近年来,数据安全非常火,但数据安全落地难也是共识。毕竟信息安全的方方面面均与数据安全存在关联,并不存在一个纯数据安全的动作来把数据安全搞定。因此,把信息安全的各个子领域与数据安全交叉的部分搞透彻,对数据安全的落地必将产生巨大的推动作用,今天就先讨论讨论开发安全与数据安全的交叉,看开发安全如何推动数据安全。
开发安全讲究的是软件全生命周期,包含系统的需求、设计、编码、测试、部署、运维、废弃全过程;数据安全讲究的是数据全生命周期,包括数据的采集(生成)、传输、存储、处理、交换、销毁全过程。
大部分数据资产都是机构自建的,按理来说,应该对数据的分布、存储一清二楚,但事实上,现在机构信息系统都是多头架构,几十上百甚至上千个系统通过各种对接构成,里面的数据流转非常复杂,数据的存储、分布也就不清楚了。
对照这种数据的实际状况,绝大部分数据安全解决方案是基于数据存储、分布不清楚,整体IT系统是个黑盒来架构的,其数据资产的管理也是基于黑盒,通过一些工具去抓取流量中的数据,以此来分析、发现现有的数据存储、分布情况,构成数据资产管理的基础。
数据安全发展到一定阶段,一定要基于白盒,即整体的数据分布、存储是清晰透明的,在此基础上构建的数据安全方案才可能是完备的、收敛的、可验证的。黑盒的相应手段可以作为监测工具来利用,而不能作为数据安全的基础来构建。
如果一旦确定白盒的数据分布基础假设,开发安全就尤为重要。只有在开发阶段就进行数据分类、分级,对数据资产进行充分的备案、注册,建立配套的安全机制,数据安全的整体方案才能构建,可以说数据安全在开发安全领域的应用,是黑盒假设的数据安全方案提升到白盒假设的数据安全方案的前提和基础。
通过以上两个话题的讨论,我们大概能够了解开发安全与数据安全的相互关系。到应用环节,在开发安全领域内应用数据安全,无非是通过安全需求、安全设计来实现数据安全的要求,通过安全测试来验证数据安全的实现质量。
笔者通过对以上文献的分析,感觉《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)(以下简称DSMM),最能完整地概括数据安全的各方面要求。以DSMM的内容,尝试在开发安全领域落地,将有力推动数据安全落地。
DSMM中的安全需求从实现来说分为两类:第一类是针对企业的整体要求,比如应该建立数据分类分级规范,拥有某项能够发现数据资产的工具等;另外一类是在具体建设业务系统中,需要遵循的数据安全要求,比如敏感数据通讯要加密、数据操作要记日志等。
现在资产自动化发现的技术就是流量发现,随着流量分析的技术越来越先进,自动化发现的分析能力也越来越先进。但该技术的效果好不好,除分析技术本身以外,还有两个关键因素:
现在的网络拓扑太复杂,尤其是会在局部构成小的工作域,工作域之间的访问非常复杂,想要把流量抓全几乎是不可能的。相对来说,把对外接口的流量抓全相对简单些,对外流量也是数据泄露的重要渠道,这部分性价比也很突出,可以作为流量抓取的重点。
随着数据安全工作的深入,通讯安全的水平提升明显,很多机构内部也严格要求加密通讯,比如不允许使用http,代之以https。一旦数据加密不能破解(也不应该被破解)该功能最终效果会越来越差。
考虑到DSMM分为五级,三级以前还可通过数据资产发现的模式来推动数据安全,三级以后就应该慢慢转变,最终发展为基于白盒假设的方向,数据资产也以注册、备案方式来保证完整,黑盒作为监测、抽查发挥补充作用。
DSMM的PA构成比较复杂,既有能力域方面的差别,组织建设、制度流程、技术工具和人员能力不同能力域的PA,也有级别上的差别。笔者分析认为,从能力域角度,项目型安全需求集中体现在制度流程部分;从级别上看,以等级3为标准,最能反应当下开发安全有所开展机构的安全要求。笔者按照等级3的假设,自动包含等级2的要求,酌情引入等级4的要求,经过对制度流程能力域PA的分析,总结了14条应该在日常项目建设中考虑的安全需求:
安全 | PA | 说明 | 等级 | 制度流程 | 需求 |
数据采集安全 | PA01数据分类分级 | 基于法律法规以及业务需求确定组织内部的数据分类分级方法,对生成或收集的数据进行分类分级标识。 | 等级1:非正式执行 | 制度流程:组织未在任何业务建立成熟稳定的数据分类分级,仅根据临时需求或基于个人经验,对部分数据进行了分类或分级(BP.01.01)。 | 应按照数据分类分级原则将系统的有关数据进行分类分级,并备案到数据资产管理系统中;(对应BP.01.06) 应对不同类别和级别的数据建立相应的访问控制;(对应BP.01.07) 按照不同类别和级别的数据的安全保护要求进行数据加解密;(对应BP.01.07) 按照不同类别和级别的数据的安全保护确定数据脱敏的要求和脱敏的方式。(对应BP.01.07) |
等级2:计划跟踪 | 制度流程:应根据业务特性和外部合规要求,对核心业务的关键数据进行分类分级管理(BP.01.03)。 | ||||
等级3:充分定义 | 制度流程: 1)应明确数据分类分级原则、方法和操作指南(BP.01.05); 2)应对组织的数据进行分类分级标识和管理(BP.01.06); 3)应对不同类别和级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施(BP.01.07); 4)应明确数据分类分级变更审批流程和机制,通过该流程保证对数据分类分级的变更操作及其结果符合组织的要求(BP.01.08)。 | ||||
等级4:量化控制 | |||||
等级5:持续优化 | 制度流程:应定期评审数据分类分级的规范和细则,考虑其内容是否完全覆盖了当前的业务,并执行持续的改进优化工作(BP.01.13); | ||||
PA02数据采集安全管理 | 在采集外部客户、合作伙伴等相关方数据的过程中,组织应明确采集数据的目的和用途,确保满足 数据源的真实性、有效性和最少够用等原则要求,并明确数据采集渠道、规范数据格式以及相关的流程 和方式,从而保证数据采集的合规性、正当性、一致性。 | 等级1:非正式执行 | 制度流程:未在任何业务建立成熟稳定的数据采集安全管理,仅根据临时需求或基于个人经验对个别数据采集进行安全管理(BP.02.01)。 | 应明示个人信息采集的目的、方式和范围,并经被采集人同意。(对应BP.02.04) 应明确数据采集过程中个人信息和重要数据需要采取的控制措施,确保采集过程中的个人信息和重要数据不被泄漏。(对应BP.02.10) | |
等级2:计划跟踪 | 制度流程: 1)应明确核心业务数据采集原则,保证该业务数据采集的合法、正当(BP.02.03); 2)核心业务应明示个人信息采集的目的、方式和范围,并经被收集者同意(BP.02.04)。 | ||||
等级3:充分定义 | 制度流程: 1)应明确组织的数据采集原则,定义业务的数据采集流程和方法(BP.02.06); 2)应明确数据采集的渠道及外部数据源,并对外部数据源的合法性进行确认(BP.02.07); 3)应明确数据采集范围、数量和频度,确保不收集与提供服务无关的个人信息和重要数据(BP.02.08); 4)应明确组织数据采集的风险评估流程,针对采集的数据源、频度、渠道、方式、数据范围和类型进行风险评估(BP.02.09); 5)应明确数据采集过程中个人信息和重要数据的知悉范围和需要采取的控制措施,确保采集过程中的个人信息和重要数据不被泄漏(BP.02.10); 6)应明确自动化采集数据的范围(BP.02.11)。 | ||||
等级4:量化控制 | 制度流程:应明确数据采集安全管理效果的评估方式,如数据采集安全管理在业务的覆盖率、制度流程执行效果、数据采集授权率等(BP.02.15)。 | ||||
等级5:持续优化 | 制度流程:数据采集安全管理应持续优化,持续跟踪数据采集安全管理执行效果、新业务产生的需求、行业新技术和最佳应用、合规新要求新变化等(BP.02.18)。 | ||||
PA03数据源鉴别及记录 | 对产生数据的数据源进行身份鉴别和记录,防止数据仿冒和数据伪造。 | 等级1:非正式执行 | 应采取合理方式记录数据的来源,建立数据溯源机制。(对应BP.03.03\BP.03.06\BP.03.03.10) | ||
等级2:计划跟踪 | 制度流程:核心业务系统的在线数据采集和外部第三方采集,均应建立了相应机制执行数据源的鉴别和记录(BP.03.03); | ||||
等级3:充分定义 | 制度流程:应明确数据源管理的制度,对组织采集的数据源进行鉴别和记录(BP.03.06)。 | ||||
等级4:量化控制 | 制度流程: 1)组织应定义了数据追溯策略要求、追溯数据格式、追溯数据安全存储与使用的管理制度等。根据组织内的业务梳理数据源的类型,并明确在关键的数据管理系统(如数据库管理系统、元数据管理系统)上对数据源类型标记的要求(BP.03.10); 2)应明确基于追溯数据的数据业务与法律法规合规性审核的机制,并依据审核结果增强或改进与数据服务相关的访问控制与合规性保障机制和策略(BP.03.11)。 | ||||
等级5:持续优化 | 制度流程:应对数据源鉴别方式和分类方法进行持续的改进,基于业务的发展变化以及行业最佳应用,提升数据源管理的成效(BP.03.13)。 | ||||
PA04数据质量管理 | 建立组织的数据质量管理体系,保证对数据采集过程中收集/产生的数据的准确性、一致性和完 整性。 | 等级1:非正式执行 | 在数据的采集、清洗、转换等过程后,应对数据质量检测(包括检测数据格式、数据完整性、数据一致性等)(对应BP.03.03\BP.03.06\BP.03.03.10) | ||
等级2:计划跟踪 | 制度流程:在核心业务中应将数据质量管理或监控作为必要的环节(BP.04.03)。 | ||||
等级3:充分定义 | 制度流程: 1)应明确数据质量管理相关的要求,包含数据格式要求、数据完整性要求、数据源质量评价标准等(BP.04.05); 2)应明确数据采集过程中质量监控规则,明确数据质量监控范围及监控方式(BP.04.06); 3)应明确组织的数据清洗、转换和加载操作相关的安全管理规范,明确执行的规则和方法、相关人员权限、完整性和一致性要求等(BP.04.07)。 | ||||
等级4:量化控制 | 制度流程: a)应明确数据质量分级标准,明确不同级别和类型的数据采集、清洗、转换等数据采集处理流程质量要求(BP.04.10); b)应定期对数据质量进行分析、预判和盘点,明确数据质量问题定位和修复时间要求(BP.04.11)。 | ||||
等级5:持续优化 | |||||
数据传输安全 | PA05数据传输加密 | 根据组织内部和外部的数据传输要求,采用适当的加密保护措施,保证传输通道、传输节点和传输 数据的安全,防止传输过程中的数据泄漏。 | 等级1:非正式执行 | 应明确数据传输的安全控制措施,包括传输通道加密、数据内容加密、签名验签、身份鉴别、数据传输接口安全等,对采用加密方式的需完整描述密钥的全周期安全机制;(对应BP.05.03/BP.05.07/BP.05.013) | |
等级2:计划跟踪 | 制度流程:应根据合规要求和业务性能的需求,核心业务明确业务中需要加密传输的数据范围和加密算法(BP.05.03)。 | ||||
等级3:充分定义 | 制度流程: 1)应明确数据传输安全管理规范,明确数据传输安全要求(如传输通道加密、数据内容加密、签名验签、身份鉴别、数据传输接口安全等),确定需要对数据传输加密的场景(BP.05.07); 2)应明确对数据传输安全策略的变更进行审核的技术方案(BP.05.08)。 | ||||
等级4:量化控制 | 制度流程:应在数据分类分级定义的基础上,明确提出对不同类型、级别的数据的加密传输要求,包含对数据加密算法的要求和密钥的管理要求(BP.05.13)。 | ||||
等级5:持续优化 | |||||
PA08逻辑存储安全 | 基于组织内部的业务特性和数据存储安全要求,建立针对数据逻辑存储、存储容器等的有效安全 控制。 | 等级1:非正式执行 | 应明确数据的存储安全,访问控制机制等,包括各类数据存储系统的账号权限管理、访问控制、日志管理、加密管理、版本升级等方面的控制(对应BP.07.03/BP.07.06/BP.08.06/BP.08.07/BP.08.13) 对应需要进行数据隔离的多用户/多法人数据场景的,应明确数据隔离机制和数据访问的隔离控制(对应BP.08.08) | ||
等级2:计划跟踪 | |||||
等级3:充分定义 | 制度流程: 1)应明确数据逻辑存储管理安全规范和配置规则,明确各类数据存储系统的账号权限管理、访问控制、日志管理、加密管理、版本升级等方面的要求(BP.08.06); 2)内部的数据存储系统应在上线前遵循统一的配置要求进行有效的安全配置,对使用的外部数据存储系统也应进行有效的安全配置(BP.08.07); 3)应明确数据逻辑存储隔离授权与操作要求,确保具备多用户数据存储安全隔离能力(BP.08.08)。 | ||||
等级4:量化控制 | 制度流程: 1)应明确分层的逻辑存储授权管理规则和授权操作要求,具备对数据逻辑存储结构的分层和分级保护能力(BP.08.13); 2)应明确数据分片和分布式存储安全规则,如数据存储完整性规则、多副本一致性管理规则、存储转移安全规则,以满足分布式存储下分片数据完整性、一致性和保密性保护要求(BP.08.14); 3)组织应根据数据分类分级要求,明确各类各级数据的加密存储要求(BP.08.15)。 | ||||
等级5:持续优化 | 制度流程:应定期审核数据库的安全配置情况和权限分配情况,并改进优化相关配置和角色权限包的内容(BP.08.20)。 | ||||
PA09数据备份和恢复 | 通过执行定期的数据备份和恢复,实现对存储数据的冗余管理,保护数据的可用性。 | 等级1:非正式执行 | 对于重要系统,应明确系统的RPO和RTO目标;应明确数据的备份和恢复机制,包括备份和恢复的范围、频率、工具、过程、日志记录、数据保存时长等(对应BP.09.07) 应明确备份/归档数据的压缩或加密要求及安全管控机制(对应BP.09.10/BP.09.11) | ||
等级2:计划跟踪 | 制度流程:业务团队应明确数据备份和恢复的制度(BP.09.03)。 | ||||
等级3:充分定义 | 制度流程: 1)应明确数据备份与恢复的管理制度,以满足数据服务可靠性、可用性等安全目标(BP.09.06); 2)应明确数据备份与恢复的操作规程,明确定义数据备份和恢复的范围、频率、工具、过程、日志记录、数据保存时长等(BP.09.07); 3)应明确数据备份与恢复的定期检查和更新工作程序,包括数据副本的更新频率、保存期限等(BP.09.08); 4)应依据数据生存周期和业务规范,建立数据生存周期各阶段数据归档的操作流程(BP.09.09); 5)应明确归档数据的压缩或加密要求(BP.09.10); 6)应明确归档数据的安全管控措施,非授权用户不能访问归档数据(BP.09.11); 7)应识别组织适用的合规要求,按监管部门的要求对相关数据予以记录和保存(BP.09.12); 8)应明确数据存储时效性管理规程,明确数据分享、存储、使用和删除的有效期、有效期到期时对数据的处理流程、过期存储数据的安全管理要求(BP.09.13); 9)应明确过期存储数据的安全保护机制,对超出有效期的存储数据应具备再次获取数据控制者授权的能力(BP.09.14)。 | ||||
等级4:量化控制 | 制度流程: 1)应明确数据冗余强一致性、弱一致性等控制要求,以满足不同一致性水平需求的数据副本多样性和多变性存储管理要求(BP.09.23); 2)应对组织内数据备份的场景、数量、频率进行了定期的统计,了解组织内部数据备份工作的开展情况(BP.09.24)。 | ||||
等级5:持续优化 | 制度流程:应密切关注国内外数据备份和恢复的优秀解决方案,适当地采纳并用于组织内部的数据备份和恢复工作(BP.09.31)。 | ||||
数据处理安全 | PA10数据脱敏 | 根据相关法律法规、标准的要求以及业务需求,给出敏感数据的脱敏需求和规则,对敏感数据进行 脱敏处理,保证数据可用性和安全性的平衡。 | 等级1:非正式执行 | 应明确数据的脱敏范围和脱敏方法,对于开发测试需要使用生产数据的,应建立对应的脱敏算法处理生产数据,保证敏感数据不可还原导致数据泄露。(对应BP.10.08/BP.10.09/BP.10.16) | |
等级2:计划跟踪 | 制度流程:在核心业务中,应对业务中涉及的数据脱敏需求进行分析,明确脱敏的流程和方法(BP.10.04)。 | ||||
等级3:充分定义 | 制度流程: 1)应明确组织的数据脱敏规范,明确数据脱敏的规则、脱敏方法和使用限制等(BP.10.08); 2)应明确需要脱敏处理的应用场景、脱敏处理流程、涉及部门及人员的职责分工(BP.10.09)。 | ||||
等级4:量化控制 | 制度流程: 1)应明确列出需要脱敏的数据资产,给出不同分类分级数据的脱敏处理流程(BP.10.16); 2)应明确脱敏数据治理要求,在评估方法等方面反映脱敏治理效果(BP.10.17)。 | ||||
等级5:持续优化 | |||||
PA11数据分析安全 | 通过在数据分析过程采取适当的安全控制措施,防止数据挖掘、分析过程中有价值信息和个人隐私 泄漏的安全风险。 | 等级1:非正式执行 | 对于数据分析功能,应明确构建数据仓库、建模、分析、挖掘、展现等方面安全控制措施,明确个人信息保护、数据获取方式、访问接口、授权机制、分析逻辑、分析结果等安全控制措施;(对应BP.11.03/BP.11.06) | ||
等级2:计划跟踪 | 制度流程: 1)核心业务应明确数据分析安全的原则或要求,如对个人明细数据、业务明细数据进行聚合分析过程中应考虑的关键安全风险等(BP.11.03); 2)核心业务团队应对涉及个人信息的数据分析需求进行了人工审核,针对具体的数据分析场景制定了相应的隐私保护方案(BP.11.04)。 | ||||
等级3:充分定义 | 制度流程: 1)应明确数据处理与分析过程的安全规范,覆盖构建数据仓库、建模、分析、挖掘、展现等方面的安全要求,明确个人信息保护、数据获取方式、访问接口、授权机制、分析逻辑安全、分析结果安全等内容(BP.11.06); 2)应明确数据分析安全审核流程,对数据分析的数据源、数据分析需求、分析逻辑进行审核,以确保数据分析目的、分析操作等当面的正当性(BP.11.07); 3)应采取必要的监控审计措施,确保实际进行的分析操作与分析结果使用与其声明的一致,整体保证数据分析的预期不会超过相关分析团队对数据的权限范围(BP.11.08); 4)应明确数据分析结果输出和使用的安全审核、合规评估和授权流程,防止数据分析结果输出造成安全风险(BP.11.09)。 | ||||
等级4:量化控制 | |||||
等级5:持续优化 | 制度流程:应跟踪新业务需求、国内外法律法规变化和技术发展变化,持续调整和改进数据分析安全管理效果(如改进数据分析的个人隐私保护方案)(BP.11.19)。 | ||||
PA14数据导入导出安全 | 通过对数据导入导出过程中对数据的安全性进行管理,防止数据导入导出过程中可能对数据自身 的可用性和完整性构成的危害,降低可能存在的数据泄漏风险。 | 等级1:非正式执行 | 应明确数据导入导出的安全策略,包括可导入导出的位置、授权、流程控制等;(对应BP.14.07) | ||
等级2:计划跟踪 | 制度流程:应明确核心业务数据导入导出安全制度或审批流程(BP.14.03)。 | ||||
等级3:充分定义 | 制度流程: 1)应依据数据分类分级要求建立符合业务规则的数据导入导出安全策略,如授权策略、流程控制策略、不一致处理策略等(BP.14.07); 2)应明确数据导出安全评估和授权审批流程,评估数据导出的安全风险,并对大量或敏感数据导出进行授权审批(BP.14.08); 3)如采用存储媒体导出数据,应建立针对导出存储媒体的标识规范,明确存储媒体的命名规则、标识属性等重要信息,定期验证导出数据的完整性和可用性(BP.14.09); 4)应制定导入导出审计策略和日志管理规程,并保存导入导出过程中的出错数据处理记录(BP.14.10)。 | ||||
等级4:量化控制 | |||||
等级5:持续优化 | 制度流程:组织应及时跟进业务相关的法律法规的更新和产业内的优秀做法,定期评估导入导出服务组件和导入导出通道的安全性,对数据导入导出的风险控制方案进行持续的优化调整(BP.14.20)。 | ||||
数据交换安全 | PA15数据共享安全 | 通过业务系统、产品对外部组织提供数据时,以及通过合作的方式与合作伙伴交换数据时执行共享 数据的安全风险控制,以降低数据共享场景下的安全风险。 | 等级1:非正式执行 | 应明确数据共享的原则和安全规范,明确数据共享内容范围和数据共享的管控措施(对应BP.15.06); | |
等级2:计划跟踪 | 制度流程:应明确核心业务数据共享安全评估机制,可从共享目的合理性、共享数据的范围和合规性、共享方式的安全性、共享后管理责任和约束措施等方面进行评估(BP.15.03)。 | ||||
等级3:充分定义 | 制度流程: 1)应明确数据共享的原则和安全规范,明确数据共享内容范围和数据共享的管控措施,及数据共享涉及机构或部门相关用户职责和权限(BP.15.06); 2)应明确数据提供者与共享数据使用者的数据安全责任和安全防护能力(BP.15.07); 3)应明确数据共享审计规程和审计日志管理要求,明确审计记录要求,为数据共享安全事件的处置、应急响应和事后调查提供帮助(BP.15.08); 4)使用外部的软件开发包/组件/源码前应进行安全评估,获取的数据应符合组织的数据安全要求(BP.15.09)。 | ||||
等级4:量化控制 | 制度流程: 1)应在组织统一的数据共享原则基础上,针对主要的数据共享场景明确了安全细则或审批流程,如对境外机构的数据共享安全细则、对政府机构的数据共享安全细则等(BP.15.14); 2)应定期评估数据共享机制、相关组件和共享通道的安全性(BP.15.15); 3)应在共享数据时,对数据接收方的数据安全防护能力进行评估(BP.15.16)。 | ||||
等级5:持续优化 | 制度流程:组织应及时跟进业务相关法律法规的更新和产业内的优秀做法,定期评估数据共享机制、服务组件和共享通道的安全性,对数据共享的风险控制方案进行持续的优化调整(BP.15.19)。 | ||||
PA16数据发布安全 | 在对外部组织进行数据发布的过程中,通过对发布数据的格式、适用范围、发布者与使用者权利和 义务执行的必要控制,以实现数据发布过程中数据的安全可控与合规。 | 等级1:非正式执行 | 对于数据发布,应明确数据发布的安全控制机制,包括数据公开的内容、范围等(对应BP.16.06/BP.16.07) | ||
等级2:计划跟踪 | 制度流程:应明确核心业务数据公开发布的安全制度和审核流程(BP.16.03)。 | ||||
等级3:充分定义 | 制度流程: 1)应明确数据公开发布的审核制度,严格审核数据发布合规要求(BP.16.06); 2)应明确数据公开内容、适用范围及规范,发布者与使用者权利和义务(BP.16.07); 3)应定期审查公开发布的数据中是否含有非公开信息,并采取相关措施满足数据发布的合规性(BP.16.08); 4)应采取必要措施建立数据公开事件应急处理流程(BP.16.09)。 | ||||
等级4:量化控制 | 制度流程: 1)组织应针对关键的数据资源发布明确了安全发布细则和审核流程(BP.16.12); 2)组织应细化明确各类数据发布场景的审核流程,从审核的有效性和审核的效率层面充分考虑流程节点的制定(BP.16.13)。 | ||||
等级5:持续优化 | |||||
PA17数据接口安全 | 通过建立组织的对外数据接口的安全管理机制,防范组织数据在接口调用过程中的安全风险。 | 等级1:非正式执行 | 对于存在对外数据接口的,应明确数据接口安全控制策略,包括规定使用数据接口的安全限制和安全控制措施,如身份鉴别、访问控制、授权策略、签名、时间戳、安全协议等(BP.17.07) | ||
等级2:计划跟踪 | 制度流程:核心业务或系统应定义数据接口安全策略(BP.17.03)。 | ||||
等级3:充分定义 | 制度流程: 1)应明确数据接口安全控制策略,明确规定使用数据接口的安全限制和安全控制措施,如身份鉴别、访问控制、授权策略、签名、时间戳、安全协议等(BP.17.07); 2)应明确数据接口安全要求,包括接口名称、接口参数等(BP.17.08); 3)应与数据接口调用方签署了合作协议,明确数据的使用目的、供应方式、保密约定、数据安全责任等(BP.17.09)。 | ||||
等级4:量化控制 | |||||
等级5:持续优化 | |||||
通用安全过程域 | PA27监控与审计 | 针对数据生存周期各阶段开展安全监控和审计,以保证对数据的访问和操作均得到有效的监控和 审计,以实现对数据生存周期各阶段中可能存在的未授权访问、数据滥用、数据泄漏等安全风险的防控。 | 等级1:非正式执行 | 应明确对各类数据访问和操作记录日志,日志记录内容包括操作人IP、用户等可数据,操作动作和操作数据对象,操作结果等信息。(对应BP.27.05) | |
等级2:计划跟踪 | 制度流程:核心业务应建立数据安全风控或审计监控相关规则,如对数据生存周期各阶段的数据访问和操作进行监控的方案(如实时监控、定期批量监控等)(BP.27.03)。 | ||||
等级3:充分定义 | 制度流程: 1)应明确对组织内部各类数据访问和操作的日志记录要求、安全监控要求和审计要求(BP.27.05); 2)应记录数据操作事件,并制定数据安全风险行为识别和评估规则(BP.27.06); 3)应定期对组织内部员工数据操作行为进行人工审计(BP.27.07)。 | ||||
等级4:量化控制 | |||||
等级5:持续优化 |
除DSMM外,其他的数据安全规范同样重要,在开发安全中也有广泛应用。以数据分类分级为例,DSMM只是规定需要分类分级,并由对应的保护措施,但怎么进行分类分级,怎么分正确、合理并没有提及,这就要靠其他数据安全规范。如果是银行,就要参考《金融数据安全 数据安全分级指南(JRT 0197-2020)》制定数据分类分级标准;如果是运营商,就要参考《基础电信企业数据分类分级方法(YD/T3813-2020)》制定数据分类分级标准,这些都是保障安全需求进一步细化的关键。
小结:数据安全是信息安全整体工作的结果,离不开其他领域安全的支持。数据安全虽然体现在系统运营阶段,但其根基却在系统开发阶段。从开发阶段全面重视数据安全,把数据安全左移,在安全需求、安全设计、安全测试阶段充分重视数据安全,是助力数据安全从黑盒走向白盒,真正具备DSMM的三级、四级甚至五级水平的关键和必由之路。