企业数据安全治理中的数据资产梳理工作分析
2021-11-22丁城峰汪永远祝玉帅
丁城峰,汪永远,祝玉帅
(国家管网集团西部管道有限责任公司,乌鲁木齐 830013)
0 引言
随着企业数字化程度加深,数据成为企业重要的信息资产,是推动业务发展的重要原生动力[1]。国家层面强调要切实保障国家数据安全,加大关键信息基础设施保护力度,强化国家关键数据资源保护能力。以能源行业为例,大型企业在网络安全方面已采用多种安全控制措施,如身份认证系统、网络防火墙等多种安全软硬件设施,但在数据管理及安全方面还面临着诸多问题及挑战。
1 企业数据安全治理面临的挑战
为能系统解决企业的数据安全问题,有规划地实践数据管理理论,企业开始逐步从根本上开展数据安全治理工作,其首要工作是依据相关数据管理制度梳理数据,明确需要保护的数据对象。
1.1 数据合规性安全管理措施势在必行
《数据安全法(草案)》中明确提出相关部门需执行数据分类分级工作,将数据“一旦遭到篡改、破坏、泄露或者非法获取、非法利用”所产生的危害程度作为分类分级的原则性标准。在法律法规的要求下,企业在扩展各项业务的同时,对数据安全的管理也日趋严格和规范,石油石化、电力和金融等行业都建立了相应的商密分类分级保护目录,为数据安全保护提供了制度保障。
1.2 海量数据梳理需要管理与技术手段齐下
各企业尤其是大型央企的数据业务类别多、数据量大,业务人员无法快速根据标准鉴别哪些是敏感数据。因此,企业需要根据业务数据情况建立更为细致的分类、分级流程规范和实施指南,并以技术手段和信息管理平台为支撑,从管理及技术层面强化数据分类分级制度的实施。
1.3 数据从静态管理到动态管理逐步深化
对数据的梳理和管理不仅需要依据标准,明确产生、存储的产生位置和涉密等级,形成数据资产目录,还需要对数据访问状况、风险情况进行分析,通过实施监控方式,掌握数据资产的动态变化,及时评估数据安全风险,执行数据安全保护措施。
2 数据安全治理与数据治理
企业的信息化、数字化程度越深,积累的数据越多,数据资源就越丰富。为了将不断增长的数据转化为更有价值的数字化资产,进而成为企业的战略资产,有效的数据治理是必经之路。
2.1 数据治理与数据安全治理的关系
数据治理包含数据安全治理工作,两者存在较大区别。提高数据的质量是数据治理工作的关键,对企业数据进行分级分类管理,执行对数据的合规安全访问策略和安全措施是数据安全治理工作的重点,其主要任务则是完成对企业数据访问的安全策略的分级分类[2]。数据治理则围绕元数据展开。因此,数据的梳理、数据分级分类目录的建立和数据资产分布情况的确认是数据治理的重要工作环节。
2.2 数据安全治理组织与技术支撑
对数据安全的管理和保护离不开人员的组织与实施,组织体系是数据安全保护工作最重要的部分[3],相关工作人员可利用技术手段辅助各阶段工作。例如,在安全策略制定前,相关工作人员在进行数据梳理时,应实现对数据的动态及静态梳理;在数据使用管控过程中,相关工作人员可对业务、运维、测试的访问安全进行管控;在后期对数据安全治理工作进行审核时,相关工作人员可对操作行为、权限变化进行监控、审计与分析。
3 数据资产梳理
企业为实现数据安全策略和流程的制定,形成数据安全管理规范,需经历数据安全治理的过程,数据资产的梳理是该过程的第一步,梳理的流程如下:①收集汇总企业所需遵循的内部合规性政策、标准及法律法规等信息,分析其中和数据安全管理相关联的内容;②根据企业的业务特性,制定数据分类分级标准,分析数据价值,梳理数据资产;③根据数据全生命周期的关键节点(收集、存储、使用、流转),梳理核心数据资产的安全状况;④掌握数据资产的基本情况,并对信息进行集中采集管理,进一步分析数据资产可能面临的威胁和使用风险;⑤对核心数据资产制定安全管控策略,设定访问控制的目标,升级安全管控手段。
3.1 天然气管道企业数据的分级分类
相关工作人员应依据相关数据分级分类标准对数据进行梳理分类,对不同类别、不同敏感级别的数据采取不同的保护策略,实现资源最优化,在数据的安全管理上实施更加精细的措施,使数据在共享使用和安全使用之间保持平衡。
3.1.1 建立数据分级分类标准
数据分类:相关工作人员应结合实际业务,了解数据的来源,识别其内容,分析其产生及使用的位置及目的,对数据进行分类。
数据分级:相关工作人员可按照安全保密的要求,在数据分类的基础上,区分不同数据的保护目标,从保密性、完整性、可用性及验证的角度分析内容敏感程度[4]、具备的价值和发生外泄后产生的影响,并对数据敏感级别进行划分。
3.1.2 数据分级分类的感知及管理手段
相关部门应对数据资产做统计备案,由业务部门确认分类后的数据,然后由保密部门对分类的数据按照商密、内部、公开及敏感等级别区分,同时分级分类标记敏感数据,将敏感数据的相关基础信息,如归属组织、产生事件、保密期限等信息统一数字化管理。
以天然气管道企业为例,企业内相关工作人员可根据业务领域不同,将综合办公、规划计划、财务、人事、法律事务、科技管理、招标采购、油气管道、工程建设及生产运行等数据分类,分为商业秘密、内部资料。其中,商业秘密包含普通商密、核心商密。此外,每一个分类里的事项要经过业务调研细化,并明确事项产生的部门、知悉范围等。
3.2 数据资产及使用状况的梳理
数据资产的梳理应覆盖数据全生命周期,以掌握数据的所有者、使用者、存储分布的位置等信息。
3.2.1 使用数据的组织和角色梳理
相关工作人员应保障数据在使用过程中的合规性、安全性,明确数据的存储方式,掌握数据使用方的情况,并对数据的访问客体、行为进行审核,还要配套相关的管理文件作为约束。
3.2.2 数据的存储与分布梳理
对敏感数据的定位是管控敏感数据的关键。相关部门应掌握敏感数据的存储位置,对文件服务器及数据库采取不同的管控手段,尤其对数据库应采用细颗粒度的管控方式,可具体到某张数据表、某个字段。如此,相关工作人员对数据的访问、运维才能做到精细化、有针对性地管控;关于数据的导出,相关工作人员要考虑数据的敏感性,平衡使用和保密之间的关系,适当对存储的数据采取加密手段。
3.2.3 数据的使用状况监测
相关工作人员在掌握了数据的存储分布情况后,还要监控数据的流动情况,掌握业务系统访问数据情况,目的是制定适合的访问控制权限及管控措施,规范业务系统的使用,记录并审核数据访问行为。
4 数据资产梳理的辅助技术工具
企业数据资产梳理工作是一项长期、烦琐的工作,如果仅依靠人工梳理,则有很强的不确定性。因此,需要结合辅助工具,使数据资产梳理工作有序开展,降低工作的盲目性,增强数据梳理的准确性,提高数据管理的效率,高效应对安全事件,及时想出应对策略。辅助工具如下文所述。
4.1 扫描类工具
相关工作人员可通过扫描类工具对目标环境中的数据资产分布情况进行梳理,基于协议类型、端口的扫描手段梳理目标环境中数据存储信息,并通过对数据的敏感特征进行匹配技术,梳理数据库或文件服务器中存在的数据资产分布情况及数量。
4.2 流量分析工具
根据数据资产分布地图,相关工作人员可使用基于流量、协议、日志解析技术的分析工具,对资产使用情况进行梳理,审计记录数据访问行为,包括数据访问主体、访问对象、访问工具及过程和访问结果等信息,对数据访问审计记录进行综合分析[5]。
4.3 管理类工具
相关工作人员可使用管理类工具对数据分级分类标准作统一管理及下发,对使用扫描或流量分析工具获得的数据基础属性信息作统一管理、统计分析和展示,形成清晰的数据资产清单。
5 结语
数据的安全治理是企业数据精细化安全管理的趋势。基于国家数据保护相关标准和要求,企业在实施数据资产管理工作时应从数据安全治理的视角梳理企业的信息系统应用、数据、基础设施等资产,掌握数据使用情况,明确数据梳理的工作流程,并考虑辅助扫描、流量分析等手段获取数据资产信息,对信息进行分级、分类及标注,实现数据资产的整合、识别及管理,形成企业自己的数据资产目录、数据资产地图,帮助企业合理评估、规范及治理数据资产,并及时发现数据安全风险,采用有效管控手段。