實施數據安全治理的組織,一般都具有較爲發達和完善的信息化水平,數據資產龐大,涉及的數據使用方式多樣化,數據使用角色繁雜,數據共享和分析的需求剛性,要滿足數據有效使用的同時保證數據使用的安全性,需要極強的技術支撐。
數據安全治理面臨數據狀況梳理、敏感數據訪問與管控、數據治理稽覈三大挑戰。
數據安全治理面臨的挑戰
數據安全狀況梳理技術挑戰
組織需要確定敏感性數據在系統內部的分佈情況,其中的關鍵問題在於如何在成百上千的數據庫和存儲文件中明確敏感數據的分佈;組織需要確定敏感性數據是如何被訪問的,如何掌握敏感數據在被什麼系統、什麼用戶以什麼樣的方式訪問;組織需要迅速確定當前的賬號和授權狀況,清晰化、可視化、報表化的明確敏感數據在數據庫和業務系統中的訪問賬號和授權狀況,明確當前權控是否具備適當的基礎。
數據訪問管控技術挑戰
在敏感數據訪問和管控技術方面,細分至五個方面的挑戰:
(1)如何將敏感數據訪問的審批在執行環節有效落地
對於敏感數據的訪問、對於批量數據的下載要進行審批制度,這是數據治理的關鍵;但工單的審批若是在執行環節無法有效控制,訪問審批制度僅僅是空中樓閣。
(2)如何對突破權控管理的***技術進行防禦
基於數據庫的權限控制技術,在基於漏洞的***的基礎上將很容易被突破。
(3)如何在保持高效的同時實現存儲層的加密
基於文件層和硬盤層的加密將無法與數據庫的權控體系結合,對運維人員無效;如何實現存儲加密、權限控制和快速檢索的整體解決,是這一問題的關鍵,只有這樣的存儲加密才能保證安全的同時數據剋用。
(4)如何實現保持業務邏輯後的數據脫敏
對於測試環境、開發環境和BI分析環境中的數據需要對敏感數據模糊化,但模糊化的數據保持與生產數據的高度仿真,是實現安全有可用的基礎。
(5)如何實現數據提取分發後的管控
數據的共享是數據的基本使用屬性,但數據的複製是沒有痕跡的;數據分發後如何保證數據不回被流轉到失控的環境,或者被複制後可溯源,這是數據提取分發管理的關鍵。
數據安全的稽覈和風險發現挑戰
1、如何實現對賬號和權限變化的追蹤
定期地對賬號和權限變化狀況進行稽覈,是保證對敏感數據的訪問在既定策略和規範內的關鍵;但如何對成百上千個業務系統和數據庫中的賬號與權限的變化狀況進行追蹤的關鍵。
2、如何實現全面的日誌審計
在新的網絡安全法出臺後全面的數據訪問審計要求,日誌存儲要求6個月;在新的等保中要求,雲的提供商和用戶都必須實現全面的日誌記錄。全面審計工作對各種通訊協議、雲平臺的支撐,1000億數據以上的存儲、檢索與分析能力上,均形成挑戰。全面的審計是檢驗數據安全治理中的策略是否在日常的執行中沒切實落地的關鍵。
3、如何快速實現對異常行爲和潛在風險的發現與告警
數據治理中,有一個關鍵要素就是發現非正常的訪問行爲和系統中存在的潛在漏洞問題。如何對日常行爲進行建模,在海量數據中快速發現異常行爲和***行爲避免系統面臨大規模失控的關鍵。
只有深刻了解數據安全治理過程中所面臨的一系列技術難題和挑戰,我們才能針對這些問題不斷尋求應對方法,做到對症下藥。我們將在後續文章中,重點針對這些技術關卡給出相應的技術支撐思路。