年8月30日,《信息安全技术数据安全能力成熟度模型》(GB/T-)简称DSMM(DataSecurityMaturityModel)正式成为国标对外发布,并已于年3月起正式实施。
DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。
在此基础上,DSMM将上述6个生命周期进一步细分,划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段,部分过程域贯穿于整个数据生命周期。
随着《中华人民共和国数据安全法(草案)》的公布,后续DSMM很可能会成为该法案的具体落地标准和衡量指标,对于中国企业而言,以DSMM为数据安全治理思路方案选型,可以更好的实现数据安全治理的制度合规。
"本系列文将以DSMM数据安全治理思路为依托,针对上述各过程域,基于充分定义级视角(3级),提供数据安全建设实践建议,本文作为本系列第十八篇文章,本文将介绍数据销毁安全阶段的数据销毁处置过程域(PA18)。"
01、定义
数据销毁处置,DSMM官方描述定义为通过建立针对数据的删除、净化机制,实现对数据的有效销毁,防止因对存储媒体中的数据进行恢复而导致的数据泄漏风险。
DSMM标准在充分定义级对数据销毁处置要求如下:
组织建设
组织应设立统一负责数据销毁管理的岗位和人员,负责制定数据销毁处置规范,并推动相关要求在业务部门落地实施。
制度流程
1)应依照数据分类分级建立数据销毁策略和管理制度,明确数据销毁的场景、销毁对象、销毁方式利销毁要求;
2)应建立规范的数据销毁流程和审批机制,设置销毁相关监督角色,监督操作过程,并对审批和销毁过程进行记录控制;
3)应按国家相关法律和标准销毁个人信息、重要数据等敏感数据。
技术工具
1)应针对网络存储数据,建立硬销毁和软销毁的数据销毁方法和技术,如基于安全策略、基于分布式杂凑算法等网络数据分布式存储的销毁策略与机制;
2)应配置必要的数据销毁技术手段与管控措施,确保以不可逆方式销毁敏感数据及其副本内容。
人员能力
负责数据销毁安全T作的人员应熟悉数据销毁的相关合规要求,能够主动根据政策变化和技术发展更新相关知识利技能。
02、实践指南
组织建设
组织机构应该在条件允许的情况下设立数据销毁安全管理部门并招募相关的管理人员和技术人员,负责为公司提供必要的技术支持,负责为组织机构制定整体的数据销毁处置策略和管理制度,负责为技术人员建立规范的数据销毁流程和审批机制,并推动相关要求在组织机构中确实可靠的落地执行。
除此之外,还需要为业务团队提供对不同数据销毁场景的风险评估支持,制定针对性的数据销毁的审批和监督流程,为数据销毁审批人员(技术人员)进行专门的安全意识培训,确保其可以按照国家相关法律法规和标准销毁个人信息、重要数据等敏感信息。
人员能力
针对数据销毁安全管理部门的管理人员来说,必须具备良好的数据安全风险意识,熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求,在进行数据销毁安全管理以及制定数据销毁处置策略和管理制度的时候,严格按照《网络安全法》、《数据安全法》、《个人信息保护法》等国家相关法律法规和行业规范执行。
同时还需要相关的管理人员具备一定的数据销毁安全管理经验,拥有良好的数据销毁安全专业知识基础且通过了岗位能力测试,熟悉主流的数据销毁安全策略、管理流程、技术工具,能够根据不同的数据销毁业务场景进行相应的风险评估,能够主动根据政策变化和技术发展更新相关知识和技能,具备能结合业界标准、合规准则、业务场景制定标准化数据销毁安全审批和监督流程的能力。
针对数据销毁安全管理部门的技术人员来说,同样也必须具备良好的数据销毁安全风险意识,熟悉相关的法律法规以及政策要求,熟悉主流厂商的数据销毁案例,熟悉主流的数据销毁安全检测工具或检测平台及其使用方法,拥有至少一年以上的数据销毁安全审核经验,充分理解并执行由管理人员制定的数据销毁安全策略方案,具备监督操作过程、对审批和销毁数据的过程进行记录控制的能力,具备能够主动根据政策变化和技术发展更新自身相关知识和技能的能力,具备能够对突发的数据销毁事件进行应急处理的能力。
落地执行性确认
针对数据销毁安全管理岗位人员能力的实际落地执行性确认,可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。
制度流程
1)数据销毁安全管理目的
数据销毁有两个目的,一是合规要求,国家法律法规要求重要数据不被泄露;另外就是组织本身的业务发展或管理需要。日常工作过程中,用户往往采取删除、硬盘格式化、文件粉碎等方法销毁数据,这样的做法非常不安全。通过建立针对数据内容的清除、净化机制,实现对数据的有效销毁,防止因对存储介质中的数据内容进行恶意恢复而导致的数据泄漏风险。
2)数据销毁安全管理规范
组织内的人员必须严格遵守组织所制定的数据销毁安全管理制度,定期对自己所保管的数据资料进行整理,对于日常需要归档的数据应妥善保管,对于不需要归档且过期作废的数据、日常办公作废的数据(包括一般文件、重要文件、机密文件)不得随便丢弃、不得倒入垃圾桶内,不得交予保洁人员,以防止泄密事件的发生。
组织人员对筛选后需要销毁的数据资料进行整理分类:对于在工作中形成的个人临时性草稿及文字废纸,由组织人员本来通过碎纸机自行进行破碎销毁;对于工作过程中形成的日常办公作废的文件(指一般性文件、重要文件),需要上级领导部门鉴定确已无保存价值,带上级部门审核通过后,由数据销毁安全管理部门现场监督组织人员使用碎纸机进行破碎销毁;对于日常办公过程中形成的作废数据(指机密数据),需遵循如下销毁流程:
①数据销毁审批流程
组织人员根据实际情况,结合业务和数据重要性,明确需要销毁的数据,并在数据销毁平台上提出相应的数据销毁申请,需要填写的内容包括申请人、销毁内容,涉及部门、销毁原因等。经上级领导审批后,提报数据销毁安全管理部门审批。
数据销毁安全管理部门接到数据销毁申请后,组织相关人员开展数据销毁评审会议,对所申请的数据进行合理性和必要性的评估,并根据数据分级和分类,评审数据销毁的手段和方法,包括物理销毁和逻辑销毁,比如覆写法、消磁法、捣碎法/剪碎法、焚毁法,或配置必要的数据销毁工具等,确保以不可逆的方式销毁数据内容。对于评审通过的数据销毁申请,数据销毁安全管理部门在数据销毁管理平台上录入数据销毁实施期限并确认销毁申请审核。若评审结果为否决销毁,则由数据销毁安全管理部门在数据销毁管理平台进行否决需求操作。
②数据销毁监督流程
为防止机密数据泄露给未经授权的人员,各部门人员应将需要销毁的数据送到数据销毁安全管理部门,由存储介质安全管理部门按照评审通过的销毁方法统一进行安全销毁。未经审核和评审的机密数据,组织人员不得擅自销毁。
在数据销毁时,组织机构需设置数据销毁相关的监督人员,监督数据的销毁过程,确保数据销毁符合要求,并对审批和销毁过程进行记录控制。
技术工具简述
对数据进行销毁的技术工具主要有两个层面,一个是逻辑层面的数据软销毁技术,另一个是物理层面的硬销毁技术。数据是看不见摸不着的东西,其存储在媒体介质中才有了实质感,数据一般是存储在常规的存储介质如闪存、光盘、硬盘、磁带等中。对于组织来说,数据要么是存储在本地的介质中,要么就是存储在网络上,如云环境、网络存储中。不管是存储在何处,组织都需要依靠一套统一的数据销毁工具来对需要销毁的数据进行安全销毁。
本节主要从逻辑层面的数据软销毁讨论相关的技术工具,关于数据的硬销毁将在下一节存储媒体销毁中进行讨论。
1)技术工具的方法和原理
本地数据销毁技术
删除与格式化操作是计算机用户最常用的两种清除数据的方式,但其实它们都不是真正意义上的数据销毁方法。以Windows系统举例,硬盘数据以簇为基本单位存储且存储位置以一种链式指针结构分布在整个磁盘。删除操作就是在文件系统上新创建一个空的文件头簇,然后将删除文件占用的其他簇都变为“空”,让文件系统“误以为”该文件已经被清除了。
数据存储在不同的存储介质中,数据销毁的技术也就不同。这是由于不同的介质写入数据的原理不同,而在介质中数据销毁的基本方法就是写入数据的相同操作或者逆操作。
磁盘的写数据原理是在磁盘扇区空间中规则地写入数据,销毁磁盘数据的思想就是向需要销毁的数据所在的磁盘扇区中反复写入无意义的随机数据,比如“0”“1”比特,将原有数据覆盖并替换,达到数据不可读的目的,即实现了数据销毁。在《GAT-信息安全技术数据销毁软件产品安全技术要求》也对磁盘数据销毁技术进行了阐述:
数据覆写:将非敏感数据写入以前存有敏感数据的存储位置,达到清除数据的目的;
3次数据销毁方法:对指定目标磁盘以数据覆写的方式进行擦写,磁头经过各区段覆写3次,第1次通过固定字符,第二次通过固定字符的补码,第3次通过随机字符进行覆写;
7次数据销毁方法:对指定目标磁盘以数据覆写的方式进行擦写,磁头经过各区段覆写7次,第1次和第2次通过固定字符及其补码覆写,接下来分别用单字符、随机字符,然后在分别用固定字符极其补码覆写,最后使用随机字符进行覆写。
网络数据销毁技术
在网络存储、私有云、公有云等技术日益成熟的条件下,越来越多的组织机构选择了不在本地存储中存储数据,而是选择将数据存储在网络上或者说云上。对于网络/云上存储数据的销毁与本地存储中的数据销毁有很大区别,在本地存储环境中,组织作为存储媒体以及数据的完全控制属主,可以利用多种技术进行数据销毁,并且可以确认数据是否已被销毁。当在网络/云上存储环境时,组织失去了对存储媒体的完全控制权,也失去了对数据的完全控制权,而且即使做了数据销毁的相关操作,也无法确认数据是否已被真正销毁。
针对像网络数据这样人工不可控的数据的销毁,目前存在两种较为有效的数据销毁方式,一种是基于密钥销毁的数据不可用销毁方式,另外一种是基于时间过期机制的数据自销毁方式。
其中基于密钥销毁的数据不可用销毁方式是一种不销毁数据本身而是销毁加密数据密钥的方式实现数据的不可访问,将数据销毁问题转移至密钥销毁问题;基于时间过期机制的数据自销毁方式是在云存储环境下的另外一种安全的数据销毁方式,在网络存储中或者与其连接的其他环境中安装一个数据自销毁程序,在数据销毁前对数据打上一个过期时间标记,然后对网络数据进行删除销毁。
2)技术工具工作流程和目标
数据销毁处置技术工具应能实现如下的目标:
本地数据销毁:能够对常见的本地存储媒体中的数据进行安全有效的销毁,如光盘、磁盘、内存等。
网络数据销毁:能够对网络存储的数据进行安全有效的销毁,并且具备一定技术措施如加密、过期机制等来确保网络数据不可被恢复使用。
数据销毁安全管理:能够对数据销毁处置的过程进行有效控制管理,并记录全过程信息以供追溯。
下图为数据销毁处置的技术工具进行作业的基本流程图。