静态数据生命周期 数据从生成到消亡有其自身特有的生命周期,我们称之为“数据生命周期”。
1.生成期 生成阶段包含Who(由谁生成)、When(生成时间)、Where(生成地点)以及How(如何生成)。显然,数据的生成无时不刻不在进行中,几乎无法通过人力进行干预。如果事先没有制定数据生成规则就会导致数据生成变得失控,从而严重影响数据使用的安全性。从数据安全的角度看,数据生成必须符合预期,任何非预期的数据生成都会严重影响数据安全。 2.活动期 数据生成之后可以被各种场景使用,包括查询、更新、聚合、复制等各种活动方式。不同数据的活动期周期差异度很大,但基本都体现为一定活动强度的曲线波动。活动期并不是任何数据都具有的,比如很多日志数据并不具有活动期,而是直接进入了归档期。任何数据的活动必须符合预期和规范,可以审查和追踪。 3.衰退期 当数据活动一段时间之后,数据的使用强度下跌,并开始进入逐步下跌的过程。衰退期往往经过多个阶梯式下跌阶段。进入衰退期后,数据活动日益减少,如果出现剧烈活动可能是非预期的,往往预示着数据价值的再发现或者数据安全性事件的发生。 4.归档期 当数据的访问进入非常稀疏的阶段,并且禁止数据被更新,该阶段被称为“归档期”。归档期的时间周期很漫长,往往依赖于法规遵循和归档成本的双重约束。数据存在着价值再发现的过程,归档期的数据可能存在再次进入活动期的可能性。归档的数据往往出现监视不足的问题,需要对归档数据进行周全的保护,并严格按照相关约束使用归档数据。 5.销毁期 当数据已经没有使用上的价值或者已经超越了法规监管的周期,这个时候数据需要被销毁,以降低成本和数据安全风险。从数据安全的角度看,销毁操作必须是符合预期的,不存在任何非预期的销毁操作。 动态数据生命周期 “数据安全能力成熟度模型”中还有另一种数据生命周期——动态数据生命周期,从数据处理的各个阶段来看待数据生命周期。其本质上是一种派生数据处理过程,只是借用了数据生命周期的概念而已。另一种数据生命周期包含六个阶段:
(1) 数据采集:新的数据产生或者现有数据内容发生显著改变或者更新的阶段。对于组织而言,数据采集既包含组织内系统中生成的数据,也包含组织外采集的数据。 (2) 数据存储:非动态数据以任何数字格式进行物理存储的阶段。 (3) 数据传输:数据在组织内部从一个实体通过网络流动到另一个实体的过程。 (4) 数据处理:组织在内部针对动态数据进行的一系列活动的组合。 (5) 数据交换:数据经由组织与外部组织及个人产生交互的阶段。 (6) 数据销毁:利用物理或者技术手段,使数据永久或者临时性的不可用的过程。 数据安全能力成熟度模型 “数据安全能力成熟度模型”从数据生命周期安全、数据安全能力和能力成熟度三个方面来构建。
(1) 数据生命周期安全维度:围绕数据生命周期过程,提炼大数据环境下,以数据为中心,针对数据生命周期各阶段的相关数据安全过程域体系; (2) 数据安全能力维度:明确组织在各数据安全域所需具备的能力,包括制度流程、人员能力、组织建设和技术工具四个关键维度; (3) 能力成熟度等级维度:基于CMM的分级标准,细化组织机构在各数据安全过程域中的5个级别的能力成熟度分级要求。 这里不对“数据安全能力成熟度模型”作赘述,大家可以参考相关文章来理解“数据安全能力成熟度模型”。 数据生命周期安全 无论是静态数据生命周期还是动态数据生命周期,其本质都在于以每条数据或者每个数据集合为观察对象,观察其在每一个活动阶段的行为和特征。数据生命周期安全则是从数据生命周期的观点出发,确保数据在数据生命周期的每个活动阶段的行为和特征是符合预期和符合数据本质。因此,数据生命周期为建设数据安全提供了一种方法论。 从数据生命周期安全角度出发,我们需要做以下几件事情: 1.认识数据 数据生命周期的基础在于认识数据,每条数据或者一个数据集合。在安全实践中,认识每条数据显然不具有可操作性,也没有太大的价值。基于分类的数据集合来认识数据是可以操作的,并能提供足够价值的数据认知。数据安全或者数据生命周期安全的绝大部分困难点都在于认识数据。 鉴于认识数据的复杂性,这里不展开论述。感兴趣的读者可参阅后续《数据治理驱动的数据安全》章节。 2.观察数据活动 数据的活动无非就是CRUD(Create创建、Retrieve查询、Update更新和Delete销毁),我们需要在整个过程中通过4W1H1R方法去观察和认知这些活动。
3.识别特征和违规 不同于传统网络安全的风险识别方法,数据生命周期安全则更多地从数据自身具备的特征来衡量数据的访问和使用特征,从自身的4W1H1R来特征化数据活动。当访问的认知不符合数据本身的4W1H1R行为特征,即可高度确定其可能是一个违规行为,也就是所谓的“知白守黑”。 4.贯穿数据生命周期的身份 数据生命周期改变了以往从环节的角度看问题的方式,从过程安全的角度看问题,需要一个贯穿每个环节的身份来关联各个环节,从而使数据生命周期是可认知的。 数据生命周期过程的安全考虑 这里以动态数据生命周期为例来说明在数据生命周期过程中的安全考虑点。 1.数据采集 采集的数据需要从两个方面来考虑:采集源和采集点数据流。 (1) 采集源:需要充分认证采集点是经过安全认证的,并且其采集行为是边界界定的。 (2) 采集点数据流:需要保证其采集的数据是合规的,在送入下一个生命周期节点的数据是合规的。大部分情况下采集数据流需要做匿名化和脱敏处理。 2.数据存储 动态数据生命周期中,很多场合下数据存储在非安全的网络环境中。加密是非安全环境存储的一个金标准或者最佳实践,在任何非安全网络中存储的数据都需要加密。事实上,安全的网络环境越来越少,加密在多数情况下应该成为数据存储的标配。 3.数据传输 数据传输的安全考虑和数据存储的考虑完全一样,在非安全网络中传输需要进行加密。特别是在穿越复杂的互联网环境和外部网络时,不仅要考虑网络层加密,还要考虑数据层加密。 4.数据处理 数据处理是数据生命周期的核心过程,确保数据被合适的人访问是数据处理安全的基本前提。访问控制和审计显然是数据处理环节必须要考虑的安全措施。 5.数据交换 无论是机构内还是机构外的数据交换,从安全的角度考虑,数据交换的本质和采集没有太大区别,其安全的基础控制是合规。特别是当数据交换到外部机构时,数据的控制权将交付到外部机构,安全措施将无法落实到位。这时,除了严格进行数据交换的身份验证之外,还需要保证数据内置的安全性,确保数据交换到外部机构,数据安全合规依然生效。数据内置的安全性的主要措施包括:匿名、脱敏、加密、水印。 6.数据销毁 数据销毁显然是一个有重大破坏性的行为,确认任何销毁都经过许可是至关重要的。 (来源:美创科技 作者:柳遵梁) |
热点资讯
分享更多资讯