《数据安全实践指南》- 数据交换安全实践-数据共享安全

数据共享安全

• 为了挖掘数据的更多价值，组织机构通常会将数据共享给外部组织机构或第三方合作伙伴，然而数据在共享的过程中可能会面临巨大的安全风险。一方面数据本身可能具有敏感性，很多企业可能会将敏感数据共享给本应无权获得的企业；另一方面，在数据共享的过程中，数据有可能会被篡改或伪造，所以为了保护数据共享后的完整性、保密性和可用性，对数据共享安全进行管理是十分合理且有必要的。

建立负责数据共享安全的职能部门

• 条件允许的情况下，组织机构需要设立数据共享安全管理的部门。
• 负责为公司提供必要的技术支持。
• 为组织机构制定整体的数据共享安全策略及安全规范。
• 为技术人员制定数据共享审计策略和审计日志管理规范。
• 为业务团队提供对不同场景的风险评估支持。
• 制定对不同共享场景对应的数据共享安全方案。
• 为技术人员建立严格的数据共享审核流程。
• 为数据提供者或数据使用者提供书面的安全责任说明，以明确双方的责任和义务。

明确数据共享安全岗位的能力要求

• 数据共享安全部门的管理人员
• 具备良好的数据安全风险意识。
• 熟悉国家相关法律法规，以及组织机构所属行业的政策和监管要求。
• 能够严格按照网络安全法，数据安全法，个人信息保护法等相关法律法规和行业规范的要求去执行。
• 相关管理人员具备一定的数据共享安全管理经验。
• 拥有良好的数据共享安全专业知识基础。
• 熟悉主流的数据共享安全案例，管理流程和技术工具。
• 能够根据不同的数据共享业务场景进行相应的风险评估。
• 具备能够结合业界标准，合规准则，业务场景制定标准化数据共享安全规范和策略方案的能力。

数据共享安全岗位的建设与人员能力的评估方法

• 通过外部审计和内部审计等形式以调研访谈，问卷调查，流程观察，文件调阅，技术检测等多种方式实现。
• 1.调研访谈
• 对数据共享安全部门管理人员的访谈：
• 确认其是否胜任该岗位。
• 确认其是否明确定义并细化了数据共享场景，数据共享涉及范围，数据类型，数据内容和数据格式。
• 例如：内部业务系统之间的数据共享，基于业务需求的对外数据共享等。
• 是否明确告知数据提供者和数据使用者其所担负的安全责任。
• 是否明确了双方的责任和义务。
• 是否通过建立书面安全责任协议等方式提前说明了双方责任和义务及相应的要求。
• 对数据共享安全部门技术人员的访谈：
• 确认其是否拥有一年以上的数据共享安全检测经验。
• 是否能够对数据共享交换过程中的敏感数据采取必要的安全检测措施，以保证数据的完整性和安全性。
• 是否能够对涉及数据交换加工的第三方平台，组件，SDK，源代码等进行明确的安全评估，以确保其符合数据共享安全的要求。
• 是否能够在数据共享审计日志管理上对所有的数据共享内容和过程进行记录并妥善保存，以便发生突发情况时能够进行及时的应急处置与追责溯源。
• 2.问卷调查
• 数据共享安全部门的管理人员是否制定了针对公司的、有效的数据共享安全原则及管理规范；
• 是否建立了包括但不限于共享的数据内容、涉及的部门组织、归档记录等数据共享的审核流程；
• 是否可以对不同的数据共享业务场景进行风险评估；
• 是否可以根据组织机构的数据共享安全原则制定出适合不同业务场景的定制化数据共享安全策略方案；
• 是否能够依据国家的相关法律法规对数据共享的过程进行严格规范的管理；
• 是否规定了统一的数据共享安全检测工具、日志审计产品，以及相关标准的使用规范，以便应对突发情况下的应急处置与追责溯源。
• 3.流程观察
• 以中立的视角观察公司数据共享安全部门管理人员的工作流程，包括在为公司制定整体的数据共享安全原则及管理规范时，为公司建立数据共享安全审计策略时，为不同的业务场景提供安全风险评估时，为不同的业务场景制定安全策略方案时，为不同的数据共享场景定义并细化数据共享涉及的数据范围、类型和内容时，是否可以识别出其中可能存在的数据共享安全风险，是否贴合组织机构的内部框架，是否满足不同业务场景的安全需求，方法流程是否符合标准；在对数据共享进行严格规范的管理时，是否遵守国家相关法律法规的要求。
• 以中立的视角观察公司数据共享安全部门技术人员的工作流程，包括在对共享的数据内容进行审核时、对数据共享的工作流程进行审核时、对数据共享的日志记录进行管理与审核时、对涉及第三方数据交换加工平台的场景制定明确的安全评估要求和流程时、对数据共享交换过程中的重要数据及敏感数据进行防护时，是否可以识别出其中可能存在的安全风险，方法流程是否符合标准的流程，是否遵守国家相关法律法规的要求。
• 4.技术检测
• 检测数据共享过程中的数据内容和业务场景等指标，确保既没有出现任何超出共享业务场景的情况，也没有出现任何超出数据共享使用授权范围的情况。
• 检测数据共享过程中的日志内容已被正确，有效地记录与保存，检测共享数据的格式规范，以确保其保密性，完整性和可用性。

明确数据共享安全管理的目的

• 在数据共享交换环节中，业务系统将数据共享给外部组织机构，或者以合作的方式与第三方合作伙伴交换数据，数据在共享后能够释放更大的价值，从而进一步支撑数据业务的深入开展。
• 数据在共享过程中可能会面临巨大的安全风险，除了数据本身就具有一定的敏感性之外，共享保护措施不当也将带来敏感数据和重要数据的泄露风险。因此，采取一定的安全保护措施，可以保障共享后数据的完整性、保密性和可用性，防范数据丢失、篡改、假冒和泄露等安全风险。

数据共享安全管理的内容

• 组织机构应明确数据共享的安全规范，从国家安全、组织机构的核心价值保护、个人信息保护等方面对数据共享的风险控制提出要求，同时还需要明确制定相应的权限审批和授权流程，并根据不同场景下的数据共享操作制定细化的规范要求，以降低数据共享场景下的安全风险。
• 提交数据共享申请-评估数据共享的范围及内容-审批授权-数据共享-审计及溯源

提交数据共享申请

• 数据使用者需要明确数据共享所涉及的数据范围、内容和格式等，并向数据共享安全管理部门提交《数据共享申请表》，其中的内容包括申请人信息、所在部门、岗位、申请理由、申请内容等。

评估数据共享的范围及内容

• 数据共享安全管理部门在收到《数据共享申请表》后，需要基于数据共享的场景，对所申请的共享数据进行风险评估。如基于内部业务系统之间的共享或基于业务需要的对外共享等，根据数据共享涉及的数据范围、数据类型、数据内容及数据格式等评估不同场景的数据共享风险。
• 数据共享安全管理部门需要与数据共享的业务方、共享数据在组织机构内部的管理方，以及根据组织机构数据共享的规范要求所需参与具体风险判定的相关方，如法律团队、对外公关团队、财务数据对外管理团队等其他重要的与数据价值保护相关的团队，共同对共享数据的目录进行审核，确保没有超出数据服务提供者的数据所有权和授权使用范围。

针对数据共享范围及内容的授权审批

• 组织机构需要建立数据共享的审核流程，包括共享的数据内容、涉及的部门和组织、授权审批同意/否决、归档记录等。尤其是对于向外部提供的共享数据，一定要有严格的审核流程。数据共享的审核应由数据共享安全管理部门负责。
• 组织机构需要建立数据共享审核流程的在线平台，支持设置数据共享权限的审核人和审批人，支持设置多级审批人。同时，通过平台进行审核并详细记录归档，确保没有超出数据服务提供者的数据所有权和授权使用范围。
• 数据共享安全管理部门在授权过程中应采取“最小够用”原则，即为数据使用者提供完成业务处理活动所需的最小数据集。
• 数据共享安全管理部门审查无误后，方可对共享数据的范围和内容进行授权。同时，数据共享安全管理部门有权对不规范的授权事宜提出否决意见，对授权范围和内容的变更或终止提出意见。

实施数据共享

• 数据共享安全管理部门需要设置专人负责数据共享操作的实施及相关安全事宜。
• 在实施数据共享操作之前，需要先明确数据提供者和数据使用者的安全责任，如建立书面的安全责任说明/协议，明确双方的责任和义务，对数据采取加密保护措施和完整性校验技术防护等，提前向双方说明各自的责任和义务，以及相应的要求。
• 在数据共享交换过程中，组织机构需要采取必要的措施对重要的数据和个人隐私敏感数据等进行防护，做到数据“可用不可见”，从而有效地保护敏感数据。即在用户不直接接触原始数据的情况下，依然可以使用共享数据进行计算和分析，以得到结果。
• 数据共享安全管理部门需要对数据共享过程进行监控，以确保共享的数据未超出授权范围，并对数据共享过程中的高危行为进行识别。

审计与溯源

• 组织机构需要在数据共享的各个阶段加入安全审计机制，严格、详细地记录并保存数据共享的所有操作和行为，为数据共享安全事件的处置、应急响应和事后调查提供帮助。
• 数据共享安全管理部门需要设置专人定期对数据共享相关的日志记录进行安全审计，发布审计报告，并跟进审计中发现的异常问题。

使用技术工具

• 在数据交换环节，由于业务需要，往往需要进行数据共享作业，而在数据共享过程中又可能会面临巨大的安全风险，一旦共享保护措施不当就会带来敏感数据和重要数据的泄露。因此，在数据共享过程中，需要采取安全保护措施以保障共享后数据的完整性、保密性和可用性，防止数据丢失、篡改、假冒和泄露。数据共享的过程包含了数据共享前的审批、脱敏，共享过程中的加密操作，以及对共享过程的日志记录和审计等
• 数据共享安全主要包含以下三种方式
• 在线服务浏览：主要是面向弱需求应用部门，通过浏览器直接访问平台门户网站，应用可以在线查看平台提供的各类数据资源服务，如各类地理信息和专题信息浏览、地名查找、地址定位、空间查询、地点标绘、数据选取等。
• 使用在线服务接口：主要是面向具有开发能力的应用部门。针对平台提供的在线服务接口，应用部门可以进行二次开发，建设自身的业务应用系统。服务接口包括数据服务接口和功能服务接口。通过数据服务接口，应用部门可以获得平台最新的数据成果，同时也可以获得其他节点上发布的专题共享信息数据。通过功能服务接口，应用部门可以获得各类服务功能，如统计功能。
• 离线服务：主要是面向不具备网络接入条件或省级平台在线服务方式不能满足需求的部分应用部门。离线服务模式是一种非在线服务模式，通过硬盘复制方式，数据提供者将数据提供给应用部门，应用部门再依托离线数据建设自身的业务系统。数据提供者需要定期更新离线数据，以确保数据的同步更新。
• 以上基本涵盖了目前主流的数据共享方式。为保证数据共享过程中的安全性，防止出现数据丢失、篡改和泄露等数据安全问题，数据共享安全管理部门需要建立一系列防护措施，最终建立数据共享安全管理平台，实现数据共享目录审核、数据共享记录审计、敏感数据脱敏等全系列处理流程。因此，数据共享安全管理平台应主要包含以下4个子平台。
• 用户认证平台：用于对数据共享的操作人进行身份认证，确保发起数据共享的人员已通过认证。
• 权限管理平台：用于建立数据共享目录，确认工作流，对共享数据的目录进行审核，确保没有超出数据服务提供者的数据所有权和授权使用范围。
• 流程审批平台：用于设置数据共享权限的审核人和审批人，支持设置多级审批人。
• 监控审计平台：组织机构内部对外共享的数据可通过平台进行审核并详细记录，同时对共享日志进行审计和风险控制，通过日志记录数据共享的所有操作和行为，并对高危行为进行风险识别。在安全事件发生之后，组织机构应能通过安全日志快速进行回溯分析。
• 除了以上主要功能之外，在数据共享过程中，如果共享数据中包含重要数据、个人隐私数据等敏感数据，则需要对共享数据进行加密和脱敏等处理，然后再进行共享操作，从而有效保护敏感数据的安全性。若担心影响数据的有效性而不能对数据进行匿名化处理，则需要对数据进行安全交换处理，使用户在不直接接触原始数据的情况下，依然可以使用共享数据进行计算和分析，以得到结果。
• 数据共享安全主要涉及的技术点在于数据安全交换。主流的数据安全交换方法主要包含基于物理存储介质的摆渡交换技术、基于电路开关的交换技术、基于内容过滤的交换技术、基于协议隔离的交换技术、基于物理单向传输的交换技术和基于密码的交换技术。

基于物理存储介质的摆渡交换技术

• 基于物理存储介质的摆渡交换技术是指借助光盘或U盘等物理存储介质，通过人工操作的方式实现交换数据的“摆渡”，从而实现不同信息系统之间的数据交换功能，该交换技术也称为人工交换。
• 在不同信息系统之间进行数据交换的时候，先由指定人员将需要交换的数据刻录成光盘或复制到移动存储介质上，再复制到目标系统中，这种解决方案可以实现网络的安全隔离，安全性较高，但数据的交换是由人工操作来实现的，工作效率较低，两个系统之间的数据交换比较困难，安全性完全依赖于人为因素，可靠性无法保证。

基于电路开关的交换技术

• 基于电路开关的交换技术是指利用单刀双掷开关使得内、外部网络分时访问临时缓存器来完成数据的交换，从而实现在空气缝隙隔离情况下的数据交换。传统网阀主要是基于该技术来实现内、外网的物理隔离和数据交换的。
• 基于电路开关的交换设备通常由三部分组成：内网处理单元、外网处理单元和隔离交换单元。内网处理单元与内网口相连，外网处理单元与外网口相连。当发生数据交换时，单刀双掷开关分时与内、外网处理单元相连接，通过隔离交换单元来完成内网处理单元和外网处理单元之间的数据交换。隔离交换单元不仅要实现内、外网络处理单元的隔离，同时还要完成对数据的剥离，以及对物理连接的断开。
• 基于电路开关的交换技术的主要特点是通过电路开关切换不同的网络，使得内网与外网永不连接，内网和外网在同一时间最多只有一个网络与隔离交换单元建立数据连接。每一次数据交换都要经历数据写入和数据读出两个过程。基于电路开关的交换技术其优势是构建方式比较简单，可以保证在任意时刻内网与外网间都不会存在链路层通路，从而实现网络的物理隔离。基于电路开关的交换技术能够在一定程度上解决数据交换和安全隔离的需求，但这种隔离方式仅仅是时间逻辑上的错觉，如果延长时间，压缩时间轴，那么我们所看到的信息交互量曲线与网线相连无异，因此如果交换数据中存在非法信息或敏感信息，那么当一端网络连接时，非法信息或敏感信息依然会扩散或泄露。除此之外，基于电路开关的交换技术其数据传输是非实时的，因此该方式不够便捷。

基于内容过滤的交换技术

• 基于内容过滤的交换技术是指通过对网络内网进行关键字（如基于HTTP的网页内容关键字，SMTP和POP3协议的邮件主题、邮件内容关键字等）匹配和内容过滤来实现数据的交换。基于内容过滤的交换技术可以实现对网络内容的监控，对应用数据的提取与安全审查，可以保护网络中的各种敏感资源和数据，防止在交换过程中传输某些特定内容，从而达到杜绝基于协议层的攻击和增强应用安全的目的。基于内容过滤的交换技术可以通过软件方式或硬件方式来实现，其主要工作过程是首先进行网络数据包的捕获与解析，然后对数据包进行检测和文档提取，最后针对关键词（字）进行检索，按照匹配的原理，对传输的数据进行过滤和检查。
• 该技术的主要特点是可以抵抗来自传输层的攻击，这种基于内容过滤的交换技术可以解决诸如非法参数、缓冲区溢出漏洞等网络攻击问题，但也只能降低被攻击的风险，依然会存在安全隐患，因为内容检测并不能过滤掉所有的攻击和病毒。

基于协议隔离的交换技术

• 协议隔离又称为逻辑隔离，基于协议隔离的交换技术是指处于不同安全域的网络具有物理上的连接，通过协议转换可以保证受保护的信息在逻辑上是隔离的，只有满足系统要求、允许传输的信息才可以通过连接进行传输，从而实现数据交换。
• 进行数据交换时，内、外网应将待交换的数据发送到内网数据处理单元，之后再通过数据交换单元完成数据交换，在数据交换单元中剥离数据包的TCP/IP头部结构，对裸数据进行重新编码，并通过不可路由的私有协议进行传输，从而完成数据交换。
• 基于协议隔离的交换技术的主要特点是通过剥离数据包的TCP/IP头部结构，对裸数据重新编码，并通过私有协议传输的方式来切断内、外网络之间建立的TCP/IP连接，阻止了针对TCP/IP的所有攻击。但该技术的安全性依赖于私有化协议和应用设计的保密性。除此之外，虽然所交换的数据单元是用户所使用的原始数据（即数据文件），但是攻击者如果将非法的病毒和木马文件伪装成合法的文件，并设法将这些文件放在进行数据交换的服务器上，或者伪装成合法的服务器，依然也能将这些非法文件交换到内网中，导致无法实现数据的安全交换。

基于物理单向传输的交换技术

• 基于物理单向传输的交换技术是指数据传播在约定的时间范围内（通常是无限长），单方向上不存在任何介质形式的有效通路。内、外网处理单元分别与内、外网相连，内网处理单元与外网处理单元之间通过专用的光或电单向器件连通来进行单向数据传输，而不能反向传输数据，从而在物理隔离的两个网络之间真正实现安全的单向导通功能。
• 基于物理单向传输的交换技术的主要特点是发生数据交换时，其通过硬件实现一条“只读”的单向传输通道来保证内、外网的安全隔离，严格限制数据传输流向，从而实现数据的安全交换。这种技术多用于解决工业控制系统与外网之间的单向数据交换，或者不同密级的网络之间的单向数据交换。

基于密码的交换技术

• 基于密码的交换技术是指使用专用密码通信协议来实现数据的安全交换。基于该技术实现数据安全交换的主要过程是：采用两台不同的设备，通过通用的网络接口，分别与内网和外网的网络接口相连，而这两台设备之间需要使用专用密码通信协议的专用接口卡进行互联，通常情况下内、外网之间是断开的，只有在进行数据交换时，内、外网才会通过这两台设备及专用密码通信协议进行连通。
• 在密码技术的支持下，该技术采用专用安全通信协议来实现不同网络之间的隔离与交互。其主要优势是对那些程序性穿透攻击设置了一道不可逾越的障碍，使得破坏者无法通过攻击程序来盗取内网的信息。不过，由于专用通信协议往往需要专用硬件设备的支持，因此基于密码的交换技术往往成本比较高、设备的费用通常比较昂贵。

技术工具的使用目标和工作流程

• 用户认证
  • 对进行数据共享操作的人员进行多因素认证，确保共享用户的合法性。
• 用户权限管理
  • 对数据共享操作的用户进行权限管理，配置不同用户组及用户可操作数据的目录，确保被共享的数据在操作用户的权限范围之内。
• 流程审批管理
  • 用户进行数据共享操作的申请需要通过上一级管理人员的审批，当共享数据超出操作人员的权限范围时，需要通过审批流程进行授权管理。
• 监控审计
  • 对所有用户的认证，权限，共享等操作进行日志记录并定期审计，以确保所有操作合理，合法，合规。
• 数据安全交换
  • 根据实际情况，选择合适的数据交换模型，保护被共享数据的完整性，安全性和保密性。

标签：数据交换,交换,实践,数据共享,安全,数据安全,共享,数据
来源： https://www.cnblogs.com/autopwn/p/16397765.html