数据安全管理
一、简介
数据安全管理是计划、制定、执行相关安全策略和规程,确保数据和信息资产在使用过程中有恰当的认证、授权、访问和审计等措施。
有效的数据安全策略和规程要确保合适的人以正确的方式使用和更新数据,并限制所有不适当的访问和更新数据。
理解并符合所有利益相关者的隐私及保密利益需求,是任何组织的最佳利益所在。客户,供应商和彼此信任关系都取决于数据的可靠使用。在理解利益相关者的诉求和关注点上投入时间,一般来说是一项明智的投资。
有效的数据安全管理能建立审慎的安全治理机制,所有利益相关者都能在日常运营过程中自然遵守这些制度。数据安全管理环境,如图7.1所示。
二、概念和活动
数据安全管理的最终目标是保护信息资产符合隐私及保密法规要求,并与业务要求相一致。这些要求来自于如下几个非常重要的不同方面。
• 利益相关者的关注——组织必须认识到利益相关者的隐私及保密需要,包括客户、病人,学生、市民、供应商及商业伙伴等。利益相关者是其相关数据的最终拥有者,组织中的每个人都应是对该数据负责的托管人。
• 政府法规—一政府法规保护一些利益相关者的安全利益。一些法规限制信息的访问,而其他一些法规要求信息公开、透明和认责机制。
• 特定业务关注-—每个组织都有自己需要保护的特定数据。知识产权确保了企业的竞争优势,掌握客户的真实需求和业务伙伴关系是各种商业计划的基石。
• 合法访问需求——数据安全实施者还必须了解数据访问的法律要求。业务战略、规则和流程要求特定角色的人承担某些数据的访问和维护职责。
数据安全要求和相关规程,可归纳为4个A。
• 认证(Authentication)-—验证用户是他们所声称的那个人。
• 授权(Authorization)-—正确识别用户并在具体、适当的数据视图上赋予权限。
• 访问(Access)-—及时激活这些用户以及其权限。
• 审计(Audit)-—通过评审安全活动和用户行为,确保遵从法规要求并符合相关策略和标准。
2.1 理解数据安全需要和监管要求 理解数据安全需要和监管要求
重要的是要区分业务规则和程序,以及应用软件产品的规则。当应用系统作为工具执行业务规则和程序时,这些系统通常具有高于业务流程所需的,独特的--系列数据安全要求。这些独特的要求也随着套装软件和现成系统变得更加普遍。
2.1.1 业务要求
实现企业内部数据安全首先需对业务要求进行透彻的了解。企业使命和业务战略的影响着数据战略,必须将其作为规划数据安全策略时的指导因素。需要协调短期和长期目标来实现均衡和有效的数据安全职能。企业业务要求定义了数据安全要求的严格程度。企业规模和所属行业对此影响很大。例如,在美国金融或证券行业,无论企业大小,都是高度管制的,必须执行严格的数据安全标准。另一方面,在零售行业,尽管可能涉及类似的核心业务活动,相比大型零售商,小规模零售企业一般不会选择扩展的数据安全管理职能。
业务规则和流程定义了安全接触点。业务工作流中的每一个事件都有自身的安全要求。数据到流程(Data-to-Process)和数据到角色(Data-to-Role)关系矩阵是映射这些需求的一个有用工具,可以引导数据安全角色,参数和权限的定义。此外,数据安全管理员还必须评估企业使用的软件工具、应用程序包和IT系统的管理等要求。
需要在每个系统开发项目的分析阶段就识别具体的应用安全要求。
2.1.2 法规要求
今天,快速变化和全球化要求组织遵守越来越多的法规。信息时代所面临的伦理和法律问题导致政府需要建立新的法律和标准。
几个新的法规要求,如美国2002年的萨班斯法案,加拿大198法案和澳大利亚的CLERP法案,都实行严格的信息管理安全控制。欧盟的巴塞尔Ⅱ协议强制要求在相关国家开展业务的所有金融机构必须实施信息控制。主要的隐私和安全法规清单将在7.5.1节中有介绍。
2.2 定义数据安全策略
基于数据安全要求定义的数据安全策略工作,需要IT安全管理员、数据管理专员,内部和外部审计小组及法律部的协同努力。数据安全专家有时会采取僵化的办式解决安全问题,这个过程可能会为数据消费者带来不便。应创建遵从比违规更容易的数据安全策略。数据治理委员会应评审和批准高层次的数据安全策略。
企业1T战略和标准通常确定了访问企业数据资产的高级策略。
通常IT安全策略和数据安全策略同属于企业综合安全策略,但是倾向于将它们分开。因为,相比IT安全策略,数据安全策略是以数据为中心的,其性质更为精细。定义目录结构和身份管理框架可以是IT安全策略的组成部分,而定义个别应用程序、数据库角色,用户组和密码标准可以成为数据安全策略的一部分。
2.3 定义数据安全标准
目前还没有统一的方式实施数据安全以满足隐私和保密要求。法规一般侧重于确保实现结果,很少明确规定实现该结果的过程。组织应设计自己的安全控制措施,并证明这些措施符合法律法规要求,同时要记录这些措施的执行情况。
IT战略和标准对如下方面产生影响:
• 管理数据安全所使用的工具。
• 数据加密标准和机制。
• 外部供应商和承包商的访问准则。
• 互联网数据传输协议。
• 归档要求。
• 远程访问标准。
• 安全事故报告规程。
考虑到物理安全,特别是随着便携式设备和介质的大规模增长对数据安全策略的影响,物理安全标准已经成为企业IT策略的一部分,在此提供如下一些指引:
• 使用移动设备访问数据。
• 在笔记本计算机, DVD、CD或USB驱动器等便携式设备上存储数据。
• 对设备的处理遵从管理策略。
一个组织的利益相关者和监管者都需要关注数据访问,隐私和保密性要求。利用这些要求,组织可创建一个实用的、可执行的安全策略,以及数据安全指导原则。工作重点应放在策略的质量和一致性,而非创建华而不实的庞大体系。数据安全策略应该以同一个格式呈现,便于供应商,消费者和利益相关者访问。组织可将此策略张贴在他们公司内部网或类似的协作门户上。数据治理委员评审和批准这些策略。数据安全策略的所有权与维护职责属于数据管理执行官和IT安全管理员。
策略执行需要满足保护信息资产的4A要求:认证,授权、访问和审计。信息分级、访问权限、角色组、用户和密码等都是执行策略和满足4A要求的手段。
2.4 定义数据安全控制及措施
实施和管理数据安全策略主要是安全管理员的职责。数据库安全往往是数据库管理员(DBA)的职责。
组织必须实施适当的控制,以满足相关法规的目标。例如,一个控制客体可以按月读取、评审DBA 和用户的权限。为满足这一目标,组织的控制需要实施一个流程,同用来跟踪所有用户权限请求的变更管理系统相对照,来验证分配权限。此外,可能还需要以工作流审批流程或签署文件的形式,记录和归档每一个请求。
2.5 管理用户、密码和用户组成员
可以把访问和更新权限可授予单一用户账户,但这种方法将导致大量冗余的工作量。角色组使安全管理员能够按角色定义权限,并通过将用户加入适当的角色组来授予用户权限。虽然将用户加人多个用户组在技术上没有问题,但这种做法很难清楚展示为特定用户授予的特定权限。应尽可能使每个用户仅属于一个角色组。
可以在工作组或业务单位层面创建组定义,在层级结构中对角色进行组织,通过子角色进一步限制父角色的权限。持续维护这些层级结构是一项复杂的工作,要求系统有能力深入设置单个用户权限的颗粒度。安全角色层级结构的例子如图7.2所示。
由安全管理员创建、修改和删除用户账户和用户组,需要一定级别权限的审批来控制对用户组分类及用户成员资格的变更。整个过程要通过变更管理系统跟踪控制。
在异构环境中,用户和组管理的数据-致性是一个挑战。用户信息(如姓名、职务和编号)一般需要冗余存储在多个位置。这些数据孤岛之间经常冲突,往往代表着真相的多个版本。为了避免数据完整性问题,应集中管理用户身份数据和角色组成员数据。
2.5.1 密码标准和规程
密码是保护数据访问的第一道防线。每个用户账户应要求用户按安全标准要求设置足够复杂的密码,通常称为强密码。不允许空白密码。典型的密码复杂性要求;
• 包含至少8个字符。
• 包含大写字母和数字。
• 不能与用户名相同。
• 不得与之前5次使用过的密码相同。
• 不包含在任何语言中完整的辞典文字。
• 不得出现增量规律(如password1.password2等)。
• 不能有两个字符按顺序重复。
• 避免使用键盘相邻的字符。
• 如果系统密码支持空格键,密码中可以包含空格。
传统上,用户在不同的平台,应用系统和工作站都有不同的账户和密码。这种方式要求用户管理多个密码和账户。拥有企业用户目录的组织可以建立一个同步机制,在异构系统上方便用户密码管理。在这种情况下,通常当用户登录到工作站时,仅需要输入一次密码,之后登录其他系统的认证和授权工作都通过从企业用户目录引用来完成。身份管理系统的这种能力,通常被称为单点登录。
持续维护密码的工作通常是用户的责任,要求用户45~60天更改一次密码。当创建一个新账户时,初始密码应被设置为立即过期,因此用户可以设置自己的密码供后续使用。安全管理员和运维人员负责帮助用户解决密码的相关问题。
2.6 管理数据访问视图和权限
数据安全管理不仅涉及防止不适当的数据访问,还应有助于有效和适当的数据存取。大部分数据集不应有限制访问的要求。通过授予权限控制用户对敏感数据访问,则没有权限的用户无法执行任何操作。
在个人或群组层面控制数据访问。规模较小的组织可能会发现,在个人层面上管理数据访问是可行的。较大的组织将极大地受益于基于角色的访问控制,为角色组授予权限,从而为每个组的成员授予权限。无论何种方式,授予权限时需要仔细分析数据需求和托管职责。
关系数据库的视图为数据安全提供了另一个重要机制,能基于数据值将数据表中的数据限制到某些行。视图还可以允许广泛地获取某些列,并对密级更高的列限制访问。
当存在共享或服务账户时,系统访问控制级别会降低。出于方便而设计的管理员账户,往往都具有增强特权,而且难以追查管理员的行为。使用共享或服务账户的企业,存在着极大的数据安全风险。有些组织配置监控系统时,会忽略这些管理员账户有关的任何警报,进一步增强了这种风险的存在。需要仔细评估这些管理员账户的使用情况,不应频繁使用或默认使用这些账户。
2.7 监控用户身份认证和访问行为
监控认证和访问行为是至关重要的,因为:
• 它提供谁在连接和访问信息资产的信息,这是合规审计的基本要求。
• 它会提醒安全管理员一些意料之外的状况,弥补数据安全规划、设计和实施中的遗漏之处。
监控活动有助于检测到异常或可疑的交易,方便进一步调查和解决问题。执行监控可以是主动的方式,也可以是被动的方式。自动化系统配合一定的人工检查,一般来说是最佳监控方式。
那些包含如工资、财务数据等保密信息的系统,通常应实施积极的实时监控措施。在这种情况下,当观察到可疑活动或不当访问时,实时监控可以及时提醒安全管理员或数据管理专员。通常系统以电子邮件或其他通知机制给数据管理专员发送告警信息。
被动监控用于跟踪系统伴随时间的推移产生的变化,定期抓取系统当前状态快照,对照基准或标准进行趋势分析。系统会发送分析报告给负责该数据的数据管理专员。一般积极监控更多地作为一项监控机制,而被动监控作为一项评估机制。
自动监控增加了底层系统的性能开销。近些年,技术的进步降低了自动监控在资源消耗上的关注,但是监控可能仍然会影响系统性能。决定哪些需要监控、监控多长时间,以及应在警报事件时采取什么样的行动,都需要仔细分析。可能要求多次的配置变更测试,才能找到最佳的监控配置参数。
可以在多个层面或数据接触点处执行监控:
• 应用程序监控。
• 对某些用户和角色组实施监控。
• 对某些权限实施监控。
• 用于数据完整性验证监控。
• 对配置和核心元数据验证实施监控。
• 对跨异构系统依赖关系检查实施监控。
2.8 划分信息密级
使用简单密级分类模式,对企业数据和信息产品进行分类。大多数组织对文件和报告等信息划分密级。典型的密级分类模式可能包括以下5个等级。
• 公众级——信息可以提供给任何人,包括普通公众。一般公众级为默认分类。
• 内部使用—-信息限制在雇员或组织成员中,但如果共享到其他人,风险也不大。通常仅供内部使用,可演示或讨论,但组织以外不得复制。
• 机密—资料不应共享至组织外部。客户机密信息不应该共享给其他客户。
• 受限机密——信息受限,承担某些角色的个人按需知密。
• 注册机密——这类信息如此机密以至于任何接触该信息的人都必须签署一份法律协议才能访问数据,并承担保密责任。
基于文档所含信息的最高密级对文件和报告进行分级。在页眉或页脚为每个页面或屏幕标注密级标签。“公众级”的信息产品无须标签。任何未标注的产品认为是“公众级”。文档作者和信息产品设计者负责为每个文档评估适当的密级,正确分类并加注标签。
此外,还需为数据库、表、列和视图分级。信息密级的划分是元数据的最重要属性,指导如何赋予用户存取权限。数据管理专员负责数据密级的评估和确定工作。
2.9 审计数据安全
审计数据的安全性是一项控制活动,负责经常性分析、验证、讨论,建议数据安全管理相关的政策.标准和活动。审计是一项管理活动,是就实际工作细节的分析工作。审计工作可能由组织内部或外部审计人员来执行,审计人员必须独立于审计所涉及的数据和流程。数据安全审计师不应对被审计活动直接负责,这有助于确保审计活动结果的公平性。审计不是吹毛求疵的任务,审计的目标是为管理层和数据治理委员会提供客观中肯的评价、合理可行的建议。
数据安全策略声明、标准文档、实施指南、变更请求、访问监控日志、报表输出,以及其他电子和书面记录等形成审计的基础。另外除了评审现有证据,审计活动还可能包括执行一些测试和检查等。
数据安全审计包括:
• 按照最佳实践和需求,分析数据安全策略和标准。
• 分析实施规程和实际做法,确保数据安全目标、策略、标准、指导方针和预期结果相一致。
• 评估现有标准和规程是否适当,是否与业务要求和技术要求相一致。
• 验证机构是否符合监管法规要求。
• 检查安全审计数据的可靠性和准确性。
• 评价违背数据安全行为的上报规程和通知机制。
• 评审合同、数据共享协议、确保外包和外部供应商切实履行他们的数据安全义务,同时保证组织要履行自己应尽的义务。
• 向高级管理人员、数据管理专员以及其他利益相关者报告组织内的数据安全状态,以及组织的数据安全实践成熟度。
• 推荐数据安全的设计、操作和合规改进工作。
对于有效的数据安全管理而言,没有什么可以替代数据安全审计工作。审计是一个支持性、可重复的过程,应当有规律地、高效地持续执行数据安全审计工作。
三、外包项目的数据安全
组织可能选择外包某些IT职能,如批量操作、应用程序开发,数据库管理等。有些组织甚至把数据安全管理也进行外包。虽然几乎任何工作都可以外包,但与工作相关的责任必然是由组织来自行承担的,无法外包。
外包IT运营给数据安全管理带来了额外的挑战和职责。外包增加了跨组织和跨地理界限的责任人员数量。此前非正式的角色和职责,现在必须在合同中予以明确,外包合同必须详细定义每个角色的职责和期望。
任何形式的外包都增加了组织的风险,包括对技术环境和数据处理人员丧失控制的风险。数据安全风险涉及到外包厂商,因此任何数据安全措施和流程必须考虑到源自外包厂商的风险,外包厂商的风险不再仅仅是外部风险,也要作为内部风险来对待。
外包过程的迁移控制,不仅仅是问责机制,还要求有更严格的风险管理和控制机制。这些机制包括但不限于:
• 服务水平协议。
• 外包合同中的有限责任条款。
• 外包合同中的审计权利条款。
• 明确定义违反合同义务的后果。
• 来自服务供应商经常性数据安全报告。
• 供应商系统的独立监控活动。
• 更加频繁和深入的数据安全审核。
• 与服务供应商持续沟通机制。
在外包环境中,保持和跟踪跨系统和个人的数据流以维持监管链完整相当关键。外包组织尤其能从建立CRUD(创建、读取,更新和删除)矩阵中受益,该矩阵绘制了跨业务流程、应用、角色、组织的数据职责;追踪信息流和监管链。
RACI(Responsible—负责执行;Accountable---对结果负责;Consulted——咨询;/Informed知会)矩阵也有助于澄清角色职责,把数据安全管理需求中不同角色的责任和义务分离开。
RACI矩阵也可以成为合同文件、协议和数据安全策略的一部分。像RACI一样定义职责矩阵,并将其在外包项目中明确各当事方的责任和所有权,从而为整体数据安全策略及其实施提供支持。
在外包IT运营时,业主组织仍然有维护数据的责任。但关键是要为外包协议的各方建立适当的履约机制和抱有实际的期望。
四、综述
在组织中实施数据安全管理的指导原则、每一个数据安全管理活动相关角色的总结表,以及在数据安全管理中可能出现的组织和文化问题,总结如下。
4.1 指导原则
在组织中实施数据安全管理的指导原则、每一个数据安全管理活动相关角色的总结表,以及在数据安全管理中可能出现的组织和文化问题,总结如下。
(1)成为各方信任、负责任的数据管理专员,拥有数据的组织要理解和尊重所有利益相关者的隐私和保密需求,无论是客户、病人、学生、市民、供应商,还是商业伙伴。
(2)了解并遵守所有相关法规和指引。
(3)数据到流程(data-to-process)和数据到角色(data-to-role)的关系(CRUD创建、读取、更新、删除)矩阵有助于绘制数据访问需要,并指导数据安全角色组、参数和权限的定义。
(4)明确数据安全要求和数据安全策略是一项协同工作,涉及IT安全管理员、数据管理专员,内部和外部审计团队以及法律部等。数据治理委员会应评审和批准高层次的数据安全策略。
(5)在每个系统开发项目的分析阶段,识别具体的应用系统安全要求。
(6)对比简单的密级分类模式,对企业所有数据和信息产品进行分类。
(7)每个账户应当由用户自己设置密码,并遵照密码复杂性指引,每45~60天更新一次。
(8)创建角色组;定义角色权限,并通过分配用户到合适的角色组来授予用户权限。尽可能给每个用户分配到唯一的角色组。
(9)对用户和组的初始授权,以及随后的授权变更等管理层次必须得到正式请求、追踪和批准。
(10)为了避免安全访问信息的数据完整性问题,要求集中管理用户身份数据和组成员数据。
(11)使用关系型数据库视图来限制对敏感列或特定行的访问。
(12)严格限制并仔细考虑每一个共享账户的使用。
(13)积极监控对某些信息数据访问行为,并利用数据访问活动定期快照,了解发展的趋势及同标准的偏差。
(14)定期进行客观独立的数据安全审计,以核实合规性和对标准的符合性,并分析数据安全策略有效性和数据安全实践成熟度。
(15)在外包环境中,一定要明确界定数据安全的角色和职责,并理解跨组织和角色的数据监管链。
4.2 过程总结
数据安全管理职能的过程总结如表7.1所示,表中列举了数据安全管理每一项活动的交付物、负责角色、批准角色和贡献角色。此表也在附录A.9中体现。
4.3 组织和文化问题
Q1:真正成功的数据安全是什么样的?
成功的数据安全管理是安全理念深深地融入到企业文化中,但是大多数企业无法做到这一点。目前各个组织通常不是积极主动,而是消极被动应付数据安全管理问题。这些年来,数据安全的成熟度等级有了很大的提高,但是还有很大的改善空间。数据安全事故显示这些公司还奋斗在走向成熟的过程中。从积极的方面看,最近颁布的法规增加了问责要求、审计和数据安全重要性的认识。
Q2:当允许数据访问时,是否能保证数据良好的安全性?
保护数据不被非法访问是一个艰巨的任务。一个具有过程管理与文化的组织因为有强大的安全数据管理框架安全支持,会遭遇相对较少的挑战。定期评估数据安全策略,规程和活动,在数据安全和所有利益相关者的需求间获得平衡。
Q3:数据安全意味着什么?
数据安全对不同的人有不同的意义,某项数据元素可能包含组织和文化的敏感信息,但是在其他组织中则不尽然。一些组织中拥有某些权限的用户或角色在其他组织中甚至不存在。
Q4:数据安全措施适用于每个人吗?
不恰当和不一致的数据安全措施会导致员工的不满情绪,并威胁到组织安全。基于角色的安全措施依赖于组织角色的分配和定义,以及应用的一致性。
Q5:客户和员工需要参与到数据安全活动中吗?
实施数据安全活动却不考虑员工和客户的期望,会导致他们的不满,并增加组织的风险。为了最大程度的符合规范,任何数据安全措施和过程的制定,必须考虑其执行人的观点。
Q6:真的可以避免违背数据安全的行为吗?
人们需要理解和尊重数据安全的需要,避免违背数据安全行为的最佳办法就是建立数据安全意识,让大家理解数据安全需求、策略和规程。
可以通过如下几个方面,建立安全意识并提高合规程度:
• 通过为各级部门提供数据安全培训活动推行数据安全标准。重点在于提升员工的安全意识,可以通过如在线测试等评估方式跟踪培训情况。培训和测试应该强制进行,并为员工的绩效设定考核条件。
• 为工作组和部门定义各自的数据安全策略,与企业的安全策略保持一致并做细化完善。采用“地方法”的模式鼓励人们更加积极地参与安全活动。
• 把数据安全和组织激励联系起来。组织应该对他们的平衡记分卡和项目评估中的数据安全活动有一个客观度量标准。
• 在服务水平协议和外部合同义务中包括数据安全需求。
• 重点是把法律、合同和法规需求应用到行业中,有迫切的意识去建立组织内部数据安全管理框架。
Q7:数据安全最重要的准则是什么?
成功的数据安全管理依赖于从业人员的积极主动性、管理上的变革以及克服文化瓶颈。
文末说明:参考书籍来自《DAMA数据管理知识体系指南》