基于自适应安全架构(ASA)思想内核的数据安全态势感知运营 中心是用于指导整个数据安全体系建设的,应该具备六大安全能力。
(一)盘清家底:以数据资源为核心的资产管理中心
建立以数据资源为核心的资产管理中心,是数据安全运营的前提。 通过技术手段对企业自身拥有的数据资产进行全面的盘点,掌握数据 资产分布、数据资产类型、数据内容结构、数据资产归属、数据资产 使用状态等信息,最终的目标是构建“一棵既有业务属性也有安全属 性的数据资产目录树”。
数据资产发现是解决数据资产分布广泛问题的有效手段,通常是以主动发现与被动探测相结合的方式进行。数据资产主动发现是在安 全策略的配合下,通过主动嗅探的方式扫描全网地址,对潜在的数据 源建立连接并构造请求内容,解析响应内容从而收集数据源基本信息; 数据资产被动探测是通过镜像核心交换的流量来进行协议解析,根据 协议类型确定数据源类型,从而达到收集数据源基本信息的目的。通 过数据资产发现实现全网数据源的初步收集,从而建立数据资产顶层 目录。
数据资产扫描可丰富数据资产目录的“叶子”节点。在安全部门 的配合下,使用数据源的认证信息(通常只需可读权限)主动连接数 据源,对数据内容和数据结构进行扫描,进一步收集数据资产的结构、 内容等元信息,从而细化数据资产目录。为应对数据规模庞大且持续 增加的特点,数据扫描应具备定期增量式扫描的能力,减少扫描的时 间。
最后,在安全部门和业务部门的配合下,对数据资产的使用目的、 方式、范围以及管理归属等信息进行补充,最终形成完整的数据资产 目录树。
基于构建出来的数据资产目录,开展数据分类分级。结合相关行 业的分类分级标准和业务现状,数据安全专家、企业安全部门与业务 部门相互配合,定制化输出符合业务发展的数据分类分级模板,依据 模板落实分类分级工作。分类分级以数据识别技术为基础——在数据 扫描的过程中,通过关键字、正则表达式等匹配技术,结合上下文信
息对结构化数据进行识别;以机器学习、自然语言处理、光学字符识 别等智能化技术对非结构化或半结构化数据进行识别,辅助安全人员 落实数据资产分类分级。
(二)联防联控:以分类分级为核心的策略协同中心
数据的开发利用和数据安全防护往往是一对矛盾体,数据在没有 任务防护措施的情况下“裸奔”对数据的开发利用是最高效的;同样 的,通过物理手段、技术手段将数据层层“包围”起来不做任务开发 利用,则数据是最安全的,但两者均不利于组织整体业务健康地、可 持续的发展。数据安全建设应围绕分类分级的结果进行开展,对不同 类别、不同级别的数据资产进行差异化的防护能力建设和安全策略配 置,实现数据业务发展和安全管控的平衡。
将分类分级结果转化为业务知识,为数据资产提供安全防护建议, 并结合具体的数据安全防护组件,统一地下发安全策略,实现以分类 分级为核心的策略协同能力。例如针对核心级别的数据资产