当前，数字经济正在引领全球经济的发展，数据作为核心的生产要素已经成为基础战略资源。数字经济在各行业高度融合，并在社会治理中发挥着积极重要的作用。数据资源也在跨领域、跨地域、跨组织流通和融合。数据资源在产生了巨大的价值的同时，针对数据资源的外部攻击和内部数据滥用现象屡见不鲜，与之对应的是企业数据合规和风险防护能力存在不足。企业数据安全已经成为关系国家稳定、社会安全、民生安全的核心议题。

本文根据绿盟科技数据安全架构师陈怀源的演讲“数据安全赋能企业数字化转型”整理而成。

数据安全背景简介

众所周知，目前云计算、大数据、物联网技术的广泛应用使传统的网络安全边界日益模糊，尤其在云计算的应用方面已经完全颠覆了传统的安全边界。大数据技术的应用使数据的流量、储量成倍上涨，网络安全攻击带来的损失和伤害也成倍增加。物联网打通了线上和线下的界限，比如利用设备漏洞控制物联网，甚至可以对物理的世界造成相关伤害。

外部的威胁也在演进。外部威胁和攻击逐渐向高级持续性的威胁转变，勒索软件、数据泄漏、供应链威胁等问题频发，企业安全建设将成为主要趋势，安全攻防的复杂程度也会大大增加。

 

国内企业对数据安全的认识最初是IT时代的数据安全，主要特征是以基础设施为中心，数据资产以结构化和非结构化的形式存储在数据库文件系统服务器、终端等载体上。

随着企业数字化转型的升级，数据在流转、多方合作以及二次开发利用过程中释放了大量的数据红利。数据安全已经步入 DT 时代的数据安全阶段。伴随而来的数据资产保护难度加大，个人信息泄露风险加剧，数据资产权责不清，数据溯源取证困难等问题亟待解决。

随着《网络安全法》《个人信息保护法》等多项法律条例的出台和实施，未来网络和数据安全将向合规方向发展。企业在合规建设上面临很大的技术挑战，对安全建设者的最终交付能力也有更高的要求，国家和行业的标准正逐渐完善。

企业数据安全合规建设有四大驱动力：法律法规、认证/测试、审计要求、监管要求。企业数据安全合规建设可以避免组织遭受法律制裁和监管处罚，降低数据泄露、数据滥用等安全风险，减少组织财产、名誉损失。

大多数企业在数据安全建设中面临众多的挑战。比如数据安全权责不清、数据资产暴露面过大、缺乏安全稽核能力等等。

企业数据安全合规建设思路

《数据安全法》明确要求我们进行数据安全治理体系框架建设。此框架符合国家政策法则和标准规范，由管理、技术、运营三大体系构成。最右侧的管理体系包含两部分内容，一是管理制度的建设，二是管理组织架构的建设。技术体系以数据安全的基础资源为基座，结合数据生命周期的六个阶段运用数据加密、数据审计、数据库、防火墙、数据水印、数据脱敏等相关能力。运营体系由三部分构成。在日常生活中需要重点关注数据资产运营、常态化运营、安全风险运营。

绿盟科技的“知”“识”“控”“察”“行”是业内首个数据安全完整的防护思路和方法论，在国内各个行业已经得到广泛认可。

阶段一“知”指我们需要制定规范和定义敏感数据，结合DSMM数据能力成熟度模型，从组织建设、制度流程、技术工具和人员能力四个领域开展数据安全工作。通过对业务和科技部门组织架构的梳理和调整，制定有针对性的数据资产管理要求以及分类分级规范。

组织架构建设是非常关键的，分为决策层、管理层、执行层和监督层。决策层是数据安全委员会领导小组，主要负责数据安全的统筹组织、指导推进和协调落实，明确数据安全管理部门，协调机构内部数据安全资源，以及发布策略规划、规范制度等，提供资源、资金、人员方面的保障，重大事件协调管理。管理层主要由数据安全管理委员会构成，负责数据安全相关工作的实施，相关政策和制度的制定、评审，保障数据安全工作所需的、所有的资源，设立数据安全管理专职岗位等。执行层分为两个团队，一个是技术团队，一个是业务团队。技术层主要的任务是做风险评估，包括安全运营、应急响应、资产梳理、安全事件管理等。业务团队主要负责安全落地数据的授权事件、监测需求、数据资产管理。监督层是通过风险监测、风险评估、风险分析和总结等手段落实数据安全工具的有效性监督，包括风险监控、审计等。

管理制度的建设需要运用四级文件构建整体架构，比如一级是方针总纲;二级涉及数据安全的相关管理办法;三级涉及规范、指南、操作手册;四级涉及数据安全的表单，比如分类分级的表单、数据资产的表单。管理制度的建设是一个长期的过程，从开始制定到试运行，到再优化、改进，总体上通过上图八个步骤来完成。

数据资产梳理的内容不仅包括物理的或者电子设备的数据表、数据项，还包括废弃的数据文件，最终形成企业内部的数据资产台账。

阶段二“识”主要指的是将规范中的一些要求转化为策略录入到工具中，实现自动化的数据资产识别和分类分级，并基于数据资产及其关联的应用场景分析，从而发现风险和安全需求，获得数据风险评估的结果。数据风险评估还包括合规性的评估与个人信息的安全影响评估。通过数据风险评估可以使企业全面了解数据资产的安全状况。

在这个阶段，需要参考行业和通用的数据分类分级相关标准和策略，对企业数据初步分类分级，形成数据分类分级的清单。清单包括数据内容的描述，比如数据量、保存位置、保存期限、数据处理的情况，以及数据的对外提供情况。对外提供情况包括公开披露、数据生命周期内各个环节的安全措施及配套情况等。同时，可以采用相关的工具，比如数据识别类型的工具，对数据资产进行自动化识别和分类分级，并根据数据分类分级的结果分析企业敏感数据的分布情况，形成分布热度图。企业也可以定期、动态地进行数据安全评估，包括数据安全合规性的评估、安全风险评估以及个人信息安全影响的评估等。

阶段三“控”主要通过风险评估的结果结合数据生命周期的每一个阶段，制定不同的安全防护策略。控制手段包括数据库审计与防护，数据防护手段包括防泄漏、数据脱敏、数据扫描、数据水印加密等。最终汇聚到一个平台中，进行统一监管。

“控”指的是我们要采用相关手段和工具。需要制定数据权限的管理和访问控制策略，对所有人员画像，进行相关建模。在源数据区和数据中心区域，涉及敏感数据资产的发现能力、自动化分类分级能力以及安全评估能力。在数据中心，涉及数据库审计、数据库防火墙等相关能力。在数据运维区，内部运维人员需要部署数据运维堡垒机，涉及动态脱敏以及数据防泄漏的能力。在内部办公的区域，有大量的非结构化的数据存在。针对网络终端，需要同期加强防泄漏的能力。在开发测试区域，涉及与静态脱敏相关的能力。应用区域涉及API 防护以及动态脱敏的能力。

阶段四“察”，已经有了全面的数据资产情况和海量数据行为日志，在数据安全管控平台上可以对数据从数据源到数据行为进行全面分析。通过平台底层的大数据分析引擎实现敏感数据的追踪溯源。

“察”主要指的是监督、检查和监察，分为四个层次：

一是流程稽核，在规划、设计、建设、运行、改造和维护过程中增加安全评审机制，通过流程穿越验证其有效性，并结合跨层关联的方式，不断调整优化;二是监督管理，需要对重点的环节进行流程监控和实时监督，同时对企业的合作方进行有效管理，不定期开展数据安全检查;三是安全审计，定期开展安全审计工作，及时发现违规操作行为并及时整改，建立安全事件追踪溯源的实时分析能力;四是监控维护，常态化开展敏感数据和流转异常行为的监测。

阶段五“行”，对数据安全的事件实时预警，实现场景化展示。运维人员可以了解每一个数据安全事件的起因是内部操作还是外部攻击。最终，通过数据安全运营平台，现场专业人员和云端专家共同完成安全事件的快速处置和策略优化，提高数据安全持续防护的能力。

“行”主要是指的是安全运营与持续更新的阶段。在这个阶段，需要对“知”“识”“控”“察”四个阶段不断优化。在“知”这个阶段，需要不断地对新业务进行梳理，对新的数据资产进行分类分级，不断进行更新迭代，确保敏感数据定义的准确性。在“识” 这个阶段，也要持续开展敏感数据的发现及风险评估工作，第一时间发现最新的安全风险、隐患。在“控”这个阶段，可以分为业务运营和安全运营两个维度，持续开展数据安全的管控工作。在“察”这个阶段，企业的安全团队要对数据安全情况持续监控分析，发现异常，并进行处理。各个环节都需要活动起来，发现变化，并及时通过策略优化和安全运营适应总体的变化。

数据安全是无法独立于网络安全而存在的。如果网络安全得不到保障，数据安全的保护也无从谈起。《数据安全法》第 27 条明确规定了利用互联网等信息网络安全开展数据处理的活动应当在网络安全等级保护制度的基础之上履行数据安全的保护义务。所以，建立数网融合的综合技术体系是关键、必要的。

企业的数据安全能力建设不是一蹴而就的，应该与业务紧密结合。安全建设是随着业务的发展而动态变化的，要通过技术、产品、人员整体意识与能力相结合的方式提升企业数据安全合规以及风险对抗的能力。