《数据安全能力成熟度模型》过程域13:数据处理环境安全

2019年8月30日,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020年3月起正式实施。

DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。

在此基础上,DSMM将上述6个生命周期进一步细分,划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段,部分过程域贯穿于整个数据生命周期。

随着《中华人民共和国数据安全法(草案)》的公布,后续DSMM很可能会成为该法案的具体落地标准和衡量指标,对于中国企业而言,以DSMM为数据安全治理思路方案选型,可以更好的实现数据安全治理的制度合规。

本系列文将以DSMM数据安全治理思路为依托,针对上述各过程域,基于充分定义级视角(3级),提供数据安全建设实践建议,本文作为本系列第十三篇文章,本文将介绍数据处理安全阶段的数据处理环境安全过程域(PA13)。

一、定义

数据处理环境安全,DSMM官方描述定义是为组织内部的数据处理环境建立安全保护机制,提供统一的数据计算、开发平台,确保数据处理的过程中有完整的安全控制管理和技术支持。DSMM标准在充分定义级对数据处理环境安全要求如下:

1、组织建设
应由业务团队相关人员负责数据处理环境安全管控
2、制度流程
1) 数据处理坏境的系统设计、开发和运维阶段应制定相应的安全控制措施,实现对安全风险的管理;
2) 应明确数据处理坏境的安全管理要求;
3) 组织应基于数据处理坏境建立分布式处理安全要求,对外部服务组件注册与使用审核、分布式处理节点间可信连接认证、节点和用户安全属性周期性确认、数据文件标识利用户身份鉴权、数据副本节点更新检测及防止数据泄漏等方面进行安全要求和控制;
4) 组织应明确适合数据处理环境的数据加解密处理要求和密钥管理要求。

3、技术工具
1)数据处理系统与数据权限管理系统应实现了联动,用户在使用数据系统前已获得了授权;
2) 基于数据处理系统的多租户的特性,应对不同的租户保证其在该系统中的数据、系统功能、会话、调度和运营环境等资源实现隔离控制;
3) 应建立数据处理日志管理工具,记录用户在数据处理系统上的加工操作,提供数据在系统上加工计算的关联关系。

4、人员能力

负责该项工作的人员应了解在数据环境下的数据处理系统的主要安全风险,并能够在相关的系统设计、开发阶段通过合理的设计以及运维阶段的有效配置规避相关风险。

二、实践指南
1、组织建设
组织结构应该在条件允许的情况下设立数据处理环境安全管控部门并招募相关人员,负责为公司制定数据处理环境标准、为公司建立数据处理环境安全保护机制、指定统一的数据计算和开发平台,提供对数据处理过程中的安全控制管理和技术支持,并推动相关要求确实可靠的落地执行。除此之外,还需要为公司识别出在大数据环境下数据处理系统/平台可能存在安全风险,并且能够在相关的系统设计开发阶段通过合理的设计以及运维阶段的有效配置规避相关风险。若组织机构条件有限,则可以指定业务团队中的技术人员负责以上工作,负责为公司提供以上的必要技术支持。
2、人员能力

针对数据处理环境安全管控部门的人员或者业务团队的技术人员来说,必须具备良好的数据安全风险意识,熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求,在进行数据使用监督管理以及制定数据正当使用原则的时候,严格按照《网络安全法》、《数据安全法》、《个人信息保护法》等国家相关法律法规和行业规范执行。
同时还需要相关人员具备一定的数据处理环境安全管控经验,拥有能通过合理的设计以及强配置来规避相关风险的能力,熟悉主流的数据处理环境管控案例,了解常见的安全管理措施,熟悉平台化、分布式的安全处理环境搭建方案,熟悉分布式处理节点间可信连接策略和规范,熟悉数据处理环境中的数据加密和解密处理策略以及密钥管理规范,熟悉主流的数据计算、开发平台,拥有数据处理平台搭建、管理经验,确保各分布式处理节点之间采用身份认证措施、保证可信接入,拥有针对分布式数据处理过程制定数据泄露控制规范以及搭建数据泄露控制机制的能力,拥有对整个处理环境进行加解密管理、对所有操作行为进行审计记录、追踪溯源的能力。
3、落地执行性确认

针对数据处理环境安全管控岗位人员能力的实际落地执行性确认,可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。

4、制度流程

1)数据处理环境安全管理目的
数据处理的安全是指如何有效的防止数据在录入、处理、统计或打印中由于硬件故障、断电、死机、人为的误操作、程序缺陷、病毒或黑客等造成的数据库损坏或数据丢失现象,某些敏感或保密的数据可能不具备资格的人员或操作员阅读,而造成数据泄密等后果。有效的数据处理环境安全管理可保护数据在处理过程中不被损坏、丢失或窃取,建立数据处理的环境保护机制,保障数据处理过程中有完整的安全管理和技术支持。
2)数据处理环境安全管理规范
组织应通过建立数据处理平台进行统一管理,采取严格的访问控制、监控审计和职责分离来确保数据处理安全。
①分布处理安全

  • 建立数据分布式处理节点间可信连接策略和规范,例如:采用Kerberos、可信模块等节点认证机制以确保数据分布式处理节点接入的可信性。
  • 建立数据分布式处理每个计算节点和用户安全属性的周期性确认机制,确保分布式处理预定义安全策略的一致性。
  • 建立分布式处理过程中数据文件鉴别和认证的策略和规范,确保分布式处理数据文件的可访问性。
  • 建立分布式处理过程中不同数据副本节点的更新检测机制,确保这些结点数据拷贝的真实性。
  • 建立分布式结算过程中数据泄露控制规范和机制,防止数据处理过程中的调试信息、日志记录、不受控制输出等泄露受保护的个人信息或重要数据。
  • 建立分布式处理外部服务组件审核机制,防止外部服务组件泄漏受保护的个人信息或重要数据。
  • 建立数据分布式处理节点的自动维护策略和管控措施, 提供虚假结点监测、 故障用户结点确认和自动修复的技术机制,避免云环境或虚拟环境下潜在的安全攻击。
②网络访问控制
1.网络隔离
数据处理平台对生产数据网络与非生产数据网络进行安全隔离,从非生产网络不能直接访问生产网络的任何服务器和网络设备,也就不能从非生产网络发起对生产网络的攻击。
2.堡垒机
为了平衡效率和安全性,在运维入口部署堡垒机,只允许办公网的运维人员可以快速通过堡垒机进入数据处理平台进行运维管理。
运维人员登录堡垒机时使用域账号密码加动态口令方式进行双因素认证。堡垒机使用高强度加密算法保障运维通道数据传输的机密性和完整性。
3.远程运维
不在公司的员工提供远程运维通道。运维人员预先向数据处理环境安全管控部门申请VPN接入公司办公网之后访问堡垒机的权限。VPN接入公司办公网络的接入区时使用域账号密码加动态口令方式进行双因素认证,再从办公网接入区访问堡垒机。VPN使用高强度加密算法保障运维通道数据传输的机密性和完整性。
③账号管理和身份认证
数据处理平台使用统一的账号管理和身份认证系统。每个员工存在唯一的账号。账号的唯一性保证了审计时可以定位到个人。集中下发密码策略,强制要求设置符合密码长度、复杂度要求的密码,并定期修改密码。账号管理和身份认证的集中,使得其他信息系统不需要管理身份信息,也不需要保存多余的账号密码,从而降低了应用的复杂性,提高了账号的安全性。账号管理与授权管理分离还可以防止私建账号越权操作行为。
④授权
数据处理环境安全管控部门需基于员工工作岗位和角色,遵循最小权限和职责分离原则,授予员工有限的资源访问权限。员工可根据工作需要向数据处理环境安全管控部门申请VPN访问权限、堡垒机访问权限、管控平台以及生产系统访问权限,经相关部门审批后,进行授权。
⑤加解密处理策略
数据处理环境安全管控部门应建立数据处理环境的数据加密和解密处理策略和密钥管理规范。在风险评估的基础上采用合理的加密技术,如对于应用层可采取SSL证书形式加密、对于存储可采取AES等对称加密等。
⑥监控
使用自动化监控系统对数据处理平台网络设备、服务器、数据库、应用集群以及核心业务进行全面实时监控。监控系统展示云平台关键运营指标,并可配置告警阈值,当关键运营指标超过设置的告警阈值时,自动通知数据处理环境安全管控部门。
数据处理环境安全管控部门应建立应急处理机制,以应对大数据处理集群资源耗尽时的宕机风险。
⑦审计与溯源
员工对数据处理平台的所有运维操作必须且只能通过堡垒机进行。所有操作过程完整记录下来实时传输到集中日志平台。堡垒机对于Linux操作记录所有命令行,对于Windows操作录屏并记录键盘操作。
员工需要通过数据处理平台唯一的数据权限管理账号对数据进行处理、访问和使用,所有的操作及过程都会完整的记录下来实时传输到集中日志平台。
数据处理环境管控部门应制定数据处理溯源策略和溯源机制、溯源数据存储和使用的管理制度。并制定溯源数据表达方式和格式规范,以规范化组织、存储和管理溯源数据。
数据处理环境管控部门应建立基于溯源数据的数据业务与法律法规合规性审计机制,并依据审计结果增强或改进数据服务相关的访问控制与合规性保障工作。
数据处理环境管控部门应采取校验码、加密、数字签名等技术手段,保证溯源数据真实性和机密性。并采用必要的技术手段,确保溯源数据能重现数据处理过程,如追溯操作发起者及发起时间。
数据处理环境管控部门需对关键溯源数据进行备份,并采取技术手段对溯源数据进行安全保护。

5、技术工具简述

根据数据处理环境的安全控制要求,数据处理平台主要应实现以下功能
1. 对数据处理平台进行权限管控,确保用户在使用数据处理平台前已经获得相关授权。
2. 对数据处理平台进行多租户管理,各租户之间进行逻辑隔离,确保该租户在平台中的数据、系统功能、会话、调度和运营环境等资源独立运行。
3. 在数据处理过程中进行日志管理,针对用户的数据处理操作进行记录和审计。
4. 具有内控措施,监测账号伪装、恶意篡改数据等恶意行为,从而保障各个工作环节的功能稳定
主要涉及有账号管理和身份认证、网络访问控制、授权、监控与审计等技术方法:
①账号管理和身份认证
数据处理平台使用统一的账号管理和身份认证系统。每个员工存在唯一的账号。账号的唯一性保证了审计时可以定位到个人。集中下发密码策略,强制要求员工设置符合密码长度、复杂度要求的密码,并定期修改密码。账号管理和身份认证的集中,使得其他信息系统不需要管理身份信息,也不需要保存多余的账号密码,从而降低了应用的复杂性,提高了账号的安全性。账号管理与授权管理分离还可以防止私建账号越权操作行为。身份认证主要有三种模式:身份认证组件模式、统一认证模式以及信任代理模式。
②网络访问控制
网络访问控制主要包含网络隔离、堡垒机与远程运维等,具体可参见上述制度流程部分。
③授权
数据权限管理平台统一的权限申请和授权管理系统。基于员工工作岗位和角色,遵循最小权限和职责分离原则,授予员工有限的资源访问权限。员工根据工作需要通过权限管理平台申请VPN访问权限、堡垒机访问权限、管控平台以及生产系统访问权限,经主管、数据或系统所有者、安全管理员以及相关部门审批后,进行授权。
④监控与审计
使用自动化监控系统对云平台网络设备、服务器、数据库、应用集群以及核心业务进行全面实时监控。监控系统展示云平台关键运营指标,并可配置告警阈值,当关键运营指标超过设置的告警阈值时,自动通知运维和管理人员。
⑤技术工具工作流程和目标
数据处理环境安全的技术工具应能实现以下目标:
账号管理和身份认证:能够识别出登录的账号是否是授权账号;
授权:对接权限管控平台,对登录后的账号进行权限控制。控制其所需要访问到的最小资源;
监控与审计:对用户登录数据处理平台后的所有操作,进行日志记录并进行审计;
网络访问控制:对数据处理平台后端涉及到的网络、系统等资源,进行逻辑分离,保证不同用户的数据处理操作彼此隔离,互不影响。