前言
本白皮書由中國網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理委員會(簡稱數(shù)據(jù)安全治理委員會)起草編著����,通過對國內(nèi)外當(dāng)下的數(shù)據(jù)安全情勢與市場趨勢進(jìn)行解讀與前瞻�����,結(jié)合國際相關(guān)標(biāo)準(zhǔn)與框架���,提出符合中國信息化建設(shè)階段和需求的數(shù)據(jù)安全治理理念與框架�����,旨在幫助政府與企業(yè)進(jìn)行數(shù)據(jù)安全建設(shè)的整體思考與規(guī)劃��,為數(shù)據(jù)安全建設(shè)的設(shè)計(jì)與實(shí)施者提供具有參考價值的數(shù)據(jù)安全治理整體方案及案例實(shí)踐���。白皮書中闡述的數(shù)據(jù)安全治理體系是以數(shù)據(jù)資產(chǎn)的正常使用為前提�����,保障數(shù)據(jù)在各使用場景下的安全�����,促進(jìn)數(shù)據(jù)價值的釋放與共享�。
一����、數(shù)據(jù)安全建設(shè)需要系統(tǒng)化建設(shè)思路
數(shù)據(jù)治理或者數(shù)據(jù)安全概念����,對于大多數(shù)IT和安全從業(yè)者來說,認(rèn)知度比較高����,但數(shù)據(jù)安全治理,是個新名詞���。實(shí)際上�����,對于擁有重要數(shù)據(jù)資產(chǎn)的政府部門或企業(yè)�����,對于數(shù)據(jù)資產(chǎn)的保護(hù)���,涉及到數(shù)據(jù)安全治理方面��,或多或少都有實(shí)踐����,只是尚未體系化����、標(biāo)準(zhǔn)化。在國外���,Microsoft推出的DGPC方案(Data Governance for Privacy Confidentiality and Compliance縮寫)����,就是專門強(qiáng)調(diào)隱私、保護(hù)與合規(guī)的數(shù)據(jù)治理技術(shù)框架���;Gartner研究中2015年提出了數(shù)據(jù)安全治理這一概念和相應(yīng)的原則與框架�����,2017年Gartner全球安全大會中多位分析師在數(shù)據(jù)安全�、信息安全治理�、安全治理的相關(guān)研究報(bào)告中,多次提及并強(qiáng)調(diào)��,認(rèn)為數(shù)據(jù)安全治理已成為了數(shù)據(jù)安全中的 “風(fēng)暴之眼”�,2018年,Gartner首次專門推出研究報(bào)告《如何使用數(shù)據(jù)安全治理》��,以此為CDO����、CSO��、CISO提供數(shù)據(jù)安全價值�����。本次白皮書編著,希望系統(tǒng)化針對數(shù)據(jù)安全治理的概念���、規(guī)范����、技術(shù)和相關(guān)實(shí)踐進(jìn)行介紹�,將數(shù)據(jù)安全治理視作為一種系統(tǒng)化解決數(shù)據(jù)安全問題的合理方法論和實(shí)踐工具加以推廣應(yīng)用。
隨著數(shù)據(jù)安全的重要度提升�,用戶投資在增大,據(jù)KVB Research 2017年大數(shù)據(jù)安全報(bào)告預(yù)測���,大數(shù)據(jù)安全2017年全球投資達(dá)到102億美金���,并且以17%的年復(fù)合增長率擴(kuò)大,到2023年將達(dá)到309億美金�����,即2000億人民幣���。
(KVB Research在big data security上的市場預(yù)測)
在我國�����,隨著網(wǎng)絡(luò)安全法的出臺����,數(shù)據(jù)資產(chǎn)價值得到確認(rèn),政府機(jī)構(gòu)和企業(yè)在這個方向的投資也在加大��,以數(shù)據(jù)審計(jì)���、脫敏和加密為目標(biāo)的數(shù)據(jù)安全投資正在成為采購的熱點(diǎn)���。
數(shù)據(jù)安全治理的思路,將數(shù)據(jù)安全技術(shù)與數(shù)據(jù)安全管理融合在一起��,綜合業(yè)務(wù)�����、安全���、網(wǎng)絡(luò)等多部門多角色的訴求��,總結(jié)歸納為系統(tǒng)化的思路和方法�。
二�、數(shù)據(jù)安全治理基本理念
關(guān)于數(shù)據(jù)安全治理原則與框架,Gartner對此進(jìn)行專屬領(lǐng)域的研究�����,Microsoft從數(shù)據(jù)隱私合規(guī)角度也曾向市場提出隱私�,保密和合規(guī)性的數(shù)據(jù)治理方案。從國際視角對此理解的基礎(chǔ)上�����,我們在中國提出了數(shù)據(jù)安全治理理念與技術(shù)路線����,填補(bǔ)了該理念在中國的空白,更有效推動實(shí)現(xiàn)該理念在國內(nèi)的執(zhí)行落地���。
2.1 數(shù)據(jù)安全治理概論
本白皮書���,綜合國際相關(guān)框架模型和我國一些具體的安全實(shí)踐后,提出一套在中國易于落地的數(shù)據(jù)安全建設(shè)的體系化方法論��。
數(shù)據(jù)安全治理是以“讓數(shù)據(jù)使用更安全”為目的的安全體系構(gòu)建的方法論��,核心內(nèi)容包括:
(1)滿足數(shù)據(jù)安全保護(hù)��、合規(guī)性、敏感數(shù)據(jù)管理三個需求目標(biāo)�����;
(2)核心理念包括:分級分類�����、角色授權(quán)���、場景化安全���;
(3)數(shù)據(jù)安全治理的建設(shè)步驟包括:組織構(gòu)建、資產(chǎn)梳理�����、策略制定�、過程控制、行為稽核和持續(xù)改善����;
(4)核心實(shí)現(xiàn)框架為數(shù)據(jù)安全人員組織、數(shù)據(jù)安全使用的策略和流程、數(shù)據(jù)安全技術(shù)支撐三大部分�����。
數(shù)據(jù)安全治理理念框架
2.2 數(shù)據(jù)安全治理的核心理念
數(shù)據(jù)的分級分類:對數(shù)據(jù)進(jìn)行不同類別和密級的劃分����;根據(jù)類別和密級制定不同管理和使用原則�����,對數(shù)據(jù)做到有差別和針對性的防護(hù)�����。
角色授權(quán):在數(shù)據(jù)分級和分類后����,了解數(shù)據(jù)在被誰訪問,這些人如何使用和訪問數(shù)據(jù)���,針對不同角色制定不同安全政策�。常見角色:業(yè)務(wù)人員(需進(jìn)一步細(xì)分)�����、數(shù)據(jù)運(yùn)維人員、開發(fā)測試人員�、分析人員、外包人員��、數(shù)據(jù)共享第三方等�����。
場景化安全:針對不同角色在不同場景下�,研究數(shù)據(jù)使用需求;滿足數(shù)據(jù)被正常使用的目標(biāo)下�,完成相應(yīng)安全要求和安全工具選擇。比如對于運(yùn)維人員��,在備份和調(diào)優(yōu)場景下���,并不需要對真實(shí)數(shù)據(jù)的直接訪問能力����,提供行為審計(jì)��、敏感數(shù)據(jù)掩碼能力即可��。
三、數(shù)據(jù)安全治理的組織建設(shè)
數(shù)據(jù)安全治理首先要成立專門數(shù)據(jù)安全治理機(jī)構(gòu)����,以明確數(shù)據(jù)安全治理的政策、落實(shí)和監(jiān)督由誰長期負(fù)責(zé)�����,以確保數(shù)據(jù)安全治理的有效落實(shí)���。
DGPC框架中,該機(jī)構(gòu)一般稱之為DGPC團(tuán)隊(duì)�,或Data Stewards,負(fù)責(zé)制定數(shù)據(jù)分類����、保護(hù)、使用和管理的原則�、策略和過程:
某運(yùn)營商的數(shù)據(jù)安全治理的相關(guān)組織和角色結(jié)構(gòu)圖
(注:深色是部門,淺色是角色����,結(jié)構(gòu)中覆蓋了業(yè)務(wù)、安全��、運(yùn)維和企業(yè)的相關(guān)管理支撐部門)
四、數(shù)據(jù)安全治理規(guī)范制定
在整個數(shù)據(jù)安全治理的過程中�,最為重要的是實(shí)現(xiàn)數(shù)據(jù)安全策略和流程的制訂,在企業(yè)或行業(yè)內(nèi)經(jīng)常被作為《某某數(shù)據(jù)安全管理規(guī)范》發(fā)布�����,所有的工作流程和技術(shù)支撐都是圍繞著此規(guī)范來制訂和落實(shí)��。
五����、數(shù)據(jù)安全治理技術(shù)支撐框架
5.1 數(shù)據(jù)安全治理的技術(shù)挑戰(zhàn)
實(shí)施數(shù)據(jù)安全治理的組織,一般都具有較為發(fā)達(dá)和完善的信息化水平����,數(shù)據(jù)資產(chǎn)龐大,涉及的數(shù)據(jù)使用方式多樣化�,數(shù)據(jù)使用角色繁雜,數(shù)據(jù)共享和分析的需求剛性���,要滿足數(shù)據(jù)有效使用的同時保證數(shù)據(jù)使用的安全性���,需要極強(qiáng)的技術(shù)支撐。
數(shù)據(jù)安全治理面臨數(shù)據(jù)狀況梳理�、敏感數(shù)據(jù)訪問與管控�、數(shù)據(jù)治理稽核三大挑戰(zhàn)��。
當(dāng)前數(shù)據(jù)安全治理面臨的挑戰(zhàn)
5.2 數(shù)據(jù)安全治理的技術(shù)支撐
5.2.1 數(shù)據(jù)資產(chǎn)梳理的技術(shù)支撐
數(shù)據(jù)資產(chǎn)梳理有效地解決企業(yè)對資產(chǎn)安全狀況摸底及資產(chǎn)管理工作��,提高工作效率�����,保證了資產(chǎn)梳理工作質(zhì)量���。合規(guī)合理的梳理方案�,能做到對風(fēng)險預(yù)估和異常行為評測��,很大程度上避免核心數(shù)據(jù)遭破壞或泄露的安全事件�����。
1)靜態(tài)梳理技術(shù)
2)動態(tài)梳理技術(shù)
3)數(shù)據(jù)狀況的可視化呈現(xiàn)技術(shù)
4)數(shù)據(jù)資產(chǎn)存儲系統(tǒng)的安全現(xiàn)狀評估
5.2.2 數(shù)據(jù)使用安全控制
數(shù)據(jù)在使用過程中����,按照數(shù)據(jù)流動性以及使用需求劃分���,將會面臨如下使用場景:
? 通過業(yè)務(wù)系統(tǒng)訪問數(shù)據(jù)
? 在數(shù)據(jù)庫運(yùn)維時調(diào)整數(shù)據(jù)
? 開發(fā)測試時使用數(shù)據(jù)
? BI分析時使用數(shù)據(jù)
? 面向外界分發(fā)數(shù)據(jù)
? 內(nèi)部高權(quán)限人員使用數(shù)據(jù)
在數(shù)據(jù)使用的各個環(huán)節(jié)中�����,需要通過技術(shù)手段有效規(guī)避各個場景下的安全風(fēng)險:
數(shù)據(jù)使用安全控制示意圖
5.2.3 數(shù)據(jù)安全審計(jì)與稽核
數(shù)據(jù)安全稽核是為保障數(shù)據(jù)安全治理的策略和規(guī)范被有效執(zhí)行和落地���,以確?�?焖侔l(fā)現(xiàn)潛在的風(fēng)險和行為�����,從而明確防護(hù)方向���,進(jìn)而調(diào)整防護(hù)體系,優(yōu)化防御策略�����,補(bǔ)足防御薄弱點(diǎn)���,使防護(hù)體系具備動態(tài)適應(yīng)能力�,真正實(shí)現(xiàn)數(shù)據(jù)安全防護(hù)���。
數(shù)據(jù)的安全審計(jì)和稽核機(jī)制由四個環(huán)節(jié)組成:行為審計(jì)與分析���、權(quán)限變化監(jiān)控����、異常行為分析���、建立安全基線����。
微信掃描下方二維碼�,獲取完整版《2018數(shù)據(jù)安全治理白皮書》
產(chǎn)品咨詢:4000 258 365 
