前面几张拉拉杂杂说的都是“七分管理”,该谈点“三分技术”的正事了吧?如果你真的这么想,那赶紧再回去仔细看前面几章,修炼差不多了再来看这章:)
一、从“文档安全”、“数据防泄漏”到“数据安全”
信息安全思想和技术发展至今,现在为互联网、金融界乃至主管部门所广泛接受的“数据安全”,在十几年前并不是这样的,那个时候基本都说“文档安全”,因为有保护价值的信息资产都还是文档为主,大家都在看如何保护文档的机密性;慢慢地思想和技术开始进步,出现了“数据防泄漏”(Data Loss Prevention, DLP)的理念、技术和产品,将保护的对象扩展到分布在终端、网络和存储介质的各类电子化信息,比文档安全进步了许多、但总体上仍偏重对静态数据的保护;慢慢地,大家发现无论文档还是电子化信息都是流动的,DLP的概念不满足实际业务需求,还是“数据安全”似乎更加全面和准确,既兼顾完整性和保密性,又覆盖静态信息和动态数据流,于是这个概念在各类产品、会议上得以大肆宣扬,并得到广泛认同。
本章暂时不讨论这些概念之间的差异。从我个人的工作经验来说,很大比重还是在保护各类信息的机密性,因此本章还是着重讨论数据防泄漏的体系如何运作,包括建立和运营。同时,概念定义上,“防泄漏”强调机密性的保护,“数据”包括需要保护的电子信息和纸件信息,电子信息包括静态和流动的信息;“数据”不仅包括结构化信息,还包括非结构化信息。
二、如何建立和运营数据防泄漏的体系
1、定义数据防泄漏的价值和目标
对于绝大多数中小企业和科技创新型企业来说,“数据防泄漏”可能就是“信息安全”工作的全部内容了。所以,首先必须明确数据防泄漏工作的价值和目标,让老板、团队和CSO明白“为什么而战”,并且树立具体、明确和量化的目标。否则,CSO后续的工作可能就只是学习别人的做法、堆砌产品和技术,却始终不知道帮助企业解决了什么问题、提供了什么价值。
2、信息资产分类分级
几乎每个公司推行ISO27001的时候,都会提到信息资产分类分级。对于绝大多数中小企业和科技创新型企业来说,这个过程依然适用,而且意义重大、不能省略。其好处在于
(1)可以识别企业内真正有价值的信息资产、应该保护保护的信息资产;
(2)与管理层、业务代表在信息资产的识别上达成共识,避免在后续操作上形成分歧;
(3)与管理层、业务代表、主管形成统一的用词,就词汇的涵义达成一致;
什么叫信息资产、包括哪些信息资产,不再赘述。为便于理解,仅在本章中把“信息资产”等同于“数据资产”。
信息资产的分类分级不是一蹴而就,往往要经过3-4轮才能达到如上效果。所以分类分级之后,一定要持续去用,在使用过程中发现问题;CSO和团队要有足够的耐心,并注意在每一轮梳理完毕之后要积累、记录问题清单,并在下一轮梳理中解决这些认知上的问题。这其实也可以算作“提升安全意识”的工作。如果没有人用,CSO一定要安排检查和审计,用问题来驱动使用,不要怕有矛盾、有冲突,冲突和矛盾正是加深理解和认知的极佳机会。
与分类分级相关的,必然有一个分类分级流程(有时候也叫定密流程),这个流程必须要把老板拉进来,让他作为分歧的最终决策者。切记!
这里面还会有一个概念上的理解,关于“有价值资产”和“有保护价值的资产”。记得以前华为的孙颖专门讨论过这个问题,此处不展开,后续慢慢再说。
3、业务流程梳理
按照传统理论,大多数情况下做完信息资产分类分级就进入风险评估阶段,然后就开始迫不及待地制订方案了。完全理解这种心情和做法:问题其实咱们都知道,赶紧开干吧!但是!但是!但是还不够。磨刀不误砍柴工,再耐心一点。
我把这个环节称为“业务流程梳理”。其核心在于理解业务流程,理解信息资产在业务流程中是如何被创建、评审、发布、授权、归档、销毁,在这些业务流程中分别使用了哪些工具、牵涉到哪些人、在哪些环境里面;尤其是跨行政部门的业务流、数据流往往容易被忽视,越是大公司、大机构就越要重视这个问题。还有一个容易被忽视的是“纸件”,因为往往容易将注意力放在电子信息上,纸件的管控也复杂,所以无论是无意还是有意,都会把“纸件”给忽视了。
业务流程的梳理和优化也需要积累和优化,非一线业务人员一般至少需要2-3年才能足够熟悉业务。因此CSO需要在自己的团队里面有业务专家,要么自己培养,要么从业务部门调人过来。对业务的熟悉将可以保证CSO和信息安全团队建立对业务的独立判断力,而不总是被业务部门忽悠,这样做出的风险评估结果才是有价值而专业的。懂业务、懂流程,又能够解决安全风险的人才是真正的专家。
至于如何梳理和理解业务流程,总结下来其实和“外审”的套路基本一致:学培训文档、看文件记录、访谈走查、实地查看,以及在解决实际业务问题的过程中积累。
4、风险评估
这个步骤略,只说一句:这个步骤虽然很学究、但不要省略,静下心来认真做脆弱性分析和风险评估,其实很有价值。
5、设计数据防泄漏的架构和路线图
看过前面几篇的读者应该知道我的风格了,当面对一个复杂问题的时候,我特别喜欢用“架构和路线图”这种套路。所以,数据防泄漏问题的解决,我也喜欢设计一个架构。这里介绍一些基本原则方法。
(1)首先要设立1-2个数据防泄漏的稳定评价指标。通常至少要包括:核心类信息不泄漏、如果泄漏则扣分的扣分项。这个指标应在3-5年内保持稳定,形成数据防泄漏工作的主要目标。对于主要防范内部人员泄密的企业,还有一类评价指标,基本都是“不想偷、不能偷、不敢偷”的变种,择优取之吧。
(2)在业务架构层面上,遵循重点业务优先、逐步渗透其他业务的思路,兼顾重点业务场景和通用业务场景;如果投入有限,毫无疑问应该优先保障“重点业务”“重点业务场景”。
(3)在基础架构层面上,分别从制度流程、人、物理环境、终端、网络、主机、数据库和应用服务几个层面建立安全控制措施,确保“管理和技术两手都要硬”。上面(1)(2)(3)的顺序做下来,比较像ESA的方法论,是我所喜欢的套路。
(4)防护类措施可以阻断事件的发生,审计监控类措施主要用于事后追溯;但多数企业容易忽视的是,如果上了审计监控类措施、却没有足够的运营和审计资源投入,基本就是“掩耳盗铃”。防护、运营、审计和响应的资源投入缺一不可,这样才能保证PDCA的循环转起来。
(5)在防泄漏体系建立初期,应想法设法开展审计和违规打击行为,尤其是对典型的、故意违规行为的打击,强化威慑力,为防护措施争取时间和空间,同时也获得老板和业务主管的认可和支持。这是一种规划驱动和事件驱动结合的方法。
(6)要分析、区别对待不同的业务环境:高度信息化还是基本电子化,甚至是电子化和纸件混杂;主管、员工对于信息防泄漏的重点目标、优先顺序、认知认可是怎样的…耐心和决心缺一不可。有老板支持的时候可以一刀切,自身能力不足时可以灵活变通处理。
(7)数据防泄漏的管控措施往往在落实上和业务的现行做法有冲突,改变则必然面临着阻力,因此除非有充足的理由,否则轻易不改变。但这并不意味着业务的现行流程、做法不可改变,需要机缘、更多的是靠事件驱动。
6、数据防泄漏体系的运营、审计和响应
在建设数据防泄漏体系的过程中,要尤其重视“运营”和“审计”。前文我说过,不少企业都有这样的经历:安全措施上了不少,工具都买了不少,人好像也不少,但是老板就是觉得问题没解决、效果不满意,核心原因就是缺乏运营和审计。其实我以前的工作经验也没有严格区分运营和审计这两类工作,后来也是学习了互联网企业的安全岗位分工,才领会到“运营”的作用,因此我对运营的理解不一定正确,在此抛砖引玉。
“运营”的核心目标是保障已经实施的安全措施达到甚至超过预期的效果。基于以上理解,运营岗位的工作内容一定是有评价指标的,这些评价指标不一定全面覆盖其所有工作内容,也不一定用于对运营岗位人员的个人绩效评价(虽然我倾向用于个人绩效评价)。运营的动作要有一些标准化动作(比如对策略设置的结果进行检查),也要鼓励创造性的动作(比如根据安全工具、数据的分析发现一些异常和问题,并推动解决);运营的动作既要有安全工具健康度的检查(比如某个安全工具的网络设置是否正确、数据接入是否正常),也要有安全工具有效性的检查和优化(比如经过审批之后、在监督之下做某个违规动作,看看安全检查项是否生效)。
“审计”的核心目标是发现是否还有没覆盖到的安全漏洞、是否有未被发现和应对的威胁,常使用检查各类文件、查看各类日志和记录、访谈走查、实地查阅、渗透测试和逆向、监控等多种手段。但是CSO要切记定义好安全团队人员的分工合作流程,确保发现的问题有记录、有分析、有改进,确保从小问题中发现的系统性、流程性的风险得到解决,使得“运营”和“审计”最终回归到PDCA这个路径中来,形成闭环、形成提升。基于这种管理思想,有的企业会要求审计人员不但发现漏洞和威胁,还要持续跟踪、直到漏洞或威胁被解决为止。
“响应”在科技创新型企业里面的重要性没有那么突出,大多数情况下在发生严重普遍的系统漏洞或者互联网威胁才会运用。针对这类事件,建议要有预案,从人员组成、工作流程、工具权限、具体操作的培训等方面做好准备。如果涉嫌发生严重的数据泄露事件,要从信息分析和危害评估、证据获取和固定方面入手,做严谨、充分的分析和推理。
“运营”、“审计”和“响应”岗位对人员能力的要求都比较高,因此CSO应建立机制、形成运营、审计、响应的经验、方法、工具、流程的沉淀,使得这些工作尽可能减少对人的依赖,尽可能减少人员流动对组织的影响。话说回来,上面这段话好像对无论哪个团队都适用。
三、数据防泄漏的外部环境
本段落仅根据自己的经验认知来总结描述,可能有认知偏颇之处。说的不对的地方,请多指教。
因为长期在科技创新型企业工作,与诸多同行交流下来经常觉得无力吐槽。市面上绝大多数用于数据防泄漏的产品,不仅对于“数据安全”的理解都是不一样的,而且严重缺乏对于国内科技创新型企业场景和需求的理解;绝大多数产品不是立足于客户需求,而是立足于产品研发团队的出身和技术能力。导致的局面是,一个企业往往需要2-3个产品才能把数据防泄漏的架构拼凑起来,并且投入较多的资源来解决运营、审计、响应、兼容性、用户体验的冲突。很期待乙方的安全产品能够迅速做出改变。
同时,由于国内外法制环境的差异,长期以来对于国内科技创新型企业的商业秘密、知识产权的保护力度偏弱,所以企业开展信息防泄漏工作的时候、对于内部员工的行为普遍持“不信任”观点,导致需要和各种可能的、无底线的恶意行为进行对抗,于是老板们经常发现“这也防不住”“那也阻止不了”“你防来防去,员工拍个照不就出去了”,就会产生一个普遍的质疑:“CSO的工作没啥用啊”。同时,企业如果一旦发现涉嫌泄密行为之后,想寻求法律武器进行打击的时候,成本也特别高。在此想特别呼吁一下,有关部门能够改变现有的立法、执法标准,降低企业维权成本,显著抬高违法行为的成本,我觉得这才是“保护创新”的最有效之路。
本来还想写一个段落,点评一下市面上的数据防泄漏产品和技术、总结一下实施中遇到的各种坑,考虑下来觉得可能更适合做分享交流,因此暂不写了吧。后面有机会再交流。