信息化觀察網(wǎng)

數(shù)據(jù)治理是金融、電信、能源、政府等行業(yè)熱門話題，在數(shù)據(jù)經(jīng)濟(jì)時(shí)代，如何管好數(shù)據(jù)，用好數(shù)據(jù)，實(shí)現(xiàn)數(shù)據(jù)的最大價(jià)值，是數(shù)據(jù)治理的主要目標(biāo)。然而，實(shí)現(xiàn)數(shù)據(jù)價(jià)值目標(biāo)的前提是運(yùn)營(yíng)合規(guī)和風(fēng)險(xiǎn)可控。今年6月10日頒布的《數(shù)據(jù)安全法》的“第二章數(shù)據(jù)安全與發(fā)展”闡述了數(shù)據(jù)安全與發(fā)展的關(guān)系，明確指出數(shù)據(jù)安全是數(shù)字經(jīng)濟(jì)發(fā)展的保障。因此，在企業(yè)的數(shù)據(jù)治理活動(dòng)之，數(shù)據(jù)安全管理是非常重要的一個(gè)環(huán)節(jié)。

數(shù)據(jù)安全管理是數(shù)據(jù)治理的一個(gè)子過(guò)程，是計(jì)劃、制定、執(zhí)行相關(guān)安全策略和規(guī)程，確保數(shù)據(jù)和信息資產(chǎn)在使用過(guò)程中有恰當(dāng)?shù)恼J(rèn)證、授權(quán)、訪問(wèn)和審計(jì)等措施。

一、數(shù)據(jù)安全管理的概念

數(shù)據(jù)安全管理的最終目標(biāo)是保護(hù)數(shù)據(jù)符合隱私及保密要求。主要基于以下幾方面的考慮：

1．利益相關(guān)者的要求：作為數(shù)據(jù)的最終擁有者，組織必須保證利益相關(guān)者的隱私和保密要求；

2．政策法規(guī)要求：如《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等法律，以及各行業(yè)對(duì)于數(shù)據(jù)安全的各種規(guī)范和條例；

3．特定業(yè)務(wù)要求：保護(hù)特定數(shù)據(jù)，比如知識(shí)產(chǎn)權(quán)，商業(yè)機(jī)密等；

4．合法訪問(wèn)要求：按組織單位的整體戰(zhàn)略、業(yè)務(wù)規(guī)則以及運(yùn)營(yíng)流程等要求來(lái)確定特定角色對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限，即：認(rèn)證（Authentication）、授權(quán)（Authorization）、訪問(wèn)（Access）、審計(jì)（Audit）這“4A”要求。

二、開(kāi)展數(shù)據(jù)安全管理活動(dòng)的過(guò)程

開(kāi)展數(shù)據(jù)安全管理活動(dòng)的主要過(guò)程包括以下幾個(gè)方面：

1．定義數(shù)據(jù)安全策略

企業(yè)IT戰(zhàn)略和標(biāo)準(zhǔn)通常確定了訪問(wèn)企業(yè)數(shù)據(jù)資產(chǎn)的高級(jí)策略，由數(shù)據(jù)治理委員會(huì)評(píng)審和批準(zhǔn)高層次的數(shù)據(jù)安全策略。

IT安全策略和數(shù)據(jù)安全策略同屬于企業(yè)綜合安全策略。與IT安全策略相比，數(shù)據(jù)安全策略是以數(shù)據(jù)為中心，包括定義目錄結(jié)構(gòu)和身份管理框架、定義應(yīng)用程序、數(shù)據(jù)庫(kù)角色、用戶組和密碼標(biāo)準(zhǔn)等。

2．定義數(shù)據(jù)安全標(biāo)準(zhǔn)

由于數(shù)據(jù)與各行業(yè)、企業(yè)的業(yè)務(wù)緊密相關(guān)，因此目前并沒(méi)有國(guó)際上統(tǒng)一的數(shù)據(jù)安全標(biāo)準(zhǔn)，各組織需要根據(jù)行業(yè)規(guī)范和條例，結(jié)合自身業(yè)務(wù)需求設(shè)計(jì)自己的安全控制措施。這些安全措施需要符合法律法規(guī)要求，同時(shí)記錄這些措施的執(zhí)行情況。安全策略執(zhí)行需要滿足4A要求。

數(shù)據(jù)治理委員會(huì)評(píng)審和批準(zhǔn)這些策略，數(shù)據(jù)安全策略由數(shù)據(jù)管理執(zhí)行官和IT安全管理員負(fù)責(zé)。

3．定義數(shù)據(jù)安全控制和措施

實(shí)施和管理數(shù)據(jù)安全策略主要是安全管理員的職責(zé)，組織可通過(guò)實(shí)施控制流程實(shí)現(xiàn)數(shù)據(jù)安全控制。

組織必須實(shí)施適當(dāng)?shù)目刂疲@種控制需要實(shí)施一個(gè)流程，結(jié)合跟蹤所有用戶權(quán)限請(qǐng)求的變更管理系統(tǒng)，用以驗(yàn)證分配權(quán)限?？赡苓€需要以工作流審批或簽署文件的形式、記錄和歸檔每一個(gè)請(qǐng)求。

4．?dāng)?shù)據(jù)的安全定級(jí)

根據(jù)國(guó)家、行業(yè)的數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)和規(guī)范，結(jié)合組織自身對(duì)數(shù)據(jù)安全的不同要求進(jìn)而劃分?jǐn)?shù)據(jù)安全級(jí)別，以下是一個(gè)典型的數(shù)據(jù)安全分級(jí)模式：

公眾級(jí)：信息可以提供給任何人，包括普通公眾，它一般作為默認(rèn)分類；

內(nèi)部使用：信息限制在雇員或組織成員中，即便是在組織以外共享其風(fēng)險(xiǎn)也不大；

機(jī)密：資料不應(yīng)該共享至組織外部，客戶機(jī)密信息不應(yīng)該共享給其他客戶；

受限機(jī)密：信息受限，承擔(dān)某些角色的個(gè)人按需知密；

注冊(cè)機(jī)密：這類信息需要接觸人員簽訂一份法律協(xié)議才能訪問(wèn)，并承擔(dān)保密責(zé)任。

5．管理用戶、密碼和用戶組成員

通過(guò)角色（角色組、崗位等）把訪問(wèn)和更新權(quán)限等數(shù)據(jù)安全控制權(quán)限進(jìn)行分類，授予一類用戶?？梢酝ㄟ^(guò)子角色進(jìn)一步進(jìn)行復(fù)雜的權(quán)限控制管理。然后是制定密碼標(biāo)準(zhǔn)和規(guī)程，可以參考《GB∕T 22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》相關(guān)內(nèi)容來(lái)制定。

6．管理數(shù)據(jù)訪問(wèn)視圖和權(quán)限

數(shù)據(jù)安全管理有兩方面：首先，防止不適當(dāng)?shù)臄?shù)據(jù)訪問(wèn)；其次，建立有效適當(dāng)?shù)臄?shù)據(jù)存取。

對(duì)于大多數(shù)組織而言，其大部分?jǐn)?shù)據(jù)不限制訪問(wèn)權(quán)限，而對(duì)于受控敏感數(shù)據(jù)應(yīng)通過(guò)授權(quán)控制訪問(wèn)。

上面已經(jīng)提到可以通過(guò)角色和分組方式對(duì)不同訪問(wèn)權(quán)限的用戶進(jìn)行授權(quán)限制。在關(guān)系數(shù)據(jù)庫(kù)中，可以通過(guò)視圖進(jìn)行基于數(shù)據(jù)行和列的限制訪問(wèn)。

需要針對(duì)系統(tǒng)的管理員帳戶和共享服務(wù)帳戶等具備特權(quán)的賬戶進(jìn)行監(jiān)控，檢測(cè)和審計(jì)這類賬戶的使用情況。

7．監(jiān)控用戶身份認(rèn)證和訪問(wèn)行為

監(jiān)控是為了檢測(cè)異常和可疑行為，便于管理人員進(jìn)一步調(diào)查和解決問(wèn)題，主動(dòng)行為或是被動(dòng)行為，兩者皆可。自動(dòng)化監(jiān)控配合一定的人工檢查，是最佳的監(jiān)控方式。

在安排監(jiān)控工作時(shí)，對(duì)于財(cái)務(wù)、工資等保密信息通常采取實(shí)時(shí)積極的監(jiān)控措施（主動(dòng)監(jiān)控），可以及時(shí)提醒安全管理員或數(shù)據(jù)管理專員。

對(duì)于跟蹤系統(tǒng)隨著時(shí)間推移產(chǎn)生的變化，可以采用機(jī)器學(xué)習(xí)方式建立系統(tǒng)的安全基線，定期抓取系統(tǒng)狀態(tài)快照，對(duì)照基準(zhǔn)或標(biāo)準(zhǔn)進(jìn)行趨勢(shì)分析（被動(dòng)監(jiān)控）。

8．審計(jì)數(shù)據(jù)安全

審計(jì)數(shù)據(jù)也是安全性的控制活動(dòng)，負(fù)責(zé)分析、驗(yàn)證、討論，據(jù)此以建議數(shù)據(jù)安全管理政策、標(biāo)準(zhǔn)和活動(dòng)。

數(shù)據(jù)安全策略聲明、標(biāo)準(zhǔn)文檔、實(shí)施指南、變更請(qǐng)求、訪問(wèn)監(jiān)控日志、報(bào)表，以及其他書(shū)面和電子記錄都是審計(jì)工作的基礎(chǔ)。除了評(píng)審已有的這些信息外，審計(jì)活動(dòng)還包括執(zhí)行一些測(cè)試和檢查。如：

分析規(guī)程和實(shí)際做法的差異，確保數(shù)據(jù)安全目標(biāo)、策略、標(biāo)準(zhǔn)、指導(dǎo)方針和預(yù)期效果一致；

驗(yàn)證機(jī)構(gòu)是否符合監(jiān)管法規(guī)要求；

數(shù)據(jù)安全行為監(jiān)控的上報(bào)規(guī)程和通知機(jī)制；

向相關(guān)方報(bào)告組織內(nèi)的數(shù)據(jù)安全狀態(tài)，以及組織的數(shù)據(jù)安全實(shí)踐成熟度；

推薦數(shù)據(jù)安全的設(shè)計(jì)、操作和合規(guī)改進(jìn)工作等。

從上述數(shù)據(jù)治理活動(dòng)中關(guān)于數(shù)據(jù)安全管理的概念和開(kāi)展數(shù)據(jù)安全管理活動(dòng)流程來(lái)看，企業(yè)在完成數(shù)據(jù)安全策略、數(shù)據(jù)安全標(biāo)準(zhǔn)、數(shù)據(jù)安全保障措施、數(shù)據(jù)安全定級(jí)、賬戶定義和權(quán)限控制等一系列流程之后，就是需要持續(xù)不斷的對(duì)數(shù)據(jù)活動(dòng)、用戶行為進(jìn)行監(jiān)控、檢測(cè)和安全審計(jì)。特別是最后的數(shù)據(jù)安全審計(jì)，通過(guò)對(duì)數(shù)據(jù)活動(dòng)、特權(quán)賬戶、用戶賬戶、數(shù)據(jù)安全策略以及保障措施的運(yùn)行狀態(tài)的審計(jì)，評(píng)估數(shù)據(jù)安全運(yùn)行狀態(tài)和管理狀態(tài)，從而發(fā)現(xiàn)問(wèn)題，提出改進(jìn)建議，保證數(shù)據(jù)安全策略的一致性。

全息數(shù)據(jù)安全風(fēng)險(xiǎn)感知系統(tǒng)，是業(yè)內(nèi)首屈以數(shù)據(jù)為中心，能夠?qū)?shù)據(jù)安全要素“用戶和實(shí)體，應(yīng)用訪問(wèn)，數(shù)據(jù)對(duì)象”進(jìn)行畫(huà)像和關(guān)聯(lián)分析的系統(tǒng)，實(shí)時(shí)感知“什么人，何時(shí)，何地，通過(guò)什么應(yīng)用，訪問(wèn)了什么（類別和級(jí)別）數(shù)據(jù)”，再結(jié)合企業(yè)IAM系統(tǒng)，把企業(yè)數(shù)據(jù)的處理環(huán)境和業(yè)務(wù)場(chǎng)景的數(shù)據(jù)安全態(tài)勢(shì)可視化，實(shí)時(shí)評(píng)估和檢測(cè)數(shù)據(jù)安全策略運(yùn)行狀態(tài)和企業(yè)數(shù)據(jù)安全合規(guī)態(tài)勢(shì)，在監(jiān)督企業(yè)數(shù)據(jù)安全管理體系運(yùn)行上具有不可替代的作用。因此，全息數(shù)據(jù)安全風(fēng)險(xiǎn)感知系統(tǒng)是企業(yè)數(shù)據(jù)治理中非常有效的數(shù)據(jù)安全管理工具，讓流動(dòng)數(shù)據(jù)在海量與頻繁的開(kāi)放與共享中，依然可知、可視、可控，激活數(shù)據(jù)持續(xù)創(chuàng)造價(jià)值。