數(shù)據(jù)安全治理白皮書概要版

數(shù)據(jù)安全建設需要系統(tǒng)化建設思路

數(shù)據(jù)治理或數(shù)據(jù)安全概念對于大多數(shù)IT和安全從業(yè)者來說，認知度較高，但數(shù)據(jù)安全治理，似乎是個新名詞。實際上，擁有重要數(shù)據(jù)資產(chǎn)的政府部門或企業(yè)對于數(shù)據(jù)資產(chǎn)的保護，涉及到數(shù)據(jù)安全治理方面，或多或少都有實踐，只是尚未體系化、標準化。

比如，運營商行業(yè)的客戶數(shù)據(jù)安全管理規(guī)范及落地的配套管控措施和一些政府部門的數(shù)據(jù)分級分類管理規(guī)范，在國外由Microsoft推出的DGPC（Data Governance for Privacy Confidentiality and Compliance）方案，就是專門強調(diào)隱私、保護與合規(guī)的數(shù)據(jù)治理技術(shù)框架。

本次白皮書編著過程中，我們希望能夠系統(tǒng)化針對數(shù)據(jù)安全治理的概念、規(guī)范、技術(shù)和相關(guān)實踐進行介紹，將數(shù)據(jù)安全治理視作為一種系統(tǒng)化解決數(shù)據(jù)安全問題的合理方法論和實踐工具進行推廣和應用。

隨著數(shù)據(jù)安全重要程度的提升，用戶在這個方向的投資也在增大，KVB Research 2017年大數(shù)據(jù)安全報告預測顯示，大數(shù)據(jù)安全上2017年全球投資達到102億美元，且以17%的年復合增長率在擴大，到2023年將達309億美元，如圖1。

隨著我國網(wǎng)絡安全法的出臺，數(shù)據(jù)資產(chǎn)價值得到確認，政府機構(gòu)和企業(yè)在這個方向的投資也在加大，以數(shù)據(jù)審計、脫敏和加密為目標的數(shù)據(jù)安全投資正在成為采購的熱點。

圖1 KVB Research在big data security上的市場預測

當前這些采購大多以單獨產(chǎn)品采購為主，這些采購的發(fā)起部門也各不相同。大型的IT組織正在陷入疑問，數(shù)據(jù)安全的建設是否有系統(tǒng)化的方法？是否要沿用傳統(tǒng)網(wǎng)絡安全策略，通過邊界防護的方式來進行數(shù)據(jù)保護？數(shù)據(jù)安全的責任主體是由數(shù)據(jù)存儲所在的部門、數(shù)據(jù)處理的業(yè)務部門還是對數(shù)據(jù)進行運維的部門負責？這些不同的產(chǎn)品之間彼此割裂還是具有聯(lián)動性質(zhì)？這些產(chǎn)品的應用上應采用什么樣的安全措施等等，疑問叢生。

這些疑慮非常正常，因為數(shù)據(jù)與業(yè)務系統(tǒng)的高度融入，數(shù)據(jù)如何被使用、數(shù)據(jù)的價值更被業(yè)務部門所識別；但是安全法規(guī)，又通常由單位或企業(yè)的安全或保密部門所負責；數(shù)據(jù)安全產(chǎn)品的采購和使用，需要系統(tǒng)化的方法，需要與數(shù)據(jù)處理的業(yè)務場景整合，既能保證數(shù)據(jù)使用行為不受影響，又能保證必要的安全措施得到保障。

數(shù)據(jù)安全治理的思路，正是將數(shù)據(jù)安全技術(shù)與數(shù)據(jù)安全管理融合在一起，綜合業(yè)務、安全、網(wǎng)絡等多部門多角色的訴求，總結(jié)歸納為系統(tǒng)化的思路和方法。

數(shù)據(jù)安全治理基本理念

關(guān)于數(shù)據(jù)安全治理原則與框架，Gartner對此進行專屬領(lǐng)域的研究，Microsoft公司從數(shù)據(jù)隱私合規(guī)角度也曾向市場提出隱私、保密和合規(guī)性的數(shù)據(jù)治理方案。

從國際視角對此理解的基礎(chǔ)上，我們在中國提出了數(shù)據(jù)安全治理理念與技術(shù)路線，填補了該理念在中國的空白，更有效推動實現(xiàn)該理念在國內(nèi)的執(zhí)行落地。

數(shù)據(jù)安全治理概論

本白皮書綜合了國際相關(guān)框架模型和我國一些具體的安全實踐后，提出了一套在中國易于落地的數(shù)據(jù)安全建設的體系化方法論。

數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的的安全體系構(gòu)建的方法論，核心內(nèi)容包括：

1.滿足數(shù)據(jù)安全保護（Protection）、合 規(guī) 性（Compliance）、敏感數(shù)據(jù)管理（Sensitive）三個需求目標。

2.核心理念包括分級分類（Classfiying）、角 色 授權(quán)（Privilege）、場景化安全（Scene）。

3.數(shù)據(jù)安全治理的建設步驟包括：組織構(gòu)建、資產(chǎn)梳理、策略制定、過程控制、行為稽核和持續(xù)改善。

4.核心實現(xiàn)框架為數(shù)據(jù)安全人員組織（Person)、數(shù)據(jù)安全使用的策略和流程（Policy & Process）、數(shù) 據(jù)安全技術(shù)支撐（Technology）三大部分。

數(shù)據(jù)安全治理的愿景

在這里，首先要強調(diào)的是，數(shù)據(jù)安全治理的目標是“數(shù)據(jù)安全使用”，我們不談脫離了“使用”的安全，數(shù)據(jù)存在的目的就是為了使用，如果不是基于這個前提而談的安全，最終有可能產(chǎn)生無法落地的情況或即使落地，也會差強人意。

數(shù)據(jù)安全治理的需求目標

圍繞數(shù)據(jù)安全使用的愿景，數(shù)據(jù)安全治理覆蓋了安全防護、敏感信息管理、合規(guī)三大目標。這三個目標比過去以防黑客攻擊和滿足合規(guī)性兩大安全目標更為全面和完善。

隨著信息化和互聯(lián)網(wǎng)經(jīng)濟的發(fā)展，數(shù)據(jù)成為繼現(xiàn)金和技術(shù)之后又一核心價值資產(chǎn)。數(shù)據(jù)資產(chǎn)在過去十年里的發(fā)展讓每個人、每個企業(yè)和國家的數(shù)據(jù)面臨巨大威脅。只有合理地處理好數(shù)據(jù)資產(chǎn)的使用與安全，企業(yè)與國家才能在新的數(shù)據(jù)時代穩(wěn)健而高速發(fā)展。對于敏感數(shù)據(jù)的安全管理和使用，是數(shù)據(jù)安全治理的核心主題。

數(shù)據(jù)安全治理的核心理念

數(shù)據(jù)安全治理的核心理念包括：

1.數(shù)據(jù)的分級分類：首先是來自對數(shù)據(jù)的有效理解和分析，對數(shù)據(jù)進行不同類別和密級的劃分；根據(jù)數(shù)據(jù)的類別和密級制定不同的管理和使用原則，盡可能對數(shù)據(jù)做到有差別和針對性的防護，實現(xiàn)在適當安全保護下的數(shù)據(jù)自由流動。

2.角色授權(quán)：在數(shù)據(jù)分級和分類后，重要的是要了解這些數(shù)據(jù)在被誰訪問，這些人是如何使用和訪問數(shù)據(jù)的，要針對不同的角色制定不同的安全政策。

圖2 數(shù)據(jù)安全治理理念框架

常見的角色包括：業(yè)務人員（要進一步角色細分）、數(shù)據(jù)運維人員、開發(fā)測試人員、分析人員、外包人員、數(shù)據(jù)共享第三方等。

3.場景化安全：要針對不同角色在不同場景下，研究主要的數(shù)據(jù)使用需求；要在盡可能滿足數(shù)據(jù)被正常使用的目標下，完成相應的安全要求和安全工具的選擇。比如對于開發(fā)測試人員，在開發(fā)場景下，主要需要滿足對生產(chǎn)數(shù)據(jù)的高度仿真模擬，對于數(shù)據(jù)仿真數(shù)據(jù)的加密、訪問控制、審計等安全措施并非重要。對于運維人員，在備份和調(diào)優(yōu)場景下，并不需要對真實數(shù)據(jù)的直接訪問能力，提供行為審計、敏感數(shù)據(jù)掩碼能力即可。

數(shù)據(jù)安全治理的組織建設

數(shù)據(jù)安全治理首先要成立專門的數(shù)據(jù)安全治理機構(gòu)，以明確數(shù)據(jù)安全治理的政策、落實和監(jiān)督由誰長期負責，確保數(shù)據(jù)安全治理的有效落實。

成立的機構(gòu)可以稱為數(shù)據(jù)安全治理委員會或數(shù)據(jù)安全治理小組，機構(gòu)成員由數(shù)據(jù)的利益相關(guān)者和專家構(gòu)成。這個機構(gòu)通常是一個虛擬的機構(gòu)，這里之所以稱之為利益相關(guān)者，是因為這些人不僅僅是數(shù)據(jù)的使用者，可能是數(shù)據(jù)本身的代表者（比如用戶）、數(shù)據(jù)的所有者、數(shù)據(jù)的責任人。數(shù)據(jù)安全治理委員會或數(shù)據(jù)安全治理小組本身既是安全策略、規(guī)范和流程的制定者，也是安全策略、規(guī)范和流程的受眾。

DGPC框架中，該機構(gòu)一般稱之為DGPC團隊，或者叫Data Stewards。這個團隊的職責是負責制定數(shù)據(jù)分類、保護、使用和管理的原則、策略和過程，如圖3所示。

（注：其中深色是部門，淺色是角色，從這個結(jié)構(gòu)中可以看到覆蓋了業(yè)務、安全、運維和企業(yè)的相關(guān)管理支撐部門。）

圖3 某運營商的數(shù)據(jù)安全治理的相關(guān)組織和角色結(jié)構(gòu)圖

數(shù)據(jù)安全治理規(guī)范制定

在整個數(shù)據(jù)安全治理過程中，最重要的是實現(xiàn)數(shù)據(jù)安全策略和流程的制訂，在企業(yè)或行業(yè)內(nèi)經(jīng)常被作為《某某數(shù)據(jù)安全管理規(guī)范》進行發(fā)布，所有的工作流程和技術(shù)支撐都是圍繞此規(guī)范來制訂和落實。但其出臺往往需要經(jīng)過大量的工作才能完成，通常包括：

1.梳理出組織所需要遵循的外部政策，并從中梳理出與數(shù)據(jù)安全管理相關(guān)的內(nèi)容。

2.根據(jù)該組織的數(shù)據(jù)價值和特征，梳理出核心數(shù)據(jù)資產(chǎn)，并對其分級分類。

3.理清核心數(shù)據(jù)資產(chǎn)使用的狀況（收集、存儲、使用、流轉(zhuǎn)）。

4.分析核心數(shù)據(jù)資產(chǎn)面臨的威脅和使用風險。

5.明確核心數(shù)據(jù)資產(chǎn)訪問控制的目標和訪問控制流程。

6.制訂出組織對數(shù)據(jù)安全規(guī)范落實和安全風險進行定期的核查策略。

7.整個策略的技術(shù)支撐規(guī)范。

數(shù)據(jù)安全治理技術(shù)支撐框架

數(shù)據(jù)安全治理的技術(shù)挑戰(zhàn)

實施數(shù)據(jù)安全治理的組織一般都具有較高的信息化水平，數(shù)據(jù)資產(chǎn)龐大，涉及的數(shù)據(jù)使用方式多樣化，數(shù)據(jù)使用角色繁雜，數(shù)據(jù)共享和分析的需求剛性，要滿足數(shù)據(jù)有效使用的同時保證數(shù)據(jù)使用的安全性，需要極強的技術(shù)支撐。數(shù)據(jù)安全治理面臨數(shù)據(jù)狀況梳理、敏感數(shù)據(jù)訪問與管控、數(shù)據(jù)治理稽核三大挑戰(zhàn)，如圖4。

數(shù)據(jù)資產(chǎn)梳理的技術(shù)支撐

數(shù)據(jù)安全，始于數(shù)據(jù)資產(chǎn)梳理。數(shù)據(jù)資產(chǎn)梳理是數(shù)據(jù)庫安全治理的基礎(chǔ)，通過對數(shù)據(jù)資產(chǎn)的梳理，可以確定敏感性數(shù)據(jù)在系統(tǒng)內(nèi)部的分布、確定敏感數(shù)據(jù)是如何被訪問的、確定當前的賬號和授權(quán)的狀況。根據(jù)本單位的數(shù)據(jù)價值和特征，梳理出本單位的核心數(shù)據(jù)資產(chǎn)，對其分級分類，在此基礎(chǔ)之上針對數(shù)據(jù)的安全管理才能確定更加精細的措施。

數(shù)據(jù)資產(chǎn)梳理有效地解決企業(yè)對資產(chǎn)安全狀況摸底及資產(chǎn)管理工作；改善以往傳統(tǒng)方式下企業(yè)資產(chǎn)管理和梳理的工作模式，提高工作效率，保證了資產(chǎn)梳理工作質(zhì)量。合規(guī)合理的梳理方案，能做到對風險預估和異常行為評測，很大程度上避免了核心數(shù)據(jù)遭破壞或泄露的安全事件。

1.靜態(tài)梳理技術(shù)。

2.動態(tài)梳理技術(shù)。

3.數(shù)據(jù)狀況的可視化呈現(xiàn)技術(shù)。

4.數(shù)據(jù)資產(chǎn)存儲系統(tǒng)的安全現(xiàn)狀評估。

數(shù)據(jù)使用安全控制

數(shù)據(jù)在使用過程中，按照數(shù)據(jù)流動性以及使用需求劃分，將會面臨如下使用場景：

通過業(yè)務系統(tǒng)訪問數(shù)據(jù)；在數(shù)據(jù)庫運維時調(diào)整數(shù)據(jù)；開發(fā)測試時使用數(shù)據(jù)；BI分析時使用數(shù)據(jù)；面向外界分發(fā)數(shù)據(jù)；內(nèi)部高權(quán)限人員使用數(shù)據(jù)。

圖4 當前數(shù)據(jù)安全治理面臨的挑戰(zhàn)

在數(shù)據(jù)使用的各個環(huán)節(jié)中，需要通過技術(shù)手段將各個場景下的安全風險有效規(guī)避，如圖5所示。

數(shù)據(jù)安全審計與稽核

數(shù)據(jù)安全稽核是安全管理部門的重要職責，以此保障數(shù)據(jù)安全治理的策略和規(guī)范被有效執(zhí)行和落地，以確?？焖侔l(fā)現(xiàn)潛在的風險和行為。但數(shù)據(jù)稽核在大型企業(yè)或機構(gòu)超大規(guī)模的數(shù)據(jù)流量、龐大的數(shù)據(jù)管理系統(tǒng)和業(yè)務系統(tǒng)數(shù)量，數(shù)據(jù)稽核也面臨著很大的技術(shù)挑戰(zhàn)。

圖5 數(shù)據(jù)使用安全控制示意圖

數(shù)據(jù)所面臨的威脅與風險是動態(tài)變化的過程，入侵環(huán)節(jié)、入侵方式、入侵目標均隨著時間不斷演進。這也就要求我們的防護體系、治理思路不能墨守成規(guī)，更不能一成不變。所以數(shù)據(jù)安全治理的過程中我們始終要具備一項關(guān)鍵能力——完善的審計與稽核能力。通過審計與稽核的能力來幫助我們掌握威脅與風險的變化，明確我們的防護方向，進而調(diào)整我們的防護體系，優(yōu)化防御策略，補足防御薄弱點，使防護體系具備動態(tài)適應能力，真正實現(xiàn)數(shù)據(jù)安全防護。

數(shù)據(jù)的安全審計和稽核機制由四個環(huán)節(jié)組成，分別是“行為審計與分析”“權(quán)限變化監(jiān)控”“異常行為分析”“建立安全基線”。