一、背景
数据安全建设是一个系统化的、长期的、多部门参与的过程,其规划应当是体系化的,往往需要设定一个相当长期的规划去逐步落地实现。通常企业组织会制定数据安全战略、数据安全目标、相关的数据安全制度及操作指南。在建设过程中,企业需要定期对数据安全现状进行风险评估以判断当前离企业数据安全战略目标的位置。除了定期的数据安全风险评估外,我们还需要向组织定期汇报数据安全监测情况,或者我们提前制定的数据安全KPI指标。
回到此篇文章的关注点来,怎么样去评价一个企业数据安全做得好与不好,或者说当我们要向领导汇报数据安全运行情况时,可以从哪几个纬度进行汇报呢?如果我们汇报异常违规情况,那什么样的行为算是异常行为,违例行为呢?在其他的文章中讨论过数据安全的威胁,包括数据合规、数据泄露、数据不可用、数据篡改、数据未授权访问等,这些可以作为数据安全的威胁类别进行识别,也可以作为数据安全问题导致的结果,但如果没有这些“结果”产生,那我们又向领导汇报什么内容呢?当然,这些“结果”最好还是不要出现,如果出现了那么后果可能是非常严重的。在这篇文章中,笔者围绕“进不来,拿不走,看不懂,可追溯”的目标,结合数据安全威胁场景总结分析了常见的数据安全监测指标,这些指标不一定都要去监控汇报,可以根据实际情况进行组合调整。
二、原则
没有单一的指标可以监测数据安全的现状,通常都是通过数据安全风险评估进行整体的衡量,但是这个过程太过于“重量级”,并且不太方便进行过程化的持续监控,所以笔者参考了T/ISC-0011-2021《数据安全治理能力评估方法》、GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》、《数据安全能力建设实施指南》(征求意见稿)等相关标准,总结分析了相关的数据安全监测指标,即数据安全KPI。既然是KPI指标,那么就要符合SMART原则进行设计,即具体的、可度量的、可实现的、相关的及有时限的,否则指标会因为违反了上述原则而变得没有意义。
在执行过程中我们首先要明确监测的范围,然后明确监测的时间周期。我们可以以月度或者季度周期对这些指标进行监控衡量。
三、指标分析
我将监控指标分为直接指标与关联指标两类,直接指标也可以说是以结果进行观察的指标,关联指标可以说是以过程控制为观察的指标,下面分别进行描述解释:
(一)、直接指标
直接反映在观察周期内数据安全状况的指标,这些指标可以明确的告诉我们当前数据安全的严重程度,因为这些指标的事件的出现就说明已经出现了数据安全问题,这是以结果为导向说明。当然这些直接指标事件的出现不是我们想看到的,也更不是企业组织中高管层想看到的。具体包括如下的指标:
1、数据泄露事件
一般情况,我们有几个途径可以知道数据泄露这件事情的发生,当泄露的数据已经在外部开始流通了,这个时候可能会有媒体开始质疑,客户个人可能会向公司进行投诉,或者是我们在内部审计发现了不明用途的数据外发等等。我们可以关注在这个观察周期内确定的数据泄露事件次数、数据条数或者影响的用户数等。
2、数据不可用事件
数据不可用事件也会是企业中比较致命的,出现这类事件有多种原因,比如企业中了勒索病毒,而无备份数据,或者备份数据无法进行恢复。这类数据安全事件可以作为一个独立的指标进行汇报。
3、数据篡改事件
数据篡改可能是特权用户恶意操作,也可能是无意的错误操作,或者是外部的攻击导致数据被篡改。可以汇报在观察期间出现的此类事件的次数及具体原因。
以上三类指标出现,则意味着数据安全现状堪忧,已经产生了数据安全事件,可能需要启动相应的应急响应流程。如果企业组织数据安全治理的还不错,或者说刚好这段时间“运气较好”没有出现相关的事件,那又如何向领导展示我们关于数据安全的工作呢?我想可以通过下面的关联指标进一步进行汇报说明。
(二)、关联指标
不能直接反映数据安全的现状,但是可以侧面说明为了实现数据安全所做的工作及对这些工作的衡量,即体现的是过程控制。具体包括如下的指标:
1、数据资产管理梳理情况
为了做好网络安全需要做好网络资产的梳理,同样为了做好数据安全需要做好数据资产的清点。要明确公司组织中拥有哪些数据资产,哪些是敏感的资产,这些资产的 Owner是谁,资产的存储分布位置,甚至弄明白这些数据资产的上下游流转情况等等。可以将这些数据资产和业务系统进行对应,可能会多个业务系统对应一个同样的数据资产,也就是说业务系统一定要指向某个数据资产。
2、数据分类分级占比情况
组织对所有发现的数据资产进行分类分级,因此这个指标可以是已分级的资产与已发现的总资产的比值,可以是数据条数的比值,也可以是简单的系统比值。
3、数据安全意识培训人员覆盖情况
数据安全意识培训可以作为信息安全意识培训的一个子类,信息安全意识培训应当是一个周期性的日常工作,所以在观察期内可以记录培训的次数、人员的覆盖比例、考试通过率等指标。
4、数据安全风险分析场景数量
数据安全风险分析可以基于数据的生命周期也可以基于场景,在观察周期内可以记录进行数据安全风险分析的次数。比如数据在进行共享前进行数据安全风险分析等。
5、数据安全合规分析场景数量
数据安全合规同样伴随数据的整个生命周期,最典型的是数据采集的场景,在这个过程需要进行数据隐私保护分析等等,在观察周期内可以记录进行数据安全合规分析的次数。
6、数据生命周期安全策略优化调整情况
数据安全策略包括技术类别以及管理类别,技术类别如加密传输策略,管理类别如数据提取申请流程等,在数据安全管理中需要对这些策略进行持续的优化以做到在数据安全与业务发展中求得平衡,同时发现已有安全策略中的缺陷。在观察周期内可以记录安全策略调整的数量占总策略的占比,及调整后的结果等等。
7、使用安全传输方式的业务数量及比例
这里主要关注数据的安全传输,可以是数据本身加密传输、通道加密传输或者两者兼顾。可以统计采用了安全传输方式的业务占总的业务的比例。
8、使用加密、去标识化等手段存储数据的情况
这里主要关注数据的安全存储,对于敏感数据可以采取加密存储、去标识化存储等手段,可以统计采用了安全存储的数据占总数据的比例的情况。
9、使用脱敏数据进行开发测试的次数及比例
个人认为理论上讲,开发测试场景的所有的数据需求都可以提供脱敏后的数据,但是不排除实际情况是总有一些例外场景,那么我们就需要关注这些例外场景,为什么有例外,如何对这些例外提供额外的保护等等。在开发测试场景我们可以统计在观察期内使用脱敏数据进行开发测试的次数及比例,同时说明具体的原因。
10、数据的异常告警情况
此类场景可以进一步细分为用户违规外发触发告警次数、高频查询、异常时间窗口查询、异常地点查询等,这些指标都是值得研究的,具体需要结合实际业务及监管政策进行分析, 我们可以对这些指标在观察周期内进行统计分析,并且作为汇报材料。
11、数据备份与恢复验证情况
数据的备份与恢复验证情况看着不是特别重要,有的企业组织甚至从来没有真正的使用到过备份数据,但是这也是最容易忽略的一个问题,一旦生产数据遭到破坏而需要使用备份数据进行恢复时,如果没有备份数据或者恢复失败,那将是致命的。因此企业组织有必要将数据备份与恢复验证作为一个周期性的工作,并且进行仔细的记录,同时作为指标向管理层进行汇报。
12、日志记录及监控审计情况
日志记录及监控审计应当在数据的整个生命周期中进行,记录所有关键的操作且在日志中或者在调试信息中不能留存敏感信息,最后根据日志保留策略进行保留。通过周期性的审计发现日志中的异常情况。
13、重要系统账号及权限开通情况
账号权限管理是一个比较复杂的问题,尤其是企业中信息系统众多,而没有统一的身份认证管理系统时,因此,我们需要着重关注重要信息系统、集权系统的账号及权限开通情况,关注账户异地登录情况、账户锁定情况、僵尸账户等等。关于账户及权限管控的情况也可以作为重要的指标向管理层进行汇报。
14、终端防病毒软件安装数量及比例
终端是一个重要的信息访问入口,并且分布的面较广,使用终端的人员涉及各个不同的部门,人员的信息安全意识参差不齐,如果不能有效的管控容易成为攻击者的跳板,因此必须要安装终端防护软件,最常见的是防病毒软件,我们可以在观察期内统计终端防病毒软件安装的数量及占比情况。
15、数据防泄露覆盖范围及终端的比例
数据防泄露是一个非常重要的数据安全防护措施,这里我们关注终端数据防泄露这种用途最广泛的保护措施,可以在观察期内统计终端数据防泄露代理的安装数量及比例。如果公司有移动应用等,也可以统计相对应的保护措施实施占比。
16、终端安全基线覆盖比例
终端应当具备统一的安全基线,实施统一的安全策略,因此我们在观察期内可以统计终端安全基线的覆盖比例。
17、系统中高危漏洞修复情况
系统可以是服务端的系统也可以是终端侧的办公系统,对于中高危漏洞通常建议是需要进行修复,避免恶意攻击者使用已知的漏洞轻松的突破第一道防线,对于紧急漏洞更需要第一时间进行验证后修复,因此系统中高危漏洞的数量及修复情况也可以作为一个比较好的数据安全指标进行汇报。
四、总结
在本文中笔者对常见的数据安全指标进行了讨论分析,当然并不是说这些指标都是必须的,在实际工作中需要对这些指标进行选择取舍、补充以更好的满足公司的监控需求及向公司各利益相关者汇报的需求。
