企业数据安全治理基础之“摸家底”
2021-12-02 16:28:08 Author: www.freebuf.com(查看原文) 阅读量:10 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

2021年9月1日,包括《中华人民共和国数据安全法》(以下简称“《数据安全法》”)、《关键信息基础设施安全保护条例》、《网络产品安全漏洞管理规定》等我国多部网络安全相关法律法规文件正式生效实施。《数据安全法》作为国家安全领域的重要立法及数据安全领域的基础性法律,为国家有关部门行使数据安全监管权力,为企业合法处理、使用和共享数据,均提供了充分的上位法依据,明确了行业监管部门、企事业单位履行保障重要数据安全的义务,同时也列明了违反《数据安全法》的罚则。

数据作为继土地、劳动力、资本、技术之后的第五类生产要素,在企业的经营分析、管理决策、创新转型等方方面面都至关重要,为更好地发挥数据的基础资源作用和创新引擎作用,同时要保障数据在收集、存储、使用、加工、传输、共享等各环节合法合规,就要做好数据资源的开发、利用和保护:一方面要使数据连起来、跑起来、用起来;另一方面要强化数据安全保障,完善数据安全治理。

而企业数据安全治理的基础就要先“摸清家底”,搞清楚企业自身有哪些类型的数据,数据在各业务系统和应用上的分布情况,数据量的大小规模和增长速率,数据按照企业规范或行业标准应认定为什么类型与级别,数据在企业内部及外部的共享情况和流动路径等。否则数据安全治理工作的开展就会找不到头绪、抓不住重点、难以全面覆盖重要数据。“家底”摸清以后就可以形成企业的数据资产目录,基于数据资产目录可有序、高效的开展数据安全治理相关工作。

因此“摸家底”是数据安全治理的基础,也是做好数据安全保障的前提。而数据资产“摸家底”在实际落地和实践过程中,往往存在诸多的痛点和难题。

以某省级电信运营商为例,随着近年自身业务的飞速发展和5G、云计算、大数据、物联网等新技术新业务的投入使用,该企业内部的业务系统数量、系统数据量也快速增长,数据在企业内部及外部的共享和调用日趋增多,半结构化、非结构化类型的数据体量和占比逐渐提升。按照工信部及集团的要求,还须对企业数据进行分类分级,以便按照不同等级执行差异化的共享机制和安全防护。

面对业务系统数量多、数据量大、类型复杂、接口繁杂等现状,该企业前期在梳理企业数据资产时均通过人工的方式,由各业务系统管理员对系统数据类型、分类分级的认定、数据量大小、增量速率、数据接口数量及用途等信息进行自主填报后进行汇总。这其中工作量特别巨大,而且难免会有遗漏,相关人员对数据分类分级认定流程和标准理解程度不同,可能导致数据分类分级认定错误率过高等问题。上述问题在企业内部的BOSS、CRM、经营分析、能力开放平台、大数据平台等核心系统更为突出。对于自主填报的数据资产信息,安全管理部门无法有效的核实其准确性和覆盖面,从而影响了企业数据资产目录的质量,导致数据安全治理工作存在偏差,也间接增加了数据安全风险。

为改善上述现状和解决存在的痛点,该企业通过充分调研各类数据安全治理解决方案和产品,开展POC测试验证后,引入了敏感数据发现系统和数据流转监测与分析系统。在上述系统中按照集团对数据分类分级要求和指南,制定了对应的数据分类分级策略,通过自动化的方式对现网全量业务系统数据进行扫描,发现和记录业务系统中的数据并进行分类分级打标签,形成企业数据资产目录库。通过对各业务安全域出口流量进行无侵入式的镜像抓取,对网络链路中的涉敏数据进行监测和分析,识别出网络链路流量中的敏感数据并进行分类分级打标签,记录敏感数据流向和源IP、目的IP、目的端口等元数据;自动发现数据接口调用信息及账号信息,基于数据统计和模型计算形成接口画像。

数据分类分级策略配置

由于企业集团已按照工信部《基础电信企业数据分类分级方法》制定了内部的数据分类分级指南,因此须基于该指南在敏感数据发现系统和数据流转监测与分析系统配置数据分类分级策略。

敏感数据发现扫描

在数据分类分级策略配置完成后,需要根据企业对数据安全管理的要求,明确需要执行数据安全管控的业务系统对象,申请开通敏感数据发现系统到被扫描对象数据库的网络策略及账号权限后,即可通过建立、下发敏感数据发现扫描任务,通过自动化扫描发现敏感数据并执行分类分级自动化认定,从而构建企业数据资产目录库。

在实际工作开展过程中,由于企业业务系统数量多、数据量大,为了降低敏感数据发现扫描对生产业务和网络环境的影响,针对企业核心业务系统,通过建立定时任务的方式,避开核心业务使用高峰期进行扫描。

链路流量敏感数据监测

基于给定的业务系统数据库对象进行敏感数据扫描,难免会由于统计或上报对象覆盖不全、扫描账号权限不够等原因而漏掉部分数据资产,因此需要通过对各业务安全域的网络链路流量进行敏感数据监测及识别,对发现的数据按照分类分级策略进行数据种类和等级认定;识别链路流量中发现的数据调用接口信息和账号信息,并形成接口/账号画像。

基于网络链路流量敏感数据及接口监测和识别的结果,与敏感数据发现系统的扫描结果和备案的数据调用接口信息进行比对、核实,从而找出“漏网之鱼”,以实现对企业数据资产的全量管控。并可对已备案的接口信息进行安全审计,梳理出包括数据接口异常高频调用、超范围数据查询、接口认证弱口令等安全风险,为进一步的数据安全治理提供有力支撑。

在国家网络安全法律法规密集出台、行业监管日趋完善、大数据运用和创新高速发展的背景下,企业只有搞清楚自身的数据资产情况、数据接口分布,才能精细化、全覆盖的开展数据安全治理工作,进而有效保障重要数据安全,促进数据开放共享、提升数据价值,并做到依法合规。


文章来源: https://www.freebuf.com/articles/database/306919.html
如有侵权请联系:admin#unsafe.sh