数据安全体系与隐私保护最佳实践
隐私保护现在已经是各企业义不容辞的责任和义务。迫于企业的数字化转型的压力,大多数企业在不遗余力的收集所能接触的每一个用户的各种相关信息。尤其是在当前大数据和人工智能 (AI) 技术兴起的时代,数据分析结果的丰富性和有效性取决于输入数据量的大小。
因此,对于企业来说,总是希望能掌握大量的用户数据,并且对这些数据进行充分的分析和利用,推动自身业务的发展。但从合规和隐私保护的角度,对掌握着大量用户隐私信息的企业,必须要对自身所保管的这些数据进行适当的安全保护。
1. 现有技术体系、防护逻辑的缺陷
当前大多数企业的现有安全体系中都存在着相同的问题,在设计架构时总是习惯地将威胁防护和数据安全防护混为一谈。因此他们总是以防/堵/控为设计核心来构建企业的安全架构。
实际上,随着企业 IT 科技的发展和业务的驱动,在企业 IT 架构上存在着各式各样的管道。这些管道会在企业的安全架构上开辟多个通道,同时企业的数据在这些通道里流动。
对数据安全而言,传统的安全防护手段很难真正的保护隐私数据的安全。只有流动的、使用的数据才具备有数据资产的价值,完全静止的数据没有任何的价值。数据和其他资产不同的特性在于数据的可复制性。数据被复制之后,原始数据仍然保留,因此通过传统的防护手段很难察觉到数据的“丢失”或“泄漏”。
从隐私数据保护的角度,传统的安全架构体系里主要存在以下问题:
- 数据竖井 (Silo) 导致数据安全策略无法一致
目前各数据保存在不同的竖井中,例如数据库、邮件系统、终端安全等领域。为了保护竖井数据,各企业采用了不同的数据安全措施,但是却没有统一的标准对隐私数据进行识别。因此无法执行统一的数据安全策略。基于内容的数据识别是打破这些竖井并实现数据安全一致性的关键。
- 数据安全团队和业务团队之间的知识断层
业务团队不了解什么样的内容是隐私信息,以及如何合规地操作这些隐私数据。安全团队对隐私数据的定义和合规操作很了解。然而他们又不了解业务流程,无法有效地接入数据流转环节。这就要求统一的数据安全策略和灵活的通用数据安全接口来衔接这两个团队。
- 缺乏行为分析手段
隐私保护中的另一个难点就是对于内部人员的正常业务行为和违规泄密行为的区分,在正常的业务中,内部人员由于他们的工作性质必须接触并处理这些隐私数据。如果安全防护的检测手段仅限于采用既定的规则和策略匹配方式,将会导致产生海量的数据操作记录。而想要从这些记录里发现个别异常现象无异于大海捞针。因此,隐私保护特别是对于内部人员,需要采用行为分析手段才能有效的发现恶意数据泄漏动作。而人工智能的手段使这种行为分析具有了实现的可能。
2. 企业隐私保护最佳实践
对每一个企业而言,隐私保护都不是一个单纯的技术产品部署,而是一个包含着业务+流程+执行+运营等综合系统工程。
第一阶段:数据治理与可视化
在隐私保护的体系建设过程中,一个非常重要的部分就是数据治理流程。数据治理本身涉及的范围非常大。涉及到企业的整个业务流程,包括数据流转等。较多的企业在开始考虑进行隐私保护时,对这部分的实现步骤会感觉非常困难。
实际上,数据治理本身并不像想象中的那么复杂,特别是针对隐私保护时。由于保护对象相对明确,把握住以下重点就可以快速进行数据治理工作:
1,哪些数据是敏感数据,它属于哪类细分数据,对应级别分别是什么?
2,这些敏感数据都存放在什么地方,分布的情况是什么样的?
3,这些数据的暴露面是什么? 谁可以使用/哪些系统可以存取这些数据?
4,数据在系统中和应用间怎样流动,哪些敏感数据会流出控制边界?
在了解了以上情况后,通过系统建设,企业可以把上述内容加以可视化展现。这种展现通常是通过数据收集+数据展现工具实现。数据收集可以来自多种来源,但需要注意的是这些来源信息需要具备数据的深度识别能力,只有具备了这种能力,才能区分当前正在处理的数据是敏感数据或者非敏感数据,以及这些数据的安全级别等。常见的数据收集工具主要是以 DLP 为核心的设备/软件。这些设备包括支持 DLP 功能的 Web 安全网关/邮件安全网关/旁路监听设备/终端 DLP 软件等。在生产环境,还可以通过使用具有内容分析能力的反向代理/WebService 等来收集数据的存储和传输情况。对于关键的数据库系统,还需要通过数据库审计设备来收集数据库的访问和使用情况。
在收集的过程中,除了上述产品外还可以采用一系列的其他辅助手段,包括:聚类、标签标记、指纹对比等手段,对数据进行进一步的整理和精细化运营。同时,在收集阶段,需要对发现的敏感内容的不正常传输、使用、存储等进行分析。
收集完成后,需要通过统一的大数据分析平台,对系统输出的内容进行过滤、分析和集中化图表展现。
由于企业的业务在不断变化,收集的过程将是一个持续性过程。各团队可以在数据分析的过程中,不断的深入了解本企业的数据生命周期状况,发现在企业中存在的各个数据竖井。根据了解的信息对数据收集的方式/方法及时进行调整,配合持续性数据治理的概念,对业务中不断产生的新数据进行收集和整理。
第二阶段:关键暴露面管控
在知道数据的真实的存储、使用和传输状态后,按照数据的生命周期,从创建、存储、使用、到传输等整个生命周期对数据进行梳理,找到其中的关键控制点。在关键控制点对关注的敏感隐私数据加以管控手段。常用的技术手段有:
DCAP:以数据为中心的审计和保护系统,主要是对非结构化以及结构化数据的用户权限和访问行为加以监控。DCAP技术主要包括常规的数据库审计与保护 (DAP)、文件数据访问审计与保护 (DAG)、云存储环境的存储审计 (CASB) 和数据仓库的加密和遮蔽 (DP) 等。
Encryption:加密技术,即在关键位置,对所关注的数据进行加密处理,包括文件加密、数据库加密、传输加密和应用加密等。在使用加解密技术的时候需要关注密钥管理、高可用、加解密性能等相关因素,避免该技术带来其他的业务持续性隐患。
DLP:数据泄漏防护技术,DLP 除了做数据收集之外,大多数情况下还具有对应的数据管控的能力。可以使用这些能力来进行数据安全的管控,从终端/Web 访问/邮件收发/应用传输等多个通路上,对敏感数据的存储、使用、传输进行细颗粒度的控制。
IAM:身份认证系统,实施 IAM 技术是企业进行暴露面管控的重要手段之一。从数据安全的原则上,是让每个人只接触到需要接触的数据最小集。这就需要实施基于身份认证和权限控制有效结合技术来实现准确的管控。
虚拟桌面:虚拟桌面通常用于既需要通过图形化界面来访问敏感数据进行业务操作,但不希望能存在任何数据导出的使用场景。虚拟桌面将数据的存储和用户所使用的终端进行了有效的隔离,使得最终用户只能使用数据而不能下载特别是批量下载数据。这样可以降低整体的数据安全风险。
除此之外,还有其他各种的安全工具和手段去实现暴露面管控。但大多数管控手段都无法明确保护的内容,只能简单的通过控制手段防止不恰当人员对数据的存取。
管控的策略通常情况下是由业务团队和安全团队共同制定。在充分利用第一阶段的成果后,根据业务需求、隐私合规需求、安全保护需求等多个来自不同角度的输入,共同输出一个可以覆盖重点保护敏感数据的数据安全策略。
第三阶段:数据安全统一平台
安全工具很容易部署,各种技术手段和产品种类繁多。在这些不同设备的海量数据中,企业管理员不能及时有效的分析日志并进行策略关联管控。这就需要通过统一的平台对所有收集的数据进行展现,对管控的策略进行统一管理,并在数据收集和管控手段之间形成联动机制。
利用收集到的数据,能更进一步的处理就是进行行为分析,将整个安全的体系转换到以人为中心的数据安全体系。通过人工智能系统的引入,对海量数据进行分析和处理变为可能。具体参见:Gartner Market Insight:Go-to-Market for Advanced Insider Threat Detection,发布时间:2018 年 6 月 19 日,ID:G00351095
2.1 隐私保护的关键点
隐私保护中,由于现在企业 IT 架构大多数分布范围比较广,涉及的部门很多,同时部门与部门之间的协同等各种问题掺杂交互,导致保护工作很难以落实。另外员工自身对于各种监控、管理手段的抵触也往往是隐私保护难以推行的原因之一。
因此,就企业内部的隐私保护而言,比较好的推行路线是从规章制度的建设入手。以技术手段作为支撑,完善隐私保护整体规划,采用逐步实施的方式进行。
- 制度与技术手段
隐私保护的起点是以企业必须满足的合规需求为输入。结合企业自身的业务发展、经营战略、管理体系等制定和数据安全相关的使用制度。应该要明确一点,即所有技术产品的部署都是为了协助规章制度的执行。企业需要完善的规章制度包括:
- 员工意识培训制度
- 数据外发制度
- 数据权限控制制度
- 数据存放制度
- 数据备份管理制度
- 数据销毁管理制度 (EOL)
- 等等
有了适当的规章制度,才能使从业务分析而来的安全风险得以管控,后续所有的技术手段的使用有据可依。
很多的企业在开始考虑隐私保护的时候,往往直接从 IT 技术手段开始考虑。这样,项目到后期多半会出现两种情况:
- 和预期偏差很大:没有明确的数据安全整体规划和合适的阶段控制,而直接采用简单的边缘监控手段(无控制能力)或者安全的事后追朔手段只会导致项目失败。
- 项目混乱:没有从企业至上而下的统一安全认知,项目的实施可能因为员工的抵制、部门之间的协调困难等问题最终导致无法正常进行。
罗马不是一天建成的。规章制度的建设很难一步到位。而企业应当有总体的容忍度,要认识到建设一个长期的、循序渐进的过程。需要企业在制定和执行规章制度的过程中不断发现其中存在的漏洞、问题或者不合理之处,逐步加以调整,一点一点地建设无隐私风险的规章制度。
- 抓住关键点
如今大多数企业已经开始进入了以移动办公和云计算为代表的无边界企业网络的环境。该现象在 2020 年年初新冠疫情爆发情况下尤为突出,它令各企业不得不远程办公。这就需要企业在隔离的内外网、生产网、办公网等不同网络间进行大量的数据传输。因此,企业在进行隐私保护设计的时候,必须抓住关键点。这种关键点就是以最核心的数据为中心,沿着数据的存储、使用和流动的方向分析数据的暴露面。结合企业的应用架构,发现可能存在数据风险的关键点,然后从这些关键点开始进行隐私保护的工作。
- 团队协作
从经验上看,大多数单纯从某个单一部门发起并实施的数据安全项目都最终会走向无结果或者失败。隐私保护不是单纯的业务部门的问题或者是IT信息安全官的问题,而是一个企业的整理治理框架范畴下的一个部分。因此,需要各个团队之间通力协作,并且由企业中的高层进行必要的支持,才能最终取得成功。
- 数据分级分类
数据分类分级是数据安全的基石。做好分类分级才能确保一定级别的数据以适当的投入保持适当的控制水平。其主要作用是对后续的数据保护手段提供制度支撑和技术支撑。对不同类型和不同级别的数据,采取不同的规章制度进行管理,并采取不同的技术手段加以管控。
- 脱敏数据保护
数据脱敏又称数据漂白,是用修改过的内容(字符或其他内容)隐藏原始数据的过程。对数据字段进行脱敏的主要原因是为了保护个人可识别信息、敏感个人数据或商业敏感数据。数据脱敏后,并不代表脱敏数据的敏感程度降低了。这个也是在隐私保护中很容易犯的错误。
- 数据暴露面和网络威胁暴露面
传统的 IT 或者安全管理员在分析隐私数据安全的时候,往往习惯从网络威胁的暴露面进行分析,带来的结果就是对暴露面的防护重点很容易就被放到网络的边界上。而往往忽视了来自内部的威胁。实际上是,那些内部违规人员通常比外部人员更加清晰了解企业的核心数据,可能带来的风险要远远高于外部威胁。
- 数据标记与溯源
对非结构化数据,如常见的办公文档、图片、音频、视频等文件,可以通过文件属性或者文件的内容指纹进行标记。这样,文件在企业内部网络或者离开各种网络边界的过程中,都可以持续性追踪到文件的存储和流转情况。但对于结构化数据,则对数据本身进行打标签动作比较困难。变通的方法是可以通过对和敏感数据相关的交易、查询的操作都打上唯一的追踪 ID,这样,可以在全网中追踪敏感数据的使用和流转过程。
- 员工监控与员工隐私
企业在进行隐私保护的时候,难以避免的需要对员工进行监控。监控对象包括对属于企业资产的笔记本电脑、台式机、网络访问等。有些企业甚至可能会涉及到员工个人的移动手机终端。在保护客户的隐私的时候,是否会侵犯自身员工的个人隐私? 企业的监控实际是管理权的一种体现,是包括对员工使用企业资源、工作时间的工作规范管理权的一种体现。企业应利用数据内容识别能力将员工个人隐私数据与工作隐私数据进行区分,不应介入员工的个人隐私数据。企业应对监控的操作行为向员工进行提前明示。
- 大数据分析和隐私保护
企业在数字化转型过程中,必然将使用大量数据分析。这些数据里通常都会包含大量的隐私数据,包括姓名、身份证号、手机号、位置等,在一些交易场景里还会包括信用卡号,金额等其他信息。
在有保护意识的企业里通常会采用脱敏或者加密技术来处理这些隐私数据。但是,脱敏是否完整,加密是否完全加密,是否会存在手工导入导出数据时的误操作等可能发生的敏感数据泄漏风险都需要考虑设计对应的数据安全检查手段。
3. 后记
实际上在隐私保护的整个范围中,还有一大部分是和业务体系相关,包括隐私的收集、所有权、跨境传输合法性等很多内容。本文主要是从技术支撑的角度和数据安全的角度,对企业在实施隐私保护中的很多问题进行了讨论,并按照最佳实践,总结了隐私保护的实施步骤以及诸多的可能会遇到的问题。
互联网的兴起和最近在全球遭遇的大型事件,会使得企业完全进入无边界状态。员工也更多的进入远程办公状态,这对隐私保护带来了更大的挑战。隐私保护是每个企业义不容辞的责任与义务。因此,企业还需要重视隐私保护,对掌握的大量客户隐私数据加以适当的保护。一方面,保护自身的用户隐私不受侵犯,另外一方面满足合规要求,保护企业自身的安全运营。
限于篇幅,本文没有完整描述在隐私保护中的各个方面。对本文有兴趣的读者可联系北京天空卫士网络安全技术有限公司进行进一步讨论。我们非常乐意听到您的声音。
