数据安全治理自动化( 一 ) “持续诊断与缓解 (CDM)”项目

数字经济已成为我国经济发展新常态下的创新力量，因此做好数据安全，进行数据安全治理，将成为数字经济发展的首要工作。数据安全在中国起步比较晚，数据安全的技术工具和标准成熟度也较晚。在此，我们希望用三个篇幅来浅谈一下数据安全治理的现状， 并带您了解天空卫士的数据安全治理自动化技术。

第一个篇幅我们首先来了解美国联邦政府的数据安全项目"持续诊断与缓解 (CDM)"

什么是CDM

什么是CDM呢？下面我们对CDM的“身世”做一下了解。

信息化技术给美国带来了飞速的发展，网络安全风险和威胁也一直备受重视。从 21 世纪初期，美国就开始了网络安全工作的探索，从各种网络安全法律、网络安全战略出台，逐渐明确了美国联邦政府的网络安全机构、职责分工和协作机制。

美国持续诊断与缓解 (CDM)项目，是国土安全部（DHS）国家网络空间安全保护系统（NCPS）计划三大项目之一，早在2012年美国国土安全局就提出了这个概念。

CDM由美国网络安全和基础设施安全局（CISA）主导的网络安全产品和服务采购标准，目的是为提升美国联邦、州、和地方政府在识别和减轻新兴网络威胁影响的能力，以全面保护联邦民用网络。CISA的前身是国家保护与计划局（NPPD），隶属于是美国国土安全部（DHS）。2020财年总统的预算案建议为DHS投资19.19亿美元，其中负责全国网络安全防护的CISA预算约为10亿多美元，占部门网络安全总预算过半。在2020财年预算安排中，CDM是预算中一个大类。商业公司提供的数百万种商业产品和服务要添加到CDM 批准产品清单 (APL) 中，都是需经过DHS和CISA产品认证及审批。

为什么提出CDM

针对美国联邦政府网络的网络攻击越来越复杂、而很多是“强悍’的持续动态攻击。政府网络和系统包含涉及国家安全的敏感数据。政府必须保护这些数据不被窃取，保护网络和系统不受攻击，同时继续向公众提供基本服务，保护个人隐私、公民权利和公民自由。而CDM计划是自动化、基于风险的网络安全的动态分析方法，可以更好地确保敏感数据的安全，并在保护敏感信息的同时提供基本服务。

CDM的四个阶段

CDM项目共分为4个阶段：

第一阶段，资产管理―― “网络上有什么？”

该阶段管理4类网络资产，包括硬件资产管理、软件资产管理、配置设置管理、漏洞管理。

第二阶段，人员管理――“谁在网络上？”

该阶段包含4项内容，分别是授予访问权限人的信任管理、安全相关的行为管理、凭据和身份验证管理、帐户/访问/管理权限管理。

第三阶段，事件管理――“网络上发生什么事？”

该阶段包含7项内容，分别是突发事件的预备处置、突发事件的应对、设计及构建的策略规划、设计及构建的质量、审计信息管理、运营安全管理、网络访问控制管理。

第四阶段，数据管理――“如何保护数据？”

该阶段包含五项能力，分别是数据发现及分类、数据保护、数据防泄露、数据泄露响应、信息权限管理。

CDM的能力要求

CDM包含四项能力，分别是：资产管理、身份和访问管理、网络安全管理、数据保护管理。

CDM的功能要求

而其中数据保护管理能力，包含五项功能：数据发现及分类、数据保护、数据防泄露、数据泄露响应、信息权限管理。

关于数据发现及分类、数据保护、数据防泄露、数据泄露响应、信息权限管理CDM都有详细要求，由于涉及内容较多，详细内容我们可以在后面的章节中展开。

CDM的作用

CDM 计划是一种加强政府网络和系统网络安全的动态方法。CDM 计划为 DHS [和其他] 美国联邦机构提供了持续识别网络安全风险的能力和工具，根据潜在影响对这些风险进行优先排序，并使网络安全人员能够首先缓解最重要的问题。

缓解网络安全风险

CDM提供了一套一致的、政府范围的连续诊断解决方案，以增强政府识别和缓解新出现网络威胁影响的能力。使网络管理员能够在任何时间了解各自网络的安全状态，及时了解存在的风险和威胁，在发生威胁的时候能够以最快的速度识别和解决威胁，并且将威胁解决的成本降到最低。

提升安全响应能力

CDM能够提升识别和减轻新兴网络威胁影响的能力，以减少网络威胁面，提高对安全态势的可见性，提升安全响应能力等。

按照紧急程度处理不同风险问题

迅速识别网络安全风险，优先处理最严重的问题，降低IT系统和政府网络的运营风险，提升系统利用率。

CDM对数据保护的基本要求

至少要满足以下条件：

数据保护管理的流程和策略

需要保护敏感/隐私数据在静止、使用和传输过程中的安全，确保数据资产的机密性、完整性和可用性，并确保敏感信息只有在合法授权的前提下才能被访问和使用，数据保护管理的流程和策略，涵盖以下内容：

识别敏感/隐私数据资产；

了解数据资产的位置、及相关的数据流；

识别授权角色、用户、使用、处理、披露和保留隐私数据；

建立与数据资产严重性和影响相称的访问控制及保护措施；

监控数据资产控制、及保护措施的有效性；

收集、及报告数据资产泄露；

及时响应通知利益相关者数据泄露；

有效恢复，以达到运营不受影响；

从CDM的标准和要求可以看出，做好数据安全的目标主要有以下几点

明确数据所有权和使用权。制定完善的数据所有权管理规范，确保对数据的所有更改有法可依，有据可查；

根据企业内外部要求（法律法规和业务），做好数据保密工作，防止信息泄露；

建立数据事件响应容灾机制，制定完善的响应流程，确保当事故发生时能将损失降到最低、受影响时间缩至最短。

哪些国际厂商深度参与了CDM

哪些国际网络安全厂商参深度参与了CDM？提供了哪些产品？如何参与的？我们以被雷神收购整合的美国数据安全公司Forcepoint来举例说明。

2017 年 10 月，Forcepoint 向美国总务管理局提出的初始申请被CDM计划接受，该计划使各机构能够快速获取网络安全产品。

Forcepoint的下一代防火墙（NGFW）、电子邮件安全、Web 安全和 DLP 产品都是初始应用程序批准的一部分，可在第三阶段的 CDM 批准产品清单（APL）中使用。

11 月底，CDM APL接受了另外两个 Forcepoint 产品。Forcepoint行为分析技术（UEBA）、Forcepoint 内部威胁防御（Insider Threat）现在也在批准的产品列表中找到。

以上是对CDM内容的介绍，在后续的两个章节我们会介绍数据安全治理在中国的发展现状，以及数据安全治理发展的下一步。敬请期待！