新闻中心 >> 新闻中心详情

维护数据资产安全:不可忽视人的安全管理

发布时间:2020-05-20作者:阅读次数: 分享到:
从数据资产的角度审视数据安全,必然离不开人的安全管理。所有的安全问题从本质上都可以归结为人的安全问题,对于人的安全管理也因此成为数据安全的核心课题。



01

人的安全特点


我们在前面很多章节都涉及到了人的安全问题,在这里做个简单的回顾。详细参见《第四篇:医疗行业数据安全的主要风险和应对分析


整体而言,由于人是具有复杂情绪变化的非理性动物,同时又是会精密计算利益得失的理性动物,每个人都会生病、疲劳和紧张,因此“人”是医疗数据安全最大的风险要素。系统管理员和数据库管理员(DBA),医生、护士等业务系统操作人员,系统开发商和维护人员,驻场服务人员等,都有可能成为医疗数据安全的风险敞口。


02

6个步骤,确保数据资产安全


由于医疗数据具有极高价值,据统计,医疗行业高达60%的安全风险来自于内部。在应对医疗数据安全问题时,我们必须从资产(数据)保护的角度出发,从零信任角度进行深入分析,可以从以下6个步骤着手:

1

定义资产

数据安全需要从定义资产开始。定义资产的核心任务是数据分级分类,如何对医疗数据进行分级分类已在《第七篇:数据安全不可或缺的基础工程:分级分类治理进行详述。本篇主要讨论技术实现,解决以下几个问题:(1)一个组织的数据都在哪里?(2)这些数据的内容和形态是什么样的?(3)应该用什么方式来管理它?

前两个问题描述的是暗数据发现与分类的过程。面对长期积累、更新的海量数据,显然无法单纯依赖人脑的记忆,而需要借助技术手段来精准、快速地发现数据、识别数据。美创科技的暗数据发现和分类工具可高效完成这项工作,基本过程如下:

Step 1:扫描全网,探测发现各类数据库。
Step 2:扫描每个数据库,根据内容特征发现每个字段的含义。
Step 3:根据字段内容特征的组合发现每张表格的含义。
Step 4:依据表格之间的内容匹配发现表格之间的相互关系。
Step 5:辅助以人工确认完成全网数据的内容标记和分类标记。


在对于业务认知不完备的前提下,暗数据发现和分类工具虽然不可能对于所有字段做出准确标记,但基本能够应对大部分字段内容和表格,从而大幅度降低定义资产的成本,提高内容标记准确性。

在定义了资产内容后,就可以对数据进行分类或分级。比如可分为个人信息和隐私、商业机密、国家秘密等类别;也可从敏感级别、重要程度、更新影响等维度进行分级。
 
2

确定身份

数据只有在被访问、产生流动时才能够彰显价值。访问数据的用户身份必须明确、可被鉴别。此处所指的“身份”,是现实生活中可以被认知的“人”。“人”的信息必须体现在IT系统中,让数据管理者能够识别,从而确定其访问数据的权限。显然,用户身份不是账户,也不是IP地址,它必须具有唯一性、被识别性,且可与现实中的人进行一一对应。

从资产的角度出发,需要赋予每一个数据访问者唯一的计算机身份映射关系。通常来说,数字证书是比较理想的媒介,也是常用的身份识别技术。此外,认知一个人,需要通过姓名、年龄、面部特征、行为状态等多种信息的有机结合,而非通过精确识别方法(如解析DNA或虹膜等)。当把这种身份认知的方式运用到IT系统中时,就是模糊多维身份识别,即通过多维度信息确定身份。
 
3

定义资产的属性

定义资产的属性,可以从以下维度入手:

  • 范围:定义该数据是业务数据、部门数据或者其他类型的数据。

  • 标签:从多种维度定义标签,只有具有该标签的身份可以访问特定数据。

  • 审计:定义访问是否需要被审计。

  • 行为:定义访问该资产允许的行为,比如查询,删除,更新,插入等操作。

  • 限制:是否限制该数据被多行访问。

 
需要注意的是,数据资产自身具有的属性,并不会因为用户的不同而发生变更。通常为了简化管理,数据的拥有者具有自动访问的权利。但是对于极端机密或重要的数据,需要确定任何人访问都必须通过代管者的审批,且代管者本身不应具备访问能力。

4

定义访问规则

从资产的角度定义了数据如何被访问,只有满足访问规则才可以被允许访问。常见的黑名单、白名单,就属于访问规则的范畴。
 
5

确定访问授权

对用户身份进行授权,确定数据资产可以被哪些身份访问,不能被哪些身份访问。
 
6

确定访问路径和访问上下文

确定了资产、身份、属性、规则和授权之后,剩下的工作就是不断确认身份的真实性与正确性。身份永远是动态的,只有在特定上下文之中的身份才可以被允许访问数据。从资产的角度而言,任何访问路径和访问上下文都是确定的、已知的,从而可以在每一个环节不断确认身份的正确性。比如

select * from customer where id=? 这个访问必须在select * from items where item=?这个行为之后出现,任何偏离都会被认为是不合规的。



基于以上6个方面(如上图所示),就能杜绝医疗数据的非正常访问,为医疗数据安全构筑坚实壁垒,有效防止各种由于人为因素带来的可能的后果:当一个非理性的人在被诱惑、虚荣心发作、需要宣泄情绪的情况下,想要破坏数据时,坚实的数据安全堡垒可有效阻止其冲动行为;当一个疲倦的人因工作失误、无意发出非计划指令时,系统会主动判断指令的合法性,非计划指令不能到达,可有效避免删库等事件的发生;当一个理性的人因为利益驱动想要泄漏数据时,严密的机制会让他望而却步,医疗机构可以此尽量避免来自内外部的攻击。


03

如何管理人的安全

 
要实现对于人的安全管理,要达成以下四个目标:(1)确认人是真实的人;(2)确认所做的事情是真实意愿的表达;(3)确认所做的事情合乎规范;(4)确认风险操作或所有操作是可审计和追踪的。


为达到上述目标,应注重以下工作。

1

重视安全教育

在社会安全实践中,安全教育具有很高的价值,它教导人们要遵循法律、规则、制度和道德的约束,以提高自身安全,同时实现他人安全。但是,安全教育仅仅是基础,确保法律和制度的威慑性才是安全和秩序的本源。信息科技突破了时空限制,使传统碎片化的无用财富变成了海量的数字财富,这加剧了人们铤而走险的可能性。
 
2

把握两个基础、三类人员和三类应用

管理人的安全需要做到做好两个基础,管好三类人员和三类应用。

(1)做好两个基础
做好职责分离和敏感数据分级分类,是管理人员安全的基础性工程。职责分类,特别是特权账户的分离和管理,至关重要。很多特权账户具有“上帝之手”的明显特征,拥有超级权限,也很可能导致巨大的风险。如何制约“上帝之手”,是数据安全和人员安全管理的核心命题之一。

敏感数据的分级分类,可以帮助评估与锁定特定数据、特定行为的安全风险。

(2)三类人员的管理
三类人员指运维人员、业务人员和入侵者。需要为不同的人员角色刻画不同特征,在进行管理时,需将不同角色的人员、访问的应用、访问的数据进行关联。

(3)三类应用的管理
应用程序是人员访问数据的工具,管理好工具十分重要。三类应用指运维操作和管理工具、业务系统、数据采集和交换平台。其中,运维操作和管理工具与运维人员相对应,业务系统与业务人员对应,数据采集和交换平台则体现为系统自动访问。

3

常见的管理措施    
 
(1)工作流审批
对于敏感类操作,可采用工作流程审批或复核的方式进行,类似于银行在大额取款等业务操作中,需通过双通道验证机制来完成。复核的工作流程,可以排除绝大部分伤害巨大的敏感操作,但由于这种方式会干扰业务流程的流畅性,难以做到与业务操作的无缝对接,因此实际运用的场景并不多。

(2)隔离机制
隔离机制主要是帮助从业人员隔离数据诱惑,尽量减少愤怒、虚荣等负面情绪带来的安全风险,同时隔离工作疲倦与误操作。

由于医疗数据的巨大价值,相关从业人员每时每刻都在不断被诱惑。在持续性的诱惑中,数据成为目标;在委屈、不公、愤怒等负面情绪的驱使下,数据成为牺牲品。让数据远离诱惑的核心措施就是隔离诱惑,让数据看不见、摸不着,所谓“财不露白”。用技术术语来说就是访问控制,让相关人员没有访问数据的权利。因为看不见数据,数据资产也就不会被攻击,这是数据安全最为基本的准则,也是网络安全攻防战中的基本准则。访问控制、脱敏、加密等技术手段与措施,都是常用的隔离机制。

深夜干活是DBA们的职业习惯,在睡眼惺忪时精神有时难免无法集中。有句流行的调侃:一个没有经历过误操作的DBA不是一个好DBA,误操作是每个运维人员心中的痛。隔离疲倦和隔离诱惑的措施一样,即让发生的误操作行为受限,比如禁止删除任何业务表格、禁止业务表格全表记录删除和清除等。
 
(3)责任到人,杜绝侥幸心理
对于正当的业务操作,基本措施就是责任到人,让一个理性人精确衡量利益得失,杜绝侥幸心理。责任到人的实现需要满足两个条件:精确的身份识别与无遗漏的行为审计系统。


 精确的身份识别:是指对于每个操作都可以精确匹配到生活中的人,从而使每个行为都处于众目睽睽之下,最大程度地降低侥幸心理。显然,简单的账户、IP地址等传统账户体系无法满足精确识别身份的要求。


 无遗漏的行为审计系统:是指在具有精确身份识别系统的支持之下,对每个行为(至少对定义的高风险行为)进行审计,从而对操作者产生巨大的威慑力量。



本文是「医疗数据安全风险分析与防护」系列第八期

美创科技与HIT专家网联合发布


转自杭州美创科技有限公司公众号,如需二次转载,请联系marketing@mchz.com.cn

服务热线:400-811-3777
Copyright ©2005-2020 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1