或许数据泄露事件的频繁发生是压倒企业的一棵稻草。
当前大部分企业都在数字化浪潮中快速发展,数据成为企业的核心资产,然而数据安全问题却日益严峻。“从用户信息被盗用到企业商业机密泄露,我们企业对数据安全的担忧与日俱增”某企业CEO在行业论坛上如是说:“现在企业面临着巨大的数据安全风险,稍有不慎就可能遭受灭顶之灾,之前投入大量资源用于业务拓展,现在不得不重新审视数据安全的保障措施”。无独有偶,今天又有企业负责人找到我诉苦:高层领导又在开会讨论如何加强数据安全防护,原因是数据一旦泄露,企业将面临巨额损失和声誉受损!
其实,说实话,大部分企业在数据安全问题上都是如履薄冰,数据安全问题可不同于我们之前讨论的数字化转型、数字化建设之类的问题,数字化转型和建设更多是着眼于企业业务的拓展和效率的提升,是企业积极主动求发展的表现。而数据安全问题则像一颗隐藏在暗处的炸弹,随时可能爆炸,给企业带来灾难性的后果。今天,这篇文章,我就和大家聊一聊数据安全的问题,希望给大家带来新的启示!
一、数据安全概述
1. 什么是数据安全
数据安全可以看作是数据的质量属性,数据安全的目标就是数据安全三要素模型。什么是数据安全三要素模型?保障数据资产的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability),简称CIA,就是数据安全三要素模型。可以看到,这三性构成了非常稳定的三角形,任何一性的缺失都会导致稳定的打破,结果呢,就是数据不再安全。
下面,我来进一步解释一下三性的内涵:
1)保密性:保密,就是说只有授权人员才能访问数据,这就好比门禁卡,只有真正需要数据的人员才能持卡进入进行访问。这就如同我们日常生活中常见的门禁卡系统一样,只有那些真正因工作需要而必须获取数据的人员,才能够像持有有效门禁卡一样进入相关系统进行数据访问。这种严格的授权机制是确保数据保密性的关键所在,它能够有效防止未经授权的人员获取敏感信息,从而避免数据泄露的风险。
2)完整性:完整性其实可以从两个方面来理解,一方面就是保障数据不被篡改,这是最理想的状态,然而,实际上,数据完全不被篡改是难以绝对保证的。所以,数据被篡改可以,但你必须能够保证数据在被篡改后能够迅速被发现,从而确保信息可靠且准确。
3)可用性:确保数据即可用又可访问。换句话说,就是数据应该随时处于一种可以被合法用户获取和利用的状态,无论是在正常的业务运营过程中,还是在面临一些突发情况时,都要确保数据的可用性不受影响。
2. 数据安全的脆弱性
你以为数据是绝对安全的?实际上,数据的脆弱性超乎想象。而且,数据安全这一复杂属性的形成不是由单一因素导致,而是多种因素共同作用的结果。在这里,我给大家总结了一个表格,从管理方面和技术方面这两种类型出发,解释一下数据安全脆弱性的原因。
二、数据安全治理策略
数据安全重要却脆弱,不少朋友可能就想了:数据安全这一块到底怎么保证?有哪些行之有效的数据安全的治理策略?其实,数据安全治理的策略相对来说是有些复杂的,构建一个数据安全治理体系是一个系统工程,一般来说,数据安全治理体系主要分为五部分,数据安全治理目标、数据安全管理体系、数据安全技术体系、数据安全运维体系、数据安全基础设施。其中:
数据安全治理目标:强调安全目标与业务目标一致,它是为业务目标的实现保驾护航的。
数据安全管理体系:主要包括组织与人员、数据安全认责策略、数据安全管理制度等。
数据安全技术体系:主要包括数据全生命周期的敏感数据识别、数据分类与分级、数据访问控制、数据安全审计等。
数据安全运维体系:主要包括定期稽核策略、动态防护策略、数据备份策略、数据安全培训等。
数据安全基础设施:重点强调数据所在宿主机的物理安全和网络安全。
1. 数据安全治理目标
数据安全治理目标是什么?一句话:看得见、控得住、管得好。
(1)看得见:看什么?看数据资产的梳理和敏感数据的识别。数据资产的梳理就像是给家里的东西做个清单,你把企业所有的数据都找出来,知道有哪些数据存在,这样就完成了梳理。敏感数据识别就是要从一堆数据里找出比较重要、敏感的部分,比如用户的密码、银行卡号之类的,把这些重要数据先标记出来。
(2)控得住:控什么?控安全认责、分类分级、细粒度访问。安全认责控制就是确定谁对数据安全负责,出了问题能找到人,说白了就是建立问责机制,出了问题找不到人,结果就是互相推诿,企业管理乱成一锅粥。分类分级控制是把数据按照重要程度和敏感程度分成不同的类别和级别,有等级的数据才是漂亮的数据。而细粒度访问控制是说要非常精细地规定谁能看什么数据、谁能改什么数据,这里就是权限问题。
(3)管得好:管什么?管组织与人员、制度与流程、技术与工具。企业得有专门负责数据安全的部门和人员,有人还不够,还要制定一些规则和做事的流程来保障数据安全,例如数据使用前要审批这种规定。此外,要学会利用一些专业的技术和工具来管理数据安全,像加密软件、防火墙之类的东西来保护数据。
2. 数据安全流程各角色分工以及职责
上图已经给大家很清晰地展示了一个完整的数据安全流程中各角色分工以及职责,在具体解释一下:
(1)数据使用者
数据使用者在操作数据时,必须严格遵循既定的数据安全流程和制度。这里使用就是访问、处理和分析数据,说换句话说,他们在使用数据的过程中,一旦察觉到存在数据安全方面的问题,例如数据出现异常访问、可能存在泄露风险或者数据完整性受到威胁等情况,要立即向上汇报,不能隐瞒或忽视这些问题。
(2)数据所有者
数据所有者虽然不一定直接参与数据安全的日常管理,但当其他相关角色,例如数据管理者、生产者和使用者在执行数据安全管理流程时需要他们协助时,他们必须积极配合。这种配合可能是多方面的,比如说提供数据相关的背景信息、授权操作或者参与解决一些数据归属相关的问题等等。
(3) 数据生产者
数据生产者的主要任务就是按照预先设定的规则、制度和流程来生成数据。这个过程的最终结果是什么呢?生产出来合格的数据,那什么是合格的数据呢?就是数据的准确性、完整性和一致性这些质量指标要达到要求。同时,他们对所生产的数据的安全也要负有责任。
(4)数据管理者
数据管理者承担着重要的数据安全管理职责。他们负责将数据安全管理流程付诸实施,确保所有相关人员都按照流程操作。这包括对数据的访问控制、安全策略的执行等方面。同时,他们还要对整个数据安全管理流程进行监督,及时发现和纠正可能出现的违规行为或安全隐患。此外,数据管理者还需要组织数据安全培训活动,提升所有涉及数据操作的人员的数据安全意识和操作技能,从而保障整个数据管理环境的安全。
3. 数据安全治理制度
其实,数据安全方面的制度不少,这里给大家列举出来,感兴趣的朋友可以看一看,这里miao君就不过多赘述了。
1)数据安全治理
《敏感数据生产及使用的安全管理规定》
《数据交换共享的安全管理要求》
《数据权限申请和审批的管理规定》
《数据的对外披露安全管理要求》
2)信息系统安全治理
《信息系统介质安全管理规定》
《信息系统网络安全管理规定》
《信息系统数据库安全管理规定》
《信息系统应用安全管理规定》
《计算机病毒防范管理规定》
3)人员安全治理
《员工录用数据安全管理规定》
《员工离职数据安全管理规定》
《数据安全绩效考核管理办法》
《数据安全意识教育和培训管理规定》
《外部人员访问的数据安全管理规定》
《人力资源外包的数据安全管理办法》
4. 数据安全治理培训
培训其实可以看做是落地的一种表现,培训也可以是多方面的,就拿数据安全治理培训来说,可以从数据安全的意识和数据安全的技能对企业的员工进行培训,意识的培训可以看作是思想的转变,而技能的培训则是实践方面。下面,我们分别来看一下:
(1)数据安全意识培训
- 普及数据安全知识:就是把跟数据安全相关的知识,像什么是数据泄露、哪些操作可能会导致数据不安全之类的内容,告诉企业里的员工。
- 宣贯数据安全管理制度:把公司制定的数据安全方面的规章制度,一条一条地给员工讲清楚,让他们知道什么能做,什么不能做。
- 提升数据安全管理意识:目的是让员工从思想上重视数据安全,让他们知道数据安全对公司很重要,他们的一举一动都可能影响数据安全。
(2)数据安全技能培训
- 传统安全技术培训:就是教员工一些常见的保障数据安全的技术,比如怎么设置防火墙、怎么对数据进行简单的加密之类的,这里的传统培训偏向基础的技术,学习门槛低,学习难度低。
- 安全治理技术培训:这是教员工一些更高级的、用于管理和维护数据安全的技术,像怎么对数据安全系统进行整体的监控和优化等。
5. 数据安全运维体系
(1)定期稽核策略
- 定期的合规性检查:就像定期检查你家有没有按照小区规定来装修一样,企业要定期查看自己的数据操作和管理是不是符合相关法规和内部规定。
- 定期的用户行为审计:企业要定时去查看用户(包括员工和外部有数据访问权限的人)在操作数据时的行为,比如他们什么时候登录的、做了什么操作、有没有更改账户或者权限等,防止有人搞破坏或者误操作。
(2)数据备份策略
- 全量备份:好比你在某个时间点把你房间里所有东西都原封不动地复制一份保存起来。这种方法的问题是做备份的时候很费时间,而且要占用大量的存储空间。
- 增量备份:就是只备份从上次备份之后新增加或者变化的数据。
- 差异备份:是在全量备份之后,只记录新的数据和全量备份时的数据有什么不同。当要恢复数据的时候,先把全量备份的数据恢复出来,再把最后一次做的差异备份的数据加进去就可以了。
(3)数据动态防护策略
P2DR模型就是在事先制定好的整体安全策略的指挥下,一方面用一些防护工具(像防火墙来阻挡外部攻击、通过系统身份认证来防止非法用户进入、对数据加密让别人看不懂数据内容等)来保护数据安全,另一方面用一些检测工具(比如检查系统有没有漏洞、有没有被入侵等)来了解系统当前的安全情况,然后根据检测结果采取合适的措施(比如加强防护或者修复漏洞等),让系统一直处于最安全、风险最低的状态。
总之,数据安全治理问题不是一朝一夕的事情,通过运用合适的数据安全策略,企业可以最大程度的保证数据的安全,仅仅态度上重视是远远不够的,企业高层天天拉会讨论数据安全问题,但这些讨论不能仅仅停留在口头上,而要切实地将所制定的策略落实到位,把每一项安全措施都精准地用在保障数据安全的关键环节上,让数据安全真正得到有效保障。
最后再分享一份《大数据决策分析平台建设方案》,这份方案在企业数据分析决策平台建设的流程与方法上进行了充分阐释,为企业数字化转型给予了有力支撑。更为重要的是,方案中充分考虑了数据安全问题,从各个环节保障数据的安全性,为企业在数字化转型过程中避免数据安全风险提供了有效指导。点击链接就可以免费领取了:https://s.fanruan.com/n8jhi 「链接」