2019年8月30日,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020年3月起正式实施。
DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。
在此基础上,DSMM将上述6个生命周期进一步细分,划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段,部分过程域贯穿于整个数据生命周期。
随着《中华人民共和国数据安全法(草案)》的公布,后续DSMM很可能会成为该法案的具体落地标准和衡量指标,对于中国企业而言,以DSMM为数据安全治理思路方案选型,可以更好的实现数据安全治理的制度合规。
本系列文将以DSMM数据安全治理思路为依托,针对上述各过程域,基于充分定义级视角(3级),提供数据安全建设实践建议,本文作为本系列第十篇文章,将介绍数据处理安全阶段的数据脱敏过程域(PA10)。
一、定义
数据脱敏,DSMM官方描述定义为根据相关法律法规、标准的要求以及业务需求,给出敏感数据的脱敏需求和规则,对敏感数据进行脱敏处理,保证数据可用性和安全性的平衡。
DSMM标准在充分定义级对数据脱敏要求如下:
1. 组织建设
① 建议组织应设立统一的数据安全岗位和人员,负责制定数据脱敏的原则和方法,并提供相关技术能力;
② 在数据权限的申请阶段,有相关人员应评估使用真实数据的必要性,以及确定该场景下适用的数据脱敏规则及方法。
2. 制度流程
① 应明确组织的数据脱敏规范,明确数据脱敏的规则、脱敏方法利使用限制等;
② 应明确需要脱敏处理的应用场景、脱敏处理流程、涉及部门及人员的职责分工。
3. 技术工具
① 组织应提供统一的数据脱敏工具,实现数据脱敏工具与数据权限管理系统的联动,以及数据使用前的静态脱敏;
② 应提供面向不同数据类型的脱敏方案,可基于场景需求自定义脱敏规则;
③ 数据脱敏后应保留原始数据格式和特定属性,满足开发与测试需求;
④ 应对数据脱敏处理过程相应的操作进行记录,以满足数据脱敏处理安全审计要求。
4. 人员能力
① 应熟悉常规的数据脱敏技术,能够分析数据脱敏过程中存在的安全风险,基于数据脱敏的具体场景保证业务和安全之间的需求平衡;
② 应具备对数据脱敏的技术方案定制化的能力,能够基于组织内部各级别的数据建立有效的数据脱敏方案;
二、实践指南
1. 组织建设
建议组织机构在条件允许的情况下应该设立数据脱敏部门并招募相关的技术人员和管理人员,负责为公司制定整体的数据脱敏原则和制度,并推动相关要求确实可靠的落地执行。
除此之外,还需要为公司定义不同等级的敏感数据脱敏处理情景、标准操作流程、标准方法,为公司建立统一的安全审计机制,用于记录和监督数据脱敏各阶段的操作行为,方便后续的问题排查和事件溯源等,在申请数据权限的阶段中,还应该提供评估使用真实数据必要性的服务支持,并确定在当前业务场景下应该采用的数据脱敏规则和方法。
2. 人员能力
针对数据脱敏部门的管理人员来说,必须具备良好的数据安全风险意识,熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求,在进行数据脱敏管理以及数据脱敏原则制定的时候,严格按照《网络安全法》、《数据安全法》等国家相关法律法规和行业规范执行。
同时还需要相关人员具备一定的数据安全管理经验,拥有良好的数据脱敏专业知识基础,熟悉主流厂商的数据脱敏解决方案,熟悉常规的数据脱敏技术,能提前分析出数据脱敏过程中可能存在的安全风险,能够与具体的业务场景结合,保持数据脱敏过程中业务与安全之间的平衡,具备对数据脱敏技术方案进行定制化的能力,能够基于组织机构内部各级别的数据建立行之有效的数据脱敏解决方案。
针对数据脱敏部门的实施人员来说,必须具备良好的数据安全风险意识,熟悉相关法律法规以及政策要求,熟悉主流厂商的数据脱敏方案、熟悉市面上常用的数据脱敏工具,拥有至少一年以上的数据脱敏实施经验,熟悉公司内部应用场景、业务场景,能够快速有效地实施由管理部门输出的定制化数据脱敏方案,并保障完成质量。同时还应该具备一定的应急响应能力,当在数据脱敏过程中发生了突发事件或意外情况,能够快速响应进行上报,保障原始数据安全以及脱敏数据的完整性和可用性等。
3. 落地执行性确认
针对数据脱敏岗位人员能力的实际落地执行性确认,可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。
4. 制度流程
① 数据脱敏原则
●有效性:要求经过数据脱敏处理后,原始信息中包含的敏感信息已被移除,无法通过处理后的数据得到敏感信息;
●真实性:要求脱敏狗的数据应尽可能的提现原始数据的特征,且应尽可能多的保留原始数据中的有意义信息,以减小对使用该数据的系统的影响;
●高效性:应保证数据脱敏的过程可通过程序自动化实现,可重复执行;
●稳定性:数据脱敏时需保证对相同的原始数据,在各输入条件一致的前提下,无论脱敏多少次,其最终结果数据是相同的;
●可配置性:可通过配置的方式,按照输入条件不同生成不同的脱敏结果,从而可以方便的按数据使用场景等因素为不同的最终用户提供不同的脱敏数据。
② 数据脱敏管理安全规范
认为一个完整的数据脱敏流程包括敏感数据识别、确定脱敏方法、制定脱敏策略、执行脱敏操作、审计及溯源等步骤。由数据脱敏管理部门负责数据脱敏整个流程的执行与监督。
●敏感数据识别
在数据脱敏之前,应结合数据分级分类表对敏感数据进行识别和定义,明确需要脱敏的数据信息,一般包括个人信息数据、组织敏感信息、国家重要数据等。需要注意的是,有些信息本身可能并不是直接敏感信息,但是可用过与其他一些信息结合后推断出敏感信息,此时也应将此类信息纳入数据敏感的范围。
●确定脱敏方法
根据应用场景和时间机制,数据脱敏方法可分为静态数据脱敏和动态数据脱敏。不同的数据脱敏方案对数据源的影响不同,脱敏时效性也不一样。组织机构应根据识别出的敏感数据的具体情况,确定合适的脱敏方法。
●制定脱敏策略
组织机构应根据实际业务场景,结合行业法规的要求,制定相应的数据脱敏策略。
●执行脱敏操作
根据已定义的数据脱敏策略、以及数据脱敏工作的流程和数据脱敏工具的运维管理制度,在实际业务运营过程中执行数据脱敏。
●审计及溯源
在数据脱敏的各个阶段需加入安全审计机制,严格、详细记录数据处理过程中的相关信息,形成完整的数据处理记录,用于后续问题排查分析和安全事件取证溯源。同时,设置专人定期对脱敏相关的日志记录进行安全审计,发布审计报告,并跟进审计中发现的异常。
5. 技术工具简述
一个有效的数据脱敏工具应该包含两部分,一部分是可靠的数据脱敏技术,另一部分是合理的脱敏规则,这两部分是数据脱敏工具正常进行基本数据脱敏作业的基础。除此之外,数据脱敏工具需要有良好的适配性,能够应用在不同的环境下,如生产环境、开发环境、测试环境、外包环境等。同时还需要能够支持丰富的数据类型,针对不同的应用场景的的不同类型的数据,脱敏后不能破坏原有的类型和数据组成结构。
① 技术工具的方法和原理
数据脱敏技术工具可以分为两种,一种是静态脱敏,另一种是动态脱敏。静态脱敏和动态脱敏最大的一个区别标志就是在使用时是否是与原数据源进行连接。静态脱敏是将原数据源按照脱敏规则生成一个脱敏后的数据源,使用的时候是从脱敏后的数据源获取数据,静态脱敏一般用于开发、测试、分析等需要完整数据的场景。动态脱敏则是在使用时直接与原数据源进行连接,在使用数据的中间过程中进行实时的动态脱敏。动态脱敏一般用来解决在生产环境需要根据不同情况对同一敏感数据读取时进行不同级别脱敏的场景。
静态脱敏是利用截断、偏移、规整、替换、重写、加密等算法,对原数据进行脱敏,并将脱敏后的数据导出到脱敏后数据源。一般静态脱敏工具都支持文件到文件脱敏、文件到数据库脱敏、数据库到文件脱敏、原库脱敏、异库脱敏等脱敏方式。
动态脱敏技术在工作时并不会对原数据进行改变,而是通过解析业务SQL语句匹配出脱敏规则对应的条件和数据。当匹配到对应的数据和条件时,通过对业务SQL语句进行改写,改写后的SQL语句在查询生产数据源输出后的数据即为脱敏后的数据。
② 数据脱敏安全
相对来说,动态脱敏在自身数据安全性上是高于静态脱敏的。这是由于在脱敏作业中,动态脱敏不会涉及到对原数据的处理,动态脱敏改变的只是SQL语句。而静态脱敏则会对原数据进行处理,在处理过程中会存在比动态脱敏更多的风险点。
静态脱敏在数据安全保护上一个重点是首先要确认在脱敏系统中会不会落地。数据落地需要脱敏系统也具有数据源同样大小的存储空间,对脱敏系统的存储要求较高,同时进行多业务数据源脱敏的情况下,还需要对接存储系统,不仅硬件成本高,还存在安全风险。
数据脱敏从信息安全的职责分离的要求下出发,脱敏系统的管理者为安全管理员,将DBA接触敏感数据场景剥离出来,同时安全管理员不具有DBA权限也无法查看全部的敏感数据。但在数据落地的情况下,安全管理员可以从数据脱敏系统内获得全部敏感数据,这就违背了职责分离的初衷。
一般来说,使用ETL技术,或者针对不同数据库开发接口的静态脱敏系统都不会采用数据落地的方式。
③ 技术工具工作流程和目标
数据脱敏技术工具应能实现如下的目标:
●敏感数据自动发现:数据脱敏系统在获取到数据源中的数据后,应能够利用特征匹配、机器学习等技术,自动发现数据源中的敏感数据。
●不同场景脱敏规则:数据脱敏系统应当拥有丰富的脱敏规则,能够涵盖组织中的全部数据使用场景。
●脱敏规则自动配置:针对自动发现的敏感数据,数据脱敏系统可以自动配置最合适的脱敏策略。
●无损同构脱敏作业:数据脱敏系统在进行脱敏作业时,不能够对数据造成损坏、丢失,同时脱敏后的数据结构应与原数据一致。
●脱敏全流程审计:对于脱敏全流程,从配置脱敏源、敏感数据自动发现、脱敏规则配置、脱敏作业发起、脱敏作业结束等,所有的操作都应该被审计记录。