国产精品看高国产精品不卡-国产精品看片-国产精品蝌蚪-国产精品狼人久久久久影院草久久一区二区三区午夜亚洲福-国产精品老熟女视频一区二区-国产精品理论片

當前，數字經濟正在引領全球經濟的發展，數據作為核心的生產要素已經成為基礎戰略資源。數字經濟在各行業高度融合，并在社會治理中發揮著積極重要的作用。數據資源也在跨領域、跨地域、跨組織流通和融合。數據資源在產生了巨大的價值的同時，針對數據資源的外部攻擊和內部數據濫用現象屢見不鮮，與之對應的是企業數據合規和風險防護能力存在不足。企業數據安全已經成為關系國家穩定、社會安全、民生安全的核心議題。

本文根據綠盟科技數據安全架構師陳懷源的演講“數據安全賦能企業數字化轉型”整理而成。

數據安全背景簡介

眾所周知，目前云計算、大數據、物聯網技術的廣泛應用使傳統的網絡安全邊界日益模糊，尤其在云計算的應用方面已經完全顛覆了傳統的安全邊界。大數據技術的應用使數據的流量、儲量成倍上漲，網絡安全攻擊帶來的損失和傷害也成倍增加。物聯網打通了線上和線下的界限，比如利用設備漏洞控制物聯網，甚至可以對物理的世界造成相關傷害。

外部的威脅也在演進。外部威脅和攻擊逐漸向高級持續性的威脅轉變，勒索軟件、數據泄漏、供應鏈威脅等問題頻發，企業安全建設將成為主要趨勢，安全攻防的復雜程度也會大大增加。

 

國內企業對數據安全的認識最初是IT時代的數據安全，主要特征是以基礎設施為中心，數據資產以結構化和非結構化的形式存儲在數據庫文件系統服務器、終端等載體上。

隨著企業數字化轉型的升級，數據在流轉、多方合作以及二次開發利用過程中釋放了大量的數據紅利。數據安全已經步入 DT 時代的數據安全階段。伴隨而來的數據資產保護難度加大，個人信息泄露風險加劇，數據資產權責不清，數據溯源取證困難等問題亟待解決。

隨著《網絡安全法》《個人信息保護法》等多項法律條例的出臺和實施，未來網絡和數據安全將向合規方向發展。企業在合規建設上面臨很大的技術挑戰，對安全建設者的最終交付能力也有更高的要求，國家和行業的標準正逐漸完善。

企業數據安全合規建設有四大驅動力：法律法規、認證/測試、審計要求、監管要求。企業數據安全合規建設可以避免組織遭受法律制裁和監管處罰，降低數據泄露、數據濫用等安全風險，減少組織財產、名譽損失。

大多數企業在數據安全建設中面臨眾多的挑戰。比如數據安全權責不清、數據資產暴露面過大、缺乏安全稽核能力等等。

企業數據安全合規建設思路

《數據安全法》明確要求我們進行數據安全治理體系框架建設。此框架符合國家政策法則和標準規范，由管理、技術、運營三大體系構成。最右側的管理體系包含兩部分內容，一是管理制度的建設，二是管理組織架構的建設。技術體系以數據安全的基礎資源為基座，結合數據生命周期的六個階段運用數據加密、數據審計、數據庫、防火墻、數據水印、數據脫敏等相關能力。運營體系由三部分構成。在日常生活中需要重點關注數據資產運營、常態化運營、安全風險運營。

綠盟科技的“知”“識”“控”“察”“行”是業內首個數據安全完整的防護思路和方法論，在國內各個行業已經得到廣泛認可。

階段一“知”指我們需要制定規范和定義敏感數據，結合DSMM數據能力成熟度模型，從組織建設、制度流程、技術工具和人員能力四個領域開展數據安全工作。通過對業務和科技部門組織架構的梳理和調整，制定有針對性的數據資產管理要求以及分類分級規范。

組織架構建設是非常關鍵的，分為決策層、管理層、執行層和監督層。決策層是數據安全委員會領導小組，主要負責數據安全的統籌組織、指導推進和協調落實，明確數據安全管理部門，協調機構內部數據安全資源，以及發布策略規劃、規范制度等，提供資源、資金、人員方面的保障，重大事件協調管理。管理層主要由數據安全管理委員會構成，負責數據安全相關工作的實施，相關政策和制度的制定、評審，保障數據安全工作所需的、所有的資源，設立數據安全管理專職崗位等。執行層分為兩個團隊，一個是技術團隊，一個是業務團隊。技術層主要的任務是做風險評估，包括安全運營、應急響應、資產梳理、安全事件管理等。業務團隊主要負責安全落地數據的授權事件、監測需求、數據資產管理。監督層是通過風險監測、風險評估、風險分析和總結等手段落實數據安全工具的有效性監督，包括風險監控、審計等。

管理制度的建設需要運用四級文件構建整體架構，比如一級是方針總綱;二級涉及數據安全的相關管理辦法;三級涉及規范、指南、操作手冊;四級涉及數據安全的表單，比如分類分級的表單、數據資產的表單。管理制度的建設是一個長期的過程，從開始制定到試運行，到再優化、改進，總體上通過上圖八個步驟來完成。

數據資產梳理的內容不僅包括物理的或者電子設備的數據表、數據項，還包括廢棄的數據文件，最終形成企業內部的數據資產臺賬。

階段二“識”主要指的是將規范中的一些要求轉化為策略錄入到工具中，實現自動化的數據資產識別和分類分級，并基于數據資產及其關聯的應用場景分析，從而發現風險和安全需求，獲得數據風險評估的結果。數據風險評估還包括合規性的評估與個人信息的安全影響評估。通過數據風險評估可以使企業全面了解數據資產的安全狀況。

在這個階段，需要參考行業和通用的數據分類分級相關標準和策略，對企業數據初步分類分級，形成數據分類分級的清單。清單包括數據內容的描述，比如數據量、保存位置、保存期限、數據處理的情況，以及數據的對外提供情況。對外提供情況包括公開披露、數據生命周期內各個環節的安全措施及配套情況等。同時，可以采用相關的工具，比如數據識別類型的工具，對數據資產進行自動化識別和分類分級，并根據數據分類分級的結果分析企業敏感數據的分布情況，形成分布熱度圖。企業也可以定期、動態地進行數據安全評估，包括數據安全合規性的評估、安全風險評估以及個人信息安全影響的評估等。

階段三“控”主要通過風險評估的結果結合數據生命周期的每一個階段，制定不同的安全防護策略。控制手段包括數據庫審計與防護，數據防護手段包括防泄漏、數據脫敏、數據掃描、數據水印加密等。最終匯聚到一個平臺中，進行統一監管。

“控”指的是我們要采用相關手段和工具。需要制定數據權限的管理和訪問控制策略，對所有人員畫像，進行相關建模。在源數據區和數據中心區域，涉及敏感數據資產的發現能力、自動化分類分級能力以及安全評估能力。在數據中心，涉及數據庫審計、數據庫防火墻等相關能力。在數據運維區，內部運維人員需要部署數據運維堡壘機，涉及動態脫敏以及數據防泄漏的能力。在內部辦公的區域，有大量的非結構化的數據存在。針對網絡終端，需要同期加強防泄漏的能力。在開發測試區域，涉及與靜態脫敏相關的能力。應用區域涉及API 防護以及動態脫敏的能力。

階段四“察”，已經有了全面的數據資產情況和海量數據行為日志，在數據安全管控平臺上可以對數據從數據源到數據行為進行全面分析。通過平臺底層的大數據分析引擎實現敏感數據的追蹤溯源。

“察”主要指的是監督、檢查和監察，分為四個層次：

一是流程稽核，在規劃、設計、建設、運行、改造和維護過程中增加安全評審機制，通過流程穿越驗證其有效性，并結合跨層關聯的方式，不斷調整優化;二是監督管理，需要對重點的環節進行流程監控和實時監督，同時對企業的合作方進行有效管理，不定期開展數據安全檢查;三是安全審計，定期開展安全審計工作，及時發現違規操作行為并及時整改，建立安全事件追蹤溯源的實時分析能力;四是監控維護，常態化開展敏感數據和流轉異常行為的監測。

階段五“行”，對數據安全的事件實時預警，實現場景化展示。運維人員可以了解每一個數據安全事件的起因是內部操作還是外部攻擊。最終，通過數據安全運營平臺，現場專業人員和云端專家共同完成安全事件的快速處置和策略優化，提高數據安全持續防護的能力。

“行”主要是指的是安全運營與持續更新的階段。在這個階段，需要對“知”“識”“控”“察”四個階段不斷優化。在“知”這個階段，需要不斷地對新業務進行梳理，對新的數據資產進行分類分級，不斷進行更新迭代，確保敏感數據定義的準確性。在“識” 這個階段，也要持續開展敏感數據的發現及風險評估工作，第一時間發現最新的安全風險、隱患。在“控”這個階段，可以分為業務運營和安全運營兩個維度，持續開展數據安全的管控工作。在“察”這個階段，企業的安全團隊要對數據安全情況持續監控分析，發現異常，并進行處理。各個環節都需要活動起來，發現變化，并及時通過策略優化和安全運營適應總體的變化。

數據安全是無法獨立于網絡安全而存在的。如果網絡安全得不到保障，數據安全的保護也無從談起。《數據安全法》第 27 條明確規定了利用互聯網等信息網絡安全開展數據處理的活動應當在網絡安全等級保護制度的基礎之上履行數據安全的保護義務。所以，建立數網融合的綜合技術體系是關鍵、必要的。

企業的數據安全能力建設不是一蹴而就的，應該與業務緊密結合。安全建設是隨著業務的發展而動態變化的，要通過技術、產品、人員整體意識與能力相結合的方式提升企業數據安全合規以及風險對抗的能力。