大家想象的“黑客范兒”。
2016年4月,歐洲議會通過了《一般數據保護條例》,并將在2018年5月25日生效。該條例對歐盟公民的隱私保護做出了極為嚴格的要求,違規企業可能最高被處以罰款2 000萬歐元或者前一年全球總年營業額的4%。《一般數據保護條例》對全球眾多企業都會產生非常大的影響。經過長時間的醞釀和討論,2016年11月7日我國發布了《中華人民共和國網絡安全法》,該法律于2017年6月1日實施。個人信息和重要數據的安全是這部法律的重要內容,相關的執行細則和標準(包括個人信息如何保護、數據跨境如何評估等)也在緊鑼密鼓地制定。數據安全問題受到全世界從政府到普通消費者的各種不同角度的關注,但隨著對數據安全的關注度越來越高,人們似乎正在陷入另外一種風險之中,那就是“數據恐慌”。這種“數據恐慌”表現為對數據采集和使用的過度限制或者禁止,而不是通過數據保護能力的提升來改善數據安全水平。如果這種趨勢不能扼制,會導致法律法規、政策標準嚴重制約數字經濟的發展,會使廣大消費者對新經濟喪失信心,從而導致各種創業創新嚴重受挫,這對于數字經濟的發展是很危險的。安全的目的是為了保障發展,在目前的大數據應用和安全的環境下,非常迫切的一項工作是衡量一個擁有數據的組織的數據安全保護能力。
2 擁有數據的組織面臨的挑戰
數據只有流通共享,才能促進產業間協同,優化資源配置,更好地激活生產力。可以說,大數據時代下的生產過程就是數據采集、產生、應用、流通共享的過程,這是一個以數據為中心的經濟時代,以數據為中心的安全能力至關重要。
大數據環境下,各組織機構都將面臨著以下的數據問題及挑戰。
(1)數據無處不在
伴隨著信息化的開展,各組織機構的業務被大量數據化,數據被廣泛應用于組織的業務支撐、經營分析與決策、新產品研發、外部合作,數據也不再只是管理者擁有的權利,上至管理者,下至一線業務崗位,都需要使用數據。
(2)系統、組織之間數據邊界模糊
組織內部的核心業務系統、內部辦公系統、外部協同系統不再是豎井式的架構,數據的共享使得各系統間存在大量的數據接口,系統間呈網狀結構,互為上下游,每個系統都是其他系統的一部分,同時,其他系統也是自身系統的一部分。數據的流通共享也進一步促進了組織間的協同,組織間的部分職能也互為上下游。
(3)數據關聯、聚合更容易
大數據技術使得數據的采集、使用更加便利,數據的種類豐富,可被關聯的數據要素大大增加,同時,運算能力的提升加大、加快了數據關聯或聚合的效率和吞吐量。
(4)數據流動、處理更實時
實時數據處理技術的發展使得數據的流動和處理更加實時,在提升效率的同時,也加劇了安全的挑戰。
(5)海量數據加密
組織內沉淀了大量的數據,涉敏數據量也遠遠超出以往的數量,傳統的數據加密手段開始捉襟見肘,如何在靈活使用數據的同時,高效、安全地保護數據,也是需要解決的問題。
(6)數據的交換、交易
數據成為核心生產資料,其價值被高度重視,數據的交換、交易行為以及相關市場孕育而生,如何確保這些行為的安全,進而維護好國家、組織、個人的合法權益,是巨大的挑戰。
(7)數據所有者和權利不停轉換
目前行業里主流的數據相關方有數據主體、數據生產者、數據提供者、數據管理者、數據加工者、數據消費者,數據權利不停轉換,而數據的所有者及相關權利的界定至今未能達成一致意見。
(8)業務的國際化
互聯網化加劇了“地球村”的發展,網絡雖然無國界,但是網絡基礎設施、網民、網絡公司等實體都是有國籍的,各國雖然在網絡主權的提法上各執己見,但在實踐層面卻無一例外對本國網絡加以嚴厲管制,防止受到外部干涉。
3 數據安全能力框架
大數據環境下的數據安全具有五大趨勢:從注重系統的防護到聚焦數據內容本身的保護、從單一組織的保障到跨組織的聯動、從數據的保密到(大)數據經濟秩序的保障、從技術風險+操作風險到技術風險+操作風險+商業風險+法律風險、從傳統的數據技術到大數據技術。因此數據安全的能力必須充分考慮組織保障、管理政策及流程的落地、大數據治理、數據生命周期的安全、數據的風控、數據生態的安全協同六大要素。
如圖1所示,數據安全能力成熟度模型(data security maturity model, DSMM)以數據生命周期為主線,聚焦數據安全相關的四大能力:組織建設、人員能力、制度流程、技術工具,對組織機構的數據安全能力進行評級,能夠很好地幫助組織自身及合作伙伴評估數據安全能力,找到差距,有的放矢地提升數據安全能力,并作為數據共享的風險評判依據之一。能力成熟度等級維度組織的數據安全成熟度模型具有5個成熟度等級,分別是非正式執行(1級:隨機、被動的安全過程)、計劃跟蹤(2級:主動、非正式的安全過程)、安全可控(3級:正式的規范的安全過程)、量化控制(4級:安全過程可控)、持續改進(5級:安全過程可調整)。
圖1 數據安全能力成熟度模型
4 實現路徑與方法
(1)設立組織
為了有效保障數據安全政策的落地實施,企業應該設置專職的數據安全團隊。此外,還需要設立面向全組織的數據安全委員會,委員會需要有來自業務、數據、安全、法律等領域的不同角色參與,形成專業上的互補和完整的組織視角,統籌全局的數據安全管理政策,兼顧發展與安全,推進各部門落實數據安全各項政策。數據安全是個系統工程,服務于組織的大數據戰略,需要得到組織高層管理者的重視,數據安全委員會的負責人應該是組織里最高管理層里分管安全或者數據的管理者。
同時,還需要內部各相關部門的緊密配合。對于有多個業態的集團型組織,各業務的負責人應為該業態下數據安全第一責任人,與數據安全委員會、數據安全實體團隊共同推動本業態下的數據安全工作。
(2)盤點現狀
數據安全管理的核心是數據,需要對組織內的海量數據資產以及與數據相關的部門、業務/產品、流程、數據風險管理進行盤點。
數據資產的盤點:重點梳理數據的種類、數據量、核心的數據內容、數據來源以及數據的安全分級分類情況和流轉鏈路。
數據相關部門的盤點:與數據相關的部門往往是數據風險的高發部門,屬于高敏感崗位,需要梳理全組織與數據相關的部門數量、部門內部各崗位的職責、工作流程、數據操作環境,重點關注操作風險高的環節。
數據相關業務/產品的盤點:與數據相關的業務主要是指以數據為核心生產要素的業務,這類業務高度依賴數據,是組織對外提供數據服務的業務,在產品研發、測試和對外服務的過程中都需要對數據進行梳理,需要梳理數據在業務/產品中的應用原理、交互的系統接口、相關的責任人,此過程同樣重點關注高風險的環節。同時,由于對外提供的是數據服務,提供的數據內容也需要進行合格性的盤點梳理。
數據相關流程的盤點:數據相關流程指數據的采集、存儲、授權、內部使用、傳輸、對外披露、銷毀等過程,這些環節構成了數據在組織內部的主要流程,需要梳理所有線上線下的流程。
數據相關風險管理盤點:梳理數據風險的識別、風險評估及判定、風險跟蹤及改進情況,包括基礎性的治理,例如風險的日志數據、風險的定級機制、風險的響應機制。
(3)運用DSMM進行評估
如圖2所示,DSMM包含32個安全域,涵蓋組織的數據全生命周期過程,每個安全域含有相應的評估點和評估標準,由數據安全實體團隊針對評估點參照評估標準進行安全能力評估。
圖2 ?DSMM的安全域
(4)制定風險修復與短板提升計劃
DSMM不但能夠評估出數據安全能力,也能反映數據安全的風險,總體評估完成后,需要得到兩部分的改進計劃:一部分是風險修復計劃,一部分是數據安全能力短板提升計劃。
5 實踐中的難點與挑戰
在實踐過程中,通常會遇到如下挑戰。
(1)高層重視度不足
負責人的層級不夠,難以協調;提供的資源投入有限,力度不夠;僅僅作為合規需求,響應被動;缺乏前瞻性的布局,前瞻性的數據安全技術研究與投入缺乏或者不足。
(2)業務部門配合意愿度低
其他業務部門認為是安全部門的事情,主動性不強,業務要素的輸入不足,導致數據安全政策不夠貼近業務,既影響落地,又可能造成數據安全一刀切的局面,影響業務的發展。
(3)內部系統繁多,數據龐雜
業務的IT化促成了大量的系統產生,沉淀了大量的數據,應用系統的梳理、系統間的數據接口以及數據的盤點成為了基礎治理工作的重中之重,日常實踐中,基礎治理工作往往得不到應有的重視,管理者往往急功近利,忽視基礎治理工作的重要性。
(4)政策落地難
由于歷史因素,組織里存在著大量的歷史業務,大數據環境下的數據安全政策難免與現有業務流程產生沖突,沖突發生時的取舍容易導致數據安全為業務讓路,造成數據安全政策落地難的局面。
(5)業務快速發展
“互聯網+”或“大數據+”引發業務創新的加速,業務出現快速發展的勢頭,頻繁迭代升級,數據安全政策及技術手段更新容易滯后。
(6)組織的關聯公司多
大數據環境下,組織間的業務合作促進了數據的共享,如何安全可控地分享數據是大型組織常見的挑戰。
6 案例分析:某互聯網金融企業
大數據時代是機遇與挑戰并存的時代,在大數據產生巨大價值的同時,也為個人信息保護帶來了難題。個人信息去標識化是個人信息保護研究領域的一個分支,也是近年來新興的研究方向。目前在去標識化方法、模型和評估方面已經取得了不少成果。本文針對規范化開展個人信息去標識化工作的迫切需求,結合去標識化技術的特點,提出包括去標識化過程、技術支撐和管理保障在內的去標識化框架,給出了規范化的去標識化過程指南,并就去標識化的標準規范工作提出了建議。在未來工作中,可以以該架構為指導,進行具體案例的實施,積極推進有關標準化工作,具有良好的應用前景。
6.1 企業概況
該企業融合“互聯網+金融+汽車”,以互聯網為主要渠道,為借款人與出借人實現直接借貸提供信息搜集、信息公布、資信評估、信息交互、借貸撮合等服務。車貸作為該企業的核心產品,其業務模式已經具備一套標準的流程,從自建工具實現貸款的線上操作管理,到自建車輛評估和全球定位系統(global positioning system,GPS)管理系統,實現數據化分析管理。在深耕車貸細分市場的同時,開啟信用貸款、汽車消費金融、供應鏈金融等多個領域的持續性深度探索,逐步搭建以數據為核心生產資料的產品體系,有效提升了行業競爭力。
6.2 企業數據概況
主營業務中借款人與出借人的基本數據、車輛信息、與信用相關的數據、借還款行為數據、債權數據成為了業務的核心數據,數據概況見表1。
表1 某互聯網金融企業的數據概況
6.3 數據安全最緊迫的問題
該企業擁有幾百萬借款人和幾十萬投資人信息,近年來安全法律法規相繼出臺,監管日益趨嚴,滿足監管及合規、保護個人隱私尤為重要,同時該企業雖然部署了很多信息系統安全設備和產品,但對于數據泄露仍然十分擔心。
企業缺乏數據安全管理組織:運維團隊兼職網絡安全、主機安全、系統安全等工作;IT團隊負責工作電腦終端管理、上網行為管理;人力資源部部分工作覆蓋到人力資源安全;法務部負責合規工作,督導監察部負責各主管部門的制度落地執行、監督和違規處罰等工作;數據庫管理員和各級主管承擔了權限審批職責。安全團隊職能分散,缺乏統一的管理和協同,沒有整體負責數據安全的專職團隊,數據安全工作缺乏組織持續跟進執行。
企業數據安全制度流程缺失:企業內部相關制度中有部分數據安全相關內容,數據安全策略及規范、數據分類分級規范、數據對外披露流程細則等缺乏,沒有權限申請的流程,數據安全缺乏制度保障。
外部合規缺乏持續跟進:目前企業內部缺乏專職人員跟進數據安全相關法律法規,合規風險極大。
6.4 數據安全評估過程
基于數據安全能力成熟度模型的內容,考慮該企業的業務需求,以成熟度等級的2級作為一年內數據安全能力的基礎目標進行評估。通過梳理數據生命周期各階段的數據安全控制現狀,整體評估數據安全能力現狀,識別出在2級的要求下有待提升的數據安全領域,并給出提升相關數據安全能力的建議。
評估過程:由雙方召集相關人員進行整體項目介紹,明確評估項目目標、項目時間計劃、雙方的職責分工和協作方式、項目溝通機制、數據安全成熟度模型、評估方法及項目交付成果等。
總體摸底:全面了解業務及業務系統、人員和組織情況,準備評估所需的相關資料,確定評估范圍,制定詳細評估計劃,確保現場評估工作順利開展,消除業務障礙,確保訪談時高效進行。
現場評估:一般包括人員訪談、文檔審核、配置檢查、工具測試和旁站式驗證5種方式,并將獲得的各項結果記錄在檢查表中,保存相關的證據。
報告輸出:基于現場評估記錄的檢查表和相關證據,由評估人員負責編寫數據安全能力成熟度評估報告,期間可能會要求業務方補充材料或證據。
結果確認:由雙方人員共同確認評估結果是否符合業務方的現狀,評估結果準確,內容描述無誤。
6.5 改進建議
該企業擁有大量個人信息,涉及身份信息、銀行卡信息、資金信息等十分敏感的數據,個人隱私保護將是其長期的工作重點,以《中華人民共和國網絡安全法》和個人信息保護為切入點,成立由副總裁負責的獨立的專職團隊,3個月內制定出個人信息保護策略,細化個人信息在采集、存儲、使用、共享、傳輸和銷毀過程中的各種安全細則,并盡快執行。同時,不斷擴展企業數據安全策略、組織和人員,逐步引入數據安全能力成熟度模型。
7 結束語
本文重點探討了擁有數據的組織的數據安全保護能力建設和評估問題,分析了我國大數據安全面臨的問題和挑戰,介紹了數據安全能力成熟度模型和數據安全能力建設的實踐方法及難點,并以某互聯網金融企業為例,詳細分析了利用數據安全能力成熟度模型指導企業進行數據安全保護能力建設的實踐過程,為其他擁有數據的組織提供了一定的參考。
點擊下方?閱讀原文?即可獲取全文
作 者 簡 介
杜躍進(1972-),男,博士,阿里巴巴集團安全部技術副總裁、首席安全專家,曾擔任網絡安全應急技術國家工程實驗室主任、國家網絡信息安全技術研究所所長、國家計算機網絡應急技術處理協調中心副總工程師等職務。中國網絡空間安全協會副理事長,中國通信協會副主席,中國保密協會個人隱私保護專委會副主任,中國計算機學會計算機安全專業委員會常務委員,中國互聯網協會網絡與信息安全工作委員會副主任委員。擁有18年互聯網安全經驗,在我國最早開展國家級網絡安全事件的監測分析和應急響應,推動了我國互聯網應急體系建設與國際合作,完成多項國家級科研項目,并作為主要負責人完成了國家級互聯網安全基礎設施的研制。曾獲得國家科技進步獎一等獎兩項、新世紀百千萬人才工程國家級人選、全國青年崗位能手、信息產業十大杰出青年等榮譽稱號,獲得國務院特殊津貼。
?
鄭斌(1978-),男,阿里巴巴集團數據安全總監,于2011年加入阿里巴巴,2013年加入阿里巴巴數據委員會,負責組建阿里巴巴集團數據安全工作小組,該小組專注于阿里巴巴集團業務數據化和數據業務化過程中所產生的數據安全風險研究與改進,推動了阿里巴巴集團內部數據安全管理能力的提升和生態圈數據共享/開放安全秩序的建立。擁有17年大型企業數據應用體系建設和數據安全管理經驗,所服務的客戶覆蓋互聯網、金融、電信、能源、制造等多個行業的領先企業。近年來專注于大數據、云計算環境下的數據安全、用戶隱私保護、數據跨境的保護及前沿技術研究和實踐。發起并主導了國家數據安全標準《大數據安全能力成熟度模型》的建設和產業落地。
?
《大數據》期刊
《大數據(Big?Data?Research,BDR)》雙月刊是由中華人民共和國工業和信息化部主管,人民郵電出版社主辦,中國計算機學會大數據專家委員會學術指導,北京信通傳媒有限責任公司出版的科技期刊。
關注《大數據》期刊微信公眾號,獲取更多內容
總結
- 上一篇: 构建linux根文件系统
- 下一篇: Makefile中的wilcard函数