不知大家是否注意到这样的现象:虽然我们近年来不断增加对于信息安全的重视和投入,但是安全攻击与破坏事件却屡见不鲜。且不谈攻击者如何“不讲武德”,我们是否过度地通过硬核技术的堆砌,盲目地为数据与信息安全打造铜墙铁壁,却反而忽略了构建和实施具有本企业针对性的数据安全体系,从而将其放入了一个未知的“盲盒”中。
本文将以尤其注重数据安全的咨询业为例,按照“人、货、场”的思路,有的放矢地和您讨论,如何以数据中心,调动不同人员的职能,在具体的使用场景中,逐步构建并做实安全体系架构,以促进数据在企业中的良性内循环与“保值”。
为了方便大家理解和掌握,我为该体系架构拟出了如下二十四字口诀:“找对人 - 认清物 - 细分类 - 赋权值 - 分等级 - 辨风险 - 定规则 - 审管理”。下面让我们来逐条进行探讨与研究。
找对人
我们可以根据企业当前的组织架构,以数据为中心,定位各种职能部门、以及包含的角色,并按需明确他们的职责。其中包括:
- 决策人员
- 对整个组织负责,制定符合法律、法规、以及行业规范的数据安全管理战略、目标和总体要求。
- 指派、授权和指导合适的管理人员,开展日常数据管理工作,批准管理人员制定的各项数据安全策略。
- 对审计人员反馈的问题进行问责和督导解决。
- 管理人员
- 根据企业具体业务的发展或当前项目的特征,制定数据处置的具体执行步骤。
- 定期向决策人员汇报数据管控的态势。
- 对执行人员的日常实际工作进行检查和指导。
- 配合审计人员顺利开展审查工作。
- 执行人员
- 具体实施和执行数据安全的日常工作。
- 定期向管理人员汇报安全态势以及各类事件。
- 接受和配合审计人员的监督和审查。
- 外包人员
- 按照既定的合同,提供约定的产品或服务。
- 定期向管理人员汇报执行的结果,及时沟通任何意外状况。
- 最终用户
- 按照既定的处置策略使用软、硬件、及数据。
- 及时报告面临的各项数据问题。
- 接受和配合审计人员的审查。
- 审计人员
- 对管理人员、执行人员、以及最终用户的日常工作进行监督和审查。
- 将检查结果反馈给决策人员。
- 跟踪审查问题的解决情况等。
下图展示了这六种人员角色之间的关系:
当然,上述人员角色是比较典型的组织架构。您也可以灵活地根据新的业务需求,临时规划和设计出针对特定意图的专项小组,及时协调,构建,改进和保障某个特定业务服务,在落地过程中的数据安全水平。
认清物
找对了人,我们就可以通过与不同人员的交流,获悉他们日常接触到的各种软、硬件介质。我们通常以数据为原点,认清那些存储着静态数据的有形硬件设备,处理着实时数据的软件应用,承载着动态数据的网络,包含着结构化数据的数据库,存放着非结构化数据的云平台,以及被用于持续读写数据的文件系统服务器、以及用户各类终端等数据资产。
同时,为了全面、完整、直观地梳理出不同数据资产的相互关系,充分利用和发掘数据的价值,以利于决策,我们需要在逻辑关系上,对IT资产所隶属的部门、项目组等属主类元信息(Metadata),进行发现和完善,构建出以节点、属性、流转方向为网结状结构的关系图表。
此外,在实际梳理的过程中,我们可以采用射频识别(RFID)、以及二维码(QR code)等技术,运用“自动化工具发现 + 人工录入 + 二次审核”的循环流程,对现有IT资产进行持续标记与采集。
细分类
在识别了各种有形的硬件设备与无形软件系统之后,我们需要通过手动或自动化的管理工具,以制表或建库的形式,对它们进行分类。在此,我们可以参照ISO27001里提到的如下安全分类方法:
当然,在实际操作过程中,我们也可以从业务的角度出发,按照项目种类、客户类型、利益冲突、甚至是领域互斥性等维度,进行分析与划分。我的经验是:细分的深度不宜超过三层,类别不宜超过二十种。
赋权值
在完成了资产的梳理和分类之后,我们可以从信息安全的经典理论出发,充分考虑资产在其机密性(C)、完整性(I)和可用性(A)缺失的情况下,可能给企业带来影响程度,对每一项IT资产的C、I、A三个维度赋予相应的数值。在此基础上,我们进而基于如下的公式,计算出资产的权重值(V):
分等级
既然给数据分配了价值,那么我们就可以进一步掌控哪些数据需要被加密存放,哪些数据在使用后需要立即清除,哪些数据仅能在内部被受限制地使用,哪些数据可以被直接对外开放。为了达到此类效果,我们就需要进一步对数据、及其对应的介质进行分级。
在具体实践中,我们可以根据本企业的习惯与偏好,设定不同的权值区间。在此基础上,我既可以简单地划分出:“高、中、低”三个安全级别,又可以采用:“绝密、机密、隐私、敏感、公开”等复杂的分级标准。最终,我们还需要以物理或逻辑标签的形式,来标识对象的准确密级。
值得一提的是,在一些保密性要求非常严格的场合,我们甚至需要对某些结构化数据表中的字段,非结构化数据域中的键/值(K/V),以及某个介质对应的属性标签里的元信息,进行不同安全级别的区分。
辨风险
对于资产的分类、分级,我们在前面主要梳理的是对象自身的安全性。由于这些对象持续被使用或提供服务,因此我们需要识别出它们所在企业运营环境中的各种外部威胁、以及内部弱点等方面。通常我们需要通过如下四步走,来辨析存在的风险:
- 收集与识别:根据过往的记录、以及业界经验,召集上述不同角色的人员,使用头脑风暴、互动访谈、矩阵与图表分解等方法,识别目标资产在现有环境中的风险特征。例如:
- 技术层面上 - 软、硬件介质的故障与损坏、应用系统的自身缺陷、恶意软件的死锁、以及网络上的各种拒绝服务的攻击等。
- 支撑系统层面上 - 机房停电、办公区漏水、以及运营商网络中断等。
- 人为层面上 – 访问挂马的网站、各种操作性的失误、以及文件数据被误改或篡改等。
- 管理层面上 – 人员意识的缺乏、处置方式的错误、以及规章制度的不完善等。
- 分析与评估:运用定性/定量等不同的方法,对已发现的风险从程度、范围、以及可能性三个维度进行评估与排序,进而得出风险等级矩阵。在实际中,我们可以参考如下的界定标准进行风险的量化:
- 损害的程度 – 轻微、一般、较大、严重、特大等。
- 影响的范围 - 整个企业、所有外部客户、多个分站点、某个部门、部分系统、单个服务等。
- 发生的可能性 – 可考虑物理与逻辑上所处的区域、自身的容错能力、等级保护与合规的达标情况等。
- 应对与处置:如前所述,我们需要根据本企业的风险偏好(即风险接受能力),在通用的风险减轻、转移、规避、以及接受等处置方法中进行选择,并予以应对。其中,我们需要对如下两个方面引起重视:
- 根据木桶原理,我们应当注意处置措施的一致性,以免出现局部“短板”。
- 在分清风险的所有者、以及控制实施者的基础上,兼顾时间、预算等成本,灵活增减各项管控策略。
- 监控改进:通过运用持续监控与跟踪事件等方式,我们既能够以“增量”的方式识别出新的风险;又能够在现有“存量”上获悉管理的效果,以及残留风险的态势,进而提出纠正或改进的计划。
总之,我们可以从“知己”的角度出发,进行业务影响分析(BIA),同时从“知彼”的方面,借用各种风险评估(RA)的方式,确保风险管理的落地,并为必要时的全面复盘做好基础性的准备工作。
定规则
当然,前面的风险识别与管控,主要还是由决策人员和管理人员共同完成的。而对于执行人员与外包人员而言,我们需要通过一套完整的规章制度,来指导他们的日常工作,并规范他们的数据处置行为。也就是说,作为安全体系中必不可少的一部分,企业需要制定出全面、适当、明确的安全执行方案和标准,以妥善管控企业内部的信息、以及流入流出的各种重要数据。同时,我们也要确保整个运营过程,能够持续遵守所在地区的法律、法规。
为了让大家有个直观的概念,下面我列举出本企业正在恪守执行的典型数据系统管理与实施细则:
硬件
- 用户电脑
- 仅使用安装了企业统一化的定制操作系统镜像,访问并处理工作中的相关数据。
- 通过组策略(Group Policy)禁止用户擅自修改系统环境与安全设置,并启用无使用时的自动锁屏等功能。
- 禁止用户修改浏览器的代理、隐私等安全设置。
- 预安装恶意软件防护工具,并使用户无法禁用其守护进程。
- 普通用户登录账户不应具备本地管理员权限,既无法写入或修改系统注册表,也无法将电脑退出或修改企业的域控。
- 通过管理工具对用户电脑进行统一的更新、修改和信息收集。
- 通过启用硬盘加密功能,来保证设备在丢失或被盗时,文件的机密性得以保障。
- 服务器
- 统一安装企业定制的、满足安全基线的操作系统镜像。
- 预安装企业级恶意软件防护工具,并实现集中化的管理和更新。
- 通过删除和重命名默认管理员帐号等方式,来加固服务器。
- 通过管理工具对服务器进行统一的更新、修改和信息收集。
- 移动设备
- 任何移动设备都必须通过认证,方可连接到企业邮箱。
- 可通过移动设备管理(MDM)系统,远程锁定或擦除丢失设备上的数据。
- 默认启用自动锁屏、强锁屏密码等安全策略。
- 机房
- 安装能够保持常锁状态的门禁系统,且开锁的权限仅限于部分人员。
- 进出机房要有记录。
- 机房应配备有架空防静电地板、7×24小时空调、不间断电源、以及安全摄像头等。
- 对于托管类数据中心,应参照ISO27011的相关标准,配有7×24小时监控、双路供电、以及主从DNS的双线制等,ITIL服务类型的管理。
软件
- 应用程序
- 针对不同的应用程序,设置不同的用户和组别,以及不同的访问权限。
- 通过单点登录(SSO)来统一各种应用,以实现用户账号权限的自动匹配。
- 根据程序的功能和使用的范围,拟制所有应用的全量列表,其中包含:类别、基本描述、版本号、许可证、获取方式等信息。
- 通过工具绘制某类数据在内部各个应用(或系统)之间进行流转的用例图(如下图所示)。
- 文档及其管理平台
- 建议将工作相关文档存入指定的共享目录,而非用户电脑的本地磁盘;将客户或特定项目的相关文档导入特定的协作管理平台。
- 文档在存储过程中,除了指定其公开(Public)或私有(Private)属性外,还应当对具体用户和组别,指定“读、写、改、删”等细粒度权限。
- 通过管理平台,持续记录并保存用户的各项操作日志,并能够对不合规的行为予以警告。
- 邮件管理
- 对出入本系统的邮件配置防病毒、防恶意软件、反垃圾邮件、黑/白名单、加密归档等服务。
- 对邮件的PC客户端、移动端、以及基于网页的邮件访问方式等,启用安全设置。
- 禁止用户通过手动、或自定义设置规则进行批量转发。
- 通过SaaS服务等方式,保持邮件系统在断网情况下的可用性。
网络
- 连网方式
- 发现并绘制详细的网络连接设备与端口状态的拓扑图。
- 对各种网络连接设备采用统一化的配置模板,并对各个设备的配置进行集中式备份。
- 划分仅供外部用户以安全套接层(SSL)方式访问的DMZ区域与资源。
- 在网络边缘与接入处,对出入向数据包执行内容扫描,请求特征分析,策略合规判断,以及跟踪记录等操作。
- 无线连接
- 提供全覆盖的统一ID和企业版加密连接控制。
- 允许域账号通过无线网络访问企业资源;而非域用户仅能访问公共的资源。
数据
- 对本地和云端存储空间实施逻辑隔离,确保数据的物理存放符合所在区域的本地法律规范。
- 按需对测试、共享、以及发布类数据进行脱敏(Data Desensitization)和加噪,并按照ISO/IEC 27018的相关标准,保护数据隐私。
- 对静态存放与动态流转的数据,按需采用企业级的加密标准(如:AES 256 bit和TLS v1.3),并对归档数据实施恰当的留存与销毁策略。
访问
- 访问账号
- 通过基于角色的访问控制(RBAC),来实现最小特权(LUA)管理。
- 执行人员仅使用特殊账号进行运维与管理类操作,以方便跟踪和审计。
- 按照职权分离(SoD)和须知(Need to know)的原则设定不同的用户组。
- 对所有账号统一采取强密码策略。
- 远程接入
- 统一采用多因素的访问认证方式。
- 允许任何设备接入基于网页的远程桌面与应用;仅允许本企业移动设备连接虚拟专用网。
- 为外包人员提供特殊账号、受限的虚拟专用网连接、以及必需的应用。
- 协作平台
- 以集中化管理的协作平台,实现内、外部人员的沟通、协作、以及文件交换。
- 使用统一的内部平台,实现对所有的事件、问题、请求、以及变更的管理。
- 使用统一的资源平台,实现对各类客户,以及项目进度的跟踪与管理。
防御
- 以服务级别协议(SLA)的方式,制定完备的备份与恢复策略,以及恢复点(RPO)和恢复时间目标(RTO),并将备份介质离站放置。
- 使用安全信息与事件管理(SIEM)系统对日志予以集中和分析。
- 监控各种网络设备和服务器硬盘的使用率、以及在线状态等指标。
- 制定并定期更新应急响应流程,组织相关人员进行演练。
- 定期对软、硬件进行渗透测试,对人员进行社会工程与邮件钓鱼等安全意识测试。
可见,上述细则涵括了硬件、软件、网络、数据、访问、防御,六种企业里最常见的数据流转领域,以及各类人员能够频繁接触到的场景。
审管理
常言道:“三分技术、七分管理。”前面我们通过理论和技术的介绍,为前四种角色人员,分步骤展示了基本的安全体系结构。而对于最终用户和审计人员来说,则需要通过如下方面,培养自己的安全意识和基本应对能力,并且据此来指导日常的各项工作。
- 定期以海报、电子邮件、速查手册、以及面对面技能培训等方式,来参与并获取安全与风险意识。
- 禁止安装并使用那些非企业认可的社交账号、即时通讯软件、以及在线文件平台。对在各大平台上发布、转发、披露本企业数据和敏感信息的行为,进行规范、限制和监控。
- 定期执行和参与内、外部审计,重视审计中发现的问题,并及时整改。
- 接受上下游合作商、以及由客户所主导的,参照《通用数据保护条例(GDPR)》或《网络安全法》等法律法规,所开展的各类安全评审活动。
结语
掌握着各类敏感数据的咨询业,比其他领域更需要重视数据安全。通过上述针对安全架构的逐层讨论,希望您已经对其中涉及到的人、货、场等方面有所了解。当然,理论概念是需要实践和落地的。如果我们只注重技术的堆砌,而与业务脱钩,那么将会沦为疲于捡漏、甚至消极应对。因此,让我们以上述要点为参考,制定出属于自己企业与行业特点的可实现安全体系,一边搭建一边改进,不断迭代。常言道:“与其临渊羡鱼,不如退而结网。”让我们撸起袖子,下场搏击吧。
