如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之三：数据保护

　　继《从甲方角度介绍“CIS互联网安全中心”》、《如何应用CIS关键安全控制措施集之一》、《如何应用CIS关键安全控制措施集之二》之后，继续是逐一介绍CIS关键安全控制措施集，CIS Critical Security Controls (CIS Controls)的具体内容。本期介绍控制措施03：数据保护。

笔者：国际认证信息系统审计师、软考系统分析师

　　以上三篇文章的微信公众号链接见下：

《从甲方角度介绍“CIS互联网安全中心”》

《如何应用CIS关键安全控制措施集之一》

《如何应用CIS关键安全控制措施集之二》

　　控制措施03：数据保护

　　包含有14个细项，IG1前6项，IG2前12项，IG3全14项。

　　这14项分别是：

　　3.1 建立和维护一套数据管理流程。在此流程中，根据企业对数据的敏感性和保留数据的要求，解决数据敏感性、数据所有者、数据处理、数据保留限制和处置要求。每年一次，或在企业发生可能影响到此安全措施的重大变更时，应复审和更新文档。

　　3.2 建立和维护一套数据清单。该数据清单应基于企业的数据管理流程，至少要覆盖清查全部敏感数据，并每年1次复审和更新。任何复审和更新都应优先考虑敏感数据。

　　3.3 配置数据访问控制清单。根据用户的真正所需去配置数据访问控制清单。数据访问控制清单（或称数据访问权限）需要应用于本地或远程文件系统、数据库和应用程序。

　　3.4 强制执行数据保留。根据企业的数据管理流程，以合规为前提强制保留数据。数据保留的策略必须包含最短和最长的时间线定义。需要说明的是，“数据保留”是指按外部合规要求需要把特定的数据保留必须的时长。典型如网络安全法要求的，系统日志必须留存6个月或以上。

　　3.5 安全处置数据。按照企业数据管理过程中指出的方式，安全地处置不再需要的数据。企业需要确保数据的处置过程和方法与数据的敏感度相符。也就是越敏感的数据处置过程和方法就要越慎重、安全和可靠。

　　3.6 加密包含敏感数据的最终用户设备上的数据。具体应用例子比如微软公司在Windows上的BitLocker®，苹果公司的FileVault®以及Linux上的dm-crypt等。

　　3.7 建立并维护企业的整体数据分类方案。企业可以使用“敏感”、“机密”、“公共”等标签，对其数据进行分类。企业应定期每年，或在企业发生可能影响此保障措施的重大变化时，复审和更新分类方案。

　　3.8 文档化企业的数据流。数据流的文档内容应包括服务提供商自身的数据流，并且应该基于企业的数据管理流程。企业应定期每年，或在企业发生可能影响此保障措施的重大变化时，复审和更新文档。

　　3.9 加密可移动媒体上的数据

　　3.10 加密传输过程中的敏感数据。典型如把SSL、TLS加密等加密手段应用于网络访问，比如HTTPS访问或SSH访问。

　　3.11 在闲时加密敏感数据。在包含敏感数据的服务器、应用程序和数据库上，当空闲时进行敏感数据加密。存储层加密，也称为服务器端加密，能满足此安全措施的最低要求。附加的加密方法可能包括应用层加密，也称为客户端加密，只能允许访问数据存储设备，不允许访问未加密数据。

　　3.12 基于数据的敏感度进行分段数据处理和存储。不要在拟用于处理较低敏感性数据的企业资产上处理敏感数据。

　　3.13 部署数据丢失预防解决方案。实现自动化工具，比如基于主机的数据丢失预防(Data Loss Prevention，DLP)工具，用于识别通过企业资产存储、处理或传输的所有敏感数据，包括位于本地或远程服务提供商的敏感数据，并更新企业的敏感数据清单。

　　3.14 敏感数据的访问和操作需要具备日志记录，尤其是数据修改和数据处置。

　　控制措施03面向的是企业对识别、分类、安全处理、保留和处理数据的流程开发和技术控制。

　　在当前网络安全形势下，数据不再只包含在企业的边界内，而是可以在任何地方，比如在云端，在企业员工的移动设备上，还经常被企业员工在工作中和其它合作伙伴或在线服务共享。

　　除了企业本身与财务、知识产权和客户数据相关的敏感数据外，还可能有许多关于保护个人数据的国际、国内法规在影响和要求企业应如何对待敏感数据。

　　数据隐私已经变得越来越重要。数据隐私是关于数据的适当使用和管理，而不仅仅是加密。数据必须在其整个生命周期中进行适当的管理。这些隐私规则对跨国企业是尤其复杂。

　　一旦攻击者渗透到了企业的基础设施中，他们的首要任务之一就是找到和获取数据。企业不可能意识到敏感数据正在离开其IT环境，如果没有监控数据流出的手段。

　　攻击不仅仅通过网络对企业直接进行，还可能涉及到硬件资产被盗、遗失，数据经由合作伙伴泄露等各种情形。而随着数字化经济的发展，对非计算设备，比如监控控制和数据采集(Supervisory Control and Data Acquisition，SCADA)系统的攻击行为也越来越常见。

　　企业失去对受保护或敏感数据的控制能力，是一个严重的影响，也经常见诸报端。虽然有些数据由于盗窃或间谍活动而被泄露或丢失，但绝大多数是由于数据管理的疏漏和用户错误造成的。在传输过程中和静止状态下，采用数据加密可以减轻数据泄露的风险，更重要的是，这是对大多数受控数据的监管要求。

　　对于企业来说，必须开发一个数据管理流程，其中包括数据管理框架、数据分类指南以及对数据的保护、处理、保留和处置的要求。

　　企业还应该制定数据泄露处理流程，嵌入到应急事件响应、合规、通信等计划。为了获得数据敏感性级别，企业需要将其关键数据类型和总体关键性，比如数据丢失或损坏时对企业影响，而进行分类。此分析将用于为企业创建一个总体的数据分类方案。

　　一旦定义了数据的敏感性，就应该开发一套数据清单或映射关系，以识别在不同敏感性级别访问数据的软件以及包含这些应用程序的企业资产。理想情况下，应将网络分段隔离，使具有相同敏感度级别的企业资产在同一网络上，与具有不同敏感度级别的企业资产分离，通过防火墙等技术控制手段，控制网段之间的相互访问，并将用户访问规则应用于只允许有业务需要的用户访问数据。

本页网址二维码：