第一個篇幅我們首先來了解美國聯(lián)邦政府的數(shù)據(jù)安全項目"持續(xù)診斷與緩解 (CDM)"。

什么是CDM

什么是CDM呢？下面我們對CDM的“身世”做一下了解。

信息化技術給美國帶來了飛速的發(fā)展，網(wǎng)絡安全風險和威脅也一直備受重視。從 21 世紀初期，美國就開始了網(wǎng)絡安全工作的探索，從各種網(wǎng)絡安全法律、網(wǎng)絡安全戰(zhàn)略出臺，逐漸明確了美國聯(lián)邦政府的網(wǎng)絡安全機構、職責分工和協(xié)作機制。

美國持續(xù)診斷與緩解 (CDM)項目，是國土安全部（DHS）國家網(wǎng)絡空間安全保護系統(tǒng)（NCPS）計劃三大項目之一，早在2012年美國國土安全局就提出了這個概念。

CDM由美國網(wǎng)絡安全和基礎設施安全局（CISA）主導的網(wǎng)絡安全產(chǎn)品和服務采購標準，目的是為提升美國聯(lián)邦、州、和地方政府在識別和減輕新興網(wǎng)絡威脅影響的能力，以全面保護聯(lián)邦民用網(wǎng)絡。CISA的前身是國家保護與計劃局（NPPD），隸屬于是美國國土安全部（DHS）。2020財年總統(tǒng)的預算案建議為DHS投資19.19億美元，其中負責全國網(wǎng)絡安全防護的CISA預算約為10億多美元，占部門網(wǎng)絡安全總預算過半。在2020財年預算安排中，CDM是預算中一個大類。商業(yè)公司提供的數(shù)百萬種商業(yè)產(chǎn)品和服務要添加到CDM 批準產(chǎn)品清單 (APL) 中，都是需經(jīng)過DHS和CISA產(chǎn)品認證及審批。

為什么提出CDM

針對美國聯(lián)邦政府網(wǎng)絡的網(wǎng)絡攻擊越來越復雜、而很多是“強悍’的持續(xù)動態(tài)攻擊。政府網(wǎng)絡和系統(tǒng)包含涉及國家安全的敏感數(shù)據(jù)。政府必須保護這些數(shù)據(jù)不被竊取，保護網(wǎng)絡和系統(tǒng)不受攻擊，同時繼續(xù)向公眾提供基本服務，保護個人隱私、公民權利和公民自由。而CDM計劃是自動化、基于風險的網(wǎng)絡安全的動態(tài)分析方法，可以更好地確保敏感數(shù)據(jù)的安全，并在保護敏感信息的同時提供基本服務。

CDM的四個階段

CDM項目共分為4個階段：

第一階段，資產(chǎn)管理—— “網(wǎng)絡上有什么？”

該階段管理4類網(wǎng)絡資產(chǎn)，包括硬件資產(chǎn)管理、軟件資產(chǎn)管理、配置設置管理、漏洞管理。

第二階段，人員管理——“誰在網(wǎng)絡上？”

該階段包含4項內(nèi)容，分別是授予訪問權限人的信任管理、安全相關的行為管理、憑據(jù)和身份驗證管理、帳戶/訪問/管理權限管理。

第三階段，事件管理——“網(wǎng)絡上發(fā)生什么事？”

該階段包含7項內(nèi)容，分別是突發(fā)事件的預備處置、突發(fā)事件的應對、設計及構建的策略規(guī)劃、設計及構建的質(zhì)量、審計信息管理、運營安全管理、網(wǎng)絡訪問控制管理。

第四階段，數(shù)據(jù)管理——“如何保護數(shù)據(jù)？”

該階段包含五項能力，分別是數(shù)據(jù)發(fā)現(xiàn)及分類、數(shù)據(jù)保護、數(shù)據(jù)防泄露、數(shù)據(jù)泄露響應、信息權限管理。

CDM的能力要求

CDM包含四項能力，分別是：資產(chǎn)管理、身份和訪問管理、網(wǎng)絡安全管理、數(shù)據(jù)保護管理。

CDM的功能要求

而其中數(shù)據(jù)保護管理能力，包含五項功能：數(shù)據(jù)發(fā)現(xiàn)及分類、數(shù)據(jù)保護、數(shù)據(jù)防泄露、數(shù)據(jù)泄露響應、信息權限管理。

關于數(shù)據(jù)發(fā)現(xiàn)及分類、數(shù)據(jù)保護、數(shù)據(jù)防泄露、數(shù)據(jù)泄露響應、信息權限管理CDM都有詳細要求，由于涉及內(nèi)容較多，詳細內(nèi)容我們可以在后面的章節(jié)中展開。

CDM的作用

CDM 計劃是一種加強政府網(wǎng)絡和系統(tǒng)網(wǎng)絡安全的動態(tài)方法。CDM 計劃為 DHS [和其他] 美國聯(lián)邦機構提供了持續(xù)識別網(wǎng)絡安全風險的能力和工具，根據(jù)潛在影響對這些風險進行優(yōu)先排序，并使網(wǎng)絡安全人員能夠首先緩解最重要的問題。

緩解網(wǎng)絡安全風險

CDM提供了一套一致的、政府范圍的連續(xù)診斷解決方案，以增強政府識別和緩解新出現(xiàn)網(wǎng)絡威脅影響的能力。使網(wǎng)絡管理員能夠在任何時間了解各自網(wǎng)絡的安全狀態(tài)，及時了解存在的風險和威脅，在發(fā)生威脅的時候能夠以最快的速度識別和解決威脅，并且將威脅解決的成本降到最低。

提升安全響應能力

CDM能夠提升識別和減輕新興網(wǎng)絡威脅影響的能力，以減少網(wǎng)絡威脅面，提高對安全態(tài)勢的可見性，提升安全響應能力等。

按照緊急程度處理不同的風險問題

迅速識別網(wǎng)絡安全風險，優(yōu)先處理最嚴重的問題，降低IT系統(tǒng)和政府網(wǎng)絡的運營風險，提升系統(tǒng)利用率。

CDM對數(shù)據(jù)保護的基本要求

至少要滿足以下條件：

數(shù)據(jù)保護管理的流程和策略

需要保護敏感/隱私數(shù)據(jù)在靜止、使用和傳輸過程中的安全，確保數(shù)據(jù)資產(chǎn)的機密性、完整性和可用性，并確保敏感信息只有在合法授權的前提下才能被訪問和使用，數(shù)據(jù)保護管理的流程和策略，涵蓋以下內(nèi)容：

識別敏感/隱私數(shù)據(jù)資產(chǎn)；

了解數(shù)據(jù)資產(chǎn)的位置、及相關的數(shù)據(jù)流；

識別授權角色、用戶、使用、處理、披露和保留隱私數(shù)據(jù)；

建立與數(shù)據(jù)資產(chǎn)嚴重性和影響相稱的訪問控制及保護措施；

監(jiān)控數(shù)據(jù)資產(chǎn)控制、及保護措施的有效性；

收集、及報告數(shù)據(jù)資產(chǎn)泄露；

及時響應通知利益相關者數(shù)據(jù)泄露；

有效恢復，以達到運營不受影響；

從CDM的標準和要求可以看出，做好數(shù)據(jù)安全的目標主要有以下幾點：

明確數(shù)據(jù)所有權和使用權。制定完善的數(shù)據(jù)所有權管理規(guī)范，確保對數(shù)據(jù)的所有更改有法可依，有據(jù)可查；

根據(jù)企業(yè)內(nèi)外部要求（法律法規(guī)和業(yè)務），做好數(shù)據(jù)保密工作，防止信息泄露；

建立數(shù)據(jù)事件響應容災機制，制定完善的響應流程，確保當事故發(fā)生時能將損失降到最低、受影響時間縮至最短。

哪些國際廠商深度參與了CDM

哪些國際網(wǎng)絡安全廠商參深度參與了CDM？提供了哪些產(chǎn)品？如何參與的？我們以被雷神收購整合的美國數(shù)據(jù)安全公司Forcepoint來舉例說明。

2017 年 10 月，F(xiàn)orcepoint 向美國總務管理局提出的初始申請被CDM計劃接受，該計劃使各機構能夠快速獲取網(wǎng)絡安全產(chǎn)品。

Forcepoint的下一代防火墻（NGFW）、電子郵件安全、Web 安全和 DLP 產(chǎn)品都是初始應用程序批準的一部分，可在第三階段的 CDM 批準產(chǎn)品清單（APL）中使用。

11 月底，CDM APL接受了另外兩個 Forcepoint 產(chǎn)品。Forcepoint行為分析技術（UEBA）、Forcepoint 內(nèi)部威脅防御（Insider Threat）現(xiàn)在也在批準的產(chǎn)品列表中找到。

以上是對CDM內(nèi)容的介紹，在后續(xù)的兩個章節(jié)我們會介紹數(shù)據(jù)安全治理在中國的發(fā)展現(xiàn)狀，以及數(shù)據(jù)安全治理發(fā)展的下一步。敬請期待！