构建数据时代的数据安全体系
编者按:
日前,公安部网络安全保卫局郭启全对外做了一次报告。报告中透露出一个很有意思的信息,即关键信息基础设施(CII)并不仅仅局限于“基础网络、重要信息系统”,还包括了数据资源。这是个崭新的提法:一是把CII从原本网络、系统的概念扩展到了数据,二是数据资源不仅仅是指重要信息系统所承载的数据,还包括独立于重要信息系统之外的数据资源。同时,我们有理由相信,这次公开的表态不仅仅是公安部的意见而已。因此,对于CII的保护,我们既需要以“系统为中心”,同时也非常需要以“数据为中心”的新思路、新做法。就此,我邀请知名的网络安全专家方兴就“数据为中心”专门撰写文章。方兴是网络安全界的老兵,目前其率领的全知科技正专注于以数据为中心的风险管理体系建立和相应的产品技术研发。此文将发表于“数据治理与网络安全联盟”网站(dgcs-research.net)上。
构建数据时代的数据安全体系
方兴
应数据治理与网络安全联盟(DGCS-Alliance)的邀请,写一篇技术如何帮助企业达成保护个人信息的文章,但想了一想,不止是个人信息的保护,整个的数据安全体系与认知,是需要我们去梳理的。
我一直觉得,数据安全体系是超越传统信息安全体系的,就这个观点也和很多业界的人发生过碰撞;我把数据安全分为两个不同的认知,一个是IT时代的数据安全,一个是DT时代的数据安全。这当中,最核心的问题是,我们如何理解数据。在IT时代,我们把数据看做信息的载体,我们谈的数据安全,本质上都是信息安全,但在数据时代,如果数据还只是信息的载体,那凭什么说我们跨越了信息时代进入到数据时代了呢?数据肯定是超越了信息的载体这个视角的。
IT到DT,最核心变化的是什么?我个人认为是,信息是静态的,是系统中价值的终点/资产,而数据是动态的,是系统中价值的起点/生产资料。DT时代,通过对数据的融合、数据模型的建设,让数据变成了可以增值的生产资料,数据通过流动创造价值,但数据在流动中会带来更多的风险,既包含了数据泄露的所有者损失利益的风险,也包含了带来对其他方导致的个人隐私问题和国家安全问题的风险。对应的,这种流动的数据环境对数据安全的体系提出了新的要求,很难再用传统的那一套系统安全保护体系,通过静态的隔离保护措施来控制数据在流动中的风险了,因为数据流动和增值的要求,使得很难实现一个在可信边界内的静态保护,否则就会阻碍流动增值。
其实和数据/信息这一层概念最类似的就是资金/财产的概念,人类对财产的保护,非常类似对信息的保护体系,通过对可信访问的识别,如密码箱、保险柜、金库、运输时的护卫队,把威胁隔绝于门外。但是一旦你的财产货币化成为资金,成为你生产增值的生产要素,为了增值,你会募集资金,使用资金生产和投资,这一套保护体系就很难保护资金流动的风险控制诉求。你开公司,需要让财务使用资金,你开工厂,进货需要给厂商预付款,你投资一家公司,你募集资金的方式可能非法,也可能卷入洗钱的境地,针对这些情形的风险,都不是密码箱这些手段可以解决的。对数据安全也一样,当你需要更多基层人员使用数据,需要外包BI(Business Intelligence)分析数据,需要对合作伙伴共享数据,需要对社会发布数据等种种场景里的数据泄露的和数据可能对其他第三方带来的风险,都难以用传统信息安全的体系去解决。
在资金这条链路,最后是通过一些风控体系或策略去解决这些问题的。而数据更麻烦,数据的可复制性,数据价值的非标性,因此解决数据流动中的风险,急需的是一套针对数据在企业中使用流动的风险分析和控制体系,系统地解决这些风险。同时,数据透出的风险本身就具备不可预知性,因为数据透出的风险很大程度上取决于危害者的目的,通过透出数据和手头上其他维度的数据进行融合。典型案例就是新商家保证金诈骗,因为很多新商家对电商的库存冻结店铺的规则不了解,其上当概率远大于老商家。传统通过数据库递增字段实现的用户ID数据,就给了诈骗者区分识别新商家的手段,形成了相应的风险。而这种数据透出的风险很难在业务系统设计时就能被考虑到。
数据在流动中可能产生三类的风险:
1)数据被人为泄露的风险:数据在流动和使用中,很多具备权限的运维人员、BI人员、研发测试人员、内部业务工作人员,都能访问数据,但是他们也并不是可以完全信任的,同时还有对各类合作伙伴外部业务对象也会开放数据接口,需要风控体系去监控分析每个实体的具体数据访问行为,形成可审计、可建模分析整体、可溯源的风险分析体系来控制这些实体滥用和故意窃取数据泄露数据的风险。
2)数据治理体系的风险:在库表和应用层如果缺乏细粒度的权限控制能力很多安全策略就无法控制,数据在不同系统的库表之间流动的权限和策略如果不一致可能带来数据泄露的敞口,数据流到各种应用系统的临时数据的驻留信息,如果无法追踪可能带来某订票互联网公司把信用卡和CVV写入系统日志导致的重大数据泄露事件。需要对数据发现、血缘关系追踪和数据驻留追踪,并以此形成对应的数据存储和驻留的风险分析和控制机制。
3)数据使用合规的风险:无论是欧盟的《通用数据保护条例》(GDPR)还是我国最新国家标准《个人信息安全规范》(GB/T 35273-2017)里,对个人数据/信息的采集、存储、使用、发布、共享、离境、用户权利的保护都提出了大量的要求。比如对用户的更正权支持,如果无法对全域数据的血缘追踪,就难以实现。这些要求也需要技术手段追踪有合规性要求的数据全域的存储流动使用过程,并配置相应的合规环节与技术手段,以此形成对应的合规风险分析和控制机制。
作为企业的数据保护官,首先需要看得见自己的数据与数据策略,其次要能看见数据在系统表之间、数据在应用系统上,数据在各种人员和接口上的流动信息。其次以多维度的信息,构建各种风控模型,看得见自己的风险。然后还要通过系列的数据保护与合规手段,结合风险控制的动态策略,降低自己的风险同时又减少对业务数据流动的干扰与伤害。最后很重要的,一定要具备细粒度数据行为的可审计与溯源能力,通过事后可溯源的威慑体系控制风险其实是投入产出最高的,现实生活的安全体系大多靠的是事后可追溯追责体系来构建的。但要建立这样的体系,需要能追踪到每个实体具体使用的数据的细节才有可能,大多数业务系统的现有日志体系,其实是做不到的。(全文完)
作者简介:
方兴,网络ID FLASHSKY。知名网络安全专家,历任启明星辰ADLAB副经理、EEYE高级研究员、微软全球特聘安全专家、翰海源CEO、阿里巴巴资深安全专家,现为网络安全初创公司全知科技的CEO。2003年世界首发MS03-026漏洞(冲击波使用漏洞)细节,引发全球安全体系变革,2004年世界第一个发布WINDOWS内核溢出远程利用技术,最早的漏洞自动化挖掘研究者,第一个BLUEHAT中国演讲者,被《WINDOWS利用技术的过去现在和将来》列为影响了WINDOWS安全技术发展进程里的唯一中国人。连续创业者,2010年和王伟联合创立翰海源,2015年翰海源被阿里巴巴全资收购。方兴创建的全知科技专注于以数据为中心的风险管理体系建立和相应的产品技术研发。