今年，毫無疑問，數據安全仍是關乎組織戰(zhàn)略制定與發(fā)展的重要命題。
2 月 15 日，中國互聯(lián)網信息辦公室等十三部門聯(lián)合修訂發(fā)布的《網絡安全審查辦法》正式實施，要求企業(yè)赴國外上市融資應守住國家安全底線。
3月5日，十三屆全國人大五次會議在京開幕。政府工作報告中提到，要強化網絡安全、數據安全和個人信息保護。
3月7日，工信部網站發(fā)布消息顯示，工業(yè)和信息化部近日印發(fā)《車聯(lián)網網絡安全和數據安全標準體系建設指南》（以下簡稱“《建設指南》”），提出到2023年底，初步構建起車聯(lián)網網絡安全和數據安全標準體系。……

數據驅動著發(fā)展，同時也暗藏著風險，數據安全問題是個人到企業(yè)到國家層面都高度重視的問題。

但在當前的新技術、新業(yè)態(tài)、新經濟環(huán)境下，企業(yè)要做好數據安全治理，面臨著更多的挑戰(zhàn)與更高的要求。

01、新形勢，新挑戰(zhàn)
數據顯示，僅 2021 年上半年，勒索軟件攻擊就達到了 3.047 億次，打破了 2020 年全年的攻擊總數（3.046 億次），同比增長 151%，而企業(yè)在安全團隊上的投入卻并沒有相應增長。

雖然數據濫用風險、數據泄露風險、數據竊取風險、數據偽造風險、數據破壞風險等，成為了許多企業(yè)不得不面對且需重視的問題，但數據安全治理，往往由于其復雜性而被企業(yè)擱置，而當前新形勢下海量變換的數據，更是給企業(yè)的數據安全治理帶來了新的挑戰(zhàn)。

1、數據規(guī)模迅速增加，亟需數據安全治理方式改進
云計算技術的發(fā)展，極大地提高了計算和存儲資源的利用率。基于查詢/訪問而不是存儲量的云存儲定價模式，使得很多企業(yè)輕松地搭建起一個PB級的數據存儲。迅速擴大的數據規(guī)模，使得與這些數據相關的保護和治理，從數據發(fā)現到分級分類、從訪問控制到數據審計，都需要改變舊有的模式，來應對快速生成的海量的數據帶來的變化。

2、海量數據流轉，導致數據追蹤不可控
在當前復雜的業(yè)務情境以及技術條件下，數據在很多時候并不是先生成再存儲，而是從不同的位置獲取的，在ETL/ELT過程中，數據在不斷地變化位置，并經歷著富化、匿名化或者其他轉換。而且數據的轉換既可能在同個平臺內進行，也可能跨平臺或跨公共云進行，這使得數據的追蹤變得十分不可控，比如可能這個表中原本沒有任何敏感信息，但在各種轉化過程中卻被不小心添加了敏感信息。

3、數據存取方式演變，數據安全控制暗藏風險
數據在組織中的驅動作用越來越明顯，組織內部的數據需求量也隨之猛增，數據服務也隨著技術的發(fā)展而變得更加便利，大量用戶可以直接使用基于web的應用程序甚至移動應用程序來訪問和使用數據。但于此同時，也給組織的數據訪問管理帶來的新的難題，數據訪問的歸因問題、權限設置問題，很容易變成數據安全控制中的薄弱地帶，給組織的數據安全帶來隱藏風險。

4、攻擊手段多樣化，傳統(tǒng)安全手段防護效果甚微
目前針對數據的攻擊手段不斷翻新，從最初的暴力破解密碼、e-mail炸彈，到基于DNS、基于TCP-IP協(xié)議的攻擊，再到后來的木馬、蠕蟲、SQL 注入、跨站等基于應用軟件的攻擊等，大數據在全生命周期過程中被竊取、被濫用、被篡改的風險不斷增大。傳統(tǒng)的安全手段及體系呈現出單點、 靜態(tài)防護的特點，在應對大數據環(huán)境下的安全威脅時會出現防護效果不佳，甚至失效的情況，也為數據安全威脅的追蹤溯源帶來了更大的挑戰(zhàn)。

02、如何做好數據安全治理？

數據安全問題貫穿數據全生命周期的各個環(huán)節(jié)。在新形勢下，要做好數據安全治理，就要做好企業(yè)的數據安全防護能力建設，建立起一個強保障且動態(tài)化的安全保護機制。這個機制的攻堅點主要是三個方面：完善數據安全治理規(guī)劃，提高數據安全技術防護能力，和加強數據安全審計。

1.完善數據安全治理規(guī)劃
（1）評估數據安全現狀
一般來說，組織進行數據安全治理的目標主要是兩個：一是實現組織的合規(guī)保障；二是實現數據的充分開發(fā)利用，在安全的基礎上謀發(fā)展。組織在進行數據安全治理時，應在這兩個大方向的指引下，對組織內部的數據安全現狀，進行一個全方位的評估，并以此來作為數據安全治理的依據。

評估主要可以從外部和內部兩個方面來進行。
①外部合規(guī)：對業(yè)務適用的外部法律法規(guī)、監(jiān)管要求進行梳理，并據此對組織數據進行合規(guī)分析。
②內部現狀：結合組織的業(yè)務場景，基于數據全生命周期的安全防護要求，梳理組織內部數據已有的或者可能存在的風險點，分析原因，并明確數據安全治理建設具體需求點。

（2）完善數據安全治理組織規(guī)劃
數據安全治理工作貫穿數據從生產到使用的各個環(huán)節(jié)，涉及到組織內部的多方聯(lián)動，要保障數據安全工作的順利開展，就要建立起一套權責明確的組織規(guī)范，從數據安全的不同角色視角來滿足數據安全建設需求。

（3）建立數據安全保障制度體系

要實現數據安全要求清晰明確、數據安全治理有章可循，建立起一個完善的數據安全管理制度規(guī)范體系是非常必要的。下圖是關于制度體系的建議，從上到下共劃分為四級文檔，組織可以根據實際需要進行針對性的增刪和調整。

2.提高數據安全技術防護能力
（1）自動化數據分級分類
數據資產龐雜，基于傳統(tǒng)的人工方式難以達到動態(tài)化管理的要求，要確保分散在組織各處各層面的各類數據能夠被及時發(fā)現和準確標注，需要建設自動化的數據分類分級能力，從而滿足數據在不同應用場景下的動態(tài)化、體系化管控需求。在數據的分級分類中，有兩個類別是需要格外重視的。

①敏感數據
敏感數據是指泄漏后可能會給社會或個人帶來嚴重危害的數據，當前數據流轉快，敏感數據隨時可能出現在意料不到的位置。為此，需要進行持續(xù)的敏感數據發(fā)現和分級分類。根據不同的數據類型，可以采取的具體方法包括：字典匹配、模式匹配、算法匹配、機器學習等。

敏感數據的發(fā)現需要根據數據分類分級標準來進行，通過敏感數據屬性分類來統(tǒng)一敏感數據結構描述方法，從而建立起統(tǒng)一的敏感數據發(fā)現體系。在這個體系基礎上，來全面盤點敏感數據資產、形成敏感數據地圖。

此外，組織還可以將數據威脅與敏感數據自動關聯(lián)，實現敏感數據威脅的高效可視化管控，提升綜合安全治理決策效率。

②非結構化數據
在許多數據分類中，非結構化數據通常被忽略或被很籠統(tǒng)地歸結到一起。

相比于傳統(tǒng)的結構化數據和半結構化數據，非結構化數據增長速度更快，每 1KB 結構化數據產生的同時，約有 1GB 非結構化數據產生，并且數據量龐大且采集渠道廣泛，數據的處理鏈路非常長。這些都給非結構化數據的安全防護帶來挑戰(zhàn)。

非結構化數據的處理有一個核心的矛盾點是，數據處理者（業(yè)務方）有海量的數據和數據價值挖掘的需求，但是這些業(yè)務型企業(yè)的技術投入往往不足。因此這類企業(yè)在構建數據安全解決方案時，需要積極引入整個生命周期內不同角色的解決方案來協(xié)同工作。

（2）精細化數據權限管控
數據的權限，往往是單向擴張的。

隨著數據需求的擴大化，增加權限的請求越來越多，而刪除權限的請求幾乎沒有，這有時會導致權限的回收不及時的情況，增加了數據安全的不可控性。為了保障更準確的數據安全控制，企業(yè)可以從改進數據授權方式和關聯(lián)數據訪問信息兩方面，來增強數據權限的管控能力。

①改進數據授權方式
目前比較流行的數據授權方式是基于角色來授權，通過定義角色權限，來授權用戶訪問數據。但在一個快速發(fā)展的組織中，角色工作范圍及其權限的界定也是實時變化的，基于角色并不能保證其權限控制的準確性。

還有一種方法是基于屬性來授權訪問，這個方式相對更加靈活。它可以通過建立一個與數據平臺分離的數據訪問安全層，通過通用數據訪問服務，從而在不限制訪問的情況下確保數據安全。

②關聯(lián)數據訪問信息
要實現組織內部數據訪問的高效追蹤，就要將數據訪問與用戶身份、數據類型、訪問意圖等信息關聯(lián)起來。但這些信息往往存在于多個系統(tǒng)中，比如用戶身份存在于人員管理系統(tǒng)中、業(yè)務信息存在于主數據管理系統(tǒng)中、而與數據訪問相關的日志則建立在數據存儲系統(tǒng)中，這就需要組織通過數據共享，來實現信息的統(tǒng)一關聯(lián)，從而保障數據訪問的可高效追蹤。

（3）加強抗數據風險能力
在數據的整個生命周期，從采集、傳輸、存儲，到處理、使用和銷毀的各個環(huán)節(jié)，都有可能存在著數據安全風險。我們需要從防御風險、識別風險、預測風險、解決風險四個方面，來提升組織的抗風險能力。

①防御風險
針對大數據環(huán)境下的惡意行為的攻擊階段、影響范圍、威脅程度進行智能化評估，并結合實際情況制定相應的防御措施，分級別、分層次、分范圍地對大數據系統(tǒng)進行協(xié)同防御策略制定和分發(fā)，形成“網絡—應用—平臺—數據”的協(xié)同防御系統(tǒng)。

②識別風險
首先，建立起一套安全風險描述模型，構建大數據環(huán)境下數據流通各個環(huán)節(jié)的安全風險集；然后，從安全事件中學習規(guī)則，使獲得的各安全域的數據安全風險更加貼近真實情況，從而能夠準確實時地識別出數據安全風險。

③預測風險
研究大數據環(huán)境下安全態(tài)勢數據采集和統(tǒng)一的信息交互表示協(xié)議和標準、系統(tǒng)配置漏洞、運行環(huán)? ?境漏洞、目標代碼漏洞及其關聯(lián)環(huán)境漏洞，提出對? ?漏洞、違規(guī)操作、攻擊行為的多維度監(jiān)測識別手段。 研究態(tài)勢量化評估和預測模型，利用機器深度學習? ?態(tài)勢評估算法實現安全態(tài)勢綜合評估，基于攻擊意圖推演實現態(tài)勢趨勢預測和預警。

④解決風險
當數據安全風險出現時，企業(yè)需要實現對其的其實追蹤溯源，并建立起基于數據安全風險的主動防御系統(tǒng)聯(lián)動機制，在在發(fā)生安 全風險時能夠及時采取對系統(tǒng)影響最小的應對措施進行阻斷。

億信華辰的數據治理平臺睿治從技術層面為組織提供了數據安全的全方位防護，通過對隱私數據的加密、脫敏、模糊化處理、數據庫授權監(jiān)控等多種數據安全管理措施，從數據治理全過程來全面保障數據的安全運作。

03、做好數據安全監(jiān)控審計

在技術的重重防護墻下，還需建立數據安全監(jiān)控和審計的工作機制，從而從防范不正當的數據訪問和操作行為角度，來建立起另一道防護墻，降低數據全生命周期未授權訪問、數據濫用、數據泄漏等安全風險。

1.日常審計
針對賬號使用、權限分配、密碼管理、漏洞修復等日常工作的安全管理要求，進行組織內部的數據安全審計，從而保證能及時發(fā)現并解決問題。下圖是可參考的審計內容范圍。

2.專項審計
除此之外，還要進行以業(yè)務線為單位的專項審計，從數據全生命周期安全、隱私合規(guī)、合作方管理、鑒別訪問、風險分析等各個方面來評價數據安全工作執(zhí)行情況，從而來統(tǒng)籌改進執(zhí)行環(huán)節(jié)。

04、小結

大數據時代，有關數據安全的規(guī)范要求按下了加速鍵，《數據安全法》和《個人信息保護法》陸續(xù)出臺并實施、區(qū)域性數據安全法規(guī)政策接連發(fā)布、行業(yè)主管部門密集開展數據安全和個人信息保護選項工作……

數據安全要求日趨規(guī)范與嚴格、數據環(huán)境復雜變幻，對企業(yè)來說，做好數據安全治理迫在眉睫。數據的安全解決方案是一系列的流程 + 技術+規(guī)范的綜合保障。企業(yè)要從加強自身安全防護能力入手，建立起數據安全的重重防護墻，在數據安全的基礎上，更好地發(fā)揮數據價值。