數(shù)據(jù)安全治理的九大要素

數(shù)據(jù)安全治理的九大要素前言：風(fēng)險(xiǎn)是數(shù)據(jù)安全保障的起點(diǎn)，正是由于有了風(fēng)險(xiǎn)、有了特定威脅動(dòng)機(jī)的威脅源，使用各種攻擊方法、利用信息系統(tǒng)的各種脆弱性、對(duì)信息資產(chǎn)造成各種影響，才弓|起了信息安全問(wèn)題。而數(shù)據(jù)安全治理就是圍繞著風(fēng)險(xiǎn)，針對(duì)面臨的各種風(fēng)險(xiǎn)，制定針對(duì)性的策略，將風(fēng)險(xiǎn)減少至可以接受的程度。1|安全目標(biāo)與業(yè)務(wù)目標(biāo)對(duì)其大數(shù)據(jù)時(shí)代，從企業(yè)內(nèi)部到企業(yè)關(guān)聯(lián)的上下游產(chǎn)業(yè)鏈中每天都源源不斷產(chǎn)生大量數(shù)據(jù)，這些數(shù)據(jù)能夠給企業(yè)帶來(lái)無(wú)限機(jī)會(huì)。數(shù)據(jù)也因此被稱為新時(shí)代企業(yè)的“黃金”和“石油，正成為企業(yè)的核心資產(chǎn)、國(guó)家的戰(zhàn)略資源。保證數(shù)據(jù)安全能力已成為全球進(jìn)入大數(shù)據(jù)時(shí)代的重要競(jìng)爭(zhēng)力。傳統(tǒng)的數(shù)據(jù)安全更多的是放在網(wǎng)絡(luò)入侵系統(tǒng)數(shù)據(jù)被竊取，而這只是數(shù)據(jù)安全的一部分，我們提到的數(shù)據(jù)安全是以數(shù)據(jù)為中心，建設(shè)可見、可控、可管的能力，達(dá)到讓數(shù)據(jù)看得見，控得住，管得好。我們回過(guò)頭再談數(shù)據(jù)安全治理的目標(biāo)，讓數(shù)據(jù)看得見，控得住，管得好是數(shù)據(jù)安全治理的手段，并不是目標(biāo)。那么什么才是數(shù)據(jù)安全治理的目標(biāo)呢？有專家觀點(diǎn)：數(shù)據(jù)安全管理是實(shí)現(xiàn)敏感數(shù)據(jù)最小化訪問(wèn)，以保證數(shù)據(jù)的安全。筆者認(rèn)為這是戰(zhàn)術(shù)層面的數(shù)據(jù)安全管理，而從戰(zhàn)略上講數(shù)據(jù)安全和敏感信息的保護(hù)要站在企業(yè)級(jí)數(shù)據(jù)共享和應(yīng)用的視角，以合規(guī)要求為前提，以數(shù)據(jù)應(yīng)用為基礎(chǔ)，以滿足業(yè)務(wù)用數(shù)需求為驅(qū)動(dòng)，將數(shù)據(jù)安全目標(biāo)與企業(yè)業(yè)務(wù)目標(biāo)對(duì)其，來(lái)進(jìn)行統(tǒng)籌規(guī)劃。換句話說(shuō)，數(shù)據(jù)安全治理的目標(biāo)是通過(guò)安全的使用數(shù)據(jù)以實(shí)現(xiàn)業(yè)務(wù)目標(biāo)，脫離了“使用”數(shù)據(jù)安全就沒有了意義，脫離了“業(yè)務(wù)目標(biāo)”數(shù)據(jù)資產(chǎn)就沒有了價(jià)值。梳理數(shù)據(jù)資產(chǎn)，識(shí)別敏感數(shù)據(jù)數(shù)據(jù)資產(chǎn)梳理是數(shù)據(jù)安全治理的基礎(chǔ)，通過(guò)對(duì)數(shù)據(jù)資產(chǎn)的梳理，可以確定敏感性數(shù)據(jù)在系統(tǒng)內(nèi)部的分布、確定敏感數(shù)據(jù)是如何被訪問(wèn)的、確定當(dāng)前的數(shù)據(jù)訪問(wèn)賬號(hào)和授權(quán)的情況等。關(guān)于數(shù)據(jù)資產(chǎn)梳理的方法主要有自頂向下的全面梳理和需求驅(qū)動(dòng)的自底向上梳理方法，這兩種方法在筆者之前的文章中也有詳細(xì)描述，詳見《主數(shù)據(jù)管理四部曲》。這個(gè)過(guò)程也可以借助一些自動(dòng)化工具幫助我們識(shí)別敏感數(shù)據(jù)，基于用戶指定或預(yù)定義的敏感數(shù)據(jù)及特征，工具可以自動(dòng)識(shí)別發(fā)現(xiàn)敏感數(shù)據(jù)并導(dǎo)出清單。同時(shí)，還需要借助數(shù)據(jù)可視化技術(shù)，構(gòu)建企業(yè)數(shù)據(jù)地圖，可視化企業(yè)數(shù)據(jù)資產(chǎn)，并可以通過(guò)數(shù)據(jù)地圖準(zhǔn)確定位敏感數(shù)據(jù)所在位置，讓數(shù)據(jù)資產(chǎn)和安全風(fēng)險(xiǎn)都能看得見。誰(shuí)應(yīng)該對(duì)企業(yè)的數(shù)據(jù)安全負(fù)責(zé)？這是有一個(gè)爭(zhēng)議性的話題。提到數(shù)據(jù)安全認(rèn)責(zé)，有人會(huì)說(shuō)：〃不是IT負(fù)責(zé)嗎？，然而，我們從前文中大量的數(shù)據(jù)泄露案例來(lái)看，對(duì)于數(shù)據(jù)安全的責(zé)任真的不應(yīng)該由IT背鍋，IT也負(fù)不起這個(gè)責(zé)任。事實(shí)上，IT只是企業(yè)信息系統(tǒng)的實(shí)施者和維護(hù)者或部分?jǐn)?shù)據(jù)的管理者，在企業(yè)的數(shù)據(jù)安全治理環(huán)境中，數(shù)據(jù)的生產(chǎn)者、擁有者、使用者同樣有數(shù)據(jù)安全責(zé)任?；凇罢l(shuí)生產(chǎn)、誰(shuí)擁有、誰(shuí)負(fù)責(zé)”的數(shù)據(jù)認(rèn)責(zé)原則，確定數(shù)據(jù)安全治理工作的相關(guān)各方的責(zé)任和關(guān)系，包括數(shù)據(jù)安全治理過(guò)程中的決策、執(zhí)行、解釋、匯報(bào)、協(xié)調(diào)等活動(dòng)的參與方和負(fù)責(zé)方，以及各方承擔(dān)的角色和職責(zé)等，形成由數(shù)據(jù)治理負(fù)責(zé)部門牽頭的，全員參與的主動(dòng)認(rèn)責(zé)文化，重視問(wèn)題的溝通，能夠主動(dòng)剖析和快速響應(yīng)出現(xiàn)的認(rèn)責(zé)問(wèn)題。執(zhí)行基于數(shù)據(jù)域的數(shù)據(jù)認(rèn)責(zé)模式，數(shù)據(jù)域的劃分清晰且合理，理清各部門、各小組以及各參與人所承擔(dān)的角色職責(zé)，在企業(yè)中推廣數(shù)據(jù)認(rèn)責(zé)。4分類分級(jí)策略數(shù)據(jù)分類分級(jí)策略包括數(shù)據(jù)分類和數(shù)據(jù)分級(jí)。數(shù)據(jù)分類是按照一定的原則和方法對(duì)數(shù)據(jù)進(jìn)行歸類，建立起一定的分類體系，以便更好地管理和使用企業(yè)數(shù)據(jù)的過(guò)程。分級(jí)屬于數(shù)據(jù)安全范疇，按照一定的分級(jí)原則和涉密程度的高低對(duì)分類后的企業(yè)數(shù)據(jù)進(jìn)行定級(jí)，從而使企業(yè)數(shù)據(jù)的能夠安全合規(guī)的進(jìn)行使用。在數(shù)據(jù)治理領(lǐng)域，提到分類分級(jí)都是與數(shù)據(jù)的合規(guī)使用有關(guān)?；谄髽I(yè)數(shù)據(jù)的分類分級(jí)制定數(shù)據(jù)訪問(wèn)控制策略，形成敏感分級(jí)數(shù)據(jù)與用戶角色的訪問(wèn)控制矩陣，為數(shù)據(jù)的安全合規(guī)使用提供支撐。數(shù)據(jù)分類分級(jí)不僅能夠確保具有較低信任級(jí)別的用戶無(wú)法訪問(wèn)敏感數(shù)據(jù)以保護(hù)重要的數(shù)據(jù)資產(chǎn)，并避免對(duì)不重要的數(shù)據(jù)采取不必要的安全措施。分類分級(jí)除了可以滿足合規(guī)需求，更是提升企業(yè)信息化水平和運(yùn)營(yíng)能力的良方?；跇I(yè)務(wù)主題的分類可以更好地將數(shù)據(jù)資產(chǎn)化，持續(xù)性為企業(yè)提供精準(zhǔn)的數(shù)據(jù)服務(wù)；同時(shí)數(shù)據(jù)分級(jí)可以在安全角度為企業(yè)保駕護(hù)航，哪些數(shù)據(jù)可以使用、哪些不可以使用、哪些能對(duì)夕卜開放、哪些不能開放、不同等級(jí)的數(shù)據(jù)在不同場(chǎng)景使用哪種安全策略，一目了然。根據(jù)已分類的數(shù)據(jù)資產(chǎn)由業(yè)務(wù)部門根據(jù)數(shù)據(jù)的價(jià)值、敏感程度、影響范圍進(jìn)行敏感分級(jí)，將分類的數(shù)據(jù)資產(chǎn)劃分公開、內(nèi)部、敏感等不同的敏感級(jí)別；對(duì)不同等級(jí)的數(shù)據(jù)分配給相應(yīng)的用戶角色，建立敏感分級(jí)數(shù)據(jù)與用戶角色的訪問(wèn)控制矩陣。當(dāng)然，保證數(shù)據(jù)安全僅靠數(shù)據(jù)分類分級(jí)是不夠的，企業(yè)需要?jiǎng)?chuàng)建一個(gè)數(shù)據(jù)訪問(wèn)控制策略，該策略指定訪問(wèn)類型，基于分類分級(jí)的數(shù)據(jù)訪問(wèn)條件，明確有權(quán)訪問(wèn)數(shù)據(jù)的用戶或用戶組，定義正確使用數(shù)據(jù)的構(gòu)成等。訪問(wèn)控制策略是數(shù)據(jù)安全領(lǐng)域的一個(gè)重要概念，通常是指批準(zhǔn)或者限制任何對(duì)數(shù)據(jù)資源的訪問(wèn)，監(jiān)控和記錄訪問(wèn)日志，進(jìn)行訪問(wèn)用戶身份的認(rèn)證和識(shí)別，并且確定其訪問(wèn)是否得到了授權(quán)的策略。.用戶身份認(rèn)證.用戶密碼策略.配置訪問(wèn)權(quán)限.最小授權(quán)原則在設(shè)計(jì)數(shù)據(jù)訪問(wèn)權(quán)限時(shí)，要結(jié)合數(shù)據(jù)安全等級(jí)并且要切合業(yè)務(wù)實(shí)際，將數(shù)據(jù)安全治理回歸到業(yè)務(wù)中去，以達(dá)到數(shù)據(jù)使用的安全合規(guī)。數(shù)據(jù)安全審計(jì)是安全管理部門的重要職責(zé)，以此保障數(shù)據(jù)安全治理的策略和規(guī)范被有效執(zhí)行和落地，以確?？焖侔l(fā)現(xiàn)潛在的風(fēng)險(xiǎn)和行為。數(shù)據(jù)所面臨的威脅與風(fēng)險(xiǎn)是動(dòng)態(tài)變化的過(guò)程，入侵環(huán)節(jié)、入侵方式、入侵目標(biāo)均隨著時(shí)間不斷演進(jìn)。通過(guò)數(shù)據(jù)安全審計(jì)來(lái)幫助企業(yè)掌握威脅與風(fēng)險(xiǎn)的變化，明確我們的防護(hù)方向，進(jìn)而調(diào)整和優(yōu)化數(shù)據(jù)安全治理策略，補(bǔ)足防御薄弱點(diǎn)，使防護(hù)體系具備動(dòng)態(tài)適應(yīng)能力，真正實(shí)現(xiàn)數(shù)據(jù)安全防護(hù)。組織建設(shè)。數(shù)據(jù)安全治理作為企業(yè)數(shù)據(jù)治理的一個(gè)子集，其組織的建設(shè)應(yīng)在數(shù)據(jù)治理組織機(jī)構(gòu)的整體框架下進(jìn)行，數(shù)據(jù)治理委員會(huì)依然數(shù)據(jù)數(shù)據(jù)安全治理的決策機(jī)構(gòu)，負(fù)責(zé)數(shù)據(jù)安全戰(zhàn)略的制定。文化建設(shè)。通過(guò)營(yíng)造一種文化，使員工接受定期培訓(xùn)幫助企業(yè)員工識(shí)別并避免勒索軟件攻擊，網(wǎng)絡(luò)釣魚詐騙以及對(duì)數(shù)據(jù)和IT資源的其他威脅。同時(shí)，讓企業(yè)的相關(guān)人員清楚知道自己在數(shù)據(jù)安全治理的責(zé)任和權(quán)力，以實(shí)現(xiàn)數(shù)據(jù)的合規(guī)性訪問(wèn)。^制度與流程據(jù)認(rèn)責(zé)。為了保護(hù)企業(yè)財(cái)務(wù)數(shù)據(jù)、客戶數(shù)據(jù)和其他敏感數(shù)據(jù)的安全，以保障數(shù)據(jù)的保密性、完整性和可用性。無(wú)論規(guī)模大小，企業(yè)都需要明確定義其專業(yè)人員的角色和職責(zé)。安全審核。數(shù)據(jù)安全審核可幫助企業(yè)了解存在的數(shù)據(jù)安全漏洞。雖然很多企業(yè)已認(rèn)識(shí)數(shù)據(jù)安全對(duì)企業(yè)的重要性，并建立了數(shù)據(jù)安全的定期審核機(jī)制，但實(shí)際上大多企業(yè)的精力還是放在處理數(shù)據(jù)本身上，而定期審核機(jī)制成為了一個(gè)擺設(shè)。全生命周期管理。數(shù)據(jù)的安全治理應(yīng)貫穿于數(shù)據(jù)的整個(gè)生命周期，在數(shù)據(jù)的規(guī)劃、設(shè)計(jì)、創(chuàng)建、存儲(chǔ)、使用、銷毀的各個(gè)階段應(yīng)設(shè)置相應(yīng)的管控點(diǎn)和管理流程。數(shù)據(jù)的規(guī)劃和設(shè)計(jì)階段，應(yīng)對(duì)涉密、敏感數(shù)據(jù)進(jìn)行識(shí)別、分類和分級(jí)，并定義數(shù)據(jù)安全保密控制的規(guī)則。整個(gè)管理過(guò)程需要充分調(diào)動(dòng)業(yè)務(wù)部門，通過(guò)業(yè)務(wù)流程把敏感信息的處理要求落到具體的業(yè)務(wù)環(huán)節(jié)中去。9技術(shù)與工具嚴(yán)格來(lái)說(shuō)數(shù)據(jù)資產(chǎn)梳理、敏感數(shù)據(jù)識(shí)別、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)訪問(wèn)控制、數(shù)據(jù)安全審計(jì)都是數(shù)據(jù)安全治理技術(shù)的范疇。除此之外，還包括：漏洞掃描、備份與恢復(fù)、數(shù)據(jù)加密、數(shù)據(jù)脫敏