近年来,在信息技术支撑下,数据经济驱动着全球各经济体的经济总量不断增加,“数据安全”也已上升到我国国家安全战略高度。政府部门和企业持续加大在数据治理、数据存储、数据保护、数据加密等方面的重视程度和投资力度。作者将基于在业务场景中遇到的数据安全治理问题,帮助大家理解“数据安全”概念,并向大家分享在数据安全治理过程中所采用的工具手段和思维思路。
今天的介绍会围绕下面四点展开:
首先和大家介绍一下本文分享范围内的安全概念,了解什么是数据安全、数据全生命周期,以及安全4A/5A理论。
1. 数据安全的定义
(1) 数据安全在公司安全中的位置
其实在一个公司里面,安全的概念非常的广泛,例如公司内部会将整个公司的安全分为几个领域:政治安全、声誉安全、法规安全、公共安全、财务安全、金融安全、信息安全、业务安全、内容安全。我们看到数据安全属于信息安全的一个子模块。
(2) 数据安全的概念
针对数据安全,我们要解决的问题是,在整个数据生命周期中,从采集到销毁过程中所面临的全部数据安全挑战。换句话说,数据安全就是保障数据从采集到销毁的全生命周期中的一切操作符合国家和公司的安全法规。
2. 数据全生命周期的定义
数据全生命周期是指数据从采集到销毁的全过程,通常包括以下几个阶段:
行业中比较认可的分类方法为身份认证、授权及访问控制、行为审计、资产保护这4A。通过以上4A理论,可以将数据全生命周期中涉及到的安全问题拆分为这四个业务场景,如果将四个业务问题管控好,结合铺展到位的数据安全建设工具和第三方监察审计部门对数据资产进行监察,整个过程会形成一个完整的数据安全保护闭环。
二、安全目标 1. 数据安全范畴和边界
目前绝大多数做数据安全相关工作的人,主要集中在账号管理-数据采集传输和安全审计-应用消费层面(例如数据人物画像、分析工具、数据加工生产等),其中在授权管理模块会花费70%~80%的精力。
2. 数据安全建设目标
上图中的数据安全建设目标是参考亚马逊的定义,即数据安全会经历三个阶段:不信任外网→不信任内网→0信任,其含义为:
目前绝大部分公司能做好外网隔离,即不信任外网,已是非常不容易,也是性价比最高的建设目标。
三、工具框架
接下来将从身份认证、权限管控、资产保护以及综合实践来介绍数据安全的工具框架。
1. 身份认证
身份认证包含账号和认证两个部分。以下通过这两部分的设计和实践,分别阐述其搭建思维和方法。
(1)账号设计
在做身份认证之前,最基础的工作便是完成账号设计,搭建账号系统。我们可以将账号进行分类,包括自然人账号,组织账号,角色账号,部门账号,应用账号,还有一些比较小众的其他账号,以便实现安全管控的前提——准确无误的识别出访问主体。数据安全第一个条件就是要建立起清晰可信准确的账号体系。
账号通常分为三类:
当我们设计好账号,搭建好系统,便可以进入实践步骤。在安全中心中,有账号申请模块,即账号注册工具,其功能为:在信息安全部以及IT支持部门,录入信息,生成SSO,完成基础服务支持。
(2)认证设计
身份认证的第二个部分是认证。认证方式有密码认证、微信/支付号第三方认证、电话/邮件验证码认证等方式。这些认证方式的底层结构都和上图流程图类似,分三个系统:SSO、应用系统、权限系统:
在实践中,可以通过合理设置SSO实现“0信任”的方式,来解决例如第三方BD需登录商家后台去帮助商家处理问题存在的潜在安全问题。
具体的可以设置多方SSO:内部员工SSO、第三方合作商BSSO、外部用户CSSO。然后第三方BD通过BSSO认证系统登录并申请外部用户的短信认证,以此取代传统使用商家的账号密码去登录的方式,做到“0信任”,降低安全风险。
2. 权限管控
当我们要对一个业务系统进行访问和操作时,要经过权限管控环节,在该环节声明用户与权限的关系。将介绍它的几个迭代模型和实践示例。
权限管控模型先后经历了三个时期:ACL模型、RBAC模型、ABAC模型:
上图是一个基于ABAC权限模型改良的TRFAC模型设计的权限产品DEMO,包含获权方和资源列表。获权方可以是用户、用户组、角色、部门、应用和其他,还可以增加一些附属条件。该模型基于“对象-资源-条件-行为”的权限控制,描述了“xx对象(人/应用/组织/角色等)对xx资源(页面/菜单/按钮/数据等)在xx条件/因素(城市=北京等)下拥有xx行为类型(增删改查等)的权限”。
上图即为TRFAC模型权限系统健全的流程,需方和供方分别使用业务系统和权限中心以API为桥梁接口进行交互,互相传输请求和返回结果。
3. 资产保护
为防止有权限的用户将数据不合规的泄露和传播,需要建立资产保护体系,以下介绍资产保护模块的设计思路和实践示例。
在整个资产保护模块中,主要分为事前预防-事中监控-事后审计三部分。
(1) 事前预防
工具主要包含:
(2) 事中监控
在事中监控环节,是在事前预防的敏感数据识别和敏感数据脱敏展示/下载配置好的基础上,进行监控。针对高风险人群(比如待离职人员、外包账号、实习生等)和高风险行为(敏感数据下载和查询)配置监控规则,设置阈值,感知风险并阻止风险。
(3)事后审计
事中监控一旦检测到风险或者安全风险已经发生,通过设计审计日志查询工具对风险进行追责以及及时堵住安全漏洞。
4. 综合实践
上面介绍了身份认证、权限管控和资产保护,在现实业务中往往是复杂的综合性业务问题,因此以下将介绍从数据的采集、存储、生产、加工、治理,到数据的应用、分析、服务,即加工层到应用层的框架模型。
在实际业务场景中,往往不是单一的账号、认证、权限等管控需求,而是综合了账号、认证、权限、隔离等交叉需求的综合场景,比如加工层的“账号-工作空间-项目空间”的三级划分结构。又比如应用层SaaS系统中超级餐饮连锁企业使用的CRM系统。
加工层,也叫作工作空间-项目组体系:
当遇到不同业务线,具有不同的组织架构划分,有时候细化出不同的角色时,我们就需要采用应用层,是工作空间制下,由业务线组织决策分类管控的体系。
应用层的一个典型特点就是组织层级复杂,角色多样,比如类似于麦当劳这种国际超级餐饮企业,从“全球总部-大区总部-区域总代-门店”划分出多级组织体系,同时又有直营和加盟等不同组织性质,所以数据中台为了满足这类业务团队关于组织账号和权限的需求时,就需要考虑组织-角色的多级体系。同时,一个角色在不同组织所拥有的权限也是不一样的。
四、安全治理 1. 核心理念
灵魂三问:你为什么要做数据安全建设?你为谁做数据安全建设?你做数据安全有什么价值?
回答:数据安全不仅是在保护数据不泄露,其终极目标是在保障数据流通的安全性,促进数据的共享和流通,让数据为业务赋能!
2. 实施策略
安全治理的重要性不言而喻,其实施策略主要分为下列几步:标准立法、工具支持、运营第三方数据安全治理。
(1)标准立法
安全治理的第一步为标准立法,需要借助国家的安全法规和企业建立的相应的安全规范,满足数据全生命周期各个环节的标准和数据应用环节的标准。
(2)工具支持
其次安全中心会提供一整套包括权限服务、资产交接、流程服务、安全监察、数据流通等工具。整合分散产品,集合权限服务、流程服务、离职转岗服务、安全审计服务、数据流通服务几大方面能力的工具平台,提供综合化安全管控治理服务。
关于数据流通目前有两种方案,各有利弊:
(3) 运营第三方数据安全治理
最后一个模块为运营第三方数据安全治理,主要分为四大块:组织保障、落地路径、运营策略和基础保障。
我们可以将数据安全中心运营目标整体分为三个:
作者:马小阳;编辑整理:陈妃君
本文由 @明明 原创发布于人人都是产品经理,未经许可,禁止转载
题图来自 unsplash,基于 CC0 协议
