資產(chǎn)和資產(chǎn)安全

以資產(chǎn)為中心的安全體系

資產(chǎn)在網(wǎng)絡(luò)中具備毋庸置疑的確定性，只要我們?cè)敢飧冻鼍Γ踔量梢宰龅劫Y產(chǎn)管理的精確性。

這種毋庸置疑的確定性給予安全體系建設(shè)極大的支撐點(diǎn)，特別是只有資產(chǎn)被傷害了，所有的所謂安全風(fēng)險(xiǎn)才會(huì)演變?yōu)榘踩录?。也就是說(shuō)只要資產(chǎn)是受到管理的，那在發(fā)生的安全事件之中資產(chǎn)是不可旁路的，無(wú)論中間經(jīng)歷如何復(fù)雜、如何高級(jí)，最終都會(huì)在資產(chǎn)端表達(dá)出全部真相。

以資產(chǎn)為中心，由內(nèi)而外構(gòu)建防御堡壘是數(shù)據(jù)安全的自然選擇，在這里安全體系將具備最大的地利。另外由于資產(chǎn)端的可到達(dá)性障礙，我們甚至可以在這里由地利而贏得人和的支持。

資產(chǎn)的擁有人

數(shù)據(jù)是由人和業(yè)務(wù)產(chǎn)生，天生具有owner屬性。每一條記錄，每一個(gè)文檔都有自己的owner，不同的記錄，不同文檔由不同的owner。同時(shí)數(shù)據(jù)又關(guān)系到公共利益和數(shù)據(jù)生態(tài)系統(tǒng)，往往更新和銷毀操作需要審批，比如自己種的樹(shù)雖然屬于自己所有，但是卻不自動(dòng)具備砍伐權(quán)，砍伐需要申請(qǐng)和核準(zhǔn)。

我們可以簡(jiǎn)單的把數(shù)據(jù)分為owner、group、other、level、area、private、public、transparent等不同標(biāo)簽的數(shù)據(jù)。

數(shù)據(jù)主要分兩類：人的數(shù)據(jù)和機(jī)器數(shù)據(jù)，人的數(shù)據(jù)是基于記錄的，機(jī)器數(shù)據(jù)則是基于記錄集合的。

• owner：本人生成的數(shù)據(jù)，本人缺省可以訪問(wèn)本人的所有數(shù)據(jù)。?

• owner+private：本人私密數(shù)據(jù)，除了本人之外只有特殊環(huán)境才允許其他人訪問(wèn)。

• group：部門(mén)主管可以訪問(wèn)部門(mén)內(nèi)的所有非私密數(shù)據(jù)。

• group+private：部門(mén)主管可以部門(mén)內(nèi)的所有數(shù)據(jù)，包括私密數(shù)據(jù)。

• other：部門(mén)其他人可以訪問(wèn)部門(mén)數(shù)據(jù)，但是不允許訪問(wèn)部門(mén)主管數(shù)據(jù)。

• level：領(lǐng)導(dǎo)可以訪問(wèn)下屬私密數(shù)據(jù)之外的數(shù)據(jù)。

• area：可以訪問(wèn)本區(qū)域同級(jí)別一級(jí)以下的數(shù)據(jù)。

• public：公開(kāi)數(shù)據(jù)，所有人可以訪問(wèn)。

• transparent：上級(jí)強(qiáng)制可以訪問(wèn)下屬的私密數(shù)據(jù)。

??

通過(guò)資產(chǎn)的擁有人屬性可以天然的和以人為中心的身份系統(tǒng)關(guān)聯(lián)。

對(duì)于機(jī)器數(shù)據(jù)，我們可以通過(guò)把機(jī)器轉(zhuǎn)化為機(jī)器所在的部門(mén)，讓部門(mén)天然成為機(jī)器數(shù)據(jù)的owner，從而轉(zhuǎn)變?yōu)槿说臄?shù)據(jù)執(zhí)行管理。

資產(chǎn)的委托處理

委托處理而不是本人處理是數(shù)據(jù)處理的基本形態(tài)。委托處理以數(shù)據(jù)集合的方式的進(jìn)行，委托對(duì)象為：組織+業(yè)務(wù)程序+業(yè)務(wù)邏輯。簡(jiǎn)單委托為組織處理會(huì)帶來(lái)比較大的安全風(fēng)險(xiǎn)敞口，委托給業(yè)務(wù)邏輯可以最大程度的收斂風(fēng)險(xiǎn)敞口。

資產(chǎn)的分類分級(jí)

分類分級(jí)是數(shù)據(jù)安全和資產(chǎn)安全的自然訴求，也是數(shù)據(jù)安全法、個(gè)人信息保護(hù)法的內(nèi)在要求。所有的數(shù)據(jù)使用和處理必須滿足合法和合規(guī)性訴求。

資產(chǎn)的邊界

當(dāng)資產(chǎn)以全開(kāi)放式裸露訪問(wèn)和使用，資產(chǎn)安全的成本將無(wú)比高昂或者資產(chǎn)安全將無(wú)從談起。資產(chǎn)全開(kāi)放式裸露訪問(wèn)類同于我們?cè)趶V場(chǎng)上放了100斤黃金，人人可接觸，人人可操縱，人人可拿走。

從最基本的資產(chǎn)安全而言，我們需要構(gòu)建資產(chǎn)的邊界，規(guī)定在資產(chǎn)上可以執(zhí)行什么操作，不可以執(zhí)行什么操作。資產(chǎn)邊界讓資產(chǎn)安全從全開(kāi)放式風(fēng)險(xiǎn)收斂到資產(chǎn)邊界上，任何非邊界上的行為都是非預(yù)期的，不符合規(guī)范的。資產(chǎn)的邊界不僅可以收斂了風(fēng)險(xiǎn)，而且可以進(jìn)一步規(guī)定資產(chǎn)邊界是如何開(kāi)放的。

資產(chǎn)內(nèi)容、主體和資產(chǎn)相互作用的拓?fù)渖鷳B(tài)

資產(chǎn)的復(fù)雜性讓資產(chǎn)無(wú)法以一個(gè)簡(jiǎn)單的整體看待，資產(chǎn)內(nèi)容、主體以及之間復(fù)雜的相互作用形成了及其復(fù)雜的數(shù)據(jù)資產(chǎn)生態(tài)。這種復(fù)雜拓?fù)渖鷳B(tài)意味著資產(chǎn)安全不僅僅是依賴資產(chǎn)邊界的外部壓力驅(qū)動(dòng)的，同時(shí)也取決于復(fù)雜的內(nèi)部相互作用。

數(shù)據(jù)資產(chǎn)的三種不同表現(xiàn)形態(tài)

總體而言，資產(chǎn)的生存有三種基本形態(tài)，或者說(shuō)是一個(gè)核心，兩個(gè)分支。數(shù)據(jù)的本質(zhì)是內(nèi)容，使用和處理都是基于數(shù)據(jù)的內(nèi)容，內(nèi)容就是數(shù)據(jù)表現(xiàn)形態(tài)的核心。但是內(nèi)容無(wú)法在虛空中存在，必須具有承載內(nèi)容的媒介和載體，必須在物理領(lǐng)域存在。復(fù)制的流動(dòng)是數(shù)據(jù)的天然屬性，流動(dòng)是基于內(nèi)容的流動(dòng)，復(fù)制品或者流動(dòng)是內(nèi)容的另一種的存在形式。

數(shù)據(jù)資產(chǎn)的三種不同表現(xiàn)形態(tài)我們分別表達(dá)為：訪問(wèn)計(jì)算（內(nèi)容）域、物理域（存儲(chǔ)域）、流動(dòng)域。數(shù)據(jù)資產(chǎn)在訪問(wèn)域、物理域、流動(dòng)域表現(xiàn)出各自特點(diǎn)的安全場(chǎng)景和訴求，我們表達(dá)為訪問(wèn)域安全、物理域安全和流動(dòng)域安全。

資產(chǎn)全生命周期和適應(yīng)性進(jìn)化

數(shù)據(jù)資產(chǎn)具有明顯的生命周期特點(diǎn)，即使是復(fù)制品也具有同樣的特點(diǎn)。數(shù)據(jù)資產(chǎn)的全生命周期變現(xiàn)為：生成、活躍、次活躍、歸檔、銷毀。在生成和銷毀之間不是一次性，而是表現(xiàn)為周而復(fù)始，在次活躍和歸檔期都有可能因?yàn)樘厥庠蛑匦伦兊没钴S。

數(shù)據(jù)資產(chǎn)會(huì)具有明顯適應(yīng)性進(jìn)化能力，使部分?jǐn)?shù)據(jù)隨著時(shí)間推移不斷的在擴(kuò)張其價(jià)值范圍和價(jià)值頻率，使部分?jǐn)?shù)據(jù)不斷冷卻。在承認(rèn)適應(yīng)性進(jìn)化的合理性基礎(chǔ)之上，突變是永遠(yuǎn)需要被控制的。突變大部分情況是不合理的，小部分突變是期望的。突變的稀缺性讓我們從安全角度可以進(jìn)行突變控制，而不會(huì)影響合理突變的預(yù)期工作。

資產(chǎn)的主要數(shù)據(jù)活動(dòng)處理和數(shù)據(jù)處理全生命周期

《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》明確了數(shù)據(jù)的各種處理活動(dòng)，并且處理活動(dòng)還在不斷擴(kuò)展和延伸。對(duì)于數(shù)據(jù)任何在內(nèi)容、形式和空間上的變化，我們都表述為數(shù)據(jù)處理或者數(shù)據(jù)活動(dòng)。

收集、存儲(chǔ)、使用、加工、傳輸、供給、公開(kāi)、銷毀、委托、出境等，各種數(shù)據(jù)處理活動(dòng)都可以認(rèn)為作用在數(shù)據(jù)資產(chǎn)的一核心兩分支，也就是訪問(wèn)域、物理域和流動(dòng)域之上。數(shù)據(jù)處理的全生命周期安全事實(shí)上由訪問(wèn)域安全、物理域安全和流動(dòng)域安全構(gòu)成。

數(shù)據(jù)資產(chǎn)的真實(shí)性和機(jī)密性

當(dāng)前數(shù)據(jù)資產(chǎn)的真實(shí)性和機(jī)密性是數(shù)據(jù)安全的基本訴求。真實(shí)性要求從數(shù)據(jù)生成以來(lái)的每次變更都是可追溯和確認(rèn)的，機(jī)密性要求數(shù)據(jù)資產(chǎn)具有明確的副本數(shù)量和副本所有者。

源頭數(shù)據(jù)合規(guī)性和確權(quán)

數(shù)據(jù)來(lái)自于各個(gè)領(lǐng)域，部分源頭數(shù)據(jù)的合規(guī)性會(huì)決定整體數(shù)據(jù)使用的合規(guī)性性質(zhì)。從數(shù)據(jù)的角度出發(fā)，每一份數(shù)據(jù)都需要標(biāo)記他的源頭以及合規(guī)性檢查。數(shù)據(jù)具有明確的違規(guī)傳播特征，只要在數(shù)據(jù)流動(dòng)的某個(gè)環(huán)節(jié)是不合規(guī)的甚至是非法，基本意味著其下游所有環(huán)節(jié)都是不合規(guī)或者是非法的。

在數(shù)據(jù)不斷被要素化的今天，確權(quán)是一個(gè)核心環(huán)節(jié)。如果源頭數(shù)據(jù)合規(guī)性無(wú)法保證和追溯，確權(quán)的基本邏輯就無(wú)法演繹。

人和數(shù)據(jù)資產(chǎn)之間的安全邏輯隔離

任何重要的數(shù)據(jù)資產(chǎn)都不允許人直接操縱，作為資產(chǎn)安全的基本準(zhǔn)則。通過(guò)安全邏輯隔離把裸露在廣場(chǎng)上的黃金不斷收斂風(fēng)險(xiǎn)敞口，數(shù)據(jù)資產(chǎn)通過(guò)多層次隔離不同層度的暴露風(fēng)險(xiǎn)面，并通過(guò)資產(chǎn)邊界建立起資產(chǎn)安全的收斂范圍。充分利用地利構(gòu)建的看不見(jiàn)的圍欄、按照指定道路和次序訪問(wèn)數(shù)據(jù)資產(chǎn)是資產(chǎn)隔離安全邏輯的一種基本手段。

資產(chǎn)生態(tài)和安全

資產(chǎn)生態(tài)是以資產(chǎn)內(nèi)容為核心，以形式為組織，并把內(nèi)容和形式延展到物理域和流動(dòng)域。主要通過(guò)隔離和收斂的方式實(shí)現(xiàn)安全的資產(chǎn)生態(tài)系統(tǒng)。

• 訪問(wèn)域安全：通過(guò)身份、資產(chǎn)邊界和資產(chǎn)內(nèi)容復(fù)雜拓?fù)潢P(guān)系實(shí)現(xiàn)內(nèi)容資產(chǎn)基于全生命周期的的使用和處理活動(dòng)安全。

• 物理域安全：通過(guò)封閉邊界為主要手段實(shí)現(xiàn)數(shù)據(jù)在物理存儲(chǔ)上的安全，讓數(shù)據(jù)在物理上避免被被破壞、銷毀和泄露。物理域安全在各種公有云、政務(wù)云、私有云和托管idc等非受控物理環(huán)境中避無(wú)可避，可以說(shuō)沒(méi)有物理域安全防御措施就沒(méi)有數(shù)據(jù)安全。

• 流動(dòng)域安全：通過(guò)區(qū)分界內(nèi)流動(dòng)，邊界流動(dòng)，境內(nèi)流動(dòng)和邊境流動(dòng)來(lái)實(shí)現(xiàn)在不同安全等級(jí)之間的數(shù)據(jù)流動(dòng)，同時(shí)把復(fù)制品或者交易品納入訪問(wèn)域安全和物理域安全的管理范疇。通過(guò)約束數(shù)據(jù)天然的開(kāi)放式的無(wú)序流動(dòng)屬性，以身份構(gòu)建范圍邊界，讓數(shù)據(jù)在可信域之間有序流動(dòng)。

隱私和重要數(shù)據(jù)的訪問(wèn)計(jì)算和流動(dòng)的特殊要求

隱私和重要數(shù)據(jù)明確原則要求：原始數(shù)據(jù)不出域，數(shù)據(jù)可用不可見(jiàn)。這不僅僅是隱私處理的問(wèn)題，而且還是明確的數(shù)據(jù)安全問(wèn)題。

這個(gè)基本原則明確三點(diǎn)要求：

• 隱私原始數(shù)據(jù)處理權(quán)利只能而且必須只能賦予給算法和邏輯，不能授予給組織和個(gè)人。

• 隱私和重要原始數(shù)據(jù)處理必須只能在安全主機(jī)或者終端上處理。

• 隱私和重要原始數(shù)據(jù)只能在可信身份之間流動(dòng)。

未納管資產(chǎn)的觀測(cè)

由于資產(chǎn)分布的復(fù)雜性，組織有時(shí)無(wú)法明晰或者至少無(wú)法在資產(chǎn)非活動(dòng)期明晰資產(chǎn)的狀況，也就是存在著部分脫離管理的數(shù)據(jù)資產(chǎn)。

脫離管理的數(shù)據(jù)資產(chǎn)，意味著組織無(wú)法衡量這部分?jǐn)?shù)據(jù)資產(chǎn)可能帶來(lái)的風(fēng)險(xiǎn)，可能會(huì)把組織帶往完全不可抵抗的深淵。組織需要在各出口網(wǎng)絡(luò)上、網(wǎng)絡(luò)聚散地以及主要的數(shù)據(jù)資產(chǎn)域部署觀測(cè)器，以發(fā)現(xiàn)未納入管理資產(chǎn)。

誘餌資產(chǎn)和飛蛾撲火

誘餌資產(chǎn)是充滿價(jià)值的虛假資產(chǎn)，誘導(dǎo)入侵者在誘餌資產(chǎn)上探索。入侵者在很大程度上是一個(gè)耳目失聰?shù)穆啡嘶蛘咴谏衬信郎娴穆每停惹械男枰窐?biāo)和目標(biāo)，誘餌在很大程度上提供了這個(gè)需要，讓入侵者在迷茫中尋找到慰藉。

資產(chǎn)治理

極度復(fù)雜的數(shù)據(jù)資產(chǎn)如果不通過(guò)資產(chǎn)治理，甚至連簡(jiǎn)單的資產(chǎn)分布和測(cè)繪都無(wú)法完成，更不用說(shuō)其他復(fù)雜的拓?fù)浜拖嗷プ饔昧恕?/p>

資產(chǎn)和韌性

數(shù)據(jù)資產(chǎn)是網(wǎng)絡(luò)中最為確定性的存在，所有的偽裝在接觸數(shù)據(jù)的時(shí)候最終都會(huì)剝?nèi)?。?shù)據(jù)是數(shù)據(jù)安全的起點(diǎn)，以數(shù)據(jù)資產(chǎn)為中心，由內(nèi)而外建立防御堡壘。這種由內(nèi)而外的防御堡壘體現(xiàn)出韌性的基本特點(diǎn)，越靠近目標(biāo)數(shù)據(jù)資產(chǎn)，確定性就越高。只要我們可以構(gòu)建起這種以身份為標(biāo)識(shí)的逐次抵抗的由內(nèi)而外防御體系，體系自然就會(huì)表現(xiàn)出強(qiáng)大的韌性。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-519954.html

到了這里，關(guān)于韌性數(shù)據(jù)安全體系組成：資產(chǎn)和資產(chǎn)安全｜CEO專欄的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！