数据安全已上升为国家安全战略,数据安全生命周期的治理已成为大数据时代的必备实践!
一、PA14 数据导入导出安全
1.充分定义级能力描述
- 组织建设
1)组织机构设立统一的数据导入导出安全管理岗位和人员,负责制定规则和提供技术能力,并推动在组织机构内业务场景落地执行。
- 制度流程
1)依据数据分类分级要求建立符合业务规则的数据导入导出安全策略,如授权策略、流程控制策略、不一致处理策略等
2)建立数据导出安全评估和授权审批流程,评估数据导出的安全风险,并对大量或敏感数据导出进行授权审批。
3)如采用存储介质导出数据,需建立针对导出介质的标识规范,明确介质的命名规则、标识属性等重要信息,定期验证导出数据的完整性和可用性。
4)制定导入导出审计策略和日志管理规范,并保存导入导出过程中的出错数据处理记录。
- 技术工具
1)记录并定期审计组织内部的数据导入导出行为,确保未超出数据授权使用范围。
2)对数据导入导出终端、用户或服务组件执行有效的访问控制,实现对其身份的真实性和合法性的保证。
3)在导入导出完成后对数据导入导出通道缓存的数据进行清除,以保证导入导出过程中涉及的数据不会被恶意恢复。
- 人员能力
1)负责数据导入导出安全工作的人员能够充分理解组织机构的数据导入导出策略,并根据数据导入导出的业务场景执行相应的风险评估,从而提出实际的解决方案。
2. 标准解读
数据导入导出广泛存在于数据交换过程中,通过数据导入导出,数据被批量化流转,加速数据应用价值的体现。如果没有安全保障措施, 非法人员可能通过非法技术手段导出非授权数据,导入悉意数据等,带来数据镇改和数据泄漏的重大事故,由于一般数据导入导出的数据量都很大,因此相关安全风险和安全危害也会被成倍放大。在该过程域中,需要采用有效的制度和工具控制数据导入导出的安全风险。对数据导入导出过程中数据的安全性进行管理,可以有效地防止在数据导入导出过程中对数据自身的可用性和完整性构成危害,以及降低可能存在的数据泄露风险。
3. 组织机构和制度流程
组织机构应建立数据导入导出安全规范,以及相应的权限审批和授权流程,同时还需要建立导出的数据存储介质的安全技术标准,保障导出介质的合法合规使用。
建立数据导入导出的安全制度规范,对各业务中的导入导出场景进行了充分合理的安全需求分析,能够依据不同的场景,并基手数据分类分级要求定义数据导入导出安全策略,例如访 问控制策略、不一致处理策略、流程控制策略、 审计策略、日志管理策略等。
建立规范的数据导入导出的安全車核和授权流程,流程中包括但不限手数据导入导出的业务方、数据在组织机构内部的管理方、相应的安全管理团队,以及根据组织机构数据导入导出的规范要求所需参与具体风险判定的相关方,如法律团队、对外公关团队、财务数据对外管 理团队等其他重要的与数据价值保护相关的团队。
建立针对导出数据介质的标识规范,明确介质的命名规則、标识属性等重要信息,定期验证 导出数据的完整性和可用性。
案例《XXX公司导入导出安全管理规范》关键内容:
- 总体说明 (目的)
- 导 入导出场景
- 安全要求(包含工具、介质等) 岗位职贡说明
- 导入导出工具
- 导入导出流程
4. 技术工具
建立独立的数据导入导出安全控制平台,或者与在统一的用户认证平台、权限管理平台,流程审批平台,监控审计平台中支持数据导入导出的安全控制功能。具体核心功能下:
- 数据导入导出权限管理:权限管理设置数据目录或者数据资产的导入导出访问权限,包括但不限于访问范围、访问人员分组、访问时间,访问频次等。
- 数据导入导出审批人管理: 支持设置数据访问权限的审核人和审批人,支持设置多级审批人。
- 数据导入导出工作流管理:建立数据导入导出工作流机制,对于数据导入导出进行审核和授权。
- 数据操作人员通过工作流申请数据导入导出权限,通过审核和授权后,遵循数据导入导出权限管理的数据导入导出才能被允许执行。
- 数据导入导出身份认证:对手数据导入导出的操作人员进行多重身份鉴定,包括双因子认证等,确保操作人员身份的合法性。
- 数据导入导出完整性验证:为了防止数据在导入导出过程中被篡改,数据导入导出增加完整性保护,在导入导出完成后需要进行完整性效验,确保数据合法性。
- 数据导入导出日志事计和风险控制:对于数据导入导出的所有操作和行为进行日志记录,并对高危行为进行风险识别。在安全事件发生后,能通过安全日志快速进行回溯分析。
- 导入导出通道缓存数据清除:在导入导出完成后对数据导入导出通道缓存的数据进行清除,以保证导入导出过程中涉及的数据不会被恶意恢复。
数据导入导出流程
数据导入导出的流程一般包括明确导入导出的数据,提供数据导入导出的申请,评估数据导入导出的范围及内容,审批授权,数据导入导出,明确导出的数据存储介质安全要求,审计及溯源等步骤。
明确导入导出的数据:
识别和记录需要导入或导出的具体数据,包括文件、数据库记录、数据集等。确保了解数据的敏感性和价值。最好是对数据进行标识,包括数据的范围,内容和格式等,以便后续对数据的访问和导入导出操作进行跟踪和监督。数据的标识方法应该确保数据的标识信息能够随数据导入导出操作一起流动,并且不易于删除和篡改,从而可以对数据导入导出记录进行有效跟踪,应支持静态数据和动态流数据的敏感标识。
提供数据导入导出的申请:
为数据导入和导出建立一个标准化的申请流程,允许相关人员提交导入和导出请求。向数据导入导出安全管理部门提交《数据导入导出申请表》,表中的内容应包括申请人信息,所在部门,岗位,申请理由,申请内容等。
评估数据导入导出的范围及内容:
对导入和导出申请进行审查,确定请求是否合理,是否符合组织政策和合规性要求。
评估数据的敏感性,确定是否需要特别的安全措施。
确保数据导入导出的目的是明确的,并且与组织的业务需求相关。
审批授权:
设立一个审批流程,确保每个导入和导出请求都经过适当的审批。满足最小授权原则,
在审批中考虑安全风险和合规性要求。
数据导入导出:
一旦获得批准,执行数据导入或导出操作。这可能包括将数据从一个系统迁移到另一个系统,复制数据到可移动介质,或将数据提供给合作伙伴。
确保数据传输的安全性,可以使用加密或其他安全措施。明确一下数据导入导出规范:
数据导入导出安全管理部门需要设置专门负责数据导入导出工作的专职人员,并对数据导入导出安全负责。
对数据导入导出的专职人员采取必要的认证措施,防止假冒。身份认证是数据安全防护的基础。
对导入导出的数据采取必要的安全技术措施,如木马检测,加密传输,加密存储,完整性校验等,以确保导入导出数据的安全性。
对导入导出的数据进行机器和人工双重校验,以保证数据的完整性和可用性。
明确导出的数据存储介质安全要求:
如果数据导出到存储介质(如USB驱动器、硬盘等),明确安全要求,例如加密存储介质、访问控制密码等。
确保存储介质能够追溯数据的来源和目的。
明确介质标识、存放环境和防泄密措施。
审计及溯源:
建立数据导入导出的审计机制,确保记录数据移动的详细信息,包括时间、地点、人员和目的。
使用安全信息和事件管理(SIEM)系统或日志审计工具来跟踪数据流动。
可以使用数据水印溯源技术来标识数据
数据导入导出安全的技术工具应从两个方面来设计,一方面是数据导入安全,其作用是防止导入恶意数据,造成数据被篡改或破坏;另一方面是数据导出安全,其作用是防止导出未授权的数据,造成敏感信息泄露。完整的数据导入导出安全工具应该同时包含两个方面。其次,由于导入导出作业的数据量一般都比较大,因此数据导入导出安全的技术工具还需要具备对导入导出的数据进行可用性和完整性校验的功能。
保证数据导入导出安全必备流程包括:
- 身份认证:只有通过身份认证的用户才可以使用数据导入导出管理平台/工具,进行后续的数据导入导出作业,身份认证应为多因素认证(强制多因素和动态多因素)
访问控制:不同的身份访问数据导入导出管理平台/工具,会获得不同的数据导入导出权限,权限分配应遵循“最小够用”原则。
作业审批:在访问控制流程中控制不同身份发起的数据导入导出作业,发起作业后,只有经过一级以上的人工审批,才能正式执行数据导入导出作业。
数据校验:在执行数据导入操作时,在进行最终的导入之前,需要对数据的格式,安全性和完整性等进行校验,只有通过校验的数据,才允许执行最终的导入动作;在执行数据导出操作时,需要对导出的数据先进行完整性校验,校验通过后才能结束导出作业。
日志审计:以上四个流程的全部操作都需要进行日志记录,日志审计需要覆盖数据导入导出的全生命周期。
数据预处理技术
对于数据导入导出安全来说,数据预处理是很关键的一步,预处理操作中包含了在进行最终的数据导入导出作业之前,对数据进行的所有事先处理和校验等工作。
由于数据导入作业是从外部将数据导入到内部系统中,所以数据导入的安全性校验尤为重要。数据导入作业的数据预处理操作一般是先对数据的格式进行校验,若数据格式不正确,或者与导入目标不兼容,则在预处理阶段就不会通过此次数据导入作业了;如果格式校验没有问题,则会进行数据的恶意代码检测,以防止攻击者在数据中夹带恶意代码;如果格式校验和安全性校验都没有问题,那么最后还要进行完整性校验,防止攻击者通过中间人攻击等方式篡改数据。当格式、安全性和完整性校验全部通过之后,流程才会进行最后的数据导入操作。
相对于数据导入作业来说,数据导出作业的预处理要简单不少。因为在经过身份认证和访问控制之后,数据导出时要确保的就是导出的数据是可用的、完整的,所以数据导出作业的预处理操作通常只需要进行完整性校验即可。
数据导入导出的预处理技术是确保数据在传输过程中的质量和完整性的关键部分。以下是一些常见的数据导入导出用到预处理方法:
- 数据清洗:在数据导入之前,对数据进行清洗以删除不完整、重复、错误或无效的数据。这可以包括去重、填充缺失值、验证数据格式等。
- 数据转换:如果数据的格式不匹配或不一致,需要进行数据转换。这可能包括数据类型转换、日期格式标准化、单位转换等。
- 数据加密:对于敏感数据,应该使用适当的加密技术,以确保数据在传输期间保持机密性。这可以包括TLS/SSL加密或其他加密协议。
- 数据压缩:在导出和导入过程中,可以使用数据压缩技术来减小数据传输的大小,提高效率。压缩技术通常会减少数据传输的带宽要求。
数据格式规范:确保导入和导出的数据遵循特定的数据格式和结构,以确保互操作性。这包括使用标准数据标记语言(如XML、JSON)或CSV格式。
数据校验和验证:在导入和导出之前,执行数据校验和验证,以确保数据的完整性和准确性。这包括检查数据是否符合预期的数据模式和值范围。
数据分片和分批次处理:对于大量数据,可以将数据分片为较小的块,并进行分批次处理,以减少数据导入和导出的负载和风险。
二、PA15数据共享安全
1.充分定义级能力描述
- 组织建设
1)组织机构设立统一的数据共享交换安全管理的岗位和人员,负责相关原则和技术能力的提供,并推广相关要求在相关业务场景的落地执行。
- 制度流程
1)制定数据共享的原则和安全规范,明确数据共享内容范围和数据共享的管控措施,及数据共享涉及机构或部门相关用户职责和权限。
2)明确数据提供者与共享数据使用者的数据安全责任,确保共享数据使用者具备与数据提供者足够或相当的安全防护能力。
3)制定数据共享审计策略和审计日志管理规范,明确审计记录要求,为数据共享安全事件的处置、应急响应和事后调查提供帮助。
4)使用外部软件开发包/组件/源码前应进行安全评估,获取的数据符合组织机构的数据安全要求。
- 技术工具
1)采取多种措施确保个人信息在委托处理、共享、转让等对外提供场景的安全合规,如数据脱敏、数据加密、安全通道、共享交换区域等。
2)对共享数据集数据共享过程进行监控审计,确保共享的数据属于共享业务场景需求且没有超出数据共享使用授权范围。
3)建立共享数据格式规范,如提供机器可读的格式规范。
- 人员能力
1)负责该项工作的人员能够充分理解组织机构的数据共享策略,并根据数据共享的业务场景执行相应的风险评估,从而提出实际的解决方案。
2. 标准解读
在数据交换环节中,业务系统将数据共享给外部组织机构,或者以合作方式与第三方合作伙伴交换数据,数据在共享后释放更大价值,并支撑数据业务的深入开展。数据共享过程中面临巨大安全风险,数据本身存在敏感性,共享保护措施不当将带来敏感数据和重要数据的泄漏。因此,在本过程域中,需要采取安全保护措施保障数据共享后数据的完整性、保密性和可用 性,防止数据丢失、篡改、假冒和泄露。
3. 组织机构和制度流程
组织机构应明确数据共享的安全规范,该要求从国家安全、组织机构的核心价值保护、个人信息保护等方面的数据共享的风险控制提出了要求,明确数据共享涉及机构或部门的相关职责和权限,明确共享数据相关的使用者的数据保护责任,确保数据使用的相关方具有对共享数据足够的保护能力,从而保障数据共享安全策略的有效性。
组织机构在原则要求的基础上根据组织机枸对数据共享涉及的数据类型、数据内容、数据格 式 、以及对数据共享的常见场景制定了细化的规范要求,以满足数据共享业务需求范围,提高数据共享效率,指导具体数据共享场景的风险把控。
组织机构建立了规范的数据共享的审核流程,审校流程中包括但不限于数据共享的业务方、共享数据在组织机构内部的管理方、数据共享的安全管理团队,以及根据组织机构数据共享 的規范要求所需参与具体风险判定的相关方,如法律团队、对外公关团队、财务数据对外管 理团队等其他重要的与数据价值保护相关的团队,确保共享的数据未超出投权范围。
组织机构制定了数据共享审计策路和审计日志管理规范,明确审计记录要求,为数据共享安全事件的处置、应急响应和事后调查提供帮助。
针对数据交换过程中涉及到第三方的数据交换加工平台的场景,组织机构制定了明确的安全评估的要求和流程,以保证该数据交换加工平台己符合组织机构对数据交换过程中的数据安全要求。
4. 技术工具
在数据交换环节,由于业务需要,往往需要进行数据共享作业,而在数据共享过程中又可能会面临巨大的安全风险,一旦共享保护措施不当就会带来敏感数据和重要数据的泄露。因此,在数据共享过程中,需要采取安全保护措施以保障共享后数据的完整性、保密性和可用性,防止数据丢失、篡改、假冒和泄露。数据共享的过程包含了数据共享前的审批、脱敏,共享过程中的加密操作,以及对共享过程的日志记录和审计等。数据共享安全的三种方式:
在线服务浏览:主要是面向弱需求应用部门,通过浏览器直接访问平台门户网站,应用可以在线查看平台提供的各类数据资源服务,如各类地理信息和专题信息浏览、地名查找、地址定位、空间查询、地点标绘、数据选取等。
使用在线服务接口:主要是面向具有开发能力的应用部门。针对平台提供的在线服务接口,应用部门可以进行二次开发,建设自身的业务应用系统。服务接口包括数据服务接口和功能服务接口。通过数据服务接口,应用部门可以获得平台最新的数据成果,同时也可以获得其他节点上发布的专题共享信息数据。通过功能服务接口,应用部门可以获得各类服务功能,如统计功能。
离线服务:主要是面向不具备网络接入条件或省级平台在线服务方式不能满足需求的部分应用部门。离线服务模式是一种非在线服务模式,通过硬盘复制方式,数据提供者将数据提供给应用部门,应用
本文作者:, 转载请注明来自FreeBuf.COM