數據安全治理白皮書概要版

數據安全建設需要系統化建設思路

數據治理或數據安全概念對于大多數IT和安全從業者來說，認知度較高，但數據安全治理，似乎是個新名詞。實際上，擁有重要數據資產的政府部門或企業對于數據資產的保護，涉及到數據安全治理方面，或多或少都有實踐，只是尚未體系化、標準化。

比如，運營商行業的客戶數據安全管理規范及落地的配套管控措施和一些政府部門的數據分級分類管理規范，在國外由Microsoft推出的DGPC（Data Governance for Privacy Confidentiality and Compliance）方案，就是專門強調隱私、保護與合規的數據治理技術框架。

本次白皮書編著過程中，我們希望能夠系統化針對數據安全治理的概念、規范、技術和相關實踐進行介紹，將數據安全治理視作為一種系統化解決數據安全問題的合理方法論和實踐工具進行推廣和應用。

隨著數據安全重要程度的提升，用戶在這個方向的投資也在增大，KVB Research 2017年大數據安全報告預測顯示，大數據安全上2017年全球投資達到102億美元，且以17%的年復合增長率在擴大，到2023年將達309億美元，如圖1。

隨著我國網絡安全法的出臺，數據資產價值得到確認，政府機構和企業在這個方向的投資也在加大，以數據審計、脫敏和加密為目標的數據安全投資正在成為采購的熱點。

圖1 KVB Research在big data security上的市場預測

當前這些采購大多以單獨產品采購為主，這些采購的發起部門也各不相同。大型的IT組織正在陷入疑問，數據安全的建設是否有系統化的方法？是否要沿用傳統網絡安全策略，通過邊界防護的方式來進行數據保護？數據安全的責任主體是由數據存儲所在的部門、數據處理的業務部門還是對數據進行運維的部門負責？這些不同的產品之間彼此割裂還是具有聯動性質？這些產品的應用上應采用什么樣的安全措施等等，疑問叢生。

這些疑慮非常正常，因為數據與業務系統的高度融入，數據如何被使用、數據的價值更被業務部門所識別；但是安全法規，又通常由單位或企業的安全或保密部門所負責；數據安全產品的采購和使用，需要系統化的方法，需要與數據處理的業務場景整合，既能保證數據使用行為不受影響，又能保證必要的安全措施得到保障。

數據安全治理的思路，正是將數據安全技術與數據安全管理融合在一起，綜合業務、安全、網絡等多部門多角色的訴求，總結歸納為系統化的思路和方法。

數據安全治理基本理念

關于數據安全治理原則與框架，Gartner對此進行專屬領域的研究，Microsoft公司從數據隱私合規角度也曾向市場提出隱私、保密和合規性的數據治理方案。

從國際視角對此理解的基礎上，我們在中國提出了數據安全治理理念與技術路線，填補了該理念在中國的空白，更有效推動實現該理念在國內的執行落地。

數據安全治理概論

本白皮書綜合了國際相關框架模型和我國一些具體的安全實踐后，提出了一套在中國易于落地的數據安全建設的體系化方法論。

數據安全治理是以“讓數據使用更安全”為目的的安全體系構建的方法論，核心內容包括：

1.滿足數據安全保護（Protection）、合 規 性（Compliance）、敏感數據管理（Sensitive）三個需求目標。

2.核心理念包括分級分類（Classfiying）、角 色 授權（Privilege）、場景化安全（Scene）。

3.數據安全治理的建設步驟包括：組織構建、資產梳理、策略制定、過程控制、行為稽核和持續改善。

4.核心實現框架為數據安全人員組織（Person)、數據安全使用的策略和流程（Policy & Process）、數 據安全技術支撐（Technology）三大部分。

數據安全治理的愿景

在這里，首先要強調的是，數據安全治理的目標是“數據安全使用”，我們不談脫離了“使用”的安全，數據存在的目的就是為了使用，如果不是基于這個前提而談的安全，最終有可能產生無法落地的情況或即使落地，也會差強人意。

數據安全治理的需求目標

圍繞數據安全使用的愿景，數據安全治理覆蓋了安全防護、敏感信息管理、合規三大目標。這三個目標比過去以防黑客攻擊和滿足合規性兩大安全目標更為全面和完善。

隨著信息化和互聯網經濟的發展，數據成為繼現金和技術之后又一核心價值資產。數據資產在過去十年里的發展讓每個人、每個企業和國家的數據面臨巨大威脅。只有合理地處理好數據資產的使用與安全，企業與國家才能在新的數據時代穩健而高速發展。對于敏感數據的安全管理和使用，是數據安全治理的核心主題。

數據安全治理的核心理念

數據安全治理的核心理念包括：

1.數據的分級分類：首先是來自對數據的有效理解和分析，對數據進行不同類別和密級的劃分；根據數據的類別和密級制定不同的管理和使用原則，盡可能對數據做到有差別和針對性的防護，實現在適當安全保護下的數據自由流動。

2.角色授權：在數據分級和分類后，重要的是要了解這些數據在被誰訪問，這些人是如何使用和訪問數據的，要針對不同的角色制定不同的安全政策。

圖2 數據安全治理理念框架

常見的角色包括：業務人員（要進一步角色細分）、數據運維人員、開發測試人員、分析人員、外包人員、數據共享第三方等。

3.場景化安全：要針對不同角色在不同場景下，研究主要的數據使用需求；要在盡可能滿足數據被正常使用的目標下，完成相應的安全要求和安全工具的選擇。比如對于開發測試人員，在開發場景下，主要需要滿足對生產數據的高度仿真模擬，對于數據仿真數據的加密、訪問控制、審計等安全措施并非重要。對于運維人員，在備份和調優場景下，并不需要對真實數據的直接訪問能力，提供行為審計、敏感數據掩碼能力即可。

數據安全治理的組織建設

數據安全治理首先要成立專門的數據安全治理機構，以明確數據安全治理的政策、落實和監督由誰長期負責，確保數據安全治理的有效落實。

成立的機構可以稱為數據安全治理委員會或數據安全治理小組，機構成員由數據的利益相關者和專家構成。這個機構通常是一個虛擬的機構，這里之所以稱之為利益相關者，是因為這些人不僅僅是數據的使用者，可能是數據本身的代表者（比如用戶）、數據的所有者、數據的責任人。數據安全治理委員會或數據安全治理小組本身既是安全策略、規范和流程的制定者，也是安全策略、規范和流程的受眾。

DGPC框架中，該機構一般稱之為DGPC團隊，或者叫Data Stewards。這個團隊的職責是負責制定數據分類、保護、使用和管理的原則、策略和過程，如圖3所示。

（注：其中深色是部門，淺色是角色，從這個結構中可以看到覆蓋了業務、安全、運維和企業的相關管理支撐部門。）

圖3 某運營商的數據安全治理的相關組織和角色結構圖

數據安全治理規范制定

在整個數據安全治理過程中，最重要的是實現數據安全策略和流程的制訂，在企業或行業內經常被作為《某某數據安全管理規范》進行發布，所有的工作流程和技術支撐都是圍繞此規范來制訂和落實。但其出臺往往需要經過大量的工作才能完成，通常包括：

1.梳理出組織所需要遵循的外部政策，并從中梳理出與數據安全管理相關的內容。

2.根據該組織的數據價值和特征，梳理出核心數據資產，并對其分級分類。

3.理清核心數據資產使用的狀況（收集、存儲、使用、流轉）。

4.分析核心數據資產面臨的威脅和使用風險。

5.明確核心數據資產訪問控制的目標和訪問控制流程。

6.制訂出組織對數據安全規范落實和安全風險進行定期的核查策略。

7.整個策略的技術支撐規范。

數據安全治理技術支撐框架

數據安全治理的技術挑戰

實施數據安全治理的組織一般都具有較高的信息化水平，數據資產龐大，涉及的數據使用方式多樣化，數據使用角色繁雜，數據共享和分析的需求剛性，要滿足數據有效使用的同時保證數據使用的安全性，需要極強的技術支撐。數據安全治理面臨數據狀況梳理、敏感數據訪問與管控、數據治理稽核三大挑戰，如圖4。

數據資產梳理的技術支撐

數據安全，始于數據資產梳理。數據資產梳理是數據庫安全治理的基礎，通過對數據資產的梳理，可以確定敏感性數據在系統內部的分布、確定敏感數據是如何被訪問的、確定當前的賬號和授權的狀況。根據本單位的數據價值和特征，梳理出本單位的核心數據資產，對其分級分類，在此基礎之上針對數據的安全管理才能確定更加精細的措施。

數據資產梳理有效地解決企業對資產安全狀況摸底及資產管理工作；改善以往傳統方式下企業資產管理和梳理的工作模式，提高工作效率，保證了資產梳理工作質量。合規合理的梳理方案，能做到對風險預估和異常行為評測，很大程度上避免了核心數據遭破壞或泄露的安全事件。

1.靜態梳理技術。

2.動態梳理技術。

3.數據狀況的可視化呈現技術。

4.數據資產存儲系統的安全現狀評估。

數據使用安全控制

數據在使用過程中，按照數據流動性以及使用需求劃分，將會面臨如下使用場景：

通過業務系統訪問數據；在數據庫運維時調整數據；開發測試時使用數據；BI分析時使用數據；面向外界分發數據；內部高權限人員使用數據。

圖4 當前數據安全治理面臨的挑戰

在數據使用的各個環節中，需要通過技術手段將各個場景下的安全風險有效規避，如圖5所示。

數據安全審計與稽核

數據安全稽核是安全管理部門的重要職責，以此保障數據安全治理的策略和規范被有效執行和落地，以確保快速發現潛在的風險和行為。但數據稽核在大型企業或機構超大規模的數據流量、龐大的數據管理系統和業務系統數量，數據稽核也面臨著很大的技術挑戰。

圖5 數據使用安全控制示意圖

數據所面臨的威脅與風險是動態變化的過程，入侵環節、入侵方式、入侵目標均隨著時間不斷演進。這也就要求我們的防護體系、治理思路不能墨守成規，更不能一成不變。所以數據安全治理的過程中我們始終要具備一項關鍵能力——完善的審計與稽核能力。通過審計與稽核的能力來幫助我們掌握威脅與風險的變化，明確我們的防護方向，進而調整我們的防護體系，優化防御策略，補足防御薄弱點，使防護體系具備動態適應能力，真正實現數據安全防護。

數據的安全審計和稽核機制由四個環節組成，分別是“行為審計與分析”“權限變化監控”“異常行為分析”“建立安全基線”。