本章第4.1至4.3节介绍的数据安全理论框架对数据安全建设具有较强的理论指导意义,它们互相之间并无冲突。它们从不同视角看待同一问题,互为补充。在具体实践中,本书作者吸收了各个理论框架的思想,通过丰富的数据安全领域项目实战经验,总结了一套针对敏感数据保护的CAPE数据安全实践框架,如图4-10所示。图中,C、A、P、E的字面含义分别是:Check,风险核查;Assort,数据梳理;Protect,数据保护;Examine,监控预警。接下来本书会详细介绍C、A、P、E分别代表什么,并在相应章节标题后边用(C)(A)(P)(E)加以标注,方便读者阅读。
图4-10 CAPE数据安全实践框架
构建CAPE数据安全实践框架需要遵循以下原则。
(1)坚持全面覆盖立体化防护原则。
在数据安全体系的构建中,坚持全面覆盖与立体化防护的核心理念。从横向层面来看,数据安全需全面覆盖数据资源从收集、传输存储、加工、使用、提供、交易、公开直至销毁的整个生命周期。为确保安全策略得以有效实施,需运用多种先进的安全工具,对数据资源进行全方位的保护。
从纵向层面来看,须通过系统的风险评估、详尽的数据梳理、严格的访问监控及深入的大数据分析,对数据资产的价值、潜在弱点及威胁进行全面评估。这一过程有助于深入洞察数据资产的实际状况,进而形成精准的数据安全态势感知,为制定有针对性的安全防护策略提供坚实支撑。
此外,在构建数据安全防护体系时,需从组织、制度、场景、技术、人员等多个维度出发,自上而下地推进和完善。通过综合运用各种资源和手段,形成坚实可靠的数据安全防护屏障,确保数据资源的安全与稳定。
(2)坚持以身份和数据构成的双中心原则。
在保护数据安全的过程中,防止未经授权的用户进行数据非法访问和操作至关重要。从访问者“身份”和访问对象“数据”两方面入手,采取双管齐下的策略。对于未获授权的企业内部和外部人员、系统或设备,需严格基于身份认证和授权机制,实施以身份为中心的动态访问控制,确保数据资源仅对授权用户开放。
有针对性地保护高价值数据及业务,通过实施数据发现和数据分类分级,执行以数据为中心的安全管理和数据保护控制,确保数据资源的完整性和机密性。
(3)坚持安全智能化、体系化原则。
在信息技术和业务环境日益复杂的背景下,坚持安全智能化、体系化原则显得尤为重要。传统的人工方式在运维和管理安全方面已显得捉襟见肘,因此需借助人工智能、大数据技术等先进手段,如用户和实体行为分析(UEBA)、NLP加持的识别算法、场景化脱敏算法等,以实现更精准、高效的安全防护。
仅凭单独的技术措施难以解决复杂的安全问题。通过能力模块间的联动与整合,形成体系化的整体数据安全防护能力。这种体系化的安全防护不仅有助于提升安全运营和管理的质量与效率,还能为企业的数据安全提供坚实保障。
CAPE数据安全实践框架正是基于这一原则,实现了敏感数据安全防护的全生命周期过程域全覆盖。它以风险核查为起点,以数据梳理为基础,以数据保护为核心,以监控预警为支撑,最终构建了一个全过程、自适应的安全体系,旨在实现“数据安全运营”并达到“整体智治”的安全目标。
通过风险核查让数据资产管理人员全面了解数据资产运行环境是否存在安全风险。通过安全现状评估能及时发现当前数据库系统的安全问题,对数据库的安全状况进行持续化监控,保持数据库的安全健康状态。数据库漏洞、弱口令(指容易破译的密码)、错误的部署或配置不当都容易让数据陷入危难之中。
数据库漏洞扫描帮助用户快速完成对数据库的漏洞扫描和分析工作,覆盖权限绕过漏洞、SQL注入漏洞、访问控制漏洞等,并提供详细的漏洞描述和修复建议。
弱口令检测基于各种主流数据库密码生成规则实现对密码匹配扫描,提供基于字典库、基于规则、基于枚举等多种模式下的弱口令检测。
配置检查帮助用户规避由于数据库或系统的配置不当造成的安全缺陷或风险,检测是否存在账号权限、身份认证、密码策略、访问控制、安全审计和入侵防范等安全配置风险。基于最佳安全实践的加固标准,提供重要安全加固项及修复的建议,降低配置弱点被攻击和配置变更风险。
数据梳理阶段包含以身份为中心的身份认证和设备识别、以数据为中心的识别与分类分级,并对资产进行梳理,形成数据目录。
以身份为中心的身份认证和设备识别是指,网络位置不再决定访问权限,在访问被允许之前,所有访问主体都需要经过身份认证和授权。身份认证不再仅仅针对用户,还将对终端设备、应用软件等多种身份进行多维度、关联性的识别和认证,并且在访问过程中可以根据需要多次发起身份认证。授权决策不再仅仅基于网络位置、用户角色或属性等传统静态访问控制模型,而是通过持续的安全监测和信任评估,进行动态、细粒度的授权。安全监测和信任评估结论是基于尽可能多的数据源计算出来的。以数据为中心的识别与分类分级是指,进行数据安全治理前,需要先明确治理的对象,企业拥有庞大的数据资产,本着高效原则,应当优先对敏感数据分布进行梳理。“数据分类分级”是整体数据安全建设的核心且最关键的一步。通过对全部数据资产进行梳理,明确数据类型、属性、分布、账号权限、使用频率等,形成数据目录,以此为依据对不同级别数据实施不同的安全防护手段。这个阶段也会为客户数据安全提供保护,如为数据加密、数据脱敏、防泄露和数据访问控制等进行赋能和策略支撑。
基于数据使用场景的需求制定并实施相应的安全保护技术措施,以确保敏感数据全生命周期内的安全。数据保护需要以数据梳理作为基础,以风险核查的结果作为支撑,在数据收集、存储、传输、加工、使用、提供、交易、公开等不同场景下,提供既满足业务需求又保障数据安全的保护策略,降低数据安全风险。
数据是流动的,且数据结构和形态会在整个生命周期中不断变化,需要采用多种安全工具支撑安全策略的实施,涉及数据加密、密钥管理、数据脱敏、水印溯源、数据泄露防护(也称数据防泄露)、访问控制、数据备份、数据销毁等安全技术手段。
数据安全风险与事件监测的措施包括数据溯源、行为分析、权限变化和访问监控等,通过全方位监控数据的使用和流动能够感知数据安全态势。
一是数据溯源。能够对具体的数据值如某人的身份证号码进行溯源,刻画数据在整个链路中的流动情况,如数据被谁访问、流经了哪些节点,以及其他详细的操作信息,方便事后追溯和排查数据泄露问题。
二是行为分析。能够对核心数据的访问流量进行数据报文字段级的解析操作,完全还原出操作的细节,并给出详尽的操作结果。用户和实体行为分析可以根据用户历史访问活动的信息刻画出一个数据的访问“基线”,并据此对后续的访问活动做进一步的判别,检测出异常行为。
三是权限变化。能够对数据库中不同用户、不同对象的权限进行梳理并监控权限变化。权限梳理可以从用户和对象两个维度展开。一旦用户维度或者对象维度的权限发生了变更,能够及时向用户反馈。
四是访问监控。实时监控数据库的活动信息。当用户与数据库进行交互时,系统应自动根据预先设置的风险控制策略进行特征监测及审计规则监测,监控预警任何尝试攻击的行为或违反审计规则的行为。