“The Eye of the Storm –Data Scurity Governance”
在Gartner 2017安全與風(fēng)險(xiǎn)管理峰會(huì)上��,分析師Marc-Antoine Meunier發(fā)表《2017年數(shù)據(jù)安全態(tài)勢(shì)》演講�����,提及“數(shù)據(jù)安全治理(Data Scurity Governance)”�����,Marc將其比喻為“風(fēng)暴之眼”,以此來(lái)形容數(shù)據(jù)安全治理(DSG)在數(shù)據(jù)安全領(lǐng)域中的重要地位及作用���。
Gartner如何定義“數(shù)據(jù)安全治理”����?
它在數(shù)據(jù)安全建設(shè)中發(fā)揮怎樣的作用�?
我們?nèi)绾伍_展“數(shù)據(jù)安全治理”?
《State of Security Governance, 2017- Where Do We Go Next?》是Gartner對(duì)于數(shù)據(jù)安全治理的完整理念和方法論��,安華金和提煉其中主要觀點(diǎn)與技術(shù)體系���,還原一個(gè)完整的Gartner數(shù)據(jù)安全治理概念和框架���,它將告訴我們“下一步該去哪里”?
首先�����,我們需要了解的是��,數(shù)據(jù)安全治理絕不僅僅是一套用工具組合的產(chǎn)品級(jí)解決方案�����,而是從決策層到技術(shù)層,從管理制度到工具支撐���,自上而下貫穿整個(gè)組織架構(gòu)的完整鏈條�����。組織內(nèi)的各個(gè)層級(jí)之間需要對(duì)數(shù)據(jù)安全治理的目標(biāo)和宗旨取得共識(shí)�����,確保采取合理和適當(dāng)?shù)拇胧?�,以最有效的方式保護(hù)信息資源,這也是Gartner對(duì)“安全和風(fēng)險(xiǎn)管理”的基本定義����。
數(shù)據(jù)安全治理流程
1.建立管理問(wèn)責(zé)制和決策權(quán):其中包含了企業(yè)安全憲章建立、政策框架與組織保障����,這決定了數(shù)據(jù)安全治理對(duì)于企業(yè)的重要性和地位,將此作為后續(xù)數(shù)據(jù)安全治理���;
2.決定可接受的安全風(fēng)險(xiǎn):組織架構(gòu)建立后�����,評(píng)估企業(yè)自身面臨的安全風(fēng)險(xiǎn)�,對(duì)不同等級(jí)的風(fēng)險(xiǎn)設(shè)定不同的管理政策,如有疑義��,則啟動(dòng)內(nèi)部仲裁�����;
3.安全風(fēng)險(xiǎn)控制:針對(duì)安全風(fēng)險(xiǎn)控制���,制定相應(yīng)策略�����,內(nèi)部進(jìn)行資源匹配�,這里面將涉及具體的技術(shù)工具���;
4.風(fēng)險(xiǎn)控制有效性:數(shù)據(jù)安全治理必須是一個(gè)完整的閉環(huán)��,通過(guò)安全評(píng)估及具體指標(biāo)衡量���,以確保風(fēng)險(xiǎn)得到了有效管理�����,否則�����,需要回到第一個(gè)步驟重新糾偏���。
良好的治理&不好的治理,如何判斷�?
確立數(shù)據(jù)安全治理流程目標(biāo)后,決策者需要關(guān)注幾個(gè)關(guān)鍵性指標(biāo)�����,以作為評(píng)判數(shù)據(jù)安全治理工作是否是良性的����,減輕企業(yè)負(fù)擔(dān)���,Gartner也為我們提供了幾個(gè)評(píng)判標(biāo)準(zhǔn)�。
數(shù)據(jù)安全治理的現(xiàn)狀
數(shù)據(jù)安全治理是一個(gè)多層框架����,有完整的自上而下的邏輯�����,數(shù)據(jù)的價(jià)值和其安全保障對(duì)于企業(yè)和組織的重要性已不必強(qiáng)調(diào)�。因此�,數(shù)據(jù)安全治理不是一個(gè)單純的IT項(xiàng)目,而是與其他經(jīng)營(yíng)行為同等重要�,會(huì)共同為組織良性發(fā)展提供有力保障的戰(zhàn)略行為,或者說(shuō)�,如果這件事情沒(méi)有做好,也很有可能讓企業(yè)多年積累的經(jīng)營(yíng)成果付之一炬�,然而從Gartner調(diào)研到的數(shù)據(jù)來(lái)看,大多數(shù)的企業(yè)和組織可能還沒(méi)意識(shí)到這一點(diǎn):
30%的受訪者擁有專門的安全管理職能�����,包括業(yè)務(wù)代表��;42%沒(méi)有特設(shè)該職能
我們認(rèn)為數(shù)據(jù)安全治理的開展目的���,應(yīng)當(dāng)與經(jīng)營(yíng)目標(biāo)保持趨向性�����,這就要求企業(yè)成立專門的數(shù)據(jù)安全治理小組�����,并且在人員隊(duì)伍搭建中包括業(yè)務(wù)代表�����。
13%的受訪者表示參與治理的比例最大的是業(yè)務(wù)線�;87%的治理委員會(huì)嚴(yán)重偏向技術(shù)性
上面提到數(shù)據(jù)安全治理的開展是從決策層貫穿至技術(shù)層的整體動(dòng)作,這要求治理小組的成員比例�,應(yīng)當(dāng)合理包括決策層、業(yè)務(wù)線�、技術(shù)線等。
34%的受訪者表示最高級(jí)的安全執(zhí)行官向高級(jí)業(yè)務(wù)管理者報(bào)告���;56%的安全領(lǐng)導(dǎo)人最終向IT部門報(bào)告�����。
數(shù)據(jù)安全治理小組的工作匯報(bào)對(duì)象決定其在企業(yè)思考中能夠夠開展的深度和力度,如果匯報(bào)對(duì)象只能到IT部門��,基本上決定這只能是一個(gè)技術(shù)項(xiàng)目,無(wú)關(guān)經(jīng)營(yíng)和戰(zhàn)略��。
數(shù)據(jù)安全治理的整體框架
Gartner對(duì)數(shù)據(jù)庫(kù)安全治理形成一個(gè)從上而下的整體框架����,包括從治理前提、具體目標(biāo)到技術(shù)支撐的完整體系���,是一個(gè)“骨骼”����,在開展實(shí)施時(shí)���,企業(yè)和組織再填充“肉”��。
Step1:業(yè)務(wù)需求與風(fēng)險(xiǎn)/威脅/合規(guī)性之間的平衡
這里需要考慮5個(gè)維度的平衡:經(jīng)營(yíng)策略�����、治理�、合規(guī)��、IT策略和風(fēng)險(xiǎn)容忍度���,這也是治理隊(duì)伍開展工作前需要達(dá)成統(tǒng)一的5個(gè)要素�。
經(jīng)營(yíng)戰(zhàn)略:確立數(shù)據(jù)安全的處理如何支撐經(jīng)營(yíng)策略的制定和實(shí)施
治理:對(duì)數(shù)據(jù)安全需要開展深度的治理工作
合規(guī):企業(yè)和組織面臨的合規(guī)要求
IT策略:企業(yè)的整體IT策略同步
風(fēng)險(xiǎn)容忍度:企業(yè)對(duì)安全風(fēng)險(xiǎn)的容忍度在哪里
Step2:數(shù)據(jù)優(yōu)先級(jí)
進(jìn)行數(shù)據(jù)安全治理前,需要先明確治理的對(duì)象�,企業(yè)擁有龐大的數(shù)據(jù)資產(chǎn),本著高效原則��,Gartner建議���,應(yīng)當(dāng)優(yōu)先對(duì)重要數(shù)據(jù)進(jìn)行安全治理工作���,安華金和的治理思路同樣將“數(shù)據(jù)分級(jí)分類”作為整體計(jì)劃的第一環(huán),這將大大提高治理的效率和投入產(chǎn)出比���。通過(guò)對(duì)全部數(shù)據(jù)資產(chǎn)進(jìn)行梳理�,明確數(shù)據(jù)類型�����、屬性���、分布����、訪問(wèn)對(duì)象、訪問(wèn)方式����、使用頻率等��,繪制“數(shù)據(jù)地圖”�����,以此為依據(jù)進(jìn)行數(shù)據(jù)分級(jí)分類�����,以此對(duì)不同級(jí)別數(shù)據(jù)實(shí)行合理的安全手段���。這個(gè)基礎(chǔ)也會(huì)為每一步治理技術(shù)的實(shí)施提供策略支撐���。
Step3:制定策略,降低安全風(fēng)險(xiǎn)
從兩個(gè)方向考慮如何實(shí)施數(shù)據(jù)安全治理��,一是明確數(shù)據(jù)的訪問(wèn)者(應(yīng)用用戶/數(shù)據(jù)管理人員)����、訪問(wèn)對(duì)象�����、訪問(wèn)行為���;二是根據(jù)基于這些信息制定不同的、有針對(duì)性的數(shù)據(jù)安全策略����。這一步的實(shí)施更加需要數(shù)據(jù)資產(chǎn)梳理的結(jié)果作為支撐,以提供數(shù)據(jù)在訪問(wèn)�、存儲(chǔ)、分發(fā)���、共享等不同場(chǎng)景下�,即滿足業(yè)務(wù)需求��,又保障數(shù)據(jù)安全的保護(hù)策略�。
Step4:實(shí)行安全工具
數(shù)據(jù)是流動(dòng)的,數(shù)據(jù)結(jié)構(gòu)和形態(tài)會(huì)在整個(gè)生命周期中不斷變化�����,需要采用多種安全工具支撐安全策略的實(shí)施����。Gartner在DSG體系中提出了實(shí)現(xiàn)安全和風(fēng)險(xiǎn)控制的5個(gè)工具��,實(shí)際上這5各工具是指5個(gè)安全領(lǐng)域����,其中可能包含多個(gè)具體的技術(shù)手段:
Crypto(加密):這其中應(yīng)該包括數(shù)據(jù)庫(kù)中的結(jié)構(gòu)化數(shù)據(jù)的加密���,以及數(shù)據(jù)落地存儲(chǔ)之前傳輸層或應(yīng)用端的加密,以及加密相關(guān)的密鑰管理��、密文訪問(wèn)權(quán)控等多種技術(shù)�。
DCAP(以數(shù)據(jù)為中心的審計(jì)和保護(hù)):可以集中管理數(shù)據(jù)安全策略,統(tǒng)一控制結(jié)構(gòu)化�、半結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù)庫(kù)或數(shù)據(jù)豎井。這些產(chǎn)品可以通過(guò)合規(guī)�����、報(bào)告和取證分析來(lái)審計(jì)日志記錄的異常行為��,同時(shí)使用訪問(wèn)控制�����、脫敏、加密�����、令牌化等技術(shù)劃分應(yīng)用用戶和管理員間的職責(zé)�����。
DLP(數(shù)據(jù)防泄漏):
DLP工具提供對(duì)敏感數(shù)據(jù)的可見性�����,無(wú)論是在端點(diǎn)上使用�����,在網(wǎng)絡(luò)上運(yùn)動(dòng)還是靜止在文件共享上�����。使用DLP�,組織可以實(shí)時(shí)保護(hù)從端點(diǎn)或電子郵件中提取的非結(jié)構(gòu)化數(shù)據(jù)。DCAP和DLP之間的根本區(qū)別在于DCAP工具更多地側(cè)重于組織內(nèi)用戶訪問(wèn)的數(shù)據(jù)���,而DLP更側(cè)重于將離開組織的數(shù)據(jù)��。
IAM(身份識(shí)別與訪問(wèn)管理)
IAM是一套全面的建立和維護(hù)數(shù)字身份���,并提供有效地�、安全地IT資源訪問(wèn)的業(yè)務(wù)流程和管理手段�,從而實(shí)現(xiàn)組織信息資產(chǎn)統(tǒng)一的身份認(rèn)證、授權(quán)和身份數(shù)據(jù)集中管理與審計(jì)�����。身份和訪問(wèn)管理是一套業(yè)務(wù)處理流程���,也是一個(gè)用于創(chuàng)建和維護(hù)和使用數(shù)字身份的支持基礎(chǔ)結(jié)構(gòu)。
Step5:策略配置同步
策略配置同步主要針對(duì)DCAP的實(shí)施而言�����,集中管理數(shù)據(jù)安全策略是DCAP的核心功能���,而無(wú)論訪問(wèn)控制�����、脫敏�����、加密����、令牌化那種手段都必須注意對(duì)數(shù)據(jù)訪問(wèn)和使用的安全策略保持同步下發(fā),策略執(zhí)行對(duì)象應(yīng)包括關(guān)系型數(shù)據(jù)庫(kù)�����、大數(shù)據(jù)類型��、文檔文件���、云端數(shù)據(jù)等數(shù)據(jù)類型���。
“數(shù)據(jù)安全治理”區(qū)別以往的任何一種安全解決方案,它會(huì)是一個(gè)更大的工程����,技術(shù)和產(chǎn)品不再是數(shù)據(jù)安全治理框架中的主體,連同組織決策�、制度、評(píng)估、稽核是這個(gè)框架的靈魂和指導(dǎo)思想���。
后記
2016年����,安華金和在中國(guó)首家提出數(shù)據(jù)安全治理理念�,2017年具體通過(guò)產(chǎn)線的搭建完成對(duì)數(shù)據(jù)安全治理理念的技術(shù)支撐,交付完整解決方案���。2017年�,Garnter開始在信息安全治理原則下關(guān)注數(shù)據(jù)安全治理���,雙方針對(duì)數(shù)據(jù)安全治理展開溝通探討,無(wú)獨(dú)有偶���,兩者在數(shù)據(jù)安全治理的認(rèn)知上存高度一致性�����,且各有補(bǔ)足����,安華金和將繼續(xù)專注數(shù)據(jù)安全治理工作的研究和落地,借鑒國(guó)際主流思想和經(jīng)驗(yàn)���,實(shí)現(xiàn)數(shù)據(jù)安全治理最佳實(shí)踐����。
產(chǎn)品咨詢:4000 258 365 
