数据处理环境安全
- 数据处理环境安全是指对数据运行环境进行管理与检测,以避免在数据正当使用过程中,由于软硬件故障所造成的数据损坏或丢失的情况。
建立负责数据处理环境安全的职能部门
- 为公司制定数据处理环境标准,建立数据处理环境安全保护机制。
- 指定统一的数据计算和开放平台。
- 提供对数据处理过程中的安全控制管理和技术支持。
- 数据处理环境安全管控部门还需要为公司识别出在大数据环境下数据处理系统,平台可能存在的安全风险。
- 通过在相关的系统设计开发阶段进行合理的设计,以及在运维阶段进行有效的配置来规避相关风险。
- 若组织机构条件有限,可以指定业务团队中的技术人员负责以上工作,负责为公司提供上述必要的技术支持。
明确数据处理环境安全岗位的能力要求
- 具备良好的数据安全风险意识。
- 熟悉国家法律法规,以及组织机构所属行业的政策和监管要求。
- 在进行数据使用监督管理过程,严格按照网络安全法,数据安全法,个人信息保护法等国家相关法律法规和行业规范执行。
- 具备一定的数据处理环境安全管控经验。
- 拥有能够通过合理的设计及强配置来规避相关风险的能力。
- 熟悉主流的数据处理环境管控方案。
- 了解常见的安全管理措施,熟悉平台化,分布式的安全处理环境搭建方案。
- 熟悉分布式处理节点间的可信连接策略和规范。
- 熟悉数据处理环境中的数据加密和解密处理策略及密钥管理规范。
- 熟悉主流的数据计算和开发平台。
- 拥有数据处理平台搭建和管理的经验。
- 能够确保各分布式处理节点之间采用身份认证措施以保证可信接入。
- 拥有针对分布式数据处理过程制定数据泄露控制规范的能力。
- 拥有搭建数据泄露控制机制的能力。
- 拥有对整个处理环境进行加解密管理,对所有操作行为进行审计记录,追踪溯源的能力。
数据处理环境安全岗位的建设及人员能力的评估方法
-
通过内部审计,外部审计等形式以调研访谈,问卷调查,流程观察,文件调阅,技术检测等多种方式。
-
1.调研访谈
-
主要包含对公司数据处理环境安全部门管理人员和技术人员的访谈两部分。
-
数据处理环境安全部门管理人员和技术人员在制定数据处理环境安全标准上、在构建统一的安全管理措施和访问控制策略上、在规定标准的数据计算和开发平台上、对数据处理平台的风险评估上,对可能出现的安全风险通过强配置与设计进行风险规避上,是否符合相关的法律规范,是否具备足够的能力胜任该职业。同时,调研访谈还应该确认相关人员是否采取了严格的网络访问控制、账号和身份认证、授权、监控和审计来保证数据处理环境的安全;是否建立了分布式处理节点间的可信连接策略和规范;是否采用了节点认证来确保节点接入的真实性;是否建立了分布式处理节点和用户安全属性的周期性确认机制;是否确保了预定义安全策略的一致性;是否建立了分布式处理过程中数据文件鉴别和访问用户身份认证的策略和规范;是否确保了数据文件的可访问性;是否建立了分布式处理过程中不同数据副本节点的更新检测机制;是否确保了节点数据复制的完整性、一致性和真实性;是否建立了数据处理过程中防止数据泄露的控制规范和机制;是否有效地保护了数据处理过程中的调试信息、日志记录和个人敏感信息等。
-
2.问卷调查
-
数据处理环境安全部门管理人员是否制定了针对公司的、有效的数据处理环境安全标准;是否搭建了标准的数据处理平台;是否制定了针对数据处理平台的访问控制策略和安全管理措施;是否明确采用了相关的技术手段来保证数据处理的安全,包括但不限于访问控制、身份认证、授权管理等;是否可以识别出在不同的业务场景下数据处理平台可能面临的安全风险;是否可以通过管理手段在开发阶段就能有效地规避相关风险;是否可以对整个数据处理环境、数据处理平台进行加解密管理;是否设立了针对数据处理平台的审查机制,以确保所有的操作行为都可以被清楚正确地审计与记录,当出现异常数据行为时,能够根据日志记录对数据处理行为进行追查和溯源。
-
3.流程观察
-
以中立的视角观察公司数据处理环境安全部门管理人员的工作流程,包括在为公司制定整体的数据处理环境标准时,为公司建立统一的数据处理平台时,为数据处理平台制定数据处理过程中访问用户身份的认证规范时,是否可以识别出其中可能存在的安全风险,是否贴合组织机构的内部架构,方法流程是否符合标准;对数据平台进行严格规范地管控时,是否符合国家相关的法律法规要求和数据分类分级标准;在建立分布式数据处理节点间的可信性连接要求时,是否采用了节点认证来确保接入节点的可信任性;在为公司制定数据处理环境安全的数据加密和解密处理策略和密钥管理规范时,是否采取了合理的解决方案,如是否使用了TLS协议进行应用层通信加密、数据加解密是否采用了可靠的加密算法等。
-
4.技术检测
-
数据处理环境安全阶段的技术检测,需要使用技术工具检测数据处理平台与数据权限管理平台的联动性,确保用户在使用数据处理平台之前就已经获得了授权;检测数据处理平台上日志管理模块是否正常,是否可以正确记录用户在数据平台上的处理操作,以便发生突发情况时可以追责溯源;检测分布式处理过程中的数据泄露控制机制是否正常,以确保在数据处理过程中,重要信息(比如,调试信息、日志记录、个人敏感信息等)不会不受控制地输出,从而导致出现信息泄露的问题。
明确数据处理环境安全管理的目的
- 数据处理环境安全是指如何有效地防止数据损坏,丢失或泄密等问题,比如:数据在录入,处理,统计或打印的过程中,由于硬件故障,断电,死机,人为的误操作,程序缺陷,病毒等造成的数据库损坏或数据丢失问题,以及某些敏感或保密的数据可能会被不具备资格的人员操作或读取,从而造成数据泄密的问题。有效的数据处理环境安全管理可以保护数据在处理过程中不被损坏,丢失或窃取,因此组织机构需要建立数据处理的环境保护机制,保障数据在处理过程中能有可靠的安全管理和技术支持。
- 组织机构应通过建立数据处理平台进行统一管理,采取严格的访问控制,监控审计和职责分离等措施来确保数据处理环境的安全。
分布式处理节点安全
- 数据处理环境安全管理部门在制定分布式处理节点安全方案时需要考虑一下内容:
- 建立数据分布式处理节点间的可信连接策略和规范,例如:采用Kerberos,可信模块等节点认证机制,确保数据分布式处理节点接入的可信性。
- 建立数据分布式处理每个计算节点和用户安全属性的周期性确认机制,确保分布式处理预定义安全策略的一致性。
- 建立分布式处理过程中数据文件鉴别和认证的策略和规范,确保分布式处理数据文件的可访问性。
- 建立分布式处理过程中不同数据副本节点的更新检测机制,确保这些节点数据复制的真实性。
- 建立分布式结算过程中防范数据泄露的控制规范和机制,防止数据处理过程中的调试信息,日志记录和不受控制的输出等泄露受保护的个人信息或重要数据。
- 建立分布式处理外部服务组件审核机制,防止外部服务组件泄露受保护的个人信息或重要数据。
- 建立数据分布式处理节点的自动维护策略和管控措施,提供虚假节点监测,故障用户节点确认和自动修复的技术机制,避免受到云环境或虚拟环境下潜在的安全攻击。
采取网络访问控制措施
- 网络访问控制措施通常包含网络隔离,部署堡垒机和远程运维管理等,具体如下:
- 1.网络隔离
- 数据处理平台对生产数据网络与非生产数据网络进行安全隔离,由于从非生产数据网络不能直接访问生产数据网络中的任何服务器和网络设备,因此从非生产数据网络中不能对生产数据网络发起攻击。
- 2.堡垒机
- 为了平衡效率和安全性,在运维入口部署堡垒机,只允许办公网的运维人员快速通过堡垒机进入数据处理平台进行运维管理。
- 运维人员登录堡垒机时,需要使用域账号密码加动态口令的方式进行双因素认证,堡垒机通常会使用高强度加密算法,以保障运维通道数据传输的机密性和完整性。
- 3.远程运维
- 可以为不在公司的员工提供远程运维通道,运维人员需要预先向数据处理环境安全管控部门申请VPN接入公司办公网之后访问堡垒机的权限。VPN在接入公司办公网络的接入区时,需要使用域账号密码加动态口令的方式进行双因素认证,再从办公网接入区访问堡垒机,VPN通常会使用高强度加密算法,以保障运维通道数据传输的机密性和完整性。
账号管理和身份认证制度要求
- 数据处理平台需要使用统一的账号管理和身份认证系统,每个员工都拥有一个唯一的账号,账号的唯一性保证了审计时可以定位到个人,账号管理和和身份认证系统需要集中下发密码策略,强制要求设置符合密码长度和复杂度要求的密码,并定期修改密码,账号管理和身份认证系统的集中管理,使得其他信息系统不需要再管理身份信息,也不需要保存多余的账号密码,从而降低了应用的复杂性,提高了账号的安全性,账号管理与授权管理分离还有防止私建账号越权操作的行为。
访问资源授权
- 数据处理环境安全管理部门需要基于员工工作岗位和角色,遵循最小权限和职责分离原则,为员工授予有限的资源访问权限。员工可根据工作需要向数据处理环境安全管控部门申请VPN访问权限,堡垒机访问权限,管控平台】和生产系统访问权限,经相关部门审批后进行授权。
制定加解密处理策略
- 数据处理环境安全管控部门应建立数据处理环境的数据加密和解密处理策略和密钥管理规范,在风险评估的基础上采用合理的加密技术,如对于应用层,可采取SSL证书形式加密,对于存储层,则采取AES等对称加密算法。
数据处理监控
- 使用自动化监控系统,可以实现对数据处理平台网络设备,服务器,数据库,应用集群及核心业务的全面实时监控,监控系统不仅可以展示云平台关键运营指标,还可以配置告警阈值,当关键运营指标超过所设置的告警阈值时,其将自动通知数据处理环境安全管控部门。
- 数据处理环境安全管控部门应建立应急处理机制,以应对大数据集群资源耗尽时的宕机风险。
审计与溯源制度要求
- 员工对数据处理平台的所有运维操作,必须且只能通过堡垒机进行。所有操作过程应被完整记录下来,并实时传输到集中日志平台。对于Linux操作系统,堡垒机会记录所有命令行,对于Windows操作系统,堡垒机会录屏并记录键盘操作。
- 员工通过唯一的数据权限管理账号对数据进行处理,访问和使用,期间所有操作记及过程都会被玩完整地记录下来并实时传输到集中日志平台。
- 数据处理环境管控部门应制定数据处理溯源策略和溯源机制,溯源数据存储和使用的管理制度,并制定溯源数据的表达方式和格式规范,从而实现溯源数据的规范化组织,存储和管理。
- 数据处理环境管控部门应建立基于溯源数据的数据业务于法律法规合规性审计机制,并依据审计结果增强或改进数据服务相关的访问控制和合规性保障工作。
- 数据处理环境管控部门应采取校验码,加密,数字签名等技术手段,保障溯源数据的真实性和机密性,并采用必要的技术手段,确保溯源数据能够重现数据的处理过程,如追溯操作发起者及发起时间。
- 数据处理环境管控部门需要对关键溯源数据进行备份,并采取技术手段保护溯源数据的安全性。
使用技术工具
- 为保证数据处理环境的安全,首先要保证数据处理平台的使用者能够获得相应的授权,在获得授权之后,每个单独的使用者所涉及的数据、系统、会话、调度等均应相互独立,以实现逻辑隔离。同时,每个使用者在进行数据处理的过程中,均应做好操作日志的记录与审计,并对相关系统实时进行风险监控。
- 对数据处理平台进行权限管控,确保用户在使用数据处理平台之前就已经获得相关授权。
- 对数据处理平台进行多租户管理,各租户之间进行逻辑隔离,以确保该租户在平台中的数据,系统功能,会话,调度和运营环境等资源是独立运行的。
- 在数据处理过程中进行日志管理,针对用户的数据处理操作进行记录和审计。
- 具有内控措施,以监测账号伪装,恶意篡改数据等恶意行为,从而保障各个工作环节的功能稳定性。
- 数据处理环境安全主要涉及账号管理和身份认证,网络访问控制,授权管理和监控与审计等技术方法。
账号管理和身份认证实现模式
- 身份认证主要有三种模式,分别为身份认证组件模式,统一认证模式和信任代理模式。
- 1.身份认证模式
- 身份认证组件模式,指的是在应用系统中独立设置一个用于身份认证的组件模块,为要集成的应用系统提供身份认证的模式。该模块为用户提供登录界面,接收用户输入的用户名和密码,但不做任何处理,而是直接将接收到的用户信息传递给统一身份认证系统进行验证,需要集成的应用系统本身不带有用户系统,因此输入的用户账号肯定是统一身份认证服务器中的用户账号。这种模式比较适合于新建应用系统的集成
- 1)用户访问应用系统A的登录界面,输入在统一认证服务器中注册的用户名和密码,提交登录信息。
- 2)应用系统A接收用户的登录信息,并将用户信息与自己的编号(应用系统A的标识)通过网络传送给统一认证服务器(Service),请求统一认证服务器对用户身份进行验证操作。
- 3)统一认证服务器接收应用系统A的请求,判断应用系统A是否已经注册,同时从用户注册数据库中检索用户信息,以验证由应用系统A转发过来的用户登录信息是否合法。
- 4)如果验证通过,那么统一认证服务就会对应用系统A做出响应,用户就可完成登录操作。
- 5)客户端的应用系统A会针对通过认证的用户创建一个系统会话(Session),并将用户在该应用系统A中拥有的权限以令牌(token)的形式返回给用户。
- 6)用户只要还在会话周期内,就可以一直使用该权限令牌访问应用系统A,直至退出系统或是会话超时。
- 2.统一认证模式
- 统一认证模式的核心是提供统一的身份认证服务。当用户需要获取应用系统的服务时,首先登录统一身份认证服务器进行身份验证,通过后即可访问与该用户关联的所有支持统一身份认证服务的应用系统。
- 1)用户首先打开统一身份认证系统的登录页面,然后在页面的登录框中输入在统一认证服务器上注册的用户名和密码,提交登录信息。
- 2)统一认证服务器接收并验证用户登录信息的合法性,如果合法,则统一认证服务器会创建一个会话,并向客户端的用户返回一个认证令牌。
- 3)用户接收从统一认证服务器发送而来的认证令牌,并通过这个认证令牌访问某个已经集成在认证服务器上的应用系统。
- 4)该应用系统将用户提交的认证令牌传递给统一身份认证服务器,以检查和校验该认证令牌的有效性。
- 5)经过验证,统一身份认证服务器确认该认证令牌的有效性。
- 6)应用系统接收用户的访问,并返回访问结果。
- 3.信任代理模式
- 信任代理模式可以提供一种认证模式,它可以通过某个第三方组织或某个模块,为应用子系统提供一个统一的身份认证服务功能,同时,它还可以对应用系统的访问控制进行代理。
- 1)首先,要求访问应用资源的用户需要使用在认证服务器中注册的用户名和密码登录到统一认证服务器。
- 2)然后,统一认证服务器为登录的每个用户建立一个会话,用户将从统一认证服务器中接收返回的访问令牌。
- 3)当用户需要获取应用系统的服务时,用户并不是向应用系统发送请求,而是将包含了用户请求的信息(信息中标识了最终要访问的应用系统)发送到统一认证服务器,由身份认证服务器先进行认证。
- 4)统一认证服务器接收用户请求信息,并查询存储在注册数据库中的相应的应用系统记录,从而得到要访问的应用系统的入口地址。同时,对这个应用系统是否能够支持统一的身份认证服务进行判别。
- 5)统一认证服务将请求信息发送给对应的应用系统,假如应用系统中使用的是自己的用户管理系统而不是统一认证服务器上的用户系统,则要求用户在请求时还应在请求消息中包含与该应用相关联的用户名和密码等信息。
网络访问控制
- 网络访问控制措施通常包含网络隔离,部署堡垒机和远程运维管理等措施。
- 1.网络隔离
- 平台对生产数据网络(内部网络)与非生产数据网络(外部网络)进行了安全隔离。租户之间的网络及设备进行安全隔离后,内部就会无法直接访问租户间的服务器和网络设备。目前,网络隔离的技术线路主要有三种,即网络开关、实时交换和单向连接
- 网络开关:在一个系统里安装两套虚拟系统和一个数据系统,数据先被写到一个虚拟系统中,然后交换到数据系统,再交换到另一个虚拟系统。这种方式只适合于进行简单的文件交换且没有复杂应用的系统。
- 实时交换:相当于在两个系统之间,共用一个交换设备,交换设备连接到网络A得到数据,然后交换到网络B。这种方式比较适合于实时应用系统。
- 单向连接:即单向传输,是指数据只能从一个网络向另外一个网络单向传输数据,两个网络之间是完全断开的。单向连接实际上是通过硬件实现一条只读的单向传输通道来保证安全隔离。
- 2.堡垒机
- 运维入口部署堡垒机,只有办公网的运维人员才能通过堡垒机对数据处理平台进行运维管理。
- 3.远程运维
- 远程运维可用于为不在公司的员工提供运维通道。运维人员需要预先申请VPN接入公司办公网之后访问堡垒机的权限。VPN拨入公司办公网络的接入区时需要使用域账号密码加动态口令的方式进行双因素认证。再从办公网接入区访问堡垒机。VPN通常使用高强度加密算法来保障运维通道数据传输的机密性和完整性。
授权管理
- 数据权限管理平台提供了统一的权限申请和授权管理系统。根据员工的岗位职级和工作职责,当该员工需要申请某些资源的访问权限时,需要通过数据权限管理平台,按照审批流程,经上级领导审核和同意后,才能获得访问该资源的最小权限。例如,员工可通过该权限管理平台申请VPN访问权限、堡垒机访问权限、管控平台和生产系统的权限等。
- 对运维和审计实施职责分离,由安全管理部门负责审计工作。数据库管理员和系统管理员应由不同的人担任。适当的职责分离能够有效防止权限滥用和审计失效的问题。
监控系统与审计系统
- 监控系统可以对数据处理环境涉及的设备(比如,服务器、数据库、应用等)进行实时监控,以及通过对监控系统配置策略来限定告警阈值。当数据处理环境中的指标超出预先设定的阈值时,则会进行告警,并通知相关维护人员。
- 审计系统将会对员工的所有操作进行记录。由于员工对数据处理平台的操作均是通过堡垒机来进行的,因此我们可以通过堡垒机记录所有操作的处理过程,对于Linux系统,是记录所有的命令行,对于Windows系统,则是操作录屏和记录键盘操作,最终记录下所有的操作和过程后,再统一、实时传输到集中日志平台进行审计。
技术工具的使用目标和工作流程
- 数据处理环境安全的技术工具需要实现以下目标:
- 账号管理和身份认证:
- 能够识别出登录的账号是否为授权账号。
- 授权:
- 对接权限管控平台,对登录后的账号进行权限控制,控制其只能访问到所需要的最小资源。
- 监控与审计:
- 对用户登录数据处理平台后的所有操作进行日志记录,并对操作进行审计。
- 网络访问控制:
- 对数据处理平台后端涉及的网络和系统等资源进行逻辑分离,以保证不同用户的数据处理操作彼此隔离,互不影响。