数据安全复合治理实践与治理科技
近年来,以数据为关键生产要素的数字经济蓬勃发展,在给人们生产、生活带来便利的同时,数据泄漏、数据滥用等数据安全事件也频频发生。数据安全风险与日俱增,对国家安全、社会稳定、组织权益、个人隐私安全都造成了严重威胁。国家层面陆续出台了《网络安全法》《数据安全法》《个人信息保护法》等基本法规,并制定了一系列配套政策法规、标准规范等,加强对企业在数据安全工作中的国家监督、政策保障与行政指导。同时,越来越多的企业和组织也充分意识到数据安全治理工作的重要,在数据安全治理体系建设与治理实践方面进行了诸多探索,沉淀了一定程度的治理经验和能力,但由于数据安全与实际业务结合紧密,因此企业和组织在开展数据安全工作时,需要一套安全与业务复合、管理与技术复合的复合治理模式。
一、数据安全复合治理模式
数据安全复合治理模式,强调系统性、落地性,对治理框架搭建中战略、管理和技术进行统筹规划设计,形成基线设定、心智运营、原生设计、安全度量、可证溯源、红蓝对抗、测评认证等丰富的治理环节,强化治理过程中的联动,将安全与业务复合、管理与技术复合,发生化学反应,形成有机整体,充分发挥复合协同效能。数据安全复合治理模式的特点可以概括为:战略层面要求战略要位,运营管理层面强调实战牵引、全员参与,治理科技层面强化技术破局。
战略要位,强调从战略高度明确数据安全对于组织生存发展的重要意义,完善数据安全顶层设计,形成组织层面对于数据安全重要性和必要性的一致共识,并明确数据安全第一责任人机制和管理部门对数据安全行为的奖惩权责。其次,应制定完备的管理制度和规范体系,实现安全要求清晰明确、安全治理有章可循。同时,应建立由上而下、覆盖全员的数据安全治理组织架构,并通过设立数据安全接口人等创新机制进一步加强各层级、各部门的沟通协调与工作协同。此外,应重视对技术研发进行科学规划、持续投入和资源保障,推动重要技术落地应用。
实战牵引,强调实战化红蓝对抗、头部风险治理和管控效果的精确度量来牵引整体治理工作落地。全员参与强调丰富、活泼的心智运营活动设计,充分调动全员主动参与积极性,实现不同特点人群的精确触达。复合治理模式下的数据安全运营管理以可执行安全基线、互动式心智运营、原生式数据保护、多视角安全度量、可自证溯源处置为基础,结合内外部测评认证与红蓝演练的全局机制,搭建起丰富的数据安全治理环节,并强化治理过程中各环节之间的串联、互补、联动与反馈,实现治理能力的复合叠加、持续优化。
技术破局,强调依托系统、算法、数据和产品方面的科技能力创新,实现新形势下针对无法通过人工、协议达成数据安全治理目标难题的破局,促进数据安全治理工作的提质增效。复合治理模式下的数据安全治理科技以安全平行切面、密码基础设施、安全可信环境、终端安全等系统能力,数据识别、数据血缘图谱、异常访问检测等算法能力,以及准实时精准检索、压缩索引、异构数据提取等数据能力作为底层基础能力,从全息资产画像、深度安全防护、智能安全运营、隐私保护与隐私计算等领域构建全方位、体系化的产品能力,为数据安全复合治理提供技术支撑。
二、数据安全治理科技能力
对文件数据中的敏感信息,蚂蚁集团通过全息资产画像、数据流转链路刻画等安全科技能力,对文件中的敏感数据识别和流转链路进行刻画,并结合文件画像和分发态势等数据,对异常下载与分发等行为进行识别管控。
在数据治理实践过程中,蚂蚁集团逐步打磨沉淀了安全治理科技能力,包括全息资产画像、数据流转链路刻画、安全平行切面等技术。
全息资产画像,关注数据资产的识别和数据的分类分级问题,通过对数据实体-关系-行为的 ERB 数据集市构建,以及数据自动扫描识别和分类分级,为数据安全治理提供数据资产管理的基础能力。全息资产画像的基本框架可划分为数据底盘层、数据能力层和数据分析应用层三个层次。数据底盘层是全息资产画像的基础,主要功能是构建资产实体(Entity)-资产关系(Relation)-资产行为(Behavior)的 ERB 数据集市,为数据能力建设提供基础输入,资产通常包括数据资产、数据可能流经的应用资产和基础设施资产等。数据能力层是全息资产画像的核心,聚焦于对资产认知能力的建设,包括数据分类分级和资产知识图谱的建设。数据分类分级依托于数据自动化扫描和检测能力,对数据资产进行定期扫描巡检,并利用规则匹配和机器学习等方法,自动检测敏感信息。结合数据所有者、业务属性、数据血缘等信息,参照数据分类分级管理要求,对敏感信息进行定级。通过构建数据资产与数据使用方之间的联系,推动数据使用方在数据使用过程中(如数据资产上架、权限申请等环节),对分类分级结果进行主动反馈,进一步提升敏感数据识别与分类分级的准确性。在数据分类分级基础上,通过建立数据与数据处理过程中涉及的 IT 资产、人员之间的关系,并结合资产的业务归属、加工逻辑等构建资产知识图谱,获得对资产更完整的认知能力。分析应用层是以产品化应用的方式提供数据资产管理的技术能力。通过提供数据资产定位、画像查询、关联分析等功能,保障数据按照分类分级的要求进行安全管控,并为异常感知、溯源分析等场景提供有效支撑。
数据流转链路刻画,关注数据资产内外部流转的链路构建和流转态势刻画,并将刻画结果用于风险治理等场景。数据流转链路刻画技术的基本框架可分为链路构建层、链路态势层和链路应用层三个层次。链路构建层是基于网络流量、数据调用日志、应用日志等基础数据,对流量进行解析,构建数据流转端到端的完整链路。同时,结合全息资产画像的数据资产识别与分类分级结果,对流转链路中数据内容进行刻画。链路态势层是在端到端数据流转链路和流转链路中数据内容刻画的基础上,分析数据流动的宏观及微观态势,宏观层面主要刻画数据在内外部的流动态势,微观层面提供基于表字段、应用接口、数据使用方的调用时序与调用关系明细。此外,可以在链路态势层提供链路态势的可视化和分析能力,实现数据流动的清晰可见和交互分析。链路应用层是以产品化应用的方式提供数据流转链路刻画的技术能力。基于链路与态势刻画的结果,可以开展数据使用合规评估与风险治理等工作,包括数据未授权使用、数据滥用、数据超范围输出、数据遍历、明文传输、鉴权缺失等重点风险。
安全平行切面,从网络、终端和应用的纵深化、全方位视角,将通用的数据安全能力横切入网络、终端以及应用的数据交互中,既实现了数据安全能力的融合,又保持了各自业务逻辑的独立性。安全平行切面为数据安全保护提供了三方面的重要能力。首先,在网络、终端和应用中部署安全平行切面,可提供多维度、多层次、包含业务调用链路的风险感知能力和安全处置能力,实现数据安全与隐私合规风险的纵深防御。其次,可实现安全能力的统一注入,不需要网络设备、用户终端以及业务应用较高成本的适配,保证安全能力独立配置、独立升级。在安全应急、风险治理等场景下,通过安全平行切面可以快速完成网络、终端、应用的风险阻断和安全加固。第三,安全平行切面可以采集网络、终端、应用各层面的上下文信息,为安全决策和事件处置提供丰富的场景数据支持。特别是通过应用切面,可以收集准确的应用间敏感数据调用链路、应用对数据源的读取和写入等敏感操作行为、网络和文件操作以及终端和服务端之间的远程调用通信等,实现对所有调用行为的识别和追溯,实现细粒度的管控逻辑。安全平行切面可以划分为三类,即网络切面、终端切面和应用切面。
三、从办公场景看数据安全治理实践
以办公场景数据安全治理为例,应从体系层、能力层、运营层等三个层面开展治理能力的综合建设。
首先,应制定针对办公数据安全的安全规范体系,包括各类安全红线和基线要求,覆盖办公场景下的数据采集、数据查询、数据使用、数据分发、数据外发等环节,以及覆盖员工、敏感岗位、高风险人员等不同群体。同时加强对办公数据安全规范的心智教育,利用培训考试、违规案例警示等方式,提升心智教育的实际效果,加强各人员群体对办公数据安全红线要求、基线要求、违规责任与处罚措施等的认知。
其次,根据办公场景下的数据使用和流转特征,及数据安全保护需求,对办公数据的资产刻画、流转链路、安全加固等能力进行设计和集成。根据办公场景下不同岗位类型、人员类型和接触数据的敏感程度,设计差异化的安全策略和管控流程。利用全息资产画像、数据流转链路刻画等能力,对办公场景下的敏感数据使用和流转链路等进行分析、识别。结合对不同人员群体的终端监测、敏感数据访问操作记录、审计记录等信息,对办公场景下的人员安全水位和数据安全风险进行持续监测与度量。基于安全度量、安全策略、安全审计等措施对发现的数据违规访问和操作行为等进行处置,并结合安全审计等措施加强对人员违规操作和行为的问责和处罚。
最后,还可设置针对特定角色、岗位和权限人员的专项认证,以及面向重点办公应用的业务认证,推动办公数据安全能力的建设。针对办公场景下的数据外发、数据下载、信息发布、权限审批、流程审批、钓鱼邮件、勒索病毒等重点风险场景,开展面向不同人员角色的红蓝演练,促进办公数据安全能力的持续提升。
办公数据安全治理的一个难点和痛点问题,是如何从各种格式的文件和数据中识别敏感信息,并通过对使用链路的管控防控数据的外泄风险。如果无法识别敏感信息,会导致管控过严影响办公效率,或者办公数据外发管控失效,不能做好工作效率和风险管控的平衡。
四、数据治理任重道远
面对日趋变化的内外部环境和复杂数据应用场景,数据安全治理形势严峻,任重而道远。面对很多企业和组织在数据安全治理中缺乏治理经验和能力的现状,蚂蚁集团希望能将沉淀的治理经验和科技能力惠及更多有需要的企业,与更多企业一起为数据安全治理贡献力之所及;携手生态合作伙伴,帮助更多有需要的生态伙伴提升数据安全水位和治理能力。数据安全治理需要博采众长、集思广益,通过加强企业和组织间的经验交流,取长补短,共同推动数据安全治理工作的持续开展与能力提升。
