企业数据安全能力框架r——数据安全能力成熟度模型的构建及应
用
郑斌
【摘 要】安全的目的是为了保障发展,如何衡量一个拥有数据的组织的数据安全保护能力是十分重要的.本文探讨了拥有数据的组织面临的数据问题及挑战,介绍了大数据环境下数据安全发展趋势和完整的组织级数据安全能力框架,阐述了数据安全保护能力的实现路径及实践过程中可能遇到的难点,最后以某互联网金融企业为例,分析了利用数据安全能力成熟度模型指导企业进行数据安全保护能力建设的过程和方法.%The purpose of security is to safeguard development, therefore how to evaluate the competency of an organization regarding data security is very important. This paper discussed the problems and challenges faced by every organization that held data, described the development trend of data security in the big data era, introduced a comprehensive competency framework on organizational data security, set forth the path to enhance data protection competency, and highlighted several difficulties in its implementing process. The paper concluded with a case study of an Internet financial company, analyzed the processes and methods in using the data security competency maturity model to guide enterprises on data security capabilities construction.
【期刊名称】《信息安全与通信保密》
【年(卷),期】2017(000)011
【总页数】9页(P70-78)
【关键词】大数据;安全能力;成熟度模型;安全管理
【作 者】郑斌
【作者单位】阿里巴巴集团数据安全部, 浙江 杭州 311121
【正文语种】中 文
【中图分类】F270
数据被称为新时代的“黄金”或者“石油”,正在成为企业的核心资产,成为创新的关键来源,成为国家的战略资源。数据越来越值钱,自然成为违法犯罪分子的重点关注目标。他们除了直接盗取数据进行倒卖之外,也会用全面的数据构建精准诈骗活动,甚至对用户数据进行加密,然后勒索赎金,这也成为了当今的主流攻击行为之一。在我国,以营利为目的的网络黑灰产活动从2004年底就开始了。随着网络中的应用日渐广泛和深入,犯罪分子能够攫取利益的地方也越来越多,因此团伙的人员规模也在不断膨胀。在网络黑灰产业链中,窃取用户数据是非常重要的一环。但是,直到2016年“徐玉玉事件”的发生才真正让我国全社会开始重视电信诈骗以及背后的数据泄露问题。随后,从各种不断披露的案例中可以发现一个现象:很多数据泄露的渠道,都是通过买通内部人员来实施的,这完全不同于大家想象的“黑客范儿”。
2016年4月,欧洲议会通过了《一般数据保护条例(General Data Protection Regulation,GDPR)》,该条例将在2018年5月25日生效。该条例规定对欧盟公民的隐私保护做出了极为严格的要求,违规企业可能最高被处以2 000万欧元或者前一年全球总年营业额的4%作为罚款。GDPR对全球众多企业都会产生非常大的影响。经过长时间的酝酿和讨论,2016年11月7日我国颁布了《中华人民共和国网络安全法》,该法律于2017年6月1日实施。保护个人信息和重要数据的安全是这部法律的重要内容,相关的执行细则和标准,包括个人信息如何保护、数据跨境如何评估等,也在紧锣密鼓地制定中。数据安全问题受到全世界从到普通消费者的各种不同角度的关注,但随着数据安全的受关注度越来越高,人们似乎正在陷入另外一种风险之中,那就是“数据恐慌”。这种“数据恐慌”表现为对数据采集和使用的过度或者禁止,而不是通过数据保护能力的提升来改善数据安全水平。如果这种趋势不能扼制,会导致法律法规、标准严重制约数字经济的发展,会导致广大消费者对新经济的信心丧失从而导致各种创业创新严重受挫,这对于数字经济的发展是很危险的。安全的目的是为了保障发展,在目前的大数据应用和安全的环境下,非常迫切的一项工作是,如何衡量一个拥有数据的组织的数据安全保护能力。
数据只有流通共享,才能促进产业间协同,优化资源配置,更好地激活生产力。可以说,大数据时代下的生产过程就是数据在采集、产生、应用、流通共享的过程,这是一个以数据为中心的经济时代,以数据为中心的安全能力至关重要。
大数据环境下,各组织机构都将面临着以下的数据问题及挑战。
伴随着信息化的开展,各组织机构的业务被大量数据化,数据被广泛应用于组织的业
务支撑、经营分析与决策、新产品研发、外部合作,数据也不再只是管理者拥有的权利,上至管理者,下至一线业务岗位,都需要使用数据。
组织内部的核心业务系统、内部办公系统、外部协同系统不再是竖井式的架构,数据的共享使得各系统间存在大量的数据接口,系统间呈网状结构,互为上下游,每个系统都是其他系统的一部分,同时,其他系统也是自身系统的一部分。数据的流通共享也进一步促进了组织间的协同,组织间的部分职能也互为上下游。
大数据技术使得数据的采集、使用更加便利,数据的种类丰富,可被关联的数据要素大大增加,同时,运算能力的提升加大、加快了数据关联或聚合的效率和吞吐量。
实时数据处理技术的发展使得数据的流动和处理更加实时,在提升效率的同时,也加剧了安全的挑战。
组织内沉淀了大量的数据,涉密数据量也远远超出以往的数量,传统的数据加密手段开始捉襟见肘,如何在灵活使用数据的同时还能高效安全的保护数据,也是需要解决的问题。
数据成为核心生产资料,其价值被高度重视,数据的交换、交易行为以及相关的市场孕育而生,如何确保这些行为的安全,进而维护好国家、组织、个人的合法权益,是巨大的挑战。
目前行业里主流的数据相关方有数据主体、数据生产者、数据提供者、数据管理者、数据加工者、数据消费者,数据权利不停转换,而数据的所有者及相关权利的界定至今未
能达成一致意见。
互联网化加剧了“地球村”的发展,网络虽然无国界,但是网络基础设施、网民、网络公司等实体都是有国籍的,各国虽然在网络主权的提法上各执己见,但在实践层面却无一例外对本国网络加以严厉管制,防止受到外部干涉。
大数据环境下的数据安全具有五大趋势:从注重系统的防护到聚焦数据内容本身的保护;从单一组织的保障到跨组织的联动;从数据的保密到(大)数据经济秩序的保障;从技术风险+操作风险到技术风险+操作风险+商业风险+法律风险;从传统的数据技术到大数据技术。因此数据安全的能力必须充分考虑组织保障、管理及流程的落地、大数据治理、数据生命周期的安全、数据的风控、数据生态的安全协同六大要素。
数据安全能力成熟度模型(data security maturity model,DSMM)以数据生命周期为主线,聚焦数据安全相关的四大能力:组织建设、人员能力、制度流程、技术工具,针对组织机构的数据安全能力进行评级,能够很好地帮助组织自身及合作伙伴评估数据安全能力,找到差距,有的放矢地提升数据安全能力,并作为数据共享的风险评判依据之一(如图1所示)。能力成熟度等级维度组织的数据安全成熟度模型具有5个成熟度等级,分别是非正式执行(等级1:随机、被动的安全过程)、计划跟踪(等级2:主动、非正式的安全过程)、妥善定义(等级3:正式的规范的安全过程)、量化控制(等级4:安全过程可控)、持续改进(等级5:安全过程可调整) 。
对于图1的模型架构的说明如下:
1)基于电子数据在组织机构内的数据生命周期,明确定义各阶段特定的数据安全过程域和数据生命周期通用的安全过程域。各阶段特定的数据安全过程域,包括数据采集、数据存储、数据传输、数据处理、数据交换和数据销毁这六个阶段中,各阶段特定的数据安全过程域。数据生命周期通用的安全过程域,是与各个生命周期都相关的,通用的数据安全过程域,比如策略与规程、合规性管理等方面。
2)本标准对组织机构的数据安全保障能力的成熟度的分级评估,是基于各成熟度等级下的数据安全能力通用实践所定义的分级评估方法,对各阶段特定的数据安全基本实践和数据生命周期通用的安全基本实践的实现的成熟度等级进行评估。
基于大数据环境下数据在组织机构业务中的流转情况,定义了数据生命周期的6个阶段,具体各阶段的定义如下:
——数据采集:指新的数据产生或现有数据内容发生显著改变或更新的阶段。对于组织机构而言,数据的采集既包含在组织机构内部系统中生成的数据也包含组织机构从外部采集的数据。
——数据存储:指非动态数据以任何数字格式进行物理存储的阶段。
——数据处理:指组织机构在内部针对动态数据进行的一系列活动的组合。
——数据传输:指数据在组织机构内部从一个实体通过网络流动到另一个实体的过程。
——数据交换:指数据经由组织机构内部与外部组织机构及个人交互过程中提供数据
的阶段。
——数据销毁:指通过对数据及数据的存储介质通过相应的操作手段,使数据彻底丢失且无法通过任何手段恢复的过程。
特定的数据所经历的生命周期由实际的业务场景所决定,并非所有的数据都会完整的经历六个阶段。
安全过程域体系覆盖数据生命周期的六个阶段,包含各生命周期阶段通用的安全过程域和各生命周期阶段下的安全过程域,如图2所示。
通过对各项安全过程所需具备安全能力的量化,可供组织机构评估每项安全过程的实现能力。安全能力从组织建设、制度流程、技术工具及人员能力四个维度展开。
——组织建设:数据安全组织机构的架构建立、职责分配和沟通协作。
——制度流程:组织机构关键数据安全领域的制度规范和流程落地建设。
——技术工具:通过技术手段和产品工具固化安全要求或自动化实现安全工作。
——人员能力:执行数据安全工作的人员的意识及专业能力。
(1)组织建设
从承担数据安全工作的组织机构建设应具备的能力出发,从以下方面进行能力的级别区分:
——数据安全组织架构对组织业务的适用性;
——数据安全组织机构承担的工作职责的明确性;
——数据安全组织机构运作、沟通协调的有效性。
(2)制度流程
从组织机构在数据安全层面的制度流程建设,以及制度流程的执行情况出发,从以下维度进行能力的级别区分:
——数据生命周期关键控制节点授权审批流程的明确性;
——相关流程制度的制定、发布、修订的规范性;
——安全要求及流程落地执行的一致性和有效性。
(3)技术工具
从组织机构用于开展数据安全工作的安全技术、应用系统和自动化工具出发,从以下维度进行能力的级别区分:
——数据安全技术在数据全生命周期过程中的利用情况,针对数据全生命周期安全风险的检测及响应能力;
——利用技术工具对数据安全工作的自动化支持能力,对数据安全制度流程的固化执行能力。
(4)人员能力
从组织机构内部承担数据安全工作的人员应具备的能力出发,从以下维度进行能力的级别区分:
——数据安全人员所具备的数据安全能力是否能够满足复合型能力要求(对数据相关业务的理解力以及专业安全能力);
——数据安全人员的数据安全意识以及关键数据安全岗位员工的数据安全能力的培养。
在这一级别,数据安全过程域的基本实践通常被执行。但基本实践的执行可能未经严格的计划和跟踪,而是基于个人的知识和努力。组织机构内的个人可标识出一个数据安全过程应被执行,并同意这个数据安全过程会在需要时执行。
该能力级别包含如下公共特征:
· 公共特征 — 执行基本实践。
在这一级别上,过程域基本实践的执行是经计划并被跟踪的,并对实践情况进行验证。数据安全管理应符合指定的标准和需求。通过测量来跟踪过程域的执行情况,因此,使组织机构能够基于实际实践活动进行管理。与非正式实践级别间的主要区别是过程实践被计划和管理。
该能力级别包含如下公共特征:
· 公共特征— 规划执行;
· 公共特征— 规范化执行;
· 公共特征— 验证执行;
· 公共特征— 跟踪执行。
在这一级别,基本实践按照充分定义的过程执行。充分定义的过程是依据对文档化的标准过程进行裁剪并经批准的过程版本。这一过程与计划跟踪级的主要区别在于利用组织机构范围内的过程标准来管理和规划。
该能力级别包括以下公共特征:
· 公共特征 — 定义标准过程;
· 公共特征 — 执行已定义的过程;
· 公共特征 — 协调安全实践。
这个级别收集、分析执行的详细测量。这将获得对过程能力和改进能力的量化理解以预测执行情况。这个级别执行的管理是客观的,数据安全管理的质量是量化的。这一级与充分定义级的主要区别在于定义的过程是定量的理解和控制。
该能力级别包括如下公共特征:
· 公共特征 — 建立可测的安全目标;
· 公共特征 — 客观地管理执行。
在这个级别上,基于组织机构的商务目标并针对过程的有效性和执行效率建立量化执行目标。通过执行已定义过程和有创建的新概念、新技术的量化反馈来保证对这些目标进行持续过程改进。这一级与定量控制级的主要区别在于已定义的过程和标准过程基于对这些过程变化效果的量化理解,进行连续调整和改进。
安全过程可持续优化,实时跟踪行业的最佳实践和业务的最新动向,制度流程和技术工具持续调整以更好适应业务发展,沉淀下来的数据安全最佳实践能推广至行业供其他组织机构借鉴。
该能力级别包括如下公共特征:
· 公共特征— 改进组织能力;
· 公共特征 — 改进过程有效性。
组织机构的数据安全能力成熟度等级取决于各项数据安全过程域的能力成熟度等级。本标准采用“木桶效应”的等级评定方法,组织机构整体的能力成熟度取决于各项数据安全规程域的能力成熟度级别中的最低级别。
比如,当所有的数据安全过程域的能力成熟度都达到2级及以上时,组织机构的大数据安全能力成熟度级别方可为2级。
为了有效保障数据安全的落地实施,企业应该设置专职的数据安全团队。此外,还需要设立面向全组织的数据安全委员会,委员会需要有来自业务、数据、安全、法律等领域的不同角色参与,形成专业上的互补和完整的组织视角,统筹全局的数据安全管理,兼顾发展与安全,推进各部门落实数据安全各项。数据安全是个系统工程,服务于组织的大数据战略,需要得到组织高层管理者的重视,数据安全委员会的负责人应该是组织里最高管理层里分管安全或者数据的管理者。
同时,还需要内部各相关部门的紧密配合。对于有多个业态的集团型组织,各业务的负责人应为该业态下数据安全第一责任人,与数据安全委员会、数据安全实体团队共同推动本业态下的数据安全工作。
数据安全管理的核心是数据,需要对组织内的海量数据资产以及与数据相关的部门、业务/产品、流程、数据风险管理进行盘点。
数据资产的盘点:重点梳理数据的种类、数据量、核心的数据内容、数据来源以及数
据的安全分级分类情况和流转链路。
数据相关部门的盘点:与数据相关的部门往往是数据风险的高发部门,属于高敏感岗位,需要梳理全组织与数据相关的部门数量、部门内部各岗位的职责、工作流程、数据操作环境,重点关注操作风险高的环节。
数据相关业务/产品的盘点:与数据相关的业务主要是指以数据为核心生产要素的业务,这类业务高度依赖数据,是组织对外提供数据服务的业务,在产品研发、测试和对外服务的过程中都需要对数据进行梳理,需要梳理数据在业务/产品中的应用原理、交互的系统接口、相关的责任人,此过程同样重点关注高风险的环节。同时,由于对外提供的是数据服务,提供的数据内容也需要进行合格性的盘点梳理。
数据相关流程的盘点:数据相关流程指数据的采集、存储、授权、内部使用、传输、对外披露、销毁等过程,这些环节构成了数据在组织内部的主要流程,需要梳理所有线上线下的流程。
数据相关风险管理盘点:梳理数据风险的识别、风险评估及判定、风险跟踪及改进情况,包括基础性的治理,例如:风险的日志数据、风险的定级机制、风险的响应机制。
如图2所示,DSMM包含40个安全域,涵盖组织的数据全生命周期过程,每个安全域含有相应的评估点和评估标准,由数据安全实体团队针对评估点参照评估标准进行安全能力评估。
DSMM不但能够评估出数据安全能力,也能反映数据安全的风险,总体评估完成后,
需要得到两部分的改进计划:一部分是风险修复计划,一部分是数据安全能力短板提升计划。
在实践过程中,通常会遇到如下挑战。
(1)高层重视度不足
负责人的层级不够,难以协调;提供的资源投入有限,力度不够;仅仅作为合规需求,响应被动;缺乏前瞻性的布局,前瞻性的数据安全技术研究与投入缺乏或者不足。
(2)业务部门配合意愿度低
其他业务部门认为是安全部门的事情,主动性不强,业务要素的输入不足,导致数据安全不够贴近业务,既影响落地,又可能造成数据安全一刀切的局面,影响业务的发展。
(3)内部系统繁多,数据庞杂
业务的IT化促成了大量的系统产生,沉淀了大量的数据,应用系统的梳理、系统间的数据接口以及数据的盘点成为了基础治理工作的重中之重,日常实践中,基础治理工作往往得不到应有的重视,管理者往往急功近利,忽视基础治理工作的重要性。
(4)落地难
由于历史因素,组织里存在着大量的历史业务,大数据环境下的数据安全难免与现有业务流程产生冲突,冲突发生时的取舍容易导致数据安全为业务让路,造成数据安全落地难的局面。
(5)业务快速发展
互联网+大数据+引发业务创新的加速,业务出现快速发展的势头,频繁迭代升级,数据安全及技术手段更新容易滞后。
(6)组织的关联公司多
大数据环境下,组织间的业务合作促进了数据的共享,如何安全可控地分享数据是大型组织常见的挑战。
数据安全成熟度模型的适用范围非常广泛,从现已落地使用的企业来看,涵盖了银行、互联网金融、证券等金融行业,以及百货零售、电器销售等零售行业,也包括体育、音乐、视频等文娱行业,乃至乳制品制造、冶金、电力、物流及互联网+新型企业等产业领域。作为模型的推动者,阿里巴巴还与多家国内企业建立了数据安全成熟度模型合作伙伴关系,共同推动国内企业数据安全能力的构建。
在数据安全成熟度模型的实践中,企业就数据安全能力构建达成了以下共识:
(1)数据安全是商业落地的重要基石,无论是已经在大数据业务上有所作为还是在此领域蓄力待发的组织机构,都清晰意识到大数据业务的发展离不开坚实的数据安全基础。
(2)以“数据”为中心的安全:大部分组织机构的安全工作集中于对网络系统的边界防护层面,但无法有效应对基于数据价值的安全保护需求,安全管理的思路亟待转变。
(3)大数据下的数据安全必须具有产业生态的视角:大数据环境下,数据流通、共享是趋势,聚焦于数据本身安全的同时,还需要聚焦产业上下游间数据流通、共享带来的安全挑战。
(4)数据安全技术创新/产品需求的迫切性:传统的网络安全技术及攻防产品无法满足综合性的数据安全需求,大数据下的数据安全能力建设急需安全技术的创新及以数据为中心的体系化的数据安全产品解决方案。
目前,数据安全成熟度模型正在致力于构建生态体系,除了在模型评估方面开展行业的实践,后续还将在评测认证以及产品解决方案方面开展相关工作。
