天空卫士陆明：数据法在企业如何落地

陆明.png

导读：数据安全立法2018年9月于十三届全国人大常委会列入立法规划。经过三次审议，在2021年6月10日，十三届全国人大常委会第二十九次会议正式表决通过，并于2021年9月1日起施行。从法律角度来说，国家对于数据安全越来越重视，作为企业该如何针对数据安全法进行数据安全治理的规划，最终进行对应的技术落地？本文将分享数据法在企业的落地。

主要内容包括以下几大方面：

背景介绍
数据安全架构——DSG框架
数据安全控制——CARTA模型
技术总结

01 背景介绍

首先来看一下近几年企业数字化转型以及数据安全的发展趋势。

从2000年开始，企业经历了三个不同的阶段，分别是IT的工匠阶段、工业化阶段以及数字化时代的阶段。在IT数字化时代，企业将云计算、大数据、物联网以及移动互联代表性的新兴技术和企业业务进一步的结合，得到广阔的和深入的应用，从而加速传统经济到数字化经济转型。Gartner在2017年预测未来3年数据将成为企业的战略资产，现实进一步验证了这个预测。

企业在数字化转型后，数据安全和整个IT发生了一些变化，包括云计算、大数据的应用导致企业IT失去了可视化，企业安全边界消失，数据资产安全考虑不足等。

Gartner在2020年规划指南中提出了构建数字化转型技能，也就是数据安全与风险管理，包括合规性和风险的重大变化影响到安全计划和路线图，容器、DevSecOps、混合云和多云改变了基础设施安全等方式方法。

企业的数据资产的安全需求有两个目的：一是合规，与数字安全法、网络安全法、个人信息保护法内容息息相关；二是知识产权的保护。

数据安全立法2018年9月于十三届全国人大常委会列入立法规划。经过三次审议，在2021年6月10日，十三届全国人大常委会第二十九次会议正式表决通过，并于2021年9月1日起施行。网络安全法、数据安全法和个人信息保护法是我国在数据和网络安全的基础法规。数据安全法提升了国家数据安全的保障能力，个人信息保护法则加速了个人信息法的法制化的一个进程。从法律角度来说，国家对于数据安全是越来越重视，

针对数据资产的保护，首先要了解企业的数据和数据资产的价值。安全分为信息安全、数据安全，以及数据资产安全几个层面。数据资产安全主要是针对业务而言，应用经济价值越大，数据也就越值钱，因此数据安全是由业务驱动的，数据安全应该以数据资产的价值为中心确定，而不是以网络技术为中心。

作为企业如何针对数据安全法进行数据安全治理的规划，最终进行对应的技术落地？

业界主要的数据安全框架有两种：一是Gartner 2017年提出的以数据为中心的DSG框架；二是微软提出的数据根治理框架。本次分享主要介绍戛纳提出的DSG框架。

02 数据安全架构——DSG框架

Gartner提出了以数据为中心的DSG安全架构。

如上图中红色部分所示，Gartner提出一个企业不要贸然地直接引用安全技术，而是应该从业务分析开始，围绕着业务战略、治理、合规等需求，制定IT战略，并结合风险容忍度对数据分类分级。

Gartner将整个数据落地分成了两个级别：第一个级别是治理部分，包含对于业务或者企业进行商业治理，分析企业的业务战略、IT战略和风险容忍度，同时进行数据战略以及合规性和安全性以及安全架构的分析；第二级别是数据安全治理的落地。

在进行完业务分析之后，形成数据安全架构，从以下三个不同的层面来去实行：

第一层面：数据安全，在这个技术层面主要围绕着企业的洞察力、机密性，以及针对于数据安全进行监控和对应的合约。

第二层面：数据区域，以企业数据为中心，以企业的管控的力度为范围，包括内部、以及外部受控第三方。

第三层面：数据位置，也就是无论是数据在企业的数据管理系统、大数据文件系统，通过所有的管控位置，实行统一的数据安全的管控策略，来达到满足企业的数据安全需求。

整个以数据为中心的体系建设分为五个步骤：

第一步：数据映射，企业需要明确需要保护什么样的数据，这些数据存放在哪里，以及谁可以访问这些数据，并且是不是合法的存储和处理；

第二步：数据发现和分类，定义数据的类别和敏感度，同时清晰地了解数据资产和所有者之间的关系。所有者包含着三个不同的层次层面，数据的拥有者、使用者和操作者；

第三步：数据流建模，建模关系是以数据的存储位置为核心，分析整个数据的流动方向，并且对数据存储和使用的流向进行分析。其中流动方向包含在企业内部的数据流转，以及和企业外部乃至第三方的数据流转。

第四步：数据控制检查，对于数据使用了哪一些控制手段，是否完成了数据的可视化、保密性和流转监控？是否满足了数据的最小化使用的需求？

第五步：产品检验，检验当前产品能否解决上述的控制手段，并且企业还需要哪一些技术和产品去消除控制手段对应的差距。

在以上流程思路的基础上，引入了对应的控制系列，可以简单地理解为安全的能力。安全能力分成四块，分别是洞察力、保密性、监控和响应、合约。

第一块：洞察力，是指针对于企业需要获得存储哪些数据以及存储数据的位置、方式，并对数据的敏感性和元数据进行详细的了解，从而能够实施成功的DCSA（以数据为中心的方法）。这里引入了三个不同的安全控制技术：数据地图、数据发现、数据的分类分级。

第二块：保密性，数据安全技术的种类非常多，比如访问控制、数据屏蔽和加密、权限控制、数据反泄漏。

第三块：监控和响应，主要是企业确保控制有效性、验证合规性和确保安全性。相应的技术提到了安全信息和日志的管理、数据库的活动监控。

第四块：合约，也叫做第三方治理。很多企业或者组织通过第三方数据的处理器进行数据共享，去实现业务目标。在这种情况下，很难以某种实际的安全的手段来去完成对应的控制，因此双方的合约控制非常重要。

上图右侧展示了以数据为中心的数据安全架构。分为不同的数据区域，包括内部、外部非受控，以及第三方。无论数据分布在哪里都有对应的数据安全。

03 数据安全控制——CARTA模型

作为一个企业如何进行数据落地，Gartner 提出了CARTA模型。CARTA模型可用于选择数据安全控制，作为一个持续性、周期性的过程，在不同的生命周期里面普遍用于每一个数据集。

第一个阶段是预防阶段，使用数据匿名化进行数据安全保护，比如说加密硬盘、脱敏执行反应控制、全址的分离；

第二个阶段是检测阶段，数据防泄漏通过类似于身份控制方法，供管理员获得对于数据的访问权限以及权限控制的映射；

第三个阶段是监控阶段，当潜在恶意数据访问时，提示安全管理员去考虑实施自动阻止控制，通常可以采用数据审计方式；

第四个阶段是预测阶段，主要是围绕着以数据为中心的审计和保护DCAP去实行。

接下来将分别介绍控制系列中的方法。

1. inSight（洞察）

洞察力用于获取有关存储哪些数据以及存储数据的位置和方式的详细信息，以及对这些数据的敏感性和其他元数据的一些详细见解，对于成功的DCSA方法至关重要。

洞察所推崇的是以数据为核心，分别在企业内部（终端、移动设备）、存储（数据中心）、云端（SaaS、IaaS）将敏感数据找到并进行合规的展示。

通过数据洞察的能力，结合额外的Data Mapping产品，帮助企业找到所有的业务数据，再用Data Discovery对数据敏感性进行检测，从而为企业形成静态数据分布视图。可以应用于数据生成、数据存储、数据归档、数据销毁的阶段。

2. Confidentiality （保密性）

保密性是最古老和最常见的安全要求之一。许多以数据为中心的控件可用于限制数据可见性，并仅使用授权用户和实体。为了正确保护机密和隐私，技术专业人员必须选择适合其应用程序和数据资产的适当体系结构选项。

数据审计是了解数据中必不可少的环节，因此重点介绍数据审计的能力。主要应用于企业的应用数据、邮件数据和办公网数据。

(1) 企业应用数据

作为安全管理员需要了解数据下载时刻、下载方式和下载内容，其中数据的下载方式包括三种：旁路下应用数据上传下载监控、反向代理下的应用数据上传下载监控和应用改造后的数据流转监控。

① 旁路下应用数据上传下载监控

② 反向代理下的应用数据上传下载监控

对于数据进行敏感性检测，判断是否有不合规的数据返回，包括未脱敏、未加密、非法数据，结合外部的大数据系统、用户权限的设定，为企业保证实现最小化使用的原则。可以针对于企业去了解业务数据的上传和下载行为，形成业务的统一视图，为企业展示用户调用或使用了哪一些的数据内容。

③ 应用改造后的数据流转监控

市面上普遍存在的CS架构或者非我们所理解的外部协议，在这种情况底下，就需要有针对于这种特定应用来进行数据流转监控。通常是针对业务进行相应的改造，将数据在不同阶段使用的过程中，把数据投递给外部的一个审计系统，来进行对应的分析，最终决定是否参与到整个业务流转过程中。

包括用户针对某个应用进行的数据上传和下载，以及在应用内进行数据的内部流转，比如数据的内部分享。同时也包含对第三方应用的数据传递。

(2) 企业邮件数据

在企业自建邮件系统，判断员工通过邮件服务器对外发邮件中是否包含着敏感的业务信息、业务数据，并且根据业务数据形成对应的敏感数据外发的审计结果，进行相应的阻断或审批流程，以便于事后追溯。

(3) 办公网数据

办公数据防护有三个方面：

一是终端办公的数据安全防护。针对在办公电脑或者运维电脑终端的数据的流转和使用来进行，比如U盘、互联网协议、百度网盘、QQ、微信等外发敏感信息的时候，进行相应敏感数据的管控策略。

二是跨网数据，通常是在两个不同的安全域之间进行数据流转的时候，通过旁路的方式或者以串联阻断的方式，帮助企业提供敏感数据流转的审计记录和审计分析。

三是在移动终端上部署企业级的移动终端客户端，然后对企业的业务应用数据进行相应的保护，包括对于企业数据进行本地的加密存储、加密传输，在必要的时候进行远程清除，并且控制对应的摄像头、提供水印、控制截屏以及第三方分享的控制能力。

(4) 其他的保密技术

① 加解密技术

加密后保证数据即便丢失了也不会数据泄露，是目前整个数据安全治理过程中非常重要技术之一。

② IAM

主要用来做用户身份识别，为权限控制、数据防泄漏、数据审计等提供身份信息，是数据安全治理的排头兵。

③ DCAP

针对数据库的动作审计和文件数据的审计，精准识别对数据库的各种动作。

3. Monitoring and Response（监控与响应）

监控响应主要引用UEBA技术挖掘用户行为，包括用户异常行为分析、用户精准分析、用户定位分析、专家系统分析，找到异常用户，并且将异常用户结合数据控制技术进行更有效的控制。

04 技术总结

企业完成以数据为中心的整体控制框架，需要围绕企业的核心数据资产，从应用数据的生成、使用、存储、流转、分享（内部或者外部第三方）全过程，针对企业的核心数据进行分布展示、身份识别、数据流转、使用控制等环节相应的管控手段。

天空卫士的数据安全治理自动化平台，结合了业务系统流程，对数据控制者和数据使用者的异常行为进行大数据分析，在数据生成、使用等全流程，都有相应的管控。天空卫士是目前为止亚太地区唯一入选 Gartner 全球数据泄露防护（DLP）代表性厂商、邮件安全网关代表性厂商以及CASB 观察者名单的中国网络安全企业。