資料安全治理

國際標準化組織(ISO)對計算機系統安全防護的定義是：“為資料處理系統建立和採用的技術與管理的安全保護，保護計算機硬體、軟體和資料不因偶然或惡意的原因而遭到破壞、更改或洩露。”

Gartner提出，資料安全治理不僅僅是一套用工具組合的產品級解決方案，是從決策層到技術層，從管理制度到工具支撐，自上而下貫穿整個組織架構的完整鏈條。組織內的各個層級之間需要對資料安全治理的目標和宗旨取得共識，確保採取合理和適當的措施，以最有效的方式保護資訊資源。

由此我們可以將資料安全治理理解為：確保資料的可用性、完整性和保密性所採取的各種策略、技術和活動，包括從企業戰略、企業文化、組織建設、業務流程、規章制度、技術工具等各方面提升資料安全風險應對能力的過程，控制資料安全風險或將風險帶來的影響降至最低。

按照Gartner DSG資料安全治理框架的建議，應該從組織根據業務戰略制定資料集開始，在平衡業務戰略、治理、合規、IT戰略、風險容忍度後，制定資料集的優先順序進行關鍵資料資產目錄的確定與分級分類，結合統一的安全策略與防護技術形成差異化資料安全技術保障能力。

目的：確保資料作為一種滿足業務需要的資產（從資料到資料資產）

風險：致力於消除/降低資料資產的風險，包括法規依從性風險、質量風險、安全風險等。

收益：設定資料管理投入的正確方向，以獲得更好的回報。

內容：明確作為企業資產的資料主體、建立圍繞這些主體的權責體系

過程：覆蓋資料的完整生命週期管理

實施：自上而下、面向企業整體範圍的資料策略和高層規範。

採取的資料安全管理技術我們根據資料的分級分類，結合業務，決定採用何種資料安全技術作為支撐。通常採取的技術有6類，分別是：DLP、UEBA、CASB、IAM、加解密、DCAP。

DLP

DLP通過對資料的內容的識別，對資料的儲存、使用和傳輸對它進行發現和保護。比如有一個word文件，在 Word文件裡面有一張圖片，圖片裡面可能是通過螢幕截圖的方式去截下來一個 Excel表，這個表裡面的內容是姓名、身份證號和信用卡號， DLP能通過內容識別發現，知道這個Word文件裡面包含了多少個身份證號。

UEBA

UEBA技術是對人的行為進行分析的技術，它的核心點是人。我們所有的資料洩露都是通過人的行為完成的。我們要去抓住“壞人”，就是通過UEBA對人的行為進行分析。採用行為分析的方式，可以在一大堆的“好人”裡面發現有誰幹了壞事。“壞人”總是會幹一些異常的事情，UEBA通過行為的採集，就知道誰在整個資料使用的過程中，誰做了哪些動作，或者操作了哪些資料。通過大量的資料的獲取，基於網路的、協議的行為，比如你上網都訪問了什麼樣的網站，外發了那些敏感資料、在電腦上做了哪些操作等等，把所有的操作行為，放在基於人工智慧演算法的系統裡進行分析，看究竟誰做了什麼樣的壞事。這種分析會把每個人自己的當前行為和過去的行為進行比較，和你周圍同事的行為進行比較。

CASB

CASB主要是用來保護雲端的資料，現在越來越多的金融企業開始使用SaaS服務模式。CASB主要是為了解決影子IT的問題，保護企業使用SaaS服務時潛在的資料安全風險。 CASB對於雲安全的重要性，就像防火牆對於網路安全一樣。各種SaaS服務，在一些服務中充滿了資料安全的陷阱，比如對上傳資料的所有權宣告、對使用者操作和行為的監控、服務商自身的安全保護等，很容易造成企業員工在使用非企業IT評估過的SaaS服務時洩露企業的核心資料資產。通過CASB技術，能有效的保護企業員工訪問低風險級別的SaaS服務。

IAM

IAM就是身份與訪問的管理。所有對資料能產生威脅的都是人，無論這個人員來自於內部還是外部，所有的動作都是人在操作。做資料治理的時候需要首先明確人員的身份，誰，使用什麼樣的裝置，可以訪問哪些敏感資料，可以訪問哪些應用系統中的哪些模組。

加解密

加解密是針對資料的可用性採用的非常強有力的管理手段。加密是指看不見、打不開、拿不走。資料一旦做了加密之後，如果不具備相應的許可權，就無法看見這些內容。加解密往往應用在對資料的保護級別非常高的場景，因為伴隨加解密的同時往往是大量計算資源的投入和業務處理的不便捷性。

DCAP

DCAP是指對資料的審計與保護。我們對資料在企業的使用，需要有一個視覺化的管理，能發現誰使用了哪些資料，這些資料是怎樣流動的，通過DCAP技術能知道誰在去讀寫或者獲取這些敏感資料。