本文可帮助安全和技术团队建立和现代化数据安全规则,帮助组织在创建、存储、处理、共享或使用数据时保护数据,同时仍支持协作、分析、云服务和 AI 采用。
安全规则 是相关安全工作的分组,可帮助组织在整个技术资产中持续提供安全成果。 在安全采用模型中,规则有助于在业务方案和技术实施之间提供桥梁,确保安全投资转化为安全采用模型一部分的实际可衡量结果。
为什么选择这一学科
数据是现代组织的命脉。 它支撑着业务运营、决策和创新,但它也是攻击者最有价值的资产之一。
传统的以网络为中心的数据保护方法在使用云服务、加密、移动设备和分布式协作的环境中不再足够。 现代数据安全体系已超越边界防护,转向身份感知、基于生命周期的保护,并与业务价值和风险保持一致。 如果没有有效的数据安全性,组织将面临重大业务风险,包括:
- 使用云服务、个人设备和 AI 的员工无意中泄露数据。
- 针对敏感信息的恶意内部活动。
- 在分布式环境中绕过基于边界的控制措施的威胁行为者
- 勒索软件和敲诈勒索攻击会破坏操作。
- 监管处罚、声誉损害,以及在某些行业对生命安全的影响。
专用数据安全规则提供降低这些风险所需的结构,同时在整个组织中实现数据的安全高效使用。
任务和结果
数据安全规则的使命是在整个生命周期内保护数据资产的机密性、完整性和可用性,从而实现安全的业务运营和明智的决策。
成熟的数据安全规则提供以下核心结果:
- 数据保密性:确保只有经过授权的用户和系统才能访问数据。
- 数据完整性:防止未经授权的数据更改或损坏。
- 数据可用性:确保在需要时可供授权用户访问数据。
这些结果中的失败可能导致数据被盗和滥用、中断业务运营、启用欺诈、公开受管制的数据,甚至对人员造成身体伤害。
建立明确的所有权、分类和保护策略时,数据安全将成为业务成果的启用者,而不是约束。
若要有效应用数据安全规则,请专注于建立一致的方法来基于数据的敏感度和业务影响来保护数据:
-
定义符合业务优先级和风险的数据保护策略
建立一种明确的方法来根据数据的价值及其暴露或滥用的风险来识别、分类和保护数据。 -
在数据生命周期内一致地应用保护
确保数据在驻留、移动或使用的位置受到保护,包括跨设备、应用程序和云环境。 -
建立标准化数据保护策略和控制
提供明确的指导,以确保在整个组织中以一致且安全的方式处理、访问和共享敏感数据。 -
将数据保护与关键业务资产和方案保持一致
确定保护高价值和管控数据的控件的优先级,尤其是在保护关键资产和实现安全协作等方案中。 -
持续监视和改进数据保护
使用来自数据使用情况、风险信号和安全事件的见解来优化保护,并降低随时间推移数据泄露或丢失的风险。
管理更改
传统的数据安全方法通常依赖于单个控制点,例如基于网络的数据丢失防护(DLP)。 此模型在现代环境中无效,因为它:
- 仅在数据生命周期中的有限点运行。
- 在一瞬间必须完全平衡保护和生产力,
- 加密数据、通过云服务共享或在个人设备上访问时失败。
此图总结了使用新式数据安全性方法克服的挑战。
新式数据安全规则侧重于在整个数据生命周期中持续可见性和控制。
重点领域
新式数据安全策略强调:
| 侧重点 | 详细信息 |
|---|---|
| 确定关键数据的优先级 | 首先保护最关键的业务数据。 |
| 协作、覆盖范围、可见性 | 跨业务进行协作,以全面了解跨设备、应用和云的结构化和非结构化数据,防止数据孤岛。 |
| 探索数据 | 了解数据存在的位置及其具有的值或敏感度。 |
| 对数据进行分类 | 应用一致的标签,以便自动应用安全控制。 |
| 生命周期保护 | 无论位置、技术平台、设备或环境如何,都保护数据。 在整个数据生命周期内应用此策略: 创建、 使用、 存储、 共享和 释放。 在创建和生成过程中保护数据、静态存储、访问/共享/使用期间以及传输中的数据,以及不再处于活动状态、存档或删除的数据。 |
| 监视和执行 | 实现实时可见性和自动强制实施,以检测和响应实时未经授权的访问或外泄。 |
| 学习和改进 | 持续提高数据安全性。 随着数据格式、平台和用例的发展,调整策略和数据控件,包括 AI。 |
这种方法可实现能够随业务和技术变化而扩展的保护能力。
此图演示了一种高级数据安全策略,可同时实现安全性和工作效率。
在图中:
- 零信任基础架构以虚线表示,在内部功能与外部环境之间建立了现代化的身份边界和数据丢失防护。 此基础可防止未经授权的数据丢失,但允许与授权的外部方协作。
- 企业协作环境(绿色较轻)是创建、处理和存储大部分组织数据的地方。 限制对内部用户的访问权限,并默认应用最低权限。
- 关键应用和数据以更深的绿色表示组织中最敏感的数据,这些数据必须限制为有限的一组授权用户和应用程序。 可以在企业协作环境中与一些授权的外部方共享此数据,但必须始终对其进行保护和监视。
规则角色和协作者
数据安全需要跨业务、安全和技术团队进行密切协作。 在较大的组织中,角色通常分布和正式化;在较小的组织中,责任可能合并在一起。
该领域中的主要角色通常包括:
- 数据官/数据管理团队
- 数据和 AI 架构师
- 数据和 AI 工程和运营团队
主要协作者包括:
- 业务主管和数据所有者 – 定义数据值、使用情况和分类。
- 安全策略和治理团队 – 定义策略、标准和监督。
- 体系结构角色 – 将数据安全控制集成到系统和平台设计中。
- 开发人员 – 在应用程序中实现安全数据处理。
- 安全相邻规则 - 使数据安全与隐私、风险和合规性工作保持一致。
与其他学科的一致性
数据安全规则与其他规则密切合作:
- 访问和标识规则 – 标识和访问策略确定谁可以访问数据。
- 安全体系结构规则 – 体系结构 定义了用于保护数据的端到端模式。
- 安全操作 (SecOps) 规则 - 检测和响应与数据相关的事件。
- 安全态势规则 – 衡量和改进数据保护成熟度。
随着数据责任的扩大,明确所有权和共享责任至关重要。
与技术支柱保持一致
数据跨系统、用户和环境传输。 因此,数据安全规则涵盖所有技术支柱。
一致的技术支柱包括:
- 标识:数据安全依赖于标识安全控制,通过强标识和访问控制强制安全访问数据。
- 终端:数据安全依赖于终端安全控制,以防止数据从已遭入侵或非受管设备中被窃取。
- 基础结构:数据安全依赖于基础结构安全控制来保护在服务器、容器和云平台上存储或处理的数据。
- 应用:数据安全依赖于应用安全控制来确保应用安全访问和处理敏感数据。
- 数据:数据安全依赖于数据安全控制来发现、分类、保护和监视整个生命周期中的数据。 - 网络:数据安全依赖于数据安全控制来帮助发现和保护数据,因为它在系统之间传输。
- AI:数据安全依赖于 AI 安全控制来保护用于训练、分析和生成 AI 输出的数据。
后续步骤
Microsoft Unified 提供了专家主导的研讨会,帮助组织加快安全态势管理策略、体系结构和技术的现代化。 这些研讨会包括:
体系结构和策略研讨会 - 安全采用框架数据安全研讨会侧重于数据安全现代化。 此研讨会提供不到四个小时的讨论,重点讨论关键学习和最佳做法。
技术采用研讨会 - Microsoft Unified 有研讨会来帮助组织了解、规划、实施和优化数据技术的使用。
