本白皮書由中國網絡安全與信息化產業聯盟數據安全治理委員會(簡稱數據安全治理委員會)起草編著,通過對國內外當下的數據安全情勢與市場趨勢進行解讀與前瞻,結合國際相關標準與框架,提出符合中國信息化建設階段和需求的數據安全治理理念與框架,旨在幫助政府與企業進行數據安全建設的整體思考與規劃,為數據安全建設的設計與實施者提供具有參考價值的數據安全治理整體方案及案例實踐。白皮書中闡述的數據安全治理體系是以數據資產的正常使用為前提,保障數據在各使用場景下的安全,促進數據價值的釋放與共享。
一、數據安全建設需要系統化建設思路
數據治理或者數據安全概念,對于大多數IT和安全從業者來說,認知度比較高,但數據安全治理,是個新名詞。實際上,對于擁有重要數據資產的政府部門或企業,對于數據資產的保護,涉及到數據安全治理方面,或多或少都有實踐,只是尚未體系化、標準化。在國外,Microsoft推出的DGPC方案(Data Governance for Privacy Confidentiality and Compliance縮寫),就是專門強調隱私、保護與合規的數據治理技術框架;Gartner研究中2015年提出了數據安全治理這一概念和相應的原則與框架,2017年Gartner全球安全大會中多位分析師在數據安全、信息安全治理、安全治理的相關研究報告中,多次提及并強調,認為數據安全治理已成為了數據安全中的 “風暴之眼”,2018年,Gartner首次專門推出研究報告《如何使用數據安全治理》,以此為CDO、CSO、CISO提供數據安全價值。本次白皮書編著,希望系統化針對數據安全治理的概念、規范、技術和相關實踐進行介紹,將數據安全治理視作為一種系統化解決數據安全問題的合理方法論和實踐工具加以推廣應用。
隨著數據安全的重要度提升,用戶投資在增大,據KVB Research 2017年大數據安全報告預測,大數據安全2017年全球投資達到102億美金,并且以17%的年復合增長率擴大,到2023年將達到309億美金,即2000億人民幣。
(KVB Research在big data security上的市場預測)
在我國,隨著網絡安全法的出臺,數據資產價值得到確認,政府機構和企業在這個方向的投資也在加大,以數據審計、脫敏和加密為目標的數據安全投資正在成為采購的熱點。
數據安全治理的思路,將數據安全技術與數據安全管理融合在一起,綜合業務、安全、網絡等多部門多角色的訴求,總結歸納為系統化的思路和方法。
關于數據安全治理原則與框架,Gartner對此進行專屬領域的研究,Microsoft從數據隱私合規角度也曾向市場提出隱私,保密和合規性的數據治理方案。從國際視角對此理解的基礎上,我們在中國提出了數據安全治理理念與技術路線,填補了該理念在中國的空白,更有效推動實現該理念在國內的執行落地。
2.1 數據安全治理概論
本白皮書,綜合國際相關框架模型和我國一些具體的安全實踐后,提出一套在中國易于落地的數據安全建設的體系化方法論。
數據安全治理是以“讓數據使用更安全”為目的的安全體系構建的方法論,核心內容包括:
(1)滿足數據安全保護、合規性、敏感數據管理三個需求目標;
(2)核心理念包括:分級分類、角色授權、場景化安全;
(3)數據安全治理的建設步驟包括:組織構建、資產梳理、策略制定、過程控制、行為稽核和持續改善;
(4)核心實現框架為數據安全人員組織、數據安全使用的策略和流程、數據安全技術支撐三大部分。
數據安全治理理念框架
2.2 數據安全治理的核心理念
數據的分級分類:對數據進行不同類別和密級的劃分;根據類別和密級制定不同管理和使用原則,對數據做到有差別和針對性的防護。
角色授權:在數據分級和分類后,了解數據在被誰訪問,這些人如何使用和訪問數據,針對不同角色制定不同安全政策。常見角色:業務人員(需進一步細分)、數據運維人員、開發測試人員、分析人員、外包人員、數據共享第三方等。
場景化安全:針對不同角色在不同場景下,研究數據使用需求;滿足數據被正常使用的目標下,完成相應安全要求和安全工具選擇。比如對于運維人員,在備份和調優場景下,并不需要對真實數據的直接訪問能力,提供行為審計、敏感數據掩碼能力即可。
數據安全治理首先要成立專門數據安全治理機構,以明確數據安全治理的政策、落實和監督由誰長期負責,以確保數據安全治理的有效落實。
DGPC框架中,該機構一般稱之為DGPC團隊,或Data Stewards,負責制定數據分類、保護、使用和管理的原則、策略和過程:
某運營商的數據安全治理的相關組織和角色結構圖
(注:深色是部門,淺色是角色,結構中覆蓋了業務、安全、運維和企業的相關管理支撐部門)
在整個數據安全治理的過程中,最為重要的是實現數據安全策略和流程的制訂,在企業或行業內經常被作為《某某數據安全管理規范》發布,所有的工作流程和技術支撐都是圍繞著此規范來制訂和落實。
5.1 數據安全治理的技術挑戰
實施數據安全治理的組織,一般都具有較為發達和完善的信息化水平,數據資產龐大,涉及的數據使用方式多樣化,數據使用角色繁雜,數據共享和分析的需求剛性,要滿足數據有效使用的同時保證數據使用的安全性,需要極強的技術支撐。
數據安全治理面臨數據狀況梳理、敏感數據訪問與管控、數據治理稽核三大挑戰。
當前數據安全治理面臨的挑戰
5.2 數據安全治理的技術支撐
5.2.1 數據資產梳理的技術支撐
數據資產梳理有效地解決企業對資產安全狀況摸底及資產管理工作,提高工作效率,保證了資產梳理工作質量。合規合理的梳理方案,能做到對風險預估和異常行為評測,很大程度上避免核心數據遭破壞或泄露的安全事件。
1)靜態梳理技術
2)動態梳理技術
3)數據狀況的可視化呈現技術
4)數據資產存儲系統的安全現狀評估
5.2.2 數據使用安全控制
數據在使用過程中,按照數據流動性以及使用需求劃分,將會面臨如下使用場景:
? 通過業務系統訪問數據
? 在數據庫運維時調整數據
? 開發測試時使用數據
? BI分析時使用數據
? 面向外界分發數據
? 內部高權限人員使用數據
在數據使用的各個環節中,需要通過技術手段有效規避各個場景下的安全風險:
數據使用安全控制示意圖
5.2.3 數據安全審計與稽核
數據安全稽核是為保障數據安全治理的策略和規范被有效執行和落地,以確保快速發現潛在的風險和行為,從而明確防護方向,進而調整防護體系,優化防御策略,補足防御薄弱點,使防護體系具備動態適應能力,真正實現數據安全防護。
數據的安全審計和稽核機制由四個環節組成:行為審計與分析、權限變化監控、異常行為分析、建立安全基線。
微信掃描下方二維碼,獲取完整版《2018數據安全治理白皮書》
產品咨詢:4000 258 365 
