• 深度
  • 行業
  • 行業
  • 互動

風暴之眼——Gartner定義數據安全治理

沈雪峰 2017-11-24
摘要:“TheEyeoftheStorm–DataScurityGovernance”在Gartner2017安全與風險管理峰會上,分析師Marc-AntoineMeunier發表《2017年數據安全態勢》

“The Eye of the Storm –Data Scurity Governance”

在Gartner 2017安全與風險管理峰會上,分析師Marc-Antoine Meunier發表《2017年數據安全態勢》演講,提及“數據安全治理(Data Scurity Governance)”,Marc將其比喻為“風暴之眼”,以此來形容數據安全治理(DSG)在數據安全領域中的重要地位及作用。

Gartner如何定義“數據安全治理”?

它在數據安全建設中發揮怎樣的作用?

我們如何開展“數據安全治理”?

《State of Security Governance, 2017- Where Do We Go Next?》是Gartner對于數據安全治理的完整理念和方法論,安華金和提煉其中主要觀點與技術體系,還原一個完整的Gartner數據安全治理概念和框架,它將告訴我們“下一步該去哪里”?

首先,我們需要了解的是,數據安全治理絕不僅僅是一套用工具組合的產品級解決方案,而是從決策層到技術層,從管理制度到工具支撐,自上而下貫穿整個組織架構的完整鏈條。組織內的各個層級之間需要對數據安全治理的目標和宗旨取得共識,確保采取合理和適當的措施,以最有效的方式保護信息資源,這也是Gartner對“安全和風險管理”的基本定義。

數據安全治理流程

1.建立管理問責制和決策權:其中包含了企業安全憲章建立、政策框架與組織保障,這決定了數據安全治理對于企業的重要性和地位,將此作為后續數據安全治理;

2.決定可接受的安全風險:組織架構建立后,評估企業自身面臨的安全風險,對不同等級的風險設定不同的管理政策,如有疑義,則啟動內部仲裁;

3.安全風險控制:針對安全風險控制,制定相應策略,內部進行資源匹配,這里面將涉及具體的技術工具;

4.風險控制有效性:數據安全治理必須是一個完整的閉環,通過安全評估及具體指標衡量,以確保風險得到了有效管理,否則,需要回到第一個步驟重新糾偏。

良好的治理&不好的治理,如何判斷?

確立數據安全治理流程目標后,決策者需要關注幾個關鍵性指標,以作為評判數據安全治理工作是否是良性的,減輕企業負擔,Gartner也為我們提供了幾個評判標準。

數據安全治理的現狀

數據安全治理是一個多層框架,有完整的自上而下的邏輯,數據的價值和其安全保障對于企業和組織的重要性已不必強調。因此,數據安全治理不是一個單純的IT項目,而是與其他經營行為同等重要,會共同為組織良性發展提供有力保障的戰略行為,或者說,如果這件事情沒有做好,也很有可能讓企業多年積累的經營成果付之一炬,然而從Gartner調研到的數據來看,大多數的企業和組織可能還沒意識到這一點:

30%的受訪者擁有專門的安全管理職能,包括業務代表;42%沒有特設該職能

我們認為數據安全治理的開展目的,應當與經營目標保持趨向性,這就要求企業成立專門的數據安全治理小組,并且在人員隊伍搭建中包括業務代表。

13%的受訪者表示參與治理的比例最大的是業務線;87%的治理委員會嚴重偏向技術性

上面提到數據安全治理的開展是從決策層貫穿至技術層的整體動作,這要求治理小組的成員比例,應當合理包括決策層、業務線、技術線等。

34%的受訪者表示最高級的安全執行官向高級業務管理者報告;56%的安全領導人最終向IT部門報告。

數據安全治理小組的工作匯報對象決定其在企業思考中能夠夠開展的深度和力度,如果匯報對象只能到IT部門,基本上決定這只能是一個技術項目,無關經營和戰略。

數據安全治理的整體框架

Gartner對數據庫安全治理形成一個從上而下的整體框架,包括從治理前提、具體目標到技術支撐的完整體系,是一個“骨骼”,在開展實施時,企業和組織再填充“肉”。

Step1:業務需求與風險/威脅/合規性之間的平衡

這里需要考慮5個維度的平衡:經營策略、治理、合規、IT策略和風險容忍度,這也是治理隊伍開展工作前需要達成統一的5個要素。

經營戰略:確立數據安全的處理如何支撐經營策略的制定和實施

治理:對數據安全需要開展深度的治理工作

合規:企業和組織面臨的合規要求

IT策略:企業的整體IT策略同步

風險容忍度:企業對安全風險的容忍度在哪里

Step2:數據優先級

進行數據安全治理前,需要先明確治理的對象,企業擁有龐大的數據資產,本著高效原則,Gartner建議,應當優先對重要數據進行安全治理工作,安華金和的治理思路同樣將“數據分級分類”作為整體計劃的第一環,這將大大提高治理的效率和投入產出比。通過對全部數據資產進行梳理,明確數據類型、屬性、分布、訪問對象、訪問方式、使用頻率等,繪制“數據地圖”,以此為依據進行數據分級分類,以此對不同級別數據實行合理的安全手段。這個基礎也會為每一步治理技術的實施提供策略支撐。

Step3:制定策略,降低安全風險

從兩個方向考慮如何實施數據安全治理,一是明確數據的訪問者(應用用戶/數據管理人員)、訪問對象、訪問行為;二是根據基于這些信息制定不同的、有針對性的數據安全策略。這一步的實施更加需要數據資產梳理的結果作為支撐,以提供數據在訪問、存儲、分發、共享等不同場景下,即滿足業務需求,又保障數據安全的保護策略。

Step4:實行安全工具

數據是流動的,數據結構和形態會在整個生命周期中不斷變化,需要采用多種安全工具支撐安全策略的實施。Gartner在DSG體系中提出了實現安全和風險控制的5個工具,實際上這5各工具是指5個安全領域,其中可能包含多個具體的技術手段:

Crypto(加密):這其中應該包括數據庫中的結構化數據的加密,以及數據落地存儲之前傳輸層或應用端的加密,以及加密相關的密鑰管理、密文訪問權控等多種技術。

DCAP(以數據為中心的審計和保護):可以集中管理數據安全策略,統一控制結構化、半結構化和非結構化的數據庫或數據豎井。這些產品可以通過合規、報告和取證分析來審計日志記錄的異常行為,同時使用訪問控制、脫敏、加密、令牌化等技術劃分應用用戶和管理員間的職責。

DLP(數據防泄漏):

DLP工具提供對敏感數據的可見性,無論是在端點上使用,在網絡上運動還是靜止在文件共享上。使用DLP,組織可以實時保護從端點或電子郵件中提取的非結構化數據。DCAP和DLP之間的根本區別在于DCAP工具更多地側重于組織內用戶訪問的數據,而DLP更側重于將離開組織的數據。

IAM(身份識別與訪問管理)

IAM是一套全面的建立和維護數字身份,并提供有效地、安全地IT資源訪問的業務流程和管理手段,從而實現組織信息資產統一的身份認證、授權和身份數據集中管理與審計。身份和訪問管理是一套業務處理流程,也是一個用于創建和維護和使用數字身份的支持基礎結構。

Step5:策略配置同步

策略配置同步主要針對DCAP的實施而言,集中管理數據安全策略是DCAP的核心功能,而無論訪問控制、脫敏、加密、令牌化那種手段都必須注意對數據訪問和使用的安全策略保持同步下發,策略執行對象應包括關系型數據庫、大數據類型、文檔文件、云端數據等數據類型。

“數據安全治理”區別以往的任何一種安全解決方案,它會是一個更大的工程,技術和產品不再是數據安全治理框架中的主體,連同組織決策、制度、評估、稽核是這個框架的靈魂和指導思想。

后記

2016年,安華金和在中國首家提出數據安全治理理念,2017年具體通過產線的搭建完成對數據安全治理理念的技術支撐,交付完整解決方案。2017年,Garnter開始在信息安全治理原則下關注數據安全治理,雙方針對數據安全治理展開溝通探討,無獨有偶,兩者在數據安全治理的認知上存高度一致性,且各有補足,安華金和將繼續專注數據安全治理工作的研究和落地,借鑒國際主流思想和經驗,實現數據安全治理最佳實踐。

(免責聲明:此文內容為第三方自媒體作者發布的觀察或評論性文章,所有文字和圖片版權歸作者所有,且僅代表作者個人觀點,與極客網無關。文章僅供讀者參考,并請自行核實相關內容。投訴郵箱:editor@fromgeek.com)

  • 沈雪峰
    郵箱:caoceng@fromgeek.com
    專注數據安全。中國最專業的數據庫防護公司安華金和,市場部網絡運營主管。專注于數據庫安全研究,關注國內外數據泄露事件,關注數據庫攻擊與防護手段,關注國內安全事件,關注國內安全圈。
    分享本文到