《数据安全实践指南》- 数据处理安全实践-数据正当使用

数据的正当使用

  • 大数据时代下,数据的重要性越来越高,每个事物都有两面,正如一个硬币有正反两面一样,所以数据能够得到正当的使用,是非常重要的,如果数据被非法使用,则会造成无法想象的灾难,尤其是组织内部的人员,如果被数据的高价值所吸引而做出了错误的行为,就会使得本就脆弱得组织内部安全建设雪上加霜,因此为了避免数据被非法获取,使用和处理,企业需要对数据进行正当使用管理。

建立负责数据正当使用管理得职能部门

  • 条件允许的情况下,组织机构设立专门数据正当使用的监管部门,并招募技术人员和管理人员。
  • 为公司提供必要的技术支持。
  • 为公司制定整体的身份和权限管理制度。
  • 提供对数据正当使用的风险评估和风险控制。
  • 建立组织机构内部的数据权限授权管理制度。
  • 为公司配置成熟的数据权限管理平台,数据使用日志记录或审计产品。
  • 制定数据使用的违规处罚制度和惩罚措施等。

明确数据正当使用管理岗位的能力要求

  • 数据正当使用管理岗位的相关人员

  • 具备良好的数据安全风险意识。

  • 熟悉国家网络安全法律法规,能严格执行网络安全法和个人信息保护法,以及组织机构所属行业的政策和监管要求。

  • 具备一定的数据正当使用安全管理的经验。

  • 拥有良好的数据正当使用安全专业知识基础。

  • 熟悉常见的数据正当使用监督流程和主流的数据正当使用监管工具。

  • 能够结合业界标准和合规标准对数据对数据正当使用过程中可能出现的相关风险进行分析和跟进的能力,并制定相应的数据正当使用安全解决方案。

  • 数据正当使用监管部门的技术人员

  • 具备良好的数据正当使用安全风险意识。

  • 熟悉相关的法律法规及政策要求。

  • 熟悉主流厂商的数据正当使用监督方案。

  • 熟悉主流的数据正当使用监督工具的使用方法。

  • 至少拥有一年以上的数据正当使用的监管经验。

  • 能够定期审核当前的数据资源访问权限。

  • 能够依据数据使用规范对个人信息和重要数据的违规使用行为进行处罚。

  • 熟练配置和使用数据权限管理平台。

  • 能够熟练运用数据正当使用的日志记录或审计产品,保证可以对数据使用的操作记录进行审计和溯源。

数据正当使用管理岗位的建设与人员能力的评估方法

  • 通过内部审计,外部审计等形式以调研访谈,问卷调查,流程观察,文件调阅,技术检测等多种方式实现。
  • 1.调研访谈
  • 对数据正当使用监管部门管理人员的访谈内容:
    • 确认其制定数据正当使用规则上。
    • 在规定标准的数据正当使用监管工具上。
    • 对数据使用进行明确的授权管理上。
    • 在建立权限最小化及惩罚措施上。
    • 对数据正当使用过程中的活动进行风险评估上。
    • 以上是否都符合相关法律法规的规定。
    • 是否具备足够的能力胜任该职业。
    • 确认管理人员是否明确定义了数据使用过程中的权限授予管理。
    • 授权审批的整个流程,以及关键节点的人员职责,是否在数据授权过程中遵循了最小够用原则。
    • 期间为使用者完成业务处理活动提供所需的最小数据集。
    • 是否制定了针对数据使用的违规处罚制度和惩罚措施。
  • 对数据正当使用监管部门技术人员的访谈内容:
    • 确认其是否拥有至少一年以上的数据正当使用监管经验。
    • 熟悉数据使用监管的标准工作流程。
    • 定期审核当前对数据资源的访问权限的设定是否合理。
    • 当人员岗位发送调动或数据保密级别发生变更后是否及时对访问权限进行了调整。
    • 是否能够依据数据使用原则对个人敏感信息或数据的违规使用进行处罚。
    • 是否搭建和配置了成熟的数据权限管理平台。
    • 是否限定了用户可访问的数据范围。
    • 是否使用了成熟的数据正当使用日志记录或审计产品。
    • 是否对数据正当使用的操作进行了审计记录以备溯源和追责。
  • 2.问卷调查
  • 数据正当使用监管部门的管理人员调查内容:
    • 是否制定了针对公司,有效的数据正当使用安全原则和制度。
    • 是否建立了针对组织机构的数据权限授权管理制度。
    • 是否明确了整个授权流程中关键节点的授权及人员职责。
    • 是否能够依据国家的相关法律法规对数据的使用进行严格,规范的管理。
    • 是否建立了数据使用的违规处罚制度。
    • 是否强调了数据使用者的安全责任。
    • 是否规定了统一的数据使用监管工具,审计产品及使用流程。
    • 当出现异常数据使用操作时是否能够根据日志记录对数据使用操作进行追责溯源。
  • 3.流程观察
  • 以中立视角观察公司数据正当使用监管部门管理团队工作流程:
    • 为公司制定整体的数据正当使用安全原则和制度时。
    • 为公司建立数据权限管理制度时。
    • 是否可以识别出其中可能存在的安全风险。
    • 是否贴合组织机构的内容架构。
    • 方法流程是否符合标准。
    • 在对数据正当使用进行严格,规范的管理时。是否基于国家相关的法律法规要求和数据分类分级标准。
    • 在对数据的访问权限进行控制时,是否对权限最小化进行了严格控制。
    • 是否建立了相应的违规惩罚措施。
    • 在对数据正当使用的相关风险进行分析和跟进时,是否进行了审计记录。
  • 4.技术检测
    • 使用技术工具检测用户可访问的数据范围。
    • 检测数据使用过程中的操作日志是否完整和可用,以备对潜在违约使用者进行识别和追责。
    • 检测数据使用监管部门的管理团队制定的数据使用违规处罚制度是否被正确执行。
    • 检测数据使用监管部门的技术团队是否有定期对数据资源的访问权限进行审核。
    • 是否能够及时调整用户的访问权限。
    • 是否采取了防范措施避免数据被不正当使用。

明确数据正当使用管理的目的

  • 大数据时代环境下,数据的价值越来越高,同时也很容易导致组织内部合法人员因被数据的高价值所吸引而犯下违规或违法获取,处理和泄露数据的错误。为了防范内部人员导致的数据安全风险,建立数据使用过程中的相关责任和管控机制。

数据正当使用安全管理的内容

  • 组织机构需要根据实际情况基于国家的相关法律法规网络安全法,个人信息保护法及数据分类分级标准的处置方式标准要求操作,制定数据使用管理制度,明确数据使用权限管理与数据使用管理,保证在数据使用声明的目的和范围内,对受保护的个人信息和重要数据等进行使用和分析处理,避免数据使用权限失控。并防止组织内部合法人员利用违规或违法操作取得的权限进行不正当操作。
  • 数据使用管理制度所涉及的范围包括数据信息系统及数据,包括但不限于公司运行的办公自动化系统,业务系统,对外网站系统等所涉及的系统用户权限分配,日常管理,系统及业务参数管理,以及数据的提取和变更。有数据使用监管部门作为主要执行部门,负责数据信息系统及数据权限的分配管理,以及系统数据的提取变更管理。
  • 数据正当使用的流程一般包括提交数据使用申请,评估数据使用范围及内容,审批,授权和记录存档等步骤。
  • 提交数据使用申请-评估数据使用范围及内容-审批-授权-记录存档

提交数据使用申请

  • 用户在明确了数据使用的目的之后,需要向数据使用监管部门提交《数据使用申请表》,其中的内容包括申请人信息、所在部门、岗位、申请理由、申请内容等。另外,各部门数据权限管理人员应实时跟踪本部门用户离职或更换部门的情况,及时申请删除用户权限,并在相应的用户申请表上写明权限变动情况,从而避免数据被不正当使用。更换部门后,用户如需获取相应的数据权限,则必须由用户所属的新部门发起申请。

评估数据使用范围及内容

  • 数据使用监管部门在收到《数据使用申请表》之后,此时就需要对所申请的数据使用范围及内容进行风险评估和合规性审查等工作。
  • 数据使用监管部门需要对数据的正当使用进行严格,规范地管理,例如:当需要使用个人信息时,必须征得个人信息主体的明确同意。

针对数据使用范围及内容的审批

  • 数据使用监管部门有权对不规范的授权事宜提出否决意见,对授权范围和内容的变更或终止提出意见。
  • 数据使用监管部门审查无误后,方可对数据使用的范围和内容进行授权。

针对数据使用范围及内容的授权

  • 为了保证数据使用范围及内容授权工作的规范性,组织机构需要制定相关的授权规范。数据使用范围及内容授权过程中的相关注意事项具体如下:
    • 应配置成熟的数据权限管理平台,限定用户可访问的数据范围。
    • 数据授权过程应采取“最小够用”原则,即为使用者完成业务处理活动提供所需的最小数据集。
    • 授权应当符合组织内部控制的基本要求,做到不相容岗位的有效分离。
    • 数据使用监管部门需要确定授权的有效期,期满后需要重新授权。
    • 应建立数据使用的违规处罚制度和惩罚措施,对个人信息,重要数据的违规使用等行为进行处罚,强调数据使用者的安全责任,具体可参考以下内容:
      • 1)被授权人在授权范围内发生滥用权利,不正当行使权利,对组织机构的声誉或经济造成损失的行为,要追究被授权人主要负责人和直接负责人的民事赔偿责任和行政责任,构成犯罪的,需及时移交司法机关。
      • 2)因被授权人经授权或超越授权,对组织机构声誉或经济造成损失的,要追究被授权人主要负责人和直接责任人的民事赔偿责任和行政责任,构成犯罪的,应及时移交司法机关。
      • 3)因授权不明确,对组织机构声誉或经济造成损失的,要追究相关责任人的民事赔偿责任和行政责任,构成犯罪的,应及时移交司法机关。
      • 4)数据使用监管部门在其职权范围内发现被授权人存在越权行为,其他违反本规定行为的,或者发现被授权人有越权行为,其他违反本规定行为但不制止,不纠正的,经核实后,给予通报批评,并根据相关管理制度予以处罚。

记录存档

  • 数据正当使用监管部门完成用户权限的设置之后,必须对签署后的各类授权书进行存档备案管理。
  • 应配置成熟的数据使用日志记录和审计产品,对数据正当使用操作进行记录和审计,以备责任识别和追责溯源之用。
  • 数据正当使用监管部门需要监视数据的使用情况,一旦发现存在可疑授权,可疑使用等情况时,就要及时通报并修正。

使用技术工具

  • 组织机构内部在使用数据时,除了在制度上需要按照国家的相关法律法规和组织内部的规章制度进行正当的数据使用之外,还需要建立一套访问控制系统,对数据的访问和使用进行统一授权,对不同的权限划定对应的使用范围,确保正确的人使用正确的数据,并对所有的访问及使用记录进行审计,使数据的使用全流程可追溯。
  • 数据正当使用的技术工具需要包含三个重要的组成部分:
    • 对使用者身份的认证。
    • 对应身份相应权限的访问控制。
    • 数据使用过程的记录。
  • 总结来说就是要各种认证,授权和审计,这是确保数据正当使用的三大要素,数据正当使用监管部门需要基于这三大要素构建统一的身份及访问管理平台。

单点登录技术

  • SSO全称Single Sign On,即单点登录,是指用户通过一次身份鉴别,在身份认证服务器上进行一次认证后,就可以访问所授权的与身份认证服务器相关联的系统和资源,而无需对不同的系统进行多次认证。

访问控制技术

  • 顾名思义,访问控制技术就是控制谁可以访问什么,不可以访问什么的技术。官方的解释是“系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段”,访问控制技术是网络安全体系的根本技术之一。访问控制一般包含三个要素:主体、客体和控制策略。主体是指发起访问请求的发起者;客体是指被访问的资源;控制策略是指主体访问客体的相关规则,包含了主体与客体之间的授权行为。
  • 访问控制是数据安全的一个基本组成部分,它规定了哪些人可以访问和使用公司的信息与资源。通过身份验证和授权,访问控制策略可以确保用户的真实身份,并且使其拥有访问公司数据的相应权限。访问控制还可用于限制对园区、建筑、房间和数据中心的物理访问。
  • 访问控制可以保护组织的客户数据、个人可识别信息和知识产权等机密信息,避免其落入攻击者或内部无关人员手中。如果没有一个强有力的访问控制策略,组织机构就会面临数据从内部和外部泄露的风险。
  • 访问控制可以通过验证多种登录凭据来识别用户身份,这些凭据包括用户名和密码、PIN(个人身份识别码)、生物识别扫描和安全令牌。许多访问控制系统还包括多因素身份验证,多因素身份验证是一种需要使用多种身份验证方法来验证用户身份的办法。用户身份通过验证后,访问控制就会授予其相应级别的访问权限,以及与该用户凭据和IP地址相关的受允许的操作。
  • 访问控制技术的类型主要有:基于授权规则的、自主管理的自主访问控制技术(DAC);基于安全级别的、集中管理的强制访问控制技术(MAC);访问控制列表技术(ACL);基于授权规则的、集中管理的、基于角色的访问控制技术(RBAC);基于授权规则的、集中管理的、基于属性的访问控制技术(ABAC);基于授权规则的、集中管理的、基于身份的访问控制技术(IBAC)。
  • 1.ACL
  • ACL(Access Control List)即访问控制列表。ACL是以文件为中心建立的访问权限表,其主要优点在于实现方式比较简单,对系统性能的影响较小。它是目前大多数操作系统(如Windows、Linux等)所采用的访问控制方式。同时,它也是信息安全管理系统中经常采用的访问控制方式。
  • 2.DAC
  • DAC(Discretionary Access Control)即自主访问控制。DAC突出的是自主的形式。采用自主访问控制(DAC)方式时,受保护的系统、数据或资源的所有者或管理员可以设置相关的策略,规定谁可以访问他们的数据。由客体的属主对自己的客体进行管理,由属主自主决定是否将自己的客体访问权或部分访问权授予其他主体,这种控制方式是自主的。也就是说,在自主访问控制方式中,用户可以按照自己的意愿,有选择地与其他用户共享自己的文件。自主访问控制是保护系统资源不被非法访问的一种有效手段。但是这种控制是自主的,即它是以保护用户个人资源的安全为目标,并以个人的意志为转移的。
  • 自主访问控制是一种比较宽松的访问控制方式,一个主题的访问权限具有传递性。其强调的是自主性,即自己来决定访问策略,其安全风险也取决于自主的设定。DAC的自主性为用户提供了灵活易用的数据访问方式,但同时也带来了安全性较低的问题。其较为致命的弱点是访问权限的授予是可以转移和传递的,而转移和传递出去的权限却是难以控制的。
  • 3.MAC
  • 强制访问控制(Mandatory Access Control,MAC)是一种多级访问控制策略。这种非自主模型会根据事先确定的安全策略,对用户的访问权限进行强制性的控制。也就是说,系统独立于用户行为强制执行访问控制,用户不能改变它们的安全级别或对象的安全属性。强制访问控制对客体的访问进行了很强的等级划分,根据客体的敏感级别和主体的许可级别来限制主体对客体的访问,数据安全管理部门需要根据不同的安全级别来管理用户的访问权限。
  • 强制访问控制的主要特点是系统对访问主体和受控对象实行强制访问控制,系统事先会为访问主体和受控对象分配不同的安全属性级别,即在实施访问控制时,系统会对访问主体和受控对象的安全级别进行比较,然后根据比较结果决定访问主体能否访问该受控对象。强制访问控制策略在金融、政府和军事环境中非常常见。
  • 4.RBAC
  • 基于角色的访问控制(Role-Based Access Control,RBAC)是指根据定义的业务功能而非个人用户的身份来授予访问权限。这种方法的目标是为用户提供适当的访问权限,使其只能访问对其在组织内的角色而言有必要的数据。这种方法主要是基于角色分配、授权和权限的复杂组合,使用范围非常广泛。
  • 5.ABAC
  • 基于属性的访问控制(Attribute-Based Access Control,ABAC),是一种动态方法,不同于常见的将用户关联到权限的方式,ABAC通过判断某一组属性是否满足授权条件来进行授权。一般来说,属性可以分为如下几类:用户属性如性别等、环境属性如当前操作系统类别等、操作属性如删除等、资源属性如资源属于什么类别等。理论上,基于属性的访问控制可以通过属性实现更灵活和更细粒度的权限控制。
  • 6.IBAC
  • 基于身份的访问控制(Identity-Based Access Control,IBAC)机制会过滤主体对数据或资源的访问,只有通过认证的主体才可能使用客体的资源。IBAC可以针对某一特定用户进行基于身份的访问控制,以该用户为中心建立一些策略,刻画该用户对某一特定资源的访问能力。同时,IBAC还可以针对一组用户进行控制,相应的策略将会作用在一组用户中。

基于统一认证授权的IAM技术

  • IAM(Identity and Access Management)即身份识别与访问管理,具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。IAM是一套全面地建立和维护数字身份,并提供有效的、安全的IT资源访问的业务流程和管理手段,从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。身份和访问管理是一套业务处理流程,同时也是一个用于创建、维护和使用数字身份的支持基础结构。IAM也称为“大4A”。4A分别是指认证(Authentication)、授权(Authorization)、账号(Account)和审计(Audit),是一种统一安全管理平台解决方案,融合了统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素。其中,“4A”还涵盖了SSO(单点登录)的功能。
    • 统一账号管理(Account): 可以为组织用户提供统一集中的账号管理,管理的账号既可以是操作系统账号,也可以是Web应用账号、C/S架构应用账号等。账号管理涵盖了账号的全生命周期:创建、授权、更新、停用和销毁。除了账号本身的管理之外,统一账号管理还提供了账号口令相关的管理,如账号有效期、口令强度和口令有效期等。
    • 统一认证管理(Authentication): 主要是为组织用户提供可靠的认证方式,并为适应组织内的不同需求而提供不同的认证方式。认证方式除了默认的账号口令之外,还有更多不同强度的认证方式,如动态口令、数字证书、生物识别等。统一认证管理支持组织设置多种认证方式,双因子认证甚至多因子认证,从而保证组织用户的认证安全。组织采取集中式的统一认证管理方式,不仅能够轻松管理认证服务,还可以构建起组织内的统一认证系统,从而实现单点登录等功能。
    • 统一权限管理(Authorization): 可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制,也可以实现对数据库、主机及网络设备操作的权限控制,资源控制类型既包括B/S的URL、C/S的功能模块,也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。
    • 统一审计管理(Audit): 负责管理组织内所有用户对所有系统的操作记录,可以对收集到的日志进行分析,从而不断地优化组织内部的安全管理,还保证了数据及其使用记录的可追溯性。
  • IAM是一个面向多系统多用户的集中式系统,其管理着组织中网络安全的身份、认证、授权和审计四大基本要素,自身对于安全性和保密性的要求非常高。同时,IAM对于组织内部的网络安全建设也有着巨大的意义。

技术工具的使用目标和工作流程

  • 统一账号管理:能够管理组织内不同系统的用户账号,如操作系统、Web系统、C/S架构应用等。
  • 统一身份认证:保证数据正当使用的技术工具应当具备统一身份认证的模块,如SSO(单点登录)。
  • 多因素认证方式:能够提供多种认证方式,如静态认证、动态认证、生物识别等,组织机构能够根据需求灵活配置认证方式。
  • 统一访问控制:数据脱敏系统可以针对自动发现的敏感数据,自动配置最合适的脱敏策略。
  • 多种访问控制方式:工具应能够根据组织中的不同场景,自动选择合适的访问控制方式,以达到最优的访问控制效果。
  • 统一日志审计:工具应能够统一管理系统中数据使用的所有审计日志,并能对日志进行分析和整理
posted @   皇帽讲绿帽带法技巧  阅读(638)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 没有源码,如何修改代码逻辑?
· NetPad:一个.NET开源、跨平台的C#编辑器
· PowerShell开发游戏 · 打蜜蜂
· 凌晨三点救火实录:Java内存泄漏的七个神坑,你至少踩过三个!
历史上的今天:
2020-06-15 漏洞及渗透练习平台
2020-06-15 sqlmap从入门到精通-第三章-3-3 使用sqlmap进行SOAP注入
点击右上角即可分享
微信分享提示