1.1.2 数据生命周期

伴随着数据规模剧增、大数据时代来临,以及物联网的持续发展与演进,数据生命周期管理(Data Lifecycle Management, DLM)变得越发重要。越来越多的设备正在世界上的每个角落产生海量的数据,因此识别不同数据的整个生命周期,并对数据进行适当的安全防护,同时维持数据的使用便捷,便显现出其重要性。

数据生命周期(Data Lifecycle),即数据从其最初创建(或捕获),到存储、使用、分享(传输)、归档,直到其使用寿命结束并被销毁的生命周期阶段序列,如图1-3所示。

图1-3 数据生命周期

数据生命周期管理(DLM)是一个管理整个数据生命周期的数据流的过程。在整个数据生命周期中准确地识别和保护数据,特别是敏感数据,是数据安全的基础要求。基于数据生命周期的分析还可以确定应用安全控制的位置,并选择合适的安全机制。

不同数据类型的不同生命周期阶段,其每个阶段的安全防护关键点也不相同。本章节仅做基本阐述。

在数据的创建阶段,不同的数据类型的创建方式可谓千差万别。例如,数字温度计采集办公室的室内温度数据,电信设备生成用户每次通话的计费账单,手机同步照片到云存储。但从数据安全的基本原则角度,在数据的创建阶段,应该对数据进行识别并做出合理的分类,还应明确该类数据的保护要求。

在数据的存储阶段,与创建阶段类似,数据的存储方式也有很大的差异,可能是在本地存储设备上存储,或者采用分布式存储、云存储。本阶段应该实现必要的数据访问控制,以确保数据受到合适的保护,从而降低数据被泄露、被篡改和被破坏的风险。

在数据的使用阶段,数据安全防护的关键点是,将安全控制机制应用于使用中的数据。一般而言,应能够监控对数据特别是敏感数据的访问,并应用各类安全控制以确保数据的安全。

数据的分享阶段往往是传统的数据安全控制中最薄弱的环节。而对于数据这一信息载体而言,数据在分享后才能产生价值,但在一定程度上,数据安全和数据价值会产生冲突,这也是为什么在正确的时间应用正确的安全控制很重要的原因。

在数据的归档阶段,需要关注不同法律法规对于数据留存的约束性要求,并应根据组织政策和用户需求,决定数据的归档方式、保护机制和隔离要求。

在数据的销毁阶段,数据的归档时限已过,或者应根据监管或业务需要删除数据。此时,数据安全的关注重点是采取合理的数据销毁机制,以确保数据无法被恢复。即使数据并非以传统的文件类型存储,也需要考虑相应的销毁机制。

上述为数据生命周期的六个典型阶段。需要注意的是,不同的数据类型其生命周期阶段也不完全一致。比如,对于数字温度计的温度数据,以数字温度计的视角,可以只有创建和分享两个阶段。

随着数据访问界面的不断复杂,攻击路径不断增加,攻击者的攻击策略变得越来越体系化和系统化,数据安全的各个方面都对数据安全管理变得非常重要——从安全的数据存储、使用和传输,到访问控制,以及有效的密钥管理,如果有一个环节易于受到攻击,则会破坏整体安全机制的有效性。

若要应对来自上述多个维度的风险,则需要一种全面的、以数据为中心的安全防护方法。也就是说,应在数据生命周期的所有环节关注保护数据本身,而不是仅关注网络、应用程序或服务器。

数据在存储[有时也称静止(At Rest)]、使用(In Use)和传输(In Motion)三种状态时(见图1-4)都会面临独特的安全威胁和挑战,因此要针对这三种状态下的数字进行保护。

图1-4 数据生命周期状态

接下来,对数据生命周期中的三种状态进行详细介绍。

1.数据的存储

数据在硬盘驱动器上存储时处于静止状态。在这种相对安全的状态下,传统的分层防御机制可以起到作用。首先,是存储位置所在的物理设施(如机房、办公室)的保护,其次,是基于外围的防御措施(如防火墙、入侵检测和防御系统)的保护,再次,是基于端点的防御措施(如防病毒软件、端点策略防护、补丁管理等),最后,是数据本身的防御措施(含加密和访问控制两大类型)。

加密可以分为驱动器加密、文件加密两个子类型。加密硬盘驱动器可以防止诸如硬盘丢失、被盗所产生的数据安全风险,对于安全销毁场景也有正面的作用。需要注意的是,大多数的硬盘驱动器加密的技术有技术缺陷,如在开机之后,磁盘内容会被解密,对数据的使用状态不会继续生效等。因此,对于部分包含敏感数据的文件,应该采用应用级别的文件加密。对于结构化的数据存储类型,许多数据库的发行版本也支持数据库加密、表加密,甚至列级加密等特性,因此可以针对敏感数据、个人数据做出细粒度的防护。

其他存储安全措施也可能对数据安全有帮助,如将不同的数据分类存储在单独的位置,以减少攻击者获得足够信息而进行欺诈或其他犯罪的可能性。

上面描述的是传统的主机存储、移动存储和服务器存储。对于云存储,还要关注其他方面的要求。例如,存储空间必须是在合同、服务水平协议和法规允许的地理位置,存储的数据必须要保证包括了所有的副本和备份,以防止因数据丢失而造成的损失。例如,存储和使用受欧盟《通用数据保护条例》(General Data Protection Regulation, GDPR)[3]约束的电子健康记录,可能对数据拥有者和云服务提供商都是一种挑战。将数据存放在云端后要考虑其可靠性、保密性及完整性,考虑供应商的安全权限管理措施是否完善,对存储的数据是否进行了安全管理,以及数据的存放格式是否合理。所以,若要保证在这一过程中数据的安全,就需要对数据进行额外的完整性保证、数据加密及数据隔离等措施。

综上所述,静态形式存储的数据是指位于硬盘驱动器、外置存储、云存储或磁带机等位置的数据,又称静态数据。静态数据通常被认为是最安全的数据状态。在此状态下,基于网络和物理边界的解决方案可以被视作第一道防线。根据数据本身的用途和敏感性,还可以添加额外的防线。数据的存储也需要注意应遵从相关的法律法规的约束。

2.数据的传输

虽然数据在静止状态更容易得到完善的保护,但数据一直处在静止状态是无法带来真正的价值的。数据通过传输以提供给其他需求方,从而实现数据的共享和价值。数据在此阶段往往最容易受到攻击。

云数据通过网络、进程通信等方式传输给其他的客户和虚拟服务以供其使用,由于网络的开放性,数据不能在没有安全控制的情况下进行传输。数据的创建者要考虑是否对数据进行管理权限的设置,所以若要保证传输数据的安全,就要使用数据加密技术以同时维护数据传输过程中的机密性及传输后的完整性。

相较于静态数据而言,传输中的数据更容易受到攻击,无论是通过公共网络或专用网络传输,还是利用其他传输机制。图1-5示例了几种典型的数据传输机制。

保护传输中的数据的一般做法是数据加密。应选用合适的密码算法与加密实践,从而将传输加密当作一道有效的防线。

3.数据的使用

对静态数据的防护是最容易解决的,也是普遍关注的重点。对传输中的数据进行防护是最容易理解的。与之相对,使用中的数据的安全性是最容易被忽略的,也是攻击者最容易突破的地方。

使用中的数据比静态数据更容易受到攻击,因为根据数据的可用性,需要这些数据的人员必须可以访问它们。当然,有权访问数据的人员和设备越多,在某些时候数据落入错误的人员的手中的风险就越大。确保使用中的数据安全的关键是尽可能严格地控制访问并结合一种或多种类型的身份认证,以确保用户使用的不是已被窃取的身份或凭据。

图1-5 数据传输机制示例

组织还需要能够跟踪和报告相关信息,以便检测可疑活动、诊断潜在威胁并主动提高安全性。例如,由于一定次数的失败登录尝试而被禁用的账户可作为系统受到攻击的警告信号。

经验证明,如果存在对攻击者而言有价值的数据,一定要识别出可以访问数据的每一个入口,并对其加以保护。仅将加密局限在数据生命周期中的一部分是一种危险的行为。保护存储、传输和使用这三种状态中的数据是至关重要的。

在数据生命周期的三种不同状态下,面对的挑战不同,采取的防御手段也不同。图1-6归纳了数据生命周期各种状态下的常见保护机制。后续章节会做进一步的介绍。

图1-6 数据生命周期各种状态下的常见保护机制