信息和资产的识别和分类

信息是指在特定时间点、通过特定流程获取或创建的数据,通常有特定的业务用途.

最重要的资产是组织的数据,包括敏感数据、处理数据的硬件及存储介质.

信息资产可以是数据本身,也可以是存储和运用数据的设备.

资产的价值:支付的资金减去成本为正时称为资产;若为负,则称为负债(Liability).

敏感数据的分类与定义

  • 个人身份信息(PII)

    • 定义:任何可识别个人的信息(如姓名、社保号、出生日期、生物识别记录等),包括医疗、教育、金融、就业关联信息.
    • 监管:强制性监管.

  • 受保护的健康信息(PHI)

    • 定义:与个人健康相关的任何信息(如健康状况、病例、医疗费用、保险等).
    • 特点:PHI属于PII的一种.
    • 监管:强制性监管.

  • 专有数据(Proprietary Data)

    • 定义:影响组织核心竞争力的数据(如设计图纸、药物配方、客户信息).
    • 特点:泄露会对组织造成损害.

  • 支付卡行业数据(PCI DSS)

    • 保护对象:持卡人数据(卡号、过期时间、CVV号).
    • 归属:属于PII的一种.

数据分类与资产分类

政府数据分类

分类级别 描述
绝密(Top Secret) 泄露对国家安全造成异常严重损害.
秘密(Secret) 泄露对国家安全造成严重损害.
机密(Confidential) 泄露对国家安全造成损害.
未分类(Unclassified) 泄露对国家安全无直接影响.

非政府组织数据分类

分类级别 描述
机密/专有(Confidential/Proprietary) 泄露对企业竞争力造成异常严重影响(如商业秘密、专利).
私有(Private) 泄露对企业造成严重影响(如员工/用户个人数据、财务数据).
敏感(Sensitive) 泄露对企业造成影响(如网络拓扑图、内部流程制度).
公开(Public) 泄露无影响,需保护完整性(如防网页篡改).

分类与分级原则

根据数据的敏感度或关键性级别(关键性级别是信息丢失将如何影响组织基本业务流程的指标)对数据分类后,组织可决定保护不同类型的数据所需的安全控制措施(Security Controls)

  • 资产定级规则:遵循存储数据的最高级别.
    • 示例:若数据库包含绝密和秘密数据,服务器应定为绝密.
  • 物理标签:在硬件资产上标注名称、级别、责任人等信息.
  • 分类流程:持续动态更新,基于数据敏感度和关键性(信息丢失对业务流程的影响).

分类分级(Classification)是一个持续的流程

数据状态与安全控制

数据状态及风险

状态 描述 安全控制措施
静止状态数据(Data at Rest) 存储在辅助设备(硬盘、USB、SAN)的数据 对称加密(如AES、DES).
传输状态数据(Dat in Motion) 通过网络传输的数据 TLS(混合加密).
使用状态(Dat in Use) 加载到内存或缓冲区的数据 同态加密(处理加密数据).

合规与数据安全控制

  • 合规性要求:
    • 组织需了解适用的法律(如不同国家对PII的处理要求).
    • 设立合规官(Compliance Officer)专责合规问题.
  • 安全控制落地:
    • 文档化安全要求,通过DLP(数据防泄漏)解决方案实现.
分类 电子邮件的安全要求
机密/专有
(任何数据的最高级别保护)		 电子邮件和附件必须用AES 256加密
电子邮件和附件保持加密,除非查看
电子邮件只能发送到组织内的收件人
电子邮件只能被收件人打开和查看(转发的电子邮件不能被打开)
可以打开和查看附件,但不能保存
电子邮件内容不能复制、粘贴到其他文档中
电子邮件不能被打印出来
私有
(例如PII和PHI)		 电子邮件和附件必须用AES 256 加密
除非在查看时,电子邮件和附件仍然加密
只能发送到组织内的收件人
敏感
(机密资料的最低保障级别)		 电子邮件和附件必须用AES 256 加密
公开 电子邮件和附件可用明文发送

建立信息和资产处理要求

数据生命周期管理

数据生命周期阶段

  1. 采集/收集(Acquisition/Collection)
  2. 存储(Storage)
  3. 使用(Use)
  4. 共享(Sharing)
  5. 归档(Archival)
  6. 销毁(Destruction)

数据维护

  • 目标:降低保护成本.
  • 方法:
    • 空气隔离(Air Gap):物理隔离敏感与非敏感网络.
    • 跨网络传输方案:
      • 手工传输(移动介质).
      • 自动光盘摆渡机.
      • 单向网桥(仅允许数据从非敏感到敏感网络).
      • 防护方案(Guard Solution/DLP).

数据防泄漏(DLP)

数据防泄漏(DLP)系统试图检测和阻止导致数据泄露的尝试.这些系统具有扫描未加密数据以查找关键字和数据模式的能力.

例如:假设你的组织使用机密/专有、私有和敏感的数据分类.DLP系统可以扫描文件以查找这些分类并检测他们.

  1. DLP类型

    • 基于网络的DLP:检测网络流量中的机密数据.

    • 基于终端的DLP:监控终端文件传输及加密.

    • 基于云的DLP:保护云端数据.

    • 其他扩展:邮件DLP、数据库DLP(检测方法略有差异).

  2. 补偿控制措施

    • 若多层DLP部署(如终端DLP后接网络DLP),网络DLP称为补偿类控制措施.

敏感数据标记与标签

标记(常被称为打标签)敏感信息确保用户可方便地识别任何数据的分类级别.
标记(或标签)提供的最重要信息是数据类别.当用户知道数据的价值时,他们更可能根据分类采取适当步骤来控制和保护它.

  1. 标签类型

    • 物理标签:贴于设备(PC、服务器、USB等).

    • 数字标签:

      • 显式标签:文档页眉/页脚、水印.
      • 隐式标签:元数据或不可见数字水印(需专用工具读取).

  2. 最佳实践

    • 标签与数据最高级别一致.

    • 非机密设备也需打标签(防敏感数据遗漏).

    • 避免设备降级操作(数据清理成本可能超新购成本).

敏感数据处理与销毁

  1. 数据销毁决策因素

    • 合规要求、业务需求、存储预算、风险规避.

  2. 数据销毁方法

    方法 描述 适用场景
    擦除(Erasing) 删除映射关系,实际数据仍存在. 临时清理.
    覆写/清除(Overwriting/Clearing) 用字符填满介质空间(一次覆写) 可重用介质.
    销除(Purging) 多次覆写,用于介质重用. 高安全性需求.
    消磁(Degaussing) 针对磁性介质(如磁带). 无法用于CD/DVD/SSD.
    物理销毁(Destruction) 粉碎、焚烧、分解和使用腐蚀性或酸性化学品溶解等. 最安全方式.
    加密擦除(Cryptographic Erasure) 销毁加密密钥,数据仍加密. 云环境快速删除.
    净化(Sanitization) 组合多种方法彻底清除数据. 高风险介质.

    Erasing擦除<Clearing清除 = Overwriting覆写<Purging销除=多次overwriting覆写<Degaussing消磁<Destruction销毁,但Destruction销毁的花费比消磁、覆写要低;

    注意

    在使用云存储时,销毁加密密钥可能是组织可用的唯一安全的删除形式.

  3. 解除分类(Declassification)

    • 目标:将存储高敏感数据的介质转为低敏感用途.

    • 方法:组合销毁、覆写、消磁等技术.

    • 成本考量:解除分类成本可能高于新购介质.

数据与资产保留

  1. 保留策略

    • 合规要求:如审计日志留存不少于6个月.

    • 内部需求:业务恢复、法律证据等.

    • 成本平衡:避免无限制保留(资金限制/确保不需要的数据不被保留).

  2. 硬件资产生命周期

    • EOL(End of Life):产品停止销售,但仍可能提供维护.
    • EOS(End of Support):停止更新和漏洞修补,需彻底替换.

    • 替换时机:EOL与EOS之间需启动替换计划.

数据位置与存储安全

  1. 关键考量

    • 管辖权问题:数据存储的物理位置需符合合规要求.

    • 灾难备份:主设施与备份设施需物理隔离.两地三中心

    • 云存储风险:确认数据真实物理位置.

      1. 生产中心:负责日常的业务运行,存储实时数据。
      2. 同城灾备中心:在同一个城市内建立另一个数据中心,用于备份生产中心的数据,同城灾备中心可以快速接管业务,确保业务的连续性。
      3. 异地灾备中心:建立在与生产中心不同的城市,用于备份同城灾备中心的数据。

  2. 存储保护措施

    • 物理维度:门禁、温湿度控制(Heating, Ventilation and Conditioning, HVAC).

    • 技术维度:静态数据加密(对称算法).

    • 介质选择:数据价值大于介质成本,优先高质量介质.

  3. 大数据与电子取证

    • 大数据特征:数量、速度、多样性、准确性、价值.

    • 电子取证(E-discovery):电子化存储信息(ESI)的法律取证.

保护数据方法

数字版权管理(Digital Rights Management, DRM)

  • 核心目标:为受版权保护的作品提供访问控制与安全保护.
  • 关键技术:
    1. DRM许可(License)
      • 定义:通过文件或序列号授予访问权限并规定使用条款.
    2. 持久在线身份验证(Persistent Online Authentication)
      • 要求系统持续连接互联网以验证合法性.
    3. 持续审计跟踪(Continuous Audit Trail)
      • 记录所有使用行为,用于检测滥用(如非法复制).
    4. 自动过期(Automatic Expiration)
      • 基于订阅模式,到期后自动失效(如流媒体服务).

云访问安全代理(Cloud Access Security Broker, CASB)

  • 定义:部署在用户与云资源之间的逻辑网关,监控访问行为并执行安全策略.

  • 核心功能:

    • 检测影子IT(Shadow IT):识别未经批准的云服务使用.
    • 支持本地与云环境部署.

  • 典型场景

假名化(Pseudonymization)

  • 原理:用假名替换原始数据(如“张三”→“法外狂徒”),需保留映射表以还原数据.

  • 风险:映射表一旦泄露,保护失效.

  • 应用场景:医疗数据脱敏、用户隐私保护.

令牌化(Tokenization)

令牌化是使用一个令牌(通常是一个随机字符串)来替换具体数据的做法.他经常用于卡交易中.

  • 流程:

    1. 注册:绑定信用卡与手机,建立“令牌-卡号-手机”关联.
    2. 使用:POS系统发送令牌至处理中心验证扣费.
    3. 验证:基于关联表完成交易.
    4. 完成:卖方收到资金.

  • 优势:替代敏感数据传输,降低泄露风险.

匿名化(Anonymization)

  • 定义:删除所有可识别信息,使数据无法关联到个人.

  • 风险:通过推理仍可能复原(如结合其他数据).

  • 增强方法:

    • 随机屏蔽(Randomized Masking):打乱数据列排序,大规模数据下不可逆.

  • 重新识别技术:随机排序、替换、空值化.

理解数据角色

  1. 数据所有者(Data Owner)

    • 有时被称为组织所有者或高管,对数据负有最终组织责任的人.所有者通常是首席运营官(CEO)、总裁或部门主管(DH)
    • 职责:
      1. 识别数据的分类并确保它被正确地标记.他们还确保他在分类和组织的安全策略要求的基础上有足够的安全控制.
      2. 所有者如未能在制订和执行安全策略时在保护和维持敏感资料方面进行尽职审查,则可能需要对其疏忽负责.(“背锅侠”).

  2. 数据处理者与数据控制者(Data Processors & Controllers)

    • GDPR定义:

      • 数据控制者:决定数据处理目的和方式(通常为数据所有者).
      • 数据处理者:仅按控制者指令处理数据(如第三方云服务商).

    • 责任划分:

      • 数据处理者负经济责任,数据所有者负最终责任.

  3. 业务/任务所有者(Business/Mission Owner)

    • 核心关注点:

      • 确保业务连续性(如财务部门保障盈利、供应链部门确保业务流程顺畅)
      • 平衡安全控制与业务需求(例如在数据保护与用户体验之间权衡成本效益)。

    • 职责:

      1. 保障业务连续性(如财务部门确保盈利).
      2. 实施IT治理方法
      3. 平衡安全控制与业务需求
      4. 业务所有者最关注COBIT的实施

  4. 资产/系统所有者(Asset Owner/System Owner)

    • 核心关注点:
      • 技术实施与安全控制
        • 负责具体资产或系统的安全(如数据库加密、服务器防火墙配置)。
        • 制定并维护系统安全计划(如漏洞修复时间表、访问控制策略)。
      • 合规落地
      • 风险缓解
    • 职责:
      1. 处理敏感数据的资产或系统
      2. 制定并维护系统安全计划.
      3. 确保用户接受安全培训.
      4. 建立适当使用和保护数据的规则

  5. 数据托管员/保管人(Data Custodians)

    • 和安全并不沾边,主要包括数据采集、存储、维护、清理和使用.

    • 角色:执行底层数据保护操作、负责日常任务(如安全运维人员).

    • 与所有者关系:所有者制定策略,托管员执行细节.

  6. 管理员(Administrators)

    • 定义:具有分配权限的人员(即使无完全管理权限).

    • 角色灵活性:可能是数据托管员或其他角色,取决于上下文.

  7. 用户与主体(User & Subjects)

    • 用户:普通员工或外部访问者.

    • 主体:任何访问对象的实体(如程序、服务、计算机).

    • GDPR定义:数据主体是可通过标识符识别的个人(如姓名关联的用户).

安全基线与合规实践

安全基线(Security Baseline):安全基线提供了一个起点,可以根据组织的需求定制安全控制。它们并不总是适合具体的组织需求,它们不能确保系统总是处于安全状态,也不能防止追责。组织的最低安全标准(如NIST SP 800-53中的控制清单).

  • 定制(Tailoring)步骤(NIST SP 800-53B):

    定制可确保评估方法适用于正在验证的系统、服务和其他资产

    1. 识别通用控制.

    2. 应用范围界定考虑因素.

    3. 选择补偿控制.

    4. 为控制参数赋值.

    5. 补充附加控制.

    6. 提供实施规范.

  • 范围界定(Scoping)

    涉及设置安全控制实现的边界

    定制 范围界定
    更改一般基线建议以适应特定环境 删除不适用的一般基线建议
    提供了灵活性 确保他们适用于特定的环境
    指南必须由授权官员审查和批准
    概念 定义 核心目标
    定制 根据具体环境需求,对通用安全基线进行调整(如增加、删除或修改控制措施)。 使基线更贴合实际场景(如合规要求、技术限制、风险等级)。
    范围界定 确定安全基线适用的对象范围(如系统、资产、业务流程、数据类型等)。 明确基线的边界,避免过度覆盖或遗漏关键领域。

  • 最佳实践

    • NIST SP 800-53附录D:

      • 分类:低、中、高安全基线,隐私控制基线.

    • 合规适配:根据行业特点选择标准(如金融行业选PCI DSS,欧盟业务选GDPR).

许可协议

本文由 kill3r 原创,采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。

分享文章

快来参与讨论吧~