新形势下，企业如何做好数据安全治理？

数据驱动着发展，同时也暗藏着风险，数据安全问题是个人到企业到国家层面都高度重视的问题。

但在当前的新技术、新业态、新经济环境下，企业要做好数据安全治理，面临着更多的挑战与更高的要求。

01、新形势，新挑战

数据显示，仅 2021 年上半年，勒索软件攻击就达到了 3.047 亿次，打破了 2020 年全年的攻击总数（3.046 亿次），同比增长 151%，而企业在安全团队上的投入却并没有相应增长。

虽然数据滥用风险、数据泄露风险、数据窃取风险、数据伪造风险、数据破坏风险等，成为了许多企业不得不面对且需重视的问题，但数据安全治理，往往由于其复杂性而被企业搁置，而当前新形势下海量变换的数据，更是给企业的数据安全治理带来了新的挑战。

1、数据规模迅速增加，亟需数据安全治理方式改进
云计算技术的发展，极大地提高了计算和存储资源的利用率。基于查询/访问而不是存储量的云存储定价模式，使得很多企业轻松地搭建起一个PB级的数据存储。迅速扩大的数据规模，使得与这些数据相关的保护和治理，从数据发现到分级分类、从访问控制到数据审计，都需要改变旧有的模式，来应对快速生成的海量的数据带来的变化。

2、海量数据流转，导致数据追踪不可控
在当前复杂的业务情境以及技术条件下，数据在很多时候并不是先生成再存储，而是从不同的位置获取的，在ETL/ELT过程中，数据在不断地变化位置，并经历着富化、匿名化或者其他转换。而且数据的转换既可能在同个平台内进行，也可能跨平台或跨公共云进行，这使得数据的追踪变得十分不可控，比如可能这个表中原本没有任何敏感信息，但在各种转化过程中却被不小心添加了敏感信息。

3、数据存取方式演变，数据安全控制暗藏风险
数据在组织中的驱动作用越来越明显，组织内部的数据需求量也随之猛增，数据服务也随着技术的发展而变得更加便利，大量用户可以直接使用基于web的应用程序甚至移动应用程序来访问和使用数据。但于此同时，也给组织的数据访问管理带来的新的难题，数据访问的归因问题、权限设置问题，很容易变成数据安全控制中的薄弱地带，给组织的数据安全带来隐藏风险。

4、攻击手段多样化，传统安全手段防护效果甚微
目前针对数据的攻击手段不断翻新，从最初的暴力破解密码、e-mail炸弹，到基于DNS、基于TCP-IP协议的攻击，再到后来的木马、蠕虫、SQL 注入、跨站等基于应用软件的攻击等，大数据在全生命周期过程中被窃取、被滥用、被篡改的风险不断增大。传统的安全手段及体系呈现出单点、 静态防护的特点，在应对大数据环境下的安全威胁时会出现防护效果不佳，甚至失效的情况，也为数据安全威胁的追踪溯源带来了更大的挑战。

02、如何做好数据安全治理？

数据安全问题贯穿数据全生命周期的各个环节。在新形势下，要做好数据安全治理，就要做好企业的数据安全防护能力建设，建立起一个强保障且动态化的安全保护机制。这个机制的攻坚点主要是三个方面：完善数据安全治理规划，提高数据安全技术防护能力，和加强数据安全审计。

1.完善数据安全治理规划
（1）评估数据安全现状
一般来说，组织进行数据安全治理的目标主要是两个：一是实现组织的合规保障；二是实现数据的充分开发利用，在安全的基础上谋发展。组织在进行数据安全治理时，应在这两个大方向的指引下，对组织内部的数据安全现状，进行一个全方位的评估，并以此来作为数据安全治理的依据。

评估主要可以从外部和内部两个方面来进行。

①外部合规：对业务适用的外部法律法规、监管要求进行梳理，并据此对组织数据进行合规分析。
②内部现状：结合组织的业务场景，基于数据全生命周期的安全防护要求，梳理组织内部数据已有的或者可能存在的风险点，分析原因，并明确数据安全治理建设具体需求点。

（2）完善数据安全治理组织规划
数据安全治理工作贯穿数据从生产到使用的各个环节，涉及到组织内部的多方联动，要保障数据安全工作的顺利开展，就要建立起一套权责明确的组织规范，从数据安全的不同角色视角来满足数据安全建设需求。

（3）建立数据安全保障制度体系

要实现数据安全要求清晰明确、数据安全治理有章可循，建立起一个完善的数据安全管理制度规范体系是非常必要的。下图是关于制度体系的建议，从上到下共划分为四级文档，组织可以根据实际需要进行针对性的增删和调整。

2.提高数据安全技术防护能力

（1）自动化数据分级分类

数据资产庞杂，基于传统的人工方式难以达到动态化管理的要求，要确保分散在组织各处各层面的各类数据能够被及时发现和准确标注，需要建设自动化的数据分类分级能力，从而满足数据在不同应用场景下的动态化、体系化管控需求。在数据的分级分类中，有两个类别是需要格外重视的。

①敏感数据
敏感数据是指泄漏后可能会给社会或个人带来严重危害的数据，当前数据流转快，敏感数据随时可能出现在意料不到的位置。为此，需要进行持续的敏感数据发现和分级分类。根据不同的数据类型，可以采取的具体方法包括：字典匹配、模式匹配、算法匹配、机器学习等。

敏感数据的发现需要根据数据分类分级标准来进行，通过敏感数据属性分类来统一敏感数据结构描述方法，从而建立起统一的敏感数据发现体系。在这个体系基础上，来全面盘点敏感数据资产、形成敏感数据地图。

此外，组织还可以将数据威胁与敏感数据自动关联，实现敏感数据威胁的高效可视化管控，提升综合安全治理决策效率。

②非结构化数据
在许多数据分类中，非结构化数据通常被忽略或被很笼统地归结到一起。

相比于传统的结构化数据和半结构化数据，非结构化数据增长速度更快，每 1KB 结构化数据产生的同时，约有 1GB 非结构化数据产生，并且数据量庞大且采集渠道广泛，数据的处理链路非常长。这些都给非结构化数据的安全防护带来挑战。

非结构化数据的处理有一个核心的矛盾点是，数据处理者（业务方）有海量的数据和数据价值挖掘的需求，但是这些业务型企业的技术投入往往不足。因此这类企业在构建数据安全解决方案时，需要积极引入整个生命周期内不同角色的解决方案来协同工作。

（2）精细化数据权限管控

数据的权限，往往是单向扩张的。

随着数据需求的扩大化，增加权限的请求越来越多，而删除权限的请求几乎没有，这有时会导致权限的回收不及时的情况，增加了数据安全的不可控性。为了保障更准确的数据安全控制，企业可以从改进数据授权方式和关联数据访问信息两方面，来增强数据权限的管控能力。

①改进数据授权方式

目前比较流行的数据授权方式是基于角色来授权，通过定义角色权限，来授权用户访问数据。但在一个快速发展的组织中，角色工作范围及其权限的界定也是实时变化的，基于角色并不能保证其权限控制的准确性。

还有一种方法是基于属性来授权访问，这个方式相对更加灵活。它可以通过建立一个与数据平台分离的数据访问安全层，通过通用数据访问服务，从而在不限制访问的情况下确保数据安全。

②关联数据访问信息

要实现组织内部数据访问的高效追踪，就要将数据访问与用户身份、数据类型、访问意图等信息关联起来。但这些信息往往存在于多个系统中，比如用户身份存在于人员管理系统中、业务信息存在于主数据管理系统中、而与数据访问相关的日志则建立在数据存储系统中，这就需要组织通过数据共享，来实现信息的统一关联，从而保障数据访问的可高效追踪。

（3）加强抗数据风险能力

在数据的整个生命周期，从采集、传输、存储，到处理、使用和销毁的各个环节，都有可能存在着数据安全风险。我们需要从防御风险、识别风险、预测风险、解决风险四个方面，来提升组织的抗风险能力。

①防御风险

针对大数据环境下的恶意行为的攻击阶段、影响范围、威胁程度进行智能化评估，并结合实际情况制定相应的防御措施，分级别、分层次、分范围地对大数据系统进行协同防御策略制定和分发，形成“网络—应用—平台—数据”的协同防御系统。

②识别风险

首先，建立起一套安全风险描述模型，构建大数据环境下数据流通各个环节的安全风险集；然后，从安全事件中学习规则，使获得的各安全域的数据安全风险更加贴近真实情况，从而能够准确实时地识别出数据安全风险。

③预测风险

研究大数据环境下安全态势数据采集和统一的信息交互表示协议和标准、系统配置漏洞、运行环 境漏洞、目标代码漏洞及其关联环境漏洞，提出对 漏洞、违规操作、攻击行为的多维度监测识别手段。 研究态势量化评估和预测模型，利用机器深度学习 态势评估算法实现安全态势综合评估，基于攻击意图推演实现态势趋势预测和预警。

④解决风险

当数据安全风险出现时，企业需要实现对其的其实追踪溯源，并建立起基于数据安全风险的主动防御系统联动机制，在在发生安 全风险时能够及时采取对系统影响最小的应对措施进行阻断。

平台从技术层面为组织提供了数据安全的全方位防护，通过对隐私数据的加密、脱敏、模糊化处理、数据库授权监控等多种数据安全管理措施，从数据治理全过程来全面保障数据的安全运作。

03、做好数据安全监控审计

在技术的重重防护墙下，还需建立数据安全监控和审计的工作机制，从而从防范不正当的数据访问和操作行为角度，来建立起另一道防护墙，降低数据全生命周期未授权访问、数据滥用、数据泄漏等安全风险。

1.日常审计
针对账号使用、权限分配、密码管理、漏洞修复等日常工作的安全管理要求，进行组织内部的数据安全审计，从而保证能及时发现并解决问题。下图是可参考的审计内容范围。

2.专项审计
除此之外，还要进行以业务线为单位的专项审计，从数据全生命周期安全、隐私合规、合作方管理、鉴别访问、风险分析等各个方面来评价数据安全工作执行情况，从而来统筹改进执行环节。

04、小结

大数据时代，有关数据安全的规范要求按下了加速键，《数据安全法》和《个人信息保护法》陆续出台并实施、区域性数据安全法规政策接连发布、行业主管部门密集开展数据安全和个人信息保护选项工作……

数据安全要求日趋规范与严格、数据环境复杂变幻，对企业来说，做好数据安全治理迫在眉睫。数据的安全解决方案是一系列的流程 + 技术+规范的综合保障。企业要从加强自身安全防护能力入手，建立起数据安全的重重防护墙，在数据安全的基础上，更好地发挥数据价值。