02.
数据安全防护体系设计
1、总体架构
基于零信任的数据安全防护体系是以数据为中心,其核心思想是面向业务数据流转的动态、按需防护。在防护技术上,仍需依托网络安全中面向网络、设备、应用等数据载体的静态防护能力,扩展面向数据流动的分类分级动态防护能力。安全管理方面,在网络安全管理体系的基础上,补充和完善面向数据安全管理制度、策略和运营规范,形成围绕数据本身和数据载体的整体数据安全防护能力。
本文从数据安全治理的理论和概念出发,提出如图1所示的数据安全总体架构,包括数据安全总体目标、数据安全能力目标和数据安全防护架构。数据安全防护架构是在遵循国家法律法规政策,参考行业标准指南的前提下,构建数据安全技术、数据安全管理、数据安全运营和数据安全保障四大子系统。
图1 数据安全总体架构图
2、 设计思想与原则
面对因黑客攻击、内鬼泄密、操作失误、违规使用等导致的数据安全事件及各类隐患、风险和问题,单一化的功能只能解决客户在某个方面的问题和需求,这让不同安全产品间的数据“孤岛”现象凸显,在当前数据的价值利用与安全防护持续并行的需求下,以“数据为中心”的零信任防护理念,以“平台化、体系化、可视化、实用化”为基本原则,将分散的安全产品与工具进行整合,对各类数据安全能力与组件进行“统一部署、统一监控、统一管理、统一运营”,提供一站式数据安全管理和常态化数据安全运营能力。
当前,数据安全防护的场景复杂,特别是新冠疫情对企业运行及人们的工作方式产生了巨大的影响,越来越多的设备在企业的安全边界以外访问数据。这在带来了工作便利的同时,也模糊了安全边界,增加了安全管控的难度。为了缓解日趋严重的数据安全风险,业界正在数据存储、处理和传输的系统认证和访问控制设计中广泛引入零信任架构,即无论是处于网络界限之内或是之外,系统都不应该自动信任任何人和设备。连接到组织系统的任何人和设备在获取访问权限之前,必须首先验证其身份和权证。
零信任架构主要针对传统安全防护的弊端而设计。传统网络安全防护大都通过在网络边界部署防火墙、IDS、IPS等防护设备,对企业网络层层防护,从外向内将攻击拦截在外,从而保障企业网络的安全。然而,现在的网络架构和使用模式正在对这种基于边界的防护策略发起挑战:缺乏内部流量的检查、主机部署缺乏物理和逻辑上的灵活性、存在单点故障。比如,位于网络防护边界之外的远程用户和移动设备的接入,云上资产的访问与防护等问题,一旦某个单点被突破,就给了攻击者横行移动、进一步入侵的可能,传统防护策略逐渐显得力不从心。而零信任架构的改变在于,“对何种网络位置,均从零开始依靠鉴别与验证建立信任”,从而实现纵深防护,防止恶意用户突破企业边界访问私有资源、防止数据泄露以及恶意操作。
本文基于零信任安全理念,设计的数据安全技术防护系统逻辑结构图2所示。
图2 数据安全防护系统逻辑结构图
数据安全综合管控平台打通端到端身份信息,实现全局风险研判与信任评估,平台部分可以进一步细分为“零信任分析中心”和“零信任控制中心”。零信任分析中心的主要职责是通过多维度获取的信息进行信任的评估,除了自身的分析模型与算法组件,还可以通过开放API与第三方分析系统进行对接,实现对访问行为和风险的持续评估;零信任控制中心主要职责是身份管理,以及根据分析中心的评估结果,生成动态的访问控制策略,向分散各处的、各种类型的安全组件进行下发,统筹全局的访问控制。数据流转安全管控网关和主机数据安全管控代理作为安全组件匹配用户端到端数据访问控制的场景需求。安全组件部分的核心职责是接收和执行数据安全综合管控平台的访问控制策略,其组成、形态、部署位置、功能选择等,可以随业务管控实际需求而定:①主机数据安全管控代理作为零信任一体化安全客户端,是零信任架构的重要组成部分,整合了安全基线核查、病毒与漏洞防护、网络安全接入、数据泄露防护等多种安全能力;②数据流转安全管控网关作为零信任网关,匹配不同业务场景执行各类数据安全策略,包括外网访问、内网访问、数据中心服务间访问、物理网访问等安全策略;③数据安全综合管控平台通过开放API接口实现异构厂商安全组件的按需灵活对接。数据安全技术方案离不开多样化的安全服务,以实现安全威胁的快速识别与处置。零信任不是“交钥匙工程”,系统和设备的堆砌无法达成既定目标,应该结合安全专家知识与云端分析能力,提供线上或线下多样化的安全服务(如账户与访问权限梳理、业务访问路径梳理、访问控制策略优化、风险分析与处置等),实现安全威胁的快速识别与处置。“数据安全综合管控平台”+“主机数据安全管控代理”+“数据流转安全管控网关”的体系,最终构筑贯穿用户、终端、应用、连接、权限、数据,构筑端到端的信任体系,核心的功能包括:① 通过多维度的终端环境检查,确保访问数据的终端设备安全合规;② 通过跨场景全局的统一身份管理与多因素认证方式,保证访问数据的用户其身份合法;③ 通过精细化权限控制,对数据的访问进行细粒度授权,防止越权、串权、滥权的访问;④ 根据数据重要程度和密级的不同,通过云桌面、终端数据沙箱、网络隔离、数据访问行为审计等技术手段,实现差异化数据泄密防护,保障数据安全;⑤ 通过持续信任评估,发现数据访问过程中行为的异常,进而生成动态的访问控制策略。本系统的部署模式理论上支持远程办公、数据中心、物联网三大场景。但鉴于实际情况,本文只是支持数据中心场景。数据中心场景:零信任架构通过微隔离技术,实现环境隔离、域间隔离、端到端隔离,根据环境变化自动调整策略,实现精细化隔离的网络安全策略及以身份为基础的逻辑边界,同时安全策略可以自适应调整。远程办公应用场景:在零信任架构下不再采用持续强化边界的思维,不区分内外网,针对核心业务和数据资产,梳理访问这些资产的各种访问路径和场景,在人员、设备和业务之间构建一张虚拟的、基于身份的逻辑边界,针对各种场景构建一体化的零信任动态访问控制体系,构建更安全的远程办公网络。物联网场景:借助边缘计算技术,解决终端的身份认证和访问控制,允许身份可信、经过动态授权的物联设备入网,进行动态监测,及时发现并处置假冒、伪造的非法连接。其核心思想是对物联设备建立身份指纹,由主体属性、环境属性和客体属性构成,通过持续主动扫描、被动监听检测、安全接入控制区等方式,对物联终端进行持续信任评估、访问控制,解决物联终端的身份仿冒和恶意访问。
图3 数据安全技术子系统部署逻辑结构图
数据安全综合管控平台部署在数据中心服务器区域,主要功能包括数据安全运维、数据安全风险态势监测和数据安全运营。数据流转安全管控网关旁路或串接部署在数据流转的网络区域边界的交换机,主要功能包括基于流量的数据安全监测、执行来自平台的安全管控策略、数据资产发现与相关数据采集等。本文计划在服务器区域边界、运维管理区域边界、DMZ区域边界、办公区域边界、5G接入二级控制网区域、5G接入园区资源网区域、信息机房区域分别部署2台数据流转安全管控网关。主机数据安全管控代理部署在访问终端或服务器上,主要功能包括终端数据安全监测、执行来自平台的安全管控策略、数据资产发现与相关数据采集等。数据安全治理需要从组织的战略层面出发,协调管理层、执行层等各相关方,打通不同部门之间的沟通障碍,统一内部数据安全共识,实现数据安全防护建设一盘棋。数据安全组织,就是数据安全治理策略从制定到落地,并持续优化改进的组织保障。数据安全组织机构建设和管理是数据安全治理工作开展的基础。以数据为中心,面向业务场景,纵、横向拉通各部门间的合作,合理定岗定责定员,明确职责分工,为数据安全治理的健康可持续发展提供支撑[8]。数据安全管理组织自上而下包含决策层、管理层、执行层、参与层,另外还存在一个贯穿整个数据安全治理过程的监督层对整个过程进行监督、审计。人员不应出现交叉,即一个人不可同时担任两个层级中的角色,避免出现因受利益和工作方便影响从而降低或绕过标准的情形。团队内部每个人应分配满足工作要求的最小权限,不可因管理因素而获得超出角色范围的权限。团队内部的关键岗位应设立“双人双岗,权限分离,互相监督”机制,即在工作过程中相同岗位应最少设立两名人员参与,权限分离,互相监督,同时对结果负责。各层的岗位如图4所示:
图4 数据安全管理组织结构图
决策层作为数据安全管理组织的顶层决策层,也是数据安全管理工作的决策机构,一般成员会包括组织内主管数据价值实现的最高负责人(如首席运营官、首席战略官等)。
管理层在组织数据安全管理中具有举足轻重的地位,基于决策层给出的策略,对数据安全实际工作制定详细方案,做好业务发展与数据安全之间的平衡,保障数据安全全面落地工作,是开展数据安全工作最核心的部门或岗位,同时牵头承担单位整体数据安全管理工作,落实数据安全保护责任,对数据安全提出具体管理要求。
执行层与管理层是紧密配合的关系,面向组织的数据安全场景、数据安全分级工作等,执行层需要协助管理层详细了解并深入理解组织在业务开展过程中的各种数据安全需求,需要认真贯彻执行管理层提出的明确的数据安全要求,对设定的流程进行逐个实现,就数据安全执行情况和重大事项进行汇报,对管理层提出的数据安全操作规程等制度和方案的可行性和易用性,进行细致地分析和评估,并将结果反馈给决策层,以支撑后者做出明智、正确的决策。
数据安全管理工作的顺利开展,离不开各部门工作的协同配合,更离不开完善的监督审核机制,监督层人员必须具备独立性,不能与其他管理小组、执行小组等人员共同兼任,确保其审计核查工作不会受到来自其他三层,特别是管理层和执行层的相关利益或动机的影响和干扰,从而保证组织能够及时发觉其数据安全制度在落地执行层面的问题和风险。监督层负责定期将管理层、执行层数据安全工作情况进行监督,并向决策层进行汇报,对数据安全治理工作进行监督落实。
(2)人员管理
人员管理包括登记审查、数据安全文化建设和定岗定责。人员管理是数据安全管理体系的重要一环,主要体现在两方面:一方面是人员流动管理,另一方面是人员安全意识和综合素质培养管理。
(3)管理机制
数据安全管理机制需要体系化建设,面向内部组织人员和第三方组织,构建四级管理机制体系。
3.3 数据安全运营子系统
参照经典的PDCA模型,建立如图5所示的数据安全运营子系统,以强化数据安全运营体系在数据安全治理中的轴心作用,有效上承管理制度体系,下接技术体系,落实数据流动性带来的持续、动态、闭环管理措施[7]。
图5 数据安全运营体系架构图
首先制定数据安全规划(P),通过对企业需遵循的法律法规和行业标准进行解读,结合业务情况,输出并持续更新数据资产分类分级知识库和数据安全合规库,并进行数据资产梳理及分类分级,摸清数据资产家底,评估风险暴露面缺陷,再依照合规性要求,针对风险点设定动态分级防护策略;然后落实全生命周期安全防护(D),依据规划制定的安全策略,面向不同级别的敏感数据对象,构建覆盖数据全生命周期节点的按需、动态防御技术能力体系;其次,开展风险监测与防护效果评估(C), 实时监测数据安全运行风险,对安全事件进行响应处置,并对安全防护效果进行合规性综合评价;最后,根据风险监测和防护效果评估结果,结合业务变革,进行持续改善、优化(A),迭代驱动下一个安全规划(P)。数据安全保障涉及管理保障、技术保障和关联保障等措施的建设。以下重点阐述数据安全管理保障中的资金投入、人才培养、应急队伍和关联保障四个方面的措施。企业需建立完善的经费保障制度,拓展经费保障渠道,安排专项资金,足额保障企业数据安全建设和运营活动开展所需的等级测评、风险评估、密码应用安全性评估、安全建设整改、安全保护平台建设、监督检查、教育培训等经费投入,同时保证应对突发事件的应急响应经费。根据企业数据安全工作需求,建立完善教育训练和人才培养机制。建立网络安全人才发现、选拔、使用机制,坚持培养和引进并重,培养网络安全专门队伍。建立网络安全教育训练体系,建设企业数据安全教育训练基地,加强高端人才培养和能力提升。组织力量,积极参与国家、行业组织举办的各类数据安全竞赛,持续培养数据安全专业人才,逐步提升数据安全队伍的专业化能力[9]。组织对相关人员开展数据安全法律法规、数据安全政策、国家和行业标准规范等培训,及时了解和掌握数据安全基本要求、安全设计技术要求、测评要求等国家标准,以利于开展数据安全保护工作。加强数据安全应急人才培养,建立应急技术支撑队伍,做好数据安全事件的监测预警、预防防护、应急处置、应急技术支援工作。同时,要加强与社会数据安全专业机构的沟通合作,建立数据安全事件应急服务体系,提高应对能力。关联保障指行业主管单位通过评估认证、监测预警、事件调查处置、监督检查、纠正问责等活动实现数据安全治理监督。数据处理者通过合规建设确保数据安全治理能力达到国家要求的基线标准。
