APP下载

数据安全保护能力评估实践

2018-09-14蔡蕙敏张一帆周滨李宏图

电脑知识与技术 2018年16期
关键词:数据安全

蔡蕙敏 张一帆 周滨 李宏图

摘要:数据安全能力是大数据时代的重要核心竞争力,本文探讨了大数据时代下数据安全面临的问题和风险,结合数据安全能力成熟度模型,阐述了如何利用数据安全能力成熟度模型对组织机构数据安全保护能力评估的实践方法和实践实施中的难点。

关键词:数据安全;安全能力;成熟度模型

中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2018)16-0023-02

随着移动互联网、云计算、大数据等信息技术的高速发展,数据已成为信息化与经济高度融合发展的核心方向,通过对特定的基础数据分析、整理和加工,能够生产出一个行业或企业的重要战略情报。随着数据在政用、商用以及民用等应用场景的深入推进中,数据已成为大数据时代的“石油”“金矿”,成为以营利为目的的违法犯罪分子重点关注目标,通过网络对数据进行盗取、倒卖,甚至实施精准诈骗,网络黑灰链产业日益猖獗。从2016年备受我国全社会关注的徐玉玉电信诈骗事件,到今天的Facebook爆出史上最大数据泄露事件, 这一系列数据泄露安全事件对拥有数据的组织机构提出了巨大的挑战,数据安全已成为全世界关注的热点问题。

1 大数据时代下数据安全面临的问题和风险

数据只有开放共享流通,才能真正实现数据的经济价值,当“数据管理成为核心竞争力”的理念尽人皆知时,拥有数据的各组织机构都将面临以下数据安全问题和风险。

1.1大数据时代数据安全保护难度加大

大数据时代数据成为企业和社会关注的重要战略资源,已成为黑灰链产业攻击的显著目标。对于数据拥有组织机构而言,数据泄露意味着经济损失。在开放化的网络化社会,开放的网络环境、分布式的系统部署、广泛的数据业务应用以及复杂的用户访问群体,都使得数据在安全保护难度上面临更大的挑战。

1.2大数据挖掘分析不可控

大数据的优势在于通过分析和挖掘海量数据产生价值,在大数据时代,想屏蔽外部数据商挖掘信息是不可能的,也是难以控制的。市场上众多监测数据的数据分析机构在对大数据中多源数据进行综合分析时,分析人员更容易通过关联关系挖掘出更 多的商务、业务数据,从而进一步加剧了数据泄漏的风险。

1.3数据共享使得系统数据边界日益模糊

数据只有流通共享才能促进组织机构间协同发展。数据流通共享使得组织机构内部协同办公系统、内部重要业务应用系统、外部上下游供应链系统、上下垂直监管系统间存在大量数据应用接口,每个系统都是其他系统的一部分,系统、组织机构间数据边界模糊。

1.4数据所有者权益难以保障

大数据应用过程中,数据会被多种角色用户(如数据提供者、生产者、管理者、加工者、消费者等等)所接触,会从一个所有者流向另外一个所有者。因此,在大数据的共享、流通、交易过程中,会出现数据权力的不停转换,从而会带来数据所有者权属不明、数据滥用以及数据安全监督管理责任不明晰等安全风险,将严重损害数据所有者的权益。

1.5大数据安全密码效率很低

在大数据与云计算深度融合下,组织机构通过公有云或混合云传输和处理数据存在云服务商能接触或篡改用户数据。但目前针对云环境下大数据密码運算或者海量数据的密码运算的密码算法都还在研究发展中,传统的数据加密已左右支绌。

2 数据安全能力框架

从徐玉玉到今天的Facebook,我们可以预见未来几年数据泄露事件会成倍增长,除非我们能保障数据源头安全。所以在大数据时代下,如何有效地对一个组织机构的数据安全保护能力进行评级就是一项非常迫切的首要任务。

2.1数据安全能力成熟度模型

数据安全能力成熟度模型DSMM(Data security capability maturity model)主要借鉴能力成熟度模型(CMM)思想,围绕六个数据生命周期主线,从组织建设、制度流程、技术工具、人员能力四个安全能力维度,针对组织机构的数据安全能力进行评级,数据安全成熟度模型有以下五个成熟度等级:(1)级非正式执行级;(2)级计划跟踪;(3)级充分定义;(4)级量化控制;(5)级持续优化。组织机构首先应根据自身数据安全管理需求,明确其数据安全能力的目标成熟度级别。

2.2数据安全过程域体系

如图2所示,DSMM安全过程域体系包含40个安全过程域,覆盖了数据生命周期各个阶段,其中数据生命周期通用安全的16个过程域和数据生命周期各阶段安全的24个过程域。DSMM标准采用“木桶效应”的方法对组织机构的数据安全能力成熟度等级进行等级评定。

3 DSMM数据安全能力评估实践

根据对组织机构整体的数据安全能力成熟度级别的定义以及组织机构数据安全管理需求,组织机构应首先明确其数据安全能力的目标成熟度级别,可以选择适合自己业务实际情况的短期目标和长期目标,通过进行安全能力评估,识别数据安全能力现状并分析与目标能力等级之间的差异,在此基础上进行数据安全能力的整改提升计划。具体DSMM数据安全评估实践如下:

3.1测评启动

该项工作是DSMM测评的基础工作,需确定测评的对象和范围,做好工作实施相关准备,执行概要调查和制定工作计划。1)首先了解测评目标,明确测评对象,确定工作范围;2)组建团队明确分工,提出材料需求,准备软硬件工具;3)开展系统调查,通过对信息系统的业务目标、数据范围、体系结构等内容的分析,初步了解项目风险;4)制定工作计划,获得双方高层批准和支持,启动测评。

3.2材料评估

该项工作是DSMM测评的必经步骤,通过对测评对象的深入分析,整理出其数据生命周期相关阶段,分析有关过程域,指导后续测评。1)系统分析,从业务、系统及数据角度分析系统功能、架构、涉及人员及供应链情况;2)从数据描述、数据分类及生命周期对数据进行梳理;3)对基础安全过程域及数据生命周期阶段过程域分析;4)明确现场评估的过程域,制定现场核查方案。

3.3现场测评

该项工作是DSMM测评的关键工作,需依据现场核查方案对过程域进行核查,验证并确定过程域级别,对标执行差距分析。1)过程域核查,分析业务特点和数据安全属性,确定关键过程域PA(Process Area),依据基本實践BP(Base Practice)和通用实践GP(Generic Practice)确定核查细节,确定相关业务、监管和保障等部门和相关人员;2)级别确定,通过现场人员访谈、文档审核、配置检查及工具测试等方式,并将采集和检查结果记录在现场检查表中,并确认过程域是 否满足相应级别;3)风险分析,从组织、制度、技术和人员列出不满足点查找差距,分析安全风险,提出整改建议。

3.4 报告编制

该项工作是DSMM收官工作,在对初步测评报告的沟通改进后,编制报告终稿 ,明确测评结果并向双方高层汇报。1)报告编写,基于现场采集的相关证据和记录的检查表,编写评估报告;2)检查汇报,由双方人员共同确认评估结果是否准确无误,符合组织机构的数据安全现状,并向双方高层汇报。

3.5风险控制

该项工作是DSMM测评过程中的重要工作,除项目人员、财务等项目管理措施外,在测评过程中,还应采取以下风控措施:1)测评前签署委托测评协议及保密协议;2)测评中做好现场测评授权书、文档记录及签字、备份重要系统及数据、应急处理预案、避开业务高峰期,避免因测评工作带来的安全风险;3)测评后做到资料归还,测评现场还原。

4 数据安全保护能力评估实践实施中的难点

目前数据安全保护能力评估DSMM应用涉及了金融、零售、制造、电力、互联网+等产业领域,阿里巴巴作为DSMM主导者,正在向推动国内企业数据安全能力构建方面不懈努力。

在数据安全保护能力评估实践中,数据安全能力评估工作难点除了源于技术方面外,在项目管理和人员配合方面也会存在较多困难,比如高层支持力度不足,致使测评实施中项目资源、项目推进力度以及协调力度易受阻;其次被评估的组织机构各部门配合不融洽,各部门总体前瞻性较弱,仅认为该评估工作是组织机构的合规性需求,未能理解数据安全是组织机构的重要核心竞争力,同时各业务部门认为该项工作是安全技术部门的任务,致使测评实施中各部门配合不融洽,响应被动,现场测评沟通不畅。所以在数据安全能力评估工作一定要获得双方高层的支持与批准,在测评现场适时寻求高层支持、确保高效沟通与技巧以及严格的项目管理也是数据安全能力评估工作的重点。

参考文献:

[1] 李克鹏,梅婧婷,郑斌,等.大数据安全能力成熟度模型标准研究[J].信息技术与标准化,2016(7):59-61.

[2] 赵金先,范轲,王苗苗,等.工程项目施工风险管理能力成熟度应用研究[J].工程管理学报,2017,31(1):134-139.

[3] 杜跃进.数据安全能力将成为大数据时代的重要竞争力[J].中国信息安全, 2017(5):72-75.

[4] 郑斌.企业数据安全能力框架——数据安全能力成熟度模型的构建及应用[J].信息安全与通信保密,2017(5):72-75.

猜你喜欢

数据安全
高速公路ETC用户隐私数据安全保护策略
我国5G数据安全保护供给不足,“四步”拉动产业发展
云计算中基于用户隐私的数据安全保护方法
建立激励相容机制保护数据安全
大数据云计算环境下的数据安全
大数据安全和隐私保护技术架构研究
实时数据库系统数据安全采集方案
云环境中数据安全去重研究进展
数据安全重删系统与关键技术研究
大数据安全搜索与共享