DSMM之数据交换安全

前段时间很多人给我发私信，想要交流下DSMM的相关内容，并追问下一篇文章什么时候分享。在这里给大家说声不好意思，因为这阵子工作太忙了，没时间进行总结和整理，所以每天晚上抽出点时间整理下，形成本文。以后尽量定期进行更新。

截止到目前，已经介绍和分享了五个部分，分别为DSMM开篇的总结与交流、数据采集安全、数据传输安全、数据存储安全、数据处理安全，各地址如下：

DSMM开篇总结与交流

DSMM数据采集安全

DSMM数据传输安全

DSMM数据存储安全

DSMM数据处理安全

过年了，祝大家新年快乐，也希望大家和我多多交流，多提宝贵意见。下面开始本次分享的核心内容——DSMM之数据交换安全。

一、背景

数据安全生命周期分为采集、传输、存储、处理、交换、销毁几个阶段，其中数据交换阶段涉及数据的转移，信息安全风险很高，所以数据交换安全的重要性不言而喻。数据交换安全包含四个过程域，分别为：数据导入导出安全、数据共享安全、数据发布安全、数据接口安全。

DSMM分为5个成熟度等级分别为：非正式执行、计划跟踪、充分定义、量化控制、持续优化；安全能力的维度包括组织建设、制度流程、技术 工具 、人员能力。我们在落地执行的时候一般按照等级3即充分定义级进行相关的工作，因为在充分定义级里面完整的包含了安全能力维度的四个方面，而等级1和等级2是没有覆盖完全的，至于等级4和等级5就是进行一些量化细化和持续改进的，可以在DSMM体系建设完成后进行拔高。每个过程域都是按照这样的思路进行要求的，所以接下来介绍的数据处理安全的各过程域都是按照这个思路进行建设的。

二、具体内容

2.1数据导入导出安全

数据导入导出广泛存在于数据交换过程中，通过数据导入导出，数据被批量化流转，加速数据应用价值的体现。如果没有安全保障措施，非法人员可能通过非法技术手段导出非授权数据，导入恶意数据等，带来数据篡改和数据泄漏的重大事故，由于一般数据导入导出的数据量都很大，因此相关安全风险和安全危害也会被乘倍放大。所以，需要采取有效的制度和工具措施控制数据导入导出的安全风险。

DSMM标准在充分定义级要求如下：

组织建设：

组织机构设立统一的数据导入导出安全管理岗位和人员，负责制定规则和提供技术能力，并推动在组织机构内业务场景落地执行。

在DSMM的要求中这个几乎都是一样的，每个过程域都需要指定专人和专岗负责该项工作，并能够胜任此工作。在实际工作中，可能所有的过程域在这个维度上都是同样的一个或多个人，可以单独任命，也可以在相应的制度章节中进行说明。

制度流程：

依据数据分类分级要求建立符合业务规则的数据导入导出安全策略，如授权策略、流程控制策略、不一致处理策略等

建立数据导出安全评估和授权审批流程，评估数据导出的安全风险，并对大量或敏感数据导出进行授权审批。

如采用存储介质导出数据，需建立针对导出介质的标识规范，明确介质的命名规则、标识属性等重要信息，定期验证导出数据的完整性和可用性。

制定导入导出审计策略和日志管理规范，并保存导入导出过程中的出错数据处理记录。

技术工具：

记录并定期审计组织内部的数据导入导出行为，确保未超出数据授权使用范围。

对数据导入导出终端、用户或服务组件执行有效的访问控制，实现对其身份的真实性和合法性的保证。

采取数据加密、访问控制等技术手段，保障数据在传输中的保密性、完整性和可用性。

在导入导出完成后对数据导入导出通道缓存的数据进行清除，以保证导入导出过程中涉及的数据不会被恶意恢复。

人员能力：

负责数据导入导出安全工作的人员能够充分理解组织机构的数据导入导出策略，并根据数据导入导出的业务场景执行相应的风险评估，从而提出实际的解决方案。

以下是我们在数据导入导出安全过程中具体落地实践的内容。

1.设置专门的负责导入导出的人员，并对导入导出安全负责，当然也可能不止一个人，我们这是一个数据团队。
2.定义数据导入导出的场景，明确数据导入导出的范围、内容、格式等，场景很重要，不同的场景，安全策略是不同的，不能一概而论。
3.建立数据导入导出安全规范，并依据不同的场景，制定不同的安全策略，如访问控制策略、审核策略、处理策略等。这些策略应该细化可执行，并经过评审才可以实施。
4.制定数据导入导出的安全审核策略，明确导入导出的数据内容、涉及的部门组织、及数据用途、授权审核同意/否决等。
5.对导出的数据存储的介质进行标识，明确介质命名规则，统一编号格式，定期对数据的完整性和可用性进行验证。如果这些数据不再使用，建议还是进行删除销毁，避免数据泄漏。
6.对导入导出的数据采取必要的安全技术措施，如木马检测、加密传输、加密存储、完整性校验等，确保导入导出数据的安全。其实，这更多的偏向于导入的安全检测防护，因为对于导入的数据，是不可信的。当然导出的数据也需要进行完整性校验等措施。
7.对导入导出的过程进行日志记录，以便溯源和监控工作的开展，并定期进行审计发现存在的安全风险。这是数据安全整个生命周期所有阶段都需要的。
8.对导入导出的人员采用必要的认证措施，防止假冒。身份认证是数据安全防护的基础。
9.对导入导出的数据进行机器和人工双重校验，保证数据的完整性和可用性。

下图是我们对数据导入导出安全的梳理。

2.2数据共享安全

在数据交换环节中，业务系统将数据共享给外部组织机构，或者以合作方式与第三方合作伙伴交换数据，数据在共享后释放更大价值，并支撑数据业务的深入开展。

数据共享过程中面临巨大安全风险，数据本身存在敏感性，共享保护措施不当将带来敏感数据和重要数据的泄漏。因此，需要采取安全保护措施保障数据共享后数据的完整性、保密性和可用性，防止数据丢失、篡改、假冒和泄露。

DSMM标准在充分定义级要求如下：

组织建设：

组织机构设立统一的数据共享交换安全管理的岗位和人员，负责相关原则和技术能力的提供，并推广相关要求在相关业务场景的落地执行。

组织建设要求和数据导入导出安全过程域中组织建设要求类似，这里不再赘述。

制度流程：

制定数据共享的原则和安全规范，明确数据共享内容范围和数据共享的管控措施，及数据共享涉及机构或部门相关用户职责和权限。

明确数据提供者与共享数据使用者的数据安全责任，确保共享数据使用者具备与数据提供者足够或相当的安全防护能力。

制定数据共享审计策略和审计日志管理规范，明确审计记录要求，为数据共享安全事件的处置、应急响应和事后调查提供帮助。

使用外部第三方的SDK/组件/源码前进行安全评估，确保第三方获取的数据符合组织机构的数据安全要求。

技术工具：

采取多种措施确保个人信息在委托处理、共享、转让等对外提供场景的安全合规，如数据脱敏、数据加密、安全通道、共享交换区域等。

对共享数据集数据共享过程进行监控审计，确保共享的数据属于共享业务场景需求且没有超出数据共享使用授权范围。

建立共享数据格式规范，如提供机器可读的格式规范，确保高效获取共享数据。

人员能力：

负责该项工作的人员能够充分理解组织机构的数据共享策略，并根据数据共享的业务场景执行相应的风险评估，从而提出实际的解决方案。

以下是我们在数据共享安全过程中具体落地实践的内容。

1.明确数据共享的场景，如内部业务系统之间的共享、基于业务需要的对外共享等，细化数据共享涉及的数据范围、数据类型、数据内容及数据格式等。要区分内外共享场景，评估不同场景的数据共享风险。
2.在提供数据共享时要明确数据提供者和数据使用者的安全责任，如建立书面的安全责任说明/协议，明确双方责任义务、对数据保护采取加密、完整性校验技术防护要求等。提前说明责任和义务以及相应的要求。
3.建立数据共享的审核流程，包括共享的数据内容、涉及的部门和组织、授权审批同意/否决、归档记录等。尤其对于向外部提供的共享数据，一定要有严格的审核流程。
4.制定数据共享审计日志管理规范，所有的数据共享内容和过程需要提供日志记录并保存，以便应急处置和溯源。
5.对于涉及第三方数据交换加工平台的场景，如使用外部第三方的SDK、组件、源代码等，需要制定明确的安全评估要求和流程，确保符合数据共享安全要求。
6.在数据共享交换过程中需要采取必要的措施对重要的数据、个人隐私敏感数据等进行防护，做到“可用不可见”，如电话信息可不见但是可以直接拨打、***信息不可见，但是可以进行比对认证等。电子商务和O2O业务的企业在这方面做的很不错，本人也有切身体会。

下图是我们对数据共享安全的梳理。

2.3数据发布安全

数据发布是指组织内部数据通过各种途径向外部组织公开的一个过程，如数据开放、企业宣传、网站内容发布、社交媒体发布、PPT资料对外宣传等。通过在对外部组织机构进行数据发布的过程中对发布数据的格式、适用范围、发布者与使用者权利和义务执行的必要控制，实现数据发布过程中数据安全可控与合规，防止出现违规对外披露造成对组织的名誉损害，资产损失等不良影响时间发生。数据发布安全保障发布内容的真实性、正确性、实效性和准确性。

DSMM标准在充分定义级要求如下：

组织建设：

组织机构指定专人或设立相关岗位人员，负责组织机构的数据公开发布信息，并且对数据披露人员进行安全培训。

组织建设要求和数据导入导出安全过程域中组织建设要求类似，这里不再赘述。

制度流程：

建立数据资源公开发布的审核制度，严格审核数据发布符合相关法律法规要求。

明确数据资源公开内容、适用范围及规范，发布者与使用者权利和义务。

定期审查公开发布的数据资源中是否含有非***息，并采取相关措施确保发布数据使用的合规性。

技术工具：

建立数据资源公开数据库，通过数据发布平台服务实现公开数据资源登记、用户注册等发布数据和发布组件的验证互认机制。

采取必要措施建立数据资源公开事件应急处理机制。

人员能力：

负责数据发布安全管理工作的人员充分理解数据安全发布的制度和流程，通过了岗位能力测试，并能够根据实际发布要求建立相应的应急方案。

以下是我们在数据发布安全过程中具体落地实践的内容。

1.建立数据发布审核制度和流程，包括数据待发布内容、涉及的部门和组织、审核批准/否决、数据发布应急处理流程等，确保发布内容可以公开的并且符合法律法规要求。这需要和市场部门一起进行会议协商、评审，确保制度和流程的合理可行。
2.发布的数据内容应明确适用范围、发布者和使用者的权利和义务。如所有权归属，未经同意禁止转载、禁止商业使用等。
3.建立定期审核检查制度，对已发布的数据进行监控，确定符合数据发布安全管理规定，同时对有效性进行监控，及时检查已发布数据在现有情况下是否仍然有效。

下图是我们对数据发布安全的梳理。

2.4数据接口安全

在数据共享交换中，通过API数据接口获取数据是常见的方式。如果对于数据接口进行攻击，将导致数据通过数据接口泄漏。通过建立组织机构的对外数据接口的安全管理机制，防范组织机构在数据接口调用过程中的安全风险。

DSMM标准在充分定义级要求如下：

组织建设：

组织机构设立统一负责数据接口安全管理的岗位和人员，由该岗位人员负责制定整体的规则并推广相关流程的推行。

组织建设要求和数据导入导出安全过程域中组织建设要求类似，这里不再赘述。

制度流程：

制定数据服务接口安全控制策略，明确规定使用数据接口的安全限制和安全控制措施，如身份鉴别、访问控制、授权策略、签名、时间戳、安全协议等。

明确服务接口安全规范，包括接口名称、接口参数、接口安全要求等。

与数据接口调用方签署了合作协议，明确数据的使用目的、供应方式、保密约定、数据安全责任等。

技术工具：

采用技术工具实现对数据服务接口调用的身份鉴别和访问控制。

具备对接口不安全输入参数进行限制或过滤的能力，为接口提供异常处理能力。

具备服务接口访问的审计能力，并能为大数据安全审计提供可配置的数据服务接口。

对跨安全域间的服务接口调用采用安全通道、加密传输、时间戳等安全机制。

人员能力：

负责数据接口安全工作的人员充分理解数据接口调用业务的使用场景，具备充分的数据接口调用的安全意识、技术能力和风险控制能力。

常见的接口安全攻击方式如下：

伪装攻击。例如：第三方有意或恶意的调用。

篡改攻击。例如：请求头/查询字符串/内容 在传输过程被修改。

重放攻击。例如：请求被截获，稍后被重放或多次重放。

数据信息监听。例如：截获用户登录请求，截获到账号、密码等敏感信息。

针对这些常见的安全威胁，以下是我们在数据接口安全过程中具体落地实践的内容。

1.制定接口开发规范，对涉及的接口类型、编码格式、变量名称、变量类型、长度、大小等内容进行规范定义。
2.制定接口安全策略，包括但不限于接口身份鉴别token、访问控制权限、签名防抵赖、时间戳、安全传输协议HTTPS等。
3.与接口调用方签订安全责任声明书，包括双方权利义务、数据使用目的、调用频次、责任归属等。
4.建立统一的数据接口管理平台，实现对数据接口的管理和审核，保证开放的接口符合安全规定要求。
5.对接口进行大量的安全测试，包括非授权登录、重放攻击、数据篡改、假冒伪装等，确保接口安全。
6. 应提供接口调用的日志记录，包括日期、时间、调用人/ip、状态、返回内容等，方便后期进行溯源，同时对接口异常事件进行告警通知。

下图是我们对数据接口安全的梳理。

三、写在最后

大数据时代，数据只有“活”起来，才能发挥出应有的价值，企业进行数据共享交换才会带来更大的经济效益，所以数据交换会发生的的很频繁，随之产生的安全风险也非常高，在这样的场景下，数据交换安全显得尤为重要。

虽然在文中，很多制度和技术工具是分开叙述，但是在实际工作中可能是混在一起的，同时很多具体实现的部分也不仅仅只是应用在一个过程域或者一个生命周期阶段，甚至可以应用在整个生命周期过程中。比如各过程域都提到了要进行相应的审计，保留日志记录，以便进行溯源和事件问题追踪，这在其他各阶段，如采集、传输、存储、处理等也有相应要求。

以上就是DSMM数据交换安全过程的要求以及我们在实际落地执行过程中的一点心得和体会，希望能够给大家带来一些启发，也算是抛砖引玉，欢迎大家和我进行沟通交流，提出宝贵意见，一起进步。

*本文原创作者：LJ_Monica，本文属于FreeBuf原创奖励计划，未经许可禁止转载