数据安全治理方法导论

目录

第一章数据安全治理是一套系统工程　　

1.1数据安全成为安全的核心问题　　

1.数据泄露路径多元化　　

1.数据安全按相关法律和标准大爆发　　

1.数据安全建设需要有系统化思维和建设框架　　

第二章数据安全治理基本理念　　

.1Gartner数据安全治理理念　　

.数据安全治理系统理论设计　　

第三章数据安全治理-组织建设　　

第四章数据安全治理-规范制定　　

.1外部需要遵循的策略　　

.数据分类分级　　

.数据资产及使用状况梳理　　

..1数据使用部门和角色梳理　　

..数据的存储与分布梳理　　

..数据的使用状况梳理　　

.数据的访问控制　　

.5定期稽核策略　　

第五章数据安全治理-技术支撑　　

5.1数据安全治理的技术挑战　　

5.1.1数据安全状况梳理技术挑战　　

5.1.数据访问管控技术挑战　　

5.1.数据安全的稽核和风险发现挑战　　

5.数据安全治理的技术支撑　　

5..1数据资产梳理的技术支撑　　

5..数据使用安全控制　　

5..数据安全审计与稽核　　

5..数据安全监管运营　　

第六章数据安全治理-人员能力(文末有视频示例)

①数据成为资产、成为生产资料，收到重要保护

②个人信息、隐私保护涉及人身安全、公平对待

③新技术发展，基于数据驱动的经济模型

黑客攻击

内部人员叛卖信息

离职员工信息泄露

第三方外包人员非法交易

数据共享

…等等

GDPR

网络安全法

信息安全技术个人信息安全规范

数据处境管理办法

重要数据管理办法

中华人民共和国密码法

个人信息保护法

数据安全法

相关行业法规

...等等

问题：

1、是否沿用网络安全的处理策略，边界防护和攻击防护作为重点？

、数据安全的主体责任是谁？存储部门？使用部门？还是安全部门？

、数据安全产品的策略如何设置？

与网络安全非常不同的一点：数据与业务是强融合的，数据是流动的。

基于数据与业务系统的高度融入，数据如何被使用、数据的价值更被业务部门所识别；但是安全法规，又通常由单位或企业的安全或保密部门所负责；数据安全产品的采购和使用，需要系统化的方法，需要与数据处理的业务场景整合，既能保证数据使用行为不受影响，又能保证必要的安全措施能够得到保障。

数据安全治理的思路，正是这种将数据安全技术与数据安全管理融合在一起，综合业务、安全、网络等多部门多角色的诉求，总结归纳为系统化的思路和方法。

Gartner数据安全治理架构

Step1：业务需求与安全（风险/威胁/合规性）之间的平衡

这里需要考虑5个维度的平衡：经营策略、治理、合规、IT策略和风险容忍度，这也是治理队伍开展工作前需要达成统一的5个要素。

经营策略：确立数据安全的处理如何支撑经营策略的制定和实施

治理：对数据安全需要开展深度的治理工作

合规：企业和组织面临的合规要求

IT策略：企业的整体IT策略同步

风险容忍度：企业对安全风险的容忍度在哪里

Step：数据优先级

进行数据分级分类，以此对不同级别数据实行合理的安全手段。

Step：制定策略，降低安全风险

从两个方向考虑如何实施数据安全治理，一是明确数据的访问者（应用用户/数据管理人员）、访问对象、访问行为；二是基于这些信息制定不同的、有针对性的数据安全策略。

Step：实行安全工具

数据是流动的，数据结构和形态会在整个生命周期中不断变化，需要采用多种安全工具支撑安全策略的实施。Gartner在DSG体系中提出了实现安全和风险控制的5个工具：Crypto、DCAP、DLP、CASB、IAM。这5个工具是指5个安全领域，其中可能包含多个具体的技术手段。

Step5：策略配置同步

策略配置同步主要针对DCAP的实施而言，集中管理数据安全策略是DCAP的核心功能，而无论访问控制、脱敏、加密、令牌化，哪种手段都必须注意对数据访问和使用的安全策略保持同步下发，策略执行对象应包括关系型数据库、大数据类型、文档文件、云端数据等数据类型。

数据安全治理的核心目的是保障数据是使用安全，围绕此目的，构建理论系统时应包括如下几点：

1、战略愿景：数据使用安全

、需求覆盖：业务支撑、数据保护、合规、隐私保护

、核心理念：数据分类分级、角色授权、场景化保护、运营优化

、实施步骤：组织建设→资产梳理→策略制定→过程控制→效果监测→持续优化

5、落点维度：组织建设、制度流程、技术工具、人员能力

数据安全治理系统架构

组织建设是数据安全治理极为重要的一步，完善的组织建设对推动数据安全建设工作的进展起决定成败的作用。数据安全组织应涵盖业务、管理、安全、执行等部门的数据安全治理组织机构，才能做到业务和安全的有效平衡。

数据安全治理组织机构

决策层

数据安全治理委员会。对数据安全负最终的责任。单位主要负责人任组长，业务部门、安全部门、内部审计部门等部门的主要负责人；

管理层

数据安全管理团队。安全部门、业务部门、审计部门组成，共同执行数据安全管理任务、数据安全的合规管理任务；

执行层

数据安全运营团队。安全部门、业务部门、数据安全合作伙伴组成。负责具体落实和执行数据安全决策；

参与层

员工及合作伙伴

监督层

数据安全治理审计小组。数据安全治理稽核工作落实部门。

在整个数据安全治理的过程中，最为重要的是实现数据安全策略和流程的制定，在企业或行业内经常被作为《某某数据安全管理规范》进行发布，所有的工作流程和技术支撑都是围绕着此规范来制定和落实。但这个规范的出台往往需要经过大量的工作才能完成，这些工作通常包括：

A、梳理出组织所需要遵循的外部政策，并从中梳理出与数据安全管理相关的内容；

B、根据该组织的数据价值和特征，梳理出核心数据资产，并对其分级分类；

C、理清核心数据资产使用的状况（收集、存储、使用、流转）；

D、分析核心数据资产面临的威胁和使用风险；

E、明确核心数据资产访问控制的目标和访问控制流程；

F、制订出组织对数据安全规范落实和安全风险进行定期的核查策略；

G、整个策略的技术支撑规范。

制度规范一般会从业务的数据安全需求、数据安全风险控制需要及国家、不同行业的合规性要求等方面进行梳理，最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。

数据安全治理制度规范建设

需梳理出相关法律法规与数据安全相关的要求，这些法律法规通常包括：

网络安全法

数据安全法

个人信息保护法

GDPR

行业监管单位相关法规

等等

数据保护需要有的放矢、因“数”而异，不能采用一刀切的策略做保护，需要根据不同的业务需求做精细化的安全策略，才能实现安全与使用的平衡。

所以，对组织来说，对数据做分类分级，是实施数据安全治理的必经之路。

（1）数据分级分类的原则：

分类：依据数据的来源、内容和用途对数据进行分类；

分级：按照数据的价值、内容敏感程度、影响和分发范围不同对数据进行敏感级别划分。

（）数据分级分类方式

根据梳理出的备案数据资产，进行敏感数据的自动探测，通过特征探测定位敏感数据分布在哪些数据资产中；

针对敏感的数据资产进行分级分类标记，分类出敏感数据所有者（部门、系统、管理人员等）；

根据已分类的数据资产由业务部门进行敏感分级，将分类的数据资产划分公开、内部、敏感等不同的敏感级别。

以下为某运营商的数据分类表及分级表；

数据分类表

数据分级表

对于数据资产使用角色的梳理，关键是要明确在数据安全治理中不同受众的分工、权利和职责

组织与职责，明确安全管理相关部门的角色和责任，一般包括：

安全管理部门：制度制定、安全检查、技术导入、事件监控与处理；

业务部门：业务人员安全管理、业务人员行为审计、业务合作方管理；

运维部门：运维人员行为规范与管理、运维行为审计、运维第三方管理；

其它：第三方外包、人事、采购、审计等部门管理。

对于数据治理的角色与分工，需要明确关键部门内不同角色的职责，一般包括：

安全管理部门：政策制定者、检查与审计管理、技术导入者

业务部门：根据单位的业务职能划分

运维部门：运行维护、开发测试、生产支撑

敏感数据分布在哪里，是实现管控的关键。

只有清楚敏感数据分布在哪里，才能知道需要实现怎样的管控策略；比如，针对数据库这个层面，掌握数据分布在哪个库、什么样的库，才能知道对该库的运维人员实现怎样的管控措施；对该库的数据导出实现怎样的模糊化策略；对该库数据的存储实现怎样的加密要求

某运营商对敏感系统分布的梳理结果

以运营商行业上述梳理结果为例，这仅仅是一个数据梳理的基础，更重要的是要梳理出不同的业务系统对这些敏感信息访问的基本特征，如访问的时间、IP、访问的次数、操作行为类型、数据操作批量行为等，在这些基本特征的基础上，完成数据管控策略的制定。

在清楚了数据的存储分布的基础上，还需要掌握数据被什么业务系统访问。只有明确了数据被什么业务系统访问，才能更准确地制定这些业务系统的工作人员对敏感数据访问的权限策略和管控措施。

针对数据使用的不同方面，需要完成对数据使用的原则和控制策略，一般包括如下方面：

数据访问的账号和权限管理

数据使用过程管理

数据共享（提取）管理

数据存储管理

1、专人账号管理

1、业务需要访问原则

1、最小共享和模糊化原则

1、涉密数据存储的网络区隔

、账号独立原则

、批量操作审批原则

、共享（提取）审批原则

、敏感数据存储加密

、账号授权审批

、高敏感访问审批原则

、最小使用范围原则

、备份访问管理

、最小授权原则

、批量操作和高敏感访问指定设备、地点原则

、责任传递原则

、存储设备的移动管理

5、账号回收管理

5、访问过程审计记录

5、定期稽核

5、存储设备的销毁管理

6、管理行为审计记录

6、开发测试访问模糊化原则

7、定期账号稽核

7、访问行为定期稽核

定期的稽核是保证数据安全治理规范落地的关键，也是信息安全管理部门的重要职责，包括

合规性检查：确保数据安全使用政策被真实执行；

操作监管与稽核

数据访问账号和权限的监管与稽核

1）要具有账号和权限的报告

）要具有账号和权限的变化报告

业务单位和运维部门数据访问过程的合法性监管与稽核：

1）要定义异常访问行为特征

）要对数据的访问行为具有完全的记录和分析

风险分析与发现：

1）对日志进行大数据分析，发现潜在异常行为

）对数据使用过程进行尝试攻击，进行数据安全性测试

因此建立健全数据安全治理过程管理的制度、流程、标准体系是非常必要的，后期才可以保障实行数据安全规划、计划、实施、运行、督查的全过程管控。对信息安全制度、标准进行滚动式修订，可以持续夯实自身数据安全标准化管理基础。

实施数据安全治理的组织，一般都具有较为发达和完善的信息化水平，数据资产庞大，涉及的数据使用方式多样化，数据使用角色繁杂，数据共享和分析的需求刚性，要满足数据有效使用的同时保证数据使用的安全性，需要极强的技术支撑。

数据安全治理面临数据状况梳理、敏感数据访问与管控、数据治理稽核三大挑战。

组织需要确定敏感性数据在系统内部的分布情况，其中的关键问题在于如何在成百上千的数据库和存储文件中明确敏感数据的分布；组织需要确定敏感性数据是如何被访问的，如何掌握敏感数据在被什么系统、什么用户以什么样的方式访问；组织需要迅速确定当前的账号和授权状况，清晰化、可视化、报表化的明确敏感数据在数据库和业务系统中的访问账号和授权状况，明确当前权控是否具备适当的基础。

在敏感数据访问和管控技术方面，细分至五个方面的挑战：

（1）如何将敏感数据访问的审批在执行环节有效落地

对于敏感数据的访问、对于批量数据的下载要进行审批制度，这是数据治理的关键；但工单的审批若是在执行环节无法有效控制，访问审批制度仅仅是空中楼阁。

（）如何对突破权控管理的黑客技术进行防御

基于数据库的权限控制技术，在基于漏洞的攻击的基础上将很容易被突破。

（）如何在保持高效的同时实现存储层的加密

基于文件层和硬盘层的加密将无法与数据库的权控体系结合，对运维人员无效；如何实现存储加密、权限控制和快速检索的整体解决，是这一问题的关键，只有这样的存储加密才能保证安全的同时数据可用。

（）如何实现保持业务逻辑后的数据脱敏

对于测试环境、开发环境和BI分析环境中的数据需要对敏感数据模糊化，但模糊化的数据保持与生产数据的高度仿真，是实现安全可用的基础。

（5）如何实现数据提取分发后的管控

数据的共享是数据的基本使用属性，但数据的复制是没有痕迹的；数据分发后如何保证数据不会被流转到失控的环境，或者被复制后可溯源，这是数据提取分发管理的关键。

1、如何实现对账号和权限变化的追踪

定期地对账号和权限变化状况进行稽核，是保证对敏感数据的访问在既定策略和规范内的关键；但如何对成百上千个业务系统和数据库中的账号与权限的变化状况进行追踪是关键。

、如何实现全面的日志审计

在新的网络安全法出台后全面的数据访问审计要求，日志存储要求6个月；在新的等保中要求，云的提供商和用户都必须实现全面的日志记录。全面审计工作对各种通讯协议、云平台的支撑，亿数据以上的存储、检索与分析能力上，均形成挑战。全面的审计是检验数据安全治理中的策略是否在日常的执行中切实落地的关键。

、如何快速实现对异常行为和潜在风险的发现与告警

数据治理中，有一个关键要素就是发现非正常的访问行为和系统中存在的潜在漏洞问题。如何对日常行为进行建模，在海量数据中快速发现异常行为和攻击行为避免系统面临大规模失控的关键。

数据安全治理，始于数据资产梳理。数据资产梳理是数据库安全治理的基础，通过对数据资产的梳理，可以确定敏感数据在系统内部的分布、确定敏感数据是如何被访问的、确定当前的账号和授权的状况。根据本单位的数据价值和特征，梳理出本单位的核心数据资产，对其分级分类，在此基础之上针对数据的安全管理才能确定更加精细的措施。

数据资产梳理有效地解决企业对资产安全状况摸底及资产管理工作；改善以往传统方式下企业资产管理和梳理的工作模式，提高工作效率，保证了资产梳理工作质量。合规合理的梳理方案，能做到对风险预估和异常行为评测，很大程度上避免了核心数据遭破坏或泄露的安全事件。

（1）静态梳理技术

静态梳理是完成对敏感数据的存储分布状况的摸底，从而帮助安全管理人员掌握系统的数据资产分布情况。

静态梳理可以分为结构化数据梳理和非结构化数据梳理。

对于结构化数据的梳理，通过静态的扫描技术可以获得数据的以下基本信息：

A、通过端口扫描和特征发现，可以得到系统网段内存在的数据库列表，以及所分布的IP，从而获得数据库资产清单；

B、根据所定义的企业内不同敏感数据的特征，以及预先定义的这些数据的类别和级别，通过对表中的数据进行采样匹配，获得不同的列、表和库中的数据所对应的级别和类别；

对于非结构化数据，通过磁盘扫描技术，根据预先定义的数据特征，对于CSV、HTML、XML、PDF、Word、Excel和PPT等文档中的内容进行扫描，获得这些文件中所具有的信息的类别和级别。

无论是结构化还是非结构化，都要建立对应的敏感数据资产清单。

动态梳理技术是基于对网络流量的扫描，实现对系统中的敏感数据的访问状况的梳理，包括：敏感数据的存储分布、敏感数据的系统访问状况、敏感数据的批量访问状况、敏感数据的访问风险。

通过动态梳理技术可以获得数据的以下基本信息：

哪些IP（数据库主机）是数据的来源；

哪些IP（业务系统或运维工具）是数据的主要访问者；

敏感数据是如何被业务系统访问的（时间、流量、操作类型、语句）；

敏感数据是如何被运维人员访问的（IP、用户、操作）；

动态梳理同样要分为对结构化数据访问网络流量的扫描，以及非结构化数据访问的网络流量的扫描。结构化数据的网络流量，主要是对各种RDBMS、NOSQL、MPP数据库的通讯协议的流量监控；非结构化数据主要是对Mail协议、HTTP、FTP等协议的监控和解析。

（）数据状况的可视化呈现技术

通过可视化技术将静态资产和动态资产梳理技术梳理出的信息以可视化的形式呈现；比如敏感数据的访问热度、资产在组织内不同部门或业务系统内的分布、系统的账号和权限图、敏感数据的范围权限图。

（）数据资产存储系统的安全现状评估

安全现状评估是将已定位、梳理的数据库资产进行全面检测评估，评估项包括：口令和账户、弱安全策略、权限宽泛、权限提升漏洞、日志、补丁升级等，评估是否存在安全漏洞。

通过安全风险检查让数据资产管理员全面了解数据库资产运行环境是否存在安全风险。

通过安全现状评估能有效发现当前数据库系统的安全问题，对数据库的安全状况进行持续化监控，保持数据库的安全健康状态。

安全现状评估的价值：

（1）提升数据库使用安全系数：检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等问题。对检测出的问题进行有针对性的修复，整体提升数据库使

用安全系数。

（）降低数据库被黑客攻击风险：检测出数据库使用过程中由于人为疏忽造成的诸多安全隐患，例如：低安全配置、弱口令、高危程序代码、权限宽泛等。对上述安全隐患进行针对性处理后可有效降低黑客攻击风险。

（）满足政策检测要求：在进行安全现状评估后，数据库管理人员可针对数据库漏洞、风险使用等方面的风险进行改进，满足相关政策对数据库安全使用的检测要求。

数据在使用过程中，按照数据流动性以及使用需求划分，将会面临如下使用场景：

●通过业务系统访问数据

●在数据库运维时调整数据

●开发测试时使用数据

●BI分析时使用数据

●面向外界分发数据

●内部高权限人员使用数据

数据使用安全控制示意图

数据安全稽核是安全管理部门的重要职责，以此保障数据安全治理的策略和规范被有效执行和落地，以确保快速发现潜在的风险和行为。但数据稽核在大型企业或机构超大规模的数据流量、庞大的数据管理系统和业务系统数量面前，也面临着很大的技术挑战。

数据所面临的威胁与风险是动态变化的过程，入侵环节、入侵方式、入侵目标均随着时间不断演进。这也就要求我们的防护体系、治理思路不能墨守成规，更不能一成不变。所以数据安全治理的过程中我们始终要具备一项关键能力——完善的审计与稽核能力。通过审计与稽核的能力来帮助我们掌握威胁与风险的变化，明确我们的防护方向，进而调整我们的防护体系，优化防御策略，补足防御薄弱点，使防护体系具备动态适应能力，真正实现数据安全防护。

数据的安全审计和稽核机制由四个环节组成，分别是行为审计与分析、权限变化监控、异常行为分析、建立安全基线。

在数据安全治理的思路下，我们建设数据安全防护体系时必须具备审计能力。利用数据库协议分析技术将所有访问和使用数据的行为全部记录下来，包括账号、时间、IP、会话、操作、对象、耗时、结果等等内容。一套完善的审计机制能够为数据安全带来两个价值：

1、事中告警

数据的访问、使用、流转过程中一旦出现可能导致数据外泄、受损的恶意行为时，审计机制可以第一时间发出威胁告警，通知管理人员。管理人员在第一时间掌握威胁信息后，可以针对性的阻止该威胁，从而降低或避免损失。所以，审计机制必须具备告警能力，可以通过邮件、短信等方式发出告警通知。

为实现事中告警能力，审计系统需要能够有效识别风险威胁，需要具备下列技术：

●漏洞攻击检测技术：针对CVE公布的漏洞库，提供漏洞特征检测技术；

●SQL注入监控技术：提供SQL注入特征库；

●口令攻击监控：针对指定周期内风险客户端IP和用户的频次性登录失败行为监控；

●高危访问监控技术：在指定时间周期内，根据不同的访问来源，如：IP地址、数据库用户、MAC地址、操作系统、主机名，以及应用关联的用户、IP等元素设置访问策略；

●高危操作控制技术：针对不同访问来源，提供对数据库表、字段、函数、存储过程等对象的高危操作行为监控，并且根据关联表个数、执行时长、错误代码、关键字等元素进行限制；

●返回行超标监控技术：提供对敏感表的返回行数监控；

●SQL例外规则：根据不同的访问来源，结合指定的非法SQL语句模板添加例外规则，以补充风险规则的不足，形成完善的审计策略。

、事后溯源

数据的访问、使用过程出现信息安全事件之后，可以通过审计机制对该事件进行追踪溯源，确定事件发生的源头（谁做的？什么时间做的？什么地点做的？），还原事件的发生过程，分析事件造成的损失。不但能够对违规人员实现追责和定责，还为调整防御策略提供非常必要的参考。所以，审计机制必须具备丰富的检索能力，可以将全要素作为检索条件的查询功能，方便事后溯源定位。

一套完善的审计机制是基于敏感数据、策略、数据流转基线等多个维度的集合体，对数据的生产流转，数据操作进行监控、审计、分析，及时发现异常数据流向、异常数据操作行为，并进行告警，输出报告。

账号和权限总是动态被维护的，在成千上万的数据账号和权限下，如何快速了解在已经完成的账号和权限基线上增加了哪些账号，账号的权限是否变化了，这些变化是否遵循了合规性保证。需要通过静态的扫描技术和可视化技术帮助信息安全管理部门完成这种账号和权限的变化稽核。

权限变化监控是指监控所有账号权限的变化情况，包括账号的增加和减少，权限的提高和降低，是数据安全稽核的重要一环。对权限变化进行监控，对抵御外部提权攻击，对抵御内部人员私自调整账号权限进行违规操作均是必不可少的关键能力。

权限变化监控能力的建立分为两个阶段，第一是权限梳理，第二是权限监控。

1、权限梳理

结合人工和静态扫描技术，对现有账号情况进行详细梳理，梳理结果形成账号和权限基线，该基线的调整必须遵循规章制度的合规性保障。通过可视化技术帮助管理人员直观掌握环境中所有账号及对应的权限情况。

、权限监控

账号和权限基线一旦形成，即可通过扫描技术对所有账号及权限进行变化监控。监控结果与基线进行对比，一旦出现违规变化（未遵循规章制度的私自调整权限）会通过可视化技术和告警技术确保管理人员第一时间可以得到通知。

在安全稽核过程中，除了明显的数据攻击行为和违规的数据访问行为外，很多的数据入侵和非法访问是掩盖在合理的授权下的，这就需要通过一些数据分析技术，对异常性的行为进行发现和定义，这些行为往往从单个的个体来看是合法的。

对于异常行为，可以通过两种方式，一种是通过人工的分析完成异常行为的定义；一种是对日常行为进行动态的学习和建模，对于不符合日常建模的行为进行告警。

几种异常行为定义举例

在组织进行数据安全治理系统化工程建设的过程中，需要一套自动化的监管运营平台帮助其实现策略的智能化运营以及风险的可视化呈现。组织利用数据安全监管运营平台，实现对数据进行分类分级保护，重点保护“敏感信息”，明确“允许谁(WHO)，在哪种环境下(Where)，什么时候(When)、对什么信息(What)、使用什么方法(How)、做（Do）什么操作(W1H1D)”，对数据全生命周期做到“可视化”、“可量化”、“可审计”和“可感知”、“可控制”。

依靠数据安全监管运营，可全面掌握全域敏感数据资产分类、分级及分布情况，有效监控敏感数据流转路径和动态流向。通过集中化数据安全管控策略管理，实现数据分布、流转、访问过程中的态势呈现和风险识别。平台通过采集引擎和控制引擎进行隐私数据收集与管控，为组织实现对数据发现、集中化策略管理、数据泄露分析、数据安全运营的全生命周期管控。

数据安全监管运营展示

一方面：做好数据安全工作人员的专业认证。

另一方面，定期对组织进行数据安全意识培训；

如下示例，加强对个人信息安全保护的意识。

本视频来源于天融信教育

《全文完》

参考文献：

数据安全治理白皮书.0

天融信数据安全治理中心及数据安全产品线相关材料