如何做好資料安全治理

　　資料安全問題貫穿資料全生命週期的各個環節。在新形勢下，要做好資料安全治理，就要做好企業的資料安全防護能力建設，建立起一個強保障且動態化的安全保護機制。這個機制的攻堅點主要是三個方面：完善資料安全治理規劃，提高資料安全技術防護能力，和加強資料安全審計。

　　1.完善資料安全治理規劃

　　(1)評估資料安全現狀

　　一般來說，組織進行資料安全治理的目標主要是兩個：一是實現組織的合規保障;二是實現資料的充分開發利用，在安全的基礎上謀發展。組織在進行資料安全治理時，應在這兩個大方向的指引下，對組織內部的資料安全現狀，進行一個全方位的評估，並以此來作為資料安全治理的依據。

　　評估主要可以從外部和內部兩個方面來進行。

　　①外部合規：對業務適用的外部法律法規、監管要求進行梳理，並據此對組織資料進行合規分析。

　　②內部現狀：結合組織的業務場景，基於資料全生命週期的安全防護要求，梳理組織內部資料已有的或者可能存在的風險點，分析原因，並明確資料安全治理建設具體需求點。

　　(2)完善資料安全治理組織規劃

　　資料安全治理工作貫穿資料從生產到使用的各個環節，涉及到組織內部的多方聯動，要保障資料安全工作的順利開展，就要建立起一套權責明確的組織規範，從資料安全的不同角色視角來滿足資料安全建設需求。

　　(3)建立資料安全保障制度體系

　　要實現資料安全要求清晰明確、資料安全治理有章可循，建立起一個完善的資料安全管理制度規範體系是非常必要的。下圖是關於制度體系的建議，從上到下共劃分為四級文件，組織可以根據實際需要進行鍼對性的增刪和調整。

　　2.提高資料安全技術防護能力

　　(1)自動化資料分級分類

　　資料資產龐雜，基於傳統的人工方式難以達到動態化管理的要求，要確保分散在組織各處各層面的各類資料能夠被及時發現和準確標註，需要建設自動化的資料分類分級能力，從而滿足資料在不同應用場景下的動態化、體系化管控需求。在資料的分級分類中，有兩個類別是需要格外重視的。

　　①敏感資料

　　敏感資料是指洩漏後可能會給社會或個人帶來嚴重危害的資料，當前資料流轉快，敏感資料隨時可能出現在意料不到的位置。為此，需要進行持續的敏感資料發現和分級分類。根據不同的資料型別，可以採取的具體方法包括：字典匹配、模式匹配、演算法匹配、機器學習等。

　　敏感資料的發現需要根據資料分類分級標準來進行，通過敏感資料屬性分類來統一敏感資料結構描述方法，從而建立起統一的敏感資料發現體系。在這個體系基礎上，來全面盤點敏感資料資產、形成敏感資料地圖。

　　此外，組織還可以將資料威脅與敏感資料自動關聯，實現敏感資料威脅的高效視覺化管控，提升綜合安全治理決策效率。

　　②非結構化資料

　　在許多資料分類中，非結構化資料通常被忽略或被很籠統地歸結到一起。

　　相比於傳統的結構化資料和半結構化資料，非結構化資料增長速度更快，每1KB結構化資料產生的同時，約有1GB非結構化資料產生，並且資料量龐大且採集渠道廣泛，資料的處理鏈路非常長。這些都給非結構化資料的安全防護帶來挑戰。

　　非結構化資料的處理有一個核心的矛盾點是，資料處理者(業務方)有海量的資料和資料價值挖掘的需求，但是這些業務型企業的技術投入往往不足。因此這類企業在構建資料安全解決方案時，需要積極引入整個生命週期內不同角色的解決方案來協同工作。

　　(2)精細化資料許可權管控

　　資料的許可權，往往是單向擴張的。

　　隨著資料需求的擴大化，增加許可權的請求越來越多，而刪除許可權的請求幾乎沒有，這有時會導致許可權的回收不及時的情況，增加了資料安全的不可控性。為了保障更準確的資料安全控制，企業可以從改進資料授權方式和關聯資料訪問資訊兩方面，來增強資料許可權的管控能力。

　　①改進資料授權方式

　　目前比較流行的資料授權方式是基於角色來授權，通過定義角色許可權，來授權使用者訪問資料。但在一個快速發展的組織中，角色工作範圍及其許可權的界定也是實時變化的，基於角色並不能保證其許可權控制的準確性。

　　還有一種方法是基於屬性來授權訪問，這個方式相對更加靈活。它可以通過建立一個與資料平臺分離的資料訪問安全層，通過通用資料訪問服務，從而在不限制訪問的情況下確保資料安全。

　　②關聯資料訪問資訊

　　要實現組織內部資料訪問的高效追蹤，就要將資料訪問與使用者身份、資料型別、訪問意圖等資訊關聯起來。但這些資訊往往存在於多個系統中，比如使用者身份存在於人員管理系統中、業務資訊存在於主資料管理系統中、而與資料訪問相關的日誌則建立在資料儲存系統中，這就需要組織通過資料共享，來實現資訊的統一關聯，從而保障資料訪問的可高效追蹤。

　　(3)加強抗資料風險能力

　　在資料的整個生命週期，從採集、傳輸、儲存，到處理、使用和銷燬的各個環節，都有可能存在著資料安全風險。我們需要從防禦風險、識別風險、預測風險、解決風險四個方面，來提升組織的抗風險能力。

　　①防禦風險

　　針對大資料環境下的惡意行為的攻擊階段、影響範圍、威脅程度進行智慧化評估，並結合實際情況制定相應的防禦措施，分級別、分層次、分範圍地對大資料系統進行協同防禦策略制定和分發，形成“網路—應用—平臺—資料”的協同防禦系統。

　　②識別風險

　　首先，建立起一套安全風險描述模型，構建大資料環境下資料流通各個環節的安全風險集;然後，從安全事件中學習規則，使獲得的各安全域的資料安全風險更加貼近真實情況，從而能夠準確實時地識別出資料安全風險。

　　③預測風險

　　研究大資料環境下安全態勢資料採集和統一的資訊互動表示協議和標準、系統配置漏洞、執行環境漏洞、目的碼漏洞及其關聯環境漏洞，提出對漏洞、違規操作、攻擊行為的多維度監測識別手段。研究態勢量化評估和預測模型，利用機器深度學習態勢評估演算法實現安全態勢綜合評估，基於攻擊意圖推演實現態勢趨勢預測和預警。

　　④解決風險

　　當資料安全風險出現時，企業需要實現對其的其實追蹤溯源，並建立起基於資料安全風險的主動防禦系統聯動機制，在在發生安全風險時能夠及時採取對系統影響最小的應對措施進行阻斷。

　　如何做好資料安全治理.中琛魔方大資料平臺表示資料安全要求日趨規範與嚴格、資料環境複雜變幻，對企業來說，做好資料安全治理迫在眉睫。資料的安全解決方案是一系列的流程+技術+規範的綜合保障。企業要從加強自身安全防護能力入手，建立起資料安全的重重防護牆，在資料安全的基礎上，更好地發揮資料價值。