大資料已被視為國家基礎性戰略資源，各行各業的大資料應用正迅猛發展，但隨之而來的資料安全問題也日益加劇，有時甚至限制了大資料應用的發展。基於此，無論是國家機關還是企事業單位，都在加緊資料安全體系的建設，甚至專案立項時就需要完成資料安全的設計。

2020年5月27日，騰訊安全正式釋出了企業級資料安全能力圖譜，圖譜中將資料安全能力分為四層六大模組，為使各企事業單位能夠更好的理解和運用圖譜，騰訊安全專家諮詢中心聯合騰訊安全內部核心部門，對當今重點的資料安全問題進行梳理，對國內近年來頒佈的法律法規進行收集研究，對資料安全體系建設的思路進行歸納總結，最終形成本白皮書。

關注騰訊安全（公眾號：TXAQ2019）

回覆資料安全白皮書獲取PDF版白皮書內容

以下是《騰訊資料安全解決方案白皮書》全文：

第1章 導讀

1.1  背景

近年來資料安全事件頻出，尤其個人隱私資訊保護是行業關注的熱點話題，GDPR法案的推出進一步推動了全球資料安全相關的法規和標準的建立和完善，企業的資料安全合規壓力陡增，多數企業把資料安全擺在了整個資訊保安體系提升的最重要的位置。然而，資料安全牽扯資訊化各個層面的問題，在企業探究構建完善的資料安全體系時發現：資料安全體系建設是一項體系化工程，而非簡單的技術工具運用，它是個複雜的大工程，從資訊保安部門無法推動，尤其是一些IT建設有諸多歷史問題的企業，達到法規和標準的合規要求，甚至要考慮資訊系統的重構。當前，擺在企業資訊保安管理者面前的問題是：如何平衡合規壓力和無法改造的複雜業務和資訊系統。企業應該構建哪些必備的模組化的資料安全能力，資料安全體系如何分階段建設。

本白皮書基於資料安全能力圖譜，透過客觀、全面的對資料安全問題進行剖析，結合騰訊安全實踐經驗，提出資料安全建設思路和方法，旨在幫助企事業單位瞭解資料安全領域現狀，理清資料安全體系建設思路。

1.2  國內法律法規現狀

資料保護越來越成為各國關注的焦點，目前我國法律法規的核心是監管和規範企業或個人對於資料的相關行為，以防止濫用資料，以及監管跨境資料轉移等內容，重點保障國家、企業、個人的利益。

1）個人資訊保護相關的法律法規

《民法典》：第四篇第六章針對隱私權和個人資訊保護做出了規定。今後除了嚴重侵犯公民人身權利、財產權利的重大違法犯罪行為應當依照《刑法》承擔刑事責任（可以附帶提起民事訴訟）外，對於一般的侵害個人資訊權的侵權行為，任何自然人或組織均可以從侵權法的角度進行維權，以個人資訊權被侵犯為由提起民事訴訟。

《刑法》：2009年的《刑法修正案七》、2015年的《刑法修正案九》明確了任何單位、組織、個人違反有關規定，出售或向他人提供公民個人資訊，情節嚴重的，都將構成犯罪。在2017年的《刑法修正案九司法解釋》中，明確了公民個人資訊的範圍包括身份識別資訊和活動情況資訊，細化了非法獲取、提供公民個人資訊的認定標準，對侵犯公民個人資訊犯罪的定罪量刑標準和有關法律適用問題作了全面、系統的規定，為司法實踐中開展公民個人資訊保護提供了強有力的支撐。

《網路安全法》第四十條至第四十五條，對個人資訊保護做出有關規定，明確了我國個人資訊保護的基本原則和框架，網路運營者保護使用者資訊的義務，要求網路運營者對其收集的使用者資訊嚴格保密，建立健全的使用者資訊保護制度。

此外，各行業主管單位也開始高度重視個人資訊的保護工作，出臺專門的個人資訊保護法律法規。工業和資訊化部於2013年出臺了《電信和網際網路使用者個人資訊保護規定》（《電信規定》) ，對違反規定的行為應當承擔的法律責任進行說明。2014年開始實施的《消費權益保護法》也在第二十九條中對個人資訊保護做了明確規定。由國家網際網路資訊辦公室釋出，於2019年10月起實施的《兒童個人資訊網路保護規定》明確了兒童資訊保護的原則和框架。

2）資料安全法律法規

目前針對資料安全法律法規主要是《網路安全法》，其中第十、十八、二十一、二十七、三十一、三十四、三十七、六十六條分別對網路服務中的資料安全保護做了規定，涉及資料安全原則、目標、措施、義務和責任。依據《網路安全法》，各部委也做出了一些相關的法規進行細化完善。目前有2020年的《網路安全審查辦法》、2019年的《資料安全管理辦法（徵求意見稿）》、2018年的《網路安全等級保護條例（徵求意見稿）》。

此外，已列入本屆人大立法計劃的《個人資訊保護法》、《資料安全法》等法律將與《網路安全法》形成我國資料安全的法律體系。

1.3  騰訊持續發力資料安全領域

1）參與制定國家級、行業級規範

國內資料安全標準主要由全國資訊保安標準化技術委員會（TC260）負責，圍繞資料安全和個人資訊保護兩個方向，TC260已釋出6項國家標準，在研標準10項。

在個人資訊保護方向，騰訊參與了GB/T35273《個人資訊保安規範》、《個人資訊影響評估指南（報批稿）》、《個人資訊保安工程指南（報批稿）》、《移動網際網路應用（APP）收集個人資訊基本規範（徵求意見稿）》。同時，騰訊牽頭了《個人資訊告知同意指南》國家標準研究專案，目前該研究專案已轉成國標，由電子四院負責。

在資料安全方向，騰訊參與了GB/T35274《大資料服務安全能力要求》、GB/T37973《大資料安全管理指南》、《電信領域大資料安全防護實現指南（草案）》。

此外，騰訊還牽頭了行業標準《移動應用軟體開發工具包（SDK）安全使用規範》，佈局移動應用底層資料安全和個人資訊保護。

2）資料安全生態建設

騰訊安全秉承“讓資料遵規守序”的理念，以“協作共贏”的態度，聯合生態夥伴，共同讓“資料管理遵循法規，讓資料流動遵守秩序”。騰訊安全會積極與各行業保持緊密的交流，不斷提升生態的協作能力。

第2章 亟需解決的資料安全問題

我們收集和彙總了企業資料安全建設過程中遇到的問題，歸納下來，比較突出的有以下六個方面。

2.1  資料資產清冊問題

資料資產清冊問題主要體現在如下三個方面：

1）資產狀況不清

到底擁有多少資料資產？資料資產的變化情況是怎麼樣？是否有不明資產和違規資產？實際資產與在冊資產是否存在差異？差異情況如何？敏感資料有哪些？都儲存在哪裡？

2）訪問狀況不清

訪問熱度如何？有哪些靜默資產？哪些是高頻資產？敏感資料都在被誰訪問？是否存在殭屍庫？

3）許可權狀況不清

資料資產的許可權變化情況是怎麼樣的？在某時段內是否發生了提權操作？都有哪些資料帳號？帳號都在被誰使用？帳號的許可權是否與登記的有差異？是否有弱口令帳號？是否存在帳號許可權過大、違規的情況？

以上三個方面的問題都是資產不清的具體問題。資料資產梳理是一個持續的過程，資料和業務是不斷髮生變化的，因此，需要藉助自動化工具來開展資料資產管理工作。準確掌握資料資產狀況，是開展資料安全體系建設的基礎條件。

2.2  管理責任不清

目前國家施行的法律法規通常都會要求明確資料責任，透過加大懲罰力度，來提升資料安全防範意識，規避“資料資產無人管、資料資產隨意用”的現象，資料資產責任不清主要體現在如下兩個方面：

1）資料資產未認責

資料資產體量大，且使用複雜，貫穿整合業務流程，涉及多個部門和崗位的人員，資料的所有權，使用權，安全責任等無法清晰劃分；同一資產涉及多個部門或團隊使用，且使用頻率和重要性無法量化，導致資產認責工作無法開展；

2）管理角色的職責邊界模糊

資料安全管理角色包括資料資產管理員、資料庫管理員、安全審計員、安全檢測工程師、資料運維工程師、許可權管理員等，一般情況下這些角色可能會由研發、運維、安全、運營人員來兼任，沒有獨立的團隊或虛擬團隊，導致權責不清，不利於整體提升資料安全防護能力。另外，一旦發生資料安全事件，很難開展追蹤溯源工作。

2.3  制度不完善

1）制度規範未落實或難落實

制度規範是資料安全管理和安全技術落地的依據。在開展制度規範編寫工作時，由於沒有對現狀進行充分的調研，管理制度規範與實際技術措施無法對應，導致資料安全體系無法落實。

2）缺少稽核手段

建立了一套切實可行的制度規範，進行了相關的貫徹與執行，但由於缺少稽核手段，安全管理部門無法及時掌握執行情況。資料安全管控措施無法按照管理制度體系要求嚴格執行。

2.4  資料交換管理混亂

隨著資料應用的快速發展，企事業單位內部向外提供的功能越來越多（小程式、公眾號、APP、Web等），資料會向外部、內部和合作夥伴進行交換共享，隨著開放的介面越來越多，交換關係越來越複雜，若未將交換共享的方式和介面標準化，則會出現功能重複、呼叫複雜、多點登入等現象，運維人員和應用系統負責人的壓力也會倍增，影響資料應用的發展。

2.5  安全技術措施零散

1）資料安全產品功能分散

現有的資料安全產品，大多都是單一資料安全功能，如：脫敏，加密，防洩密，企業部署了很多資料安全類產品，再加之企業資料分佈也相對分散，導致各各網路區域各資料安全產品間無法形成有效聯動和和整合機制，導致資料安全管控能力分散，無法形成統一資料安全管控體系。

2）安全能力孤島

由於組織內部的應用會按照部門劃分，資料安全能力的建設也會以部門為單位開展，沒有形成整體的防禦體系，造成安全短板，容易被不法人員利用。

另外一個維度是角色和職責不明確，IT各部門沒有將安全責任進行清晰的劃分，當發生資料安全事件時才考慮防護。即便是有主動建設的意願，也是各自申請各自建設。

2.6  審計能力不足

透過對全棧日誌的收集與分析，能夠有效的制定安全規則，在大量的訪問中自動發現違規和高危行為，降低了資料安全管理員的工作量和風險識別的難度，同時也提升了準確率。

但是，當遇到“心臟滴血”、APT這類攻擊時，由於這種攻擊是用真實的身份、合規的操作，做非法的事情，所以攻擊的操作軌跡和規律很難被發現，加之這類攻擊並沒有觸碰到現有的規則，導致安全攻擊一直在發生，管理人員卻一直不知道。

第3章 資料安全工作思路

3.1  工作目標

1）讓資料流動遵守秩序

進入大資料時代後，各類資料將陸續開放，資料應用會越來越多，資料交叉共享會越來越複雜，在這種情況下一旦發生資料安全事件，影響範圍是無法估量的。在複雜的資料流動情況下，更容易出現疏忽的地方，這給資料安全防護帶來了具大的挑戰。傳統的方式是針對風險點採取管理手段或技術手段進行管控，相當於“頭痛醫頭、腳痛醫腳”的方式，但在複雜的資料流動場景下，單一的資料安全技術或產品是無法整體提升資料安全管控能力的，也無法適應資料應用場景的快速變化。因此，資料安全防護是一項體系化工程，需要聯合生態的力量，在資料流動過程中建立秩序。只有資料在流動時遵守秩序，才能保證資料能夠安全的使用，促進資料應用的發展。

2）防洩露、防篡改、防濫用

防洩露：資料被違規違法竊取，可能用於商業分析、詐騙、騷擾營銷、倒賣等，造成資料主體和運營方的名譽損失或財產損失，甚至造成刑事案件的發生，因此，防止資料洩露是資料安全防護的重點。

防篡改：資料篡改一般發生在內部，由於利益的驅使，資料管理人員、運維人員、開發人員等具有較高許可權且瞭解資料邏輯的人員對資料進行非正常修改，達到為他人或自己獲利的目的，例如違章資訊刪除、搖號資訊換人等等。如果沒有很好的控制資料防篡改，則將會導致業務運轉混亂，大大降低公信力。

防濫用：資料是企事業單位的核心資產，合理使用資料可以帶來新的機遇。反之，如果沒有嚴格的控制資料使用，使資料氾濫，將會降低資料價值，喪失競爭力，甚至會在生態中被淘汰。資料被濫用場景舉例： a.專案的建設方或運營方在業主方不知情的情況下利用身份的便利條件分析資料； b.產品側沒有很好的做資料規劃，導致資料使用場景過多、可接觸到資料的節點過多。

3.2  總體思路

資料安全體系應具備資料資產管控能力、資料安全運營能力、資料業務安全管控能力、資料支撐環境安全管控能力、資料運維安全管控能力和資料安全感知能力六大能力，覆蓋資料全生命週期及重要的資料場景。能力細分如下圖所示：

第4章 資料安全能力建設

4.1  資料資產管理能力

資料資產梳理是提升資料資產管理能力的基礎。如果在資產統計不完整、資產資訊不準確的情況下開展資料安全防護，則會出現盲點，防護手段的價值不能充分發揮，甚至會影響安全方面人力、財力的決策。因此，在開展資料安全體系建設前，應先開展資料資產梳理工作。

傳統的梳理方式以訪談為主，存在準確率低、人工投入大的弊端。藉助靜態掃描和協議解析技術，結合人工的方式，可有效提升效率和準確率。另外，在開展資料資產梳理過程中，還可以發現高頻資產、靜默資產、殭屍庫等，使得資料資產的管理水平也得到提升。

4.2  資料安全運營能力

資料安全運營是近幾年逐漸被重視起來的。傳統的資料安全防護主要靠技術手段和管理制度進行約束，相對被動，很多制度也執行不起來，從業人員安全能力有限，一旦出現安全事件，響應速度和處理能力相對較弱。透過建立完善的資料安全運營體系，讓專業的人做專業的事，讓資料安全工作伴隨業務持續進行，提供實時的安全保障，可有效提升安全管理能力和安全防護能力，應對隨時可能釋出和執行的法律法規。

4.3  資料業務安全管控能力

目前可用於資料安全管控的技術即成熟又全面，典型的有資料脫敏、資料加密、資料行為管控等等。由於資料安全需要與業務進行關聯，甚至需要滲透到業務的流程中，資料安全類產品又相對獨立，這種情況下的整合往往會對業務造成效能大幅下降、改造工作量大，還有重複建設、高運維成本、安全能力孤島等現實問題，不利於資料安全體系的建設。因此，需要將資料安全技術進行融合，統一管理、統一呼叫，形成公共資源池，以服務的形式應用到資料生命週期的各個環節中去。

4.4  資料支撐環境安全管控能力

主要是對資料庫本身和大資料元件進行安全加固，配合資料安全技術對資料資產進行訪問控制，定期開展安全掃描和配置核查，確保資料資產的安全性和可用性。

4.5  資料運維安全管控能力

資料運維角色一般是指資料庫管理員、資料運維工程師、開發人員等許可權範圍較為廣泛的人員。目前曝出的眾多資料洩露事件大多是由這類人員造成。另外，資料運維過程中不排除會出現誤操作造成的資料損毀現象。因此，高許可權人員應被重點關注。對於高許可權人員可以從授權審批、違規識別與阻斷、高危操作提示與阻斷、資料遮蔽四個方面進行管控，並建立許可權回收機制，支援靜態授權和動態授權，管控粒度達到語句級。

4.6  資料安全感知能力

資料安全感知能力主要依靠監控與審計，核心價值是輔助決策、發現違規並調查取證、稽核制度規範和安全策略的執行情況。

監控和審計工作由資料安全管理員和工具平臺組成，工具平臺可以幫助資料安全管理員對大量的日誌進行運算和彙總，並從中自動發現觸碰規則的行為，資料安全管理員可以從日誌資訊中發現潛在的安全風險，不斷完善和增加安全規則，使得本組織的資料安全防護能力不斷提升。

監控和審計工具平臺應具備日誌資訊採集、日誌彙總與分析、規則識別、告警和視覺化展現五個能力。

第5章 關鍵資料安全技術

5.1  敏感資料識別和脫敏技術

敏感資料識別技術可以從海量的資料中發現敏感資料，幫助組織建立系統的敏感資料分佈檢視，同時提供替換、位移、雜湊處理、標記化以及保留格式加密等脫敏演算法，有選擇性地對敏感資料進行脫敏處理，以防止敏感資料在內部使用、外部共享等環節的洩露。

傳統的敏感資料識別主要採取關鍵字、字典和正規表示式匹配等方式，自動化程度和準確率較低。隨著人工智慧和機器學習技術的引入，針對不同類別的敏感資料，機器學習技術可以實現大量資料的聚類分析，自動生成分類規則庫，敏感資料自動化識別效率和準確率均大幅提升。

資料脫敏技術主要有三種。第一種是加密方法，透過加密演算法對資料進行加密處理，起到保護的作用，但加密後資料會失去業務屬性，不利於使用，這種方法適用於機密性要求高、不需要保持業務屬性的場景；第二種是基於資料失真技術，例如隨機干擾、亂序等不可逆演算法。適用於群體資訊統計或需要保持業務屬性的場景；第三種是可逆的置換演算法，透過位置變換、表對映、演算法對映等方式，兼具可逆和保證業務屬性的特徵。

5.2  資料洩露防護技術

資料防洩漏技術是保障重要資料不會以違反安全策略規定的形式流出企業的一類資料安全防護手段。針對終端資料洩露和儲存資料洩露風險，通常採用身份認證、程式監控、日誌分析和安全審計等技術手段，監測和記錄操作人員對重要資料的訪問和操作情況，主動識別監控終端和儲存中的敏感資料的使用和流動狀況，對違規使用進行警告、阻斷。針對網路資料洩露風險，通常採用網路流量分析、文件指紋、人工智慧等技術，監控伺服器、終端以及網路中動態傳輸的敏感資料，發現和阻止敏感資料透過網路洩露。

隨著人工智慧技術的大量應用，智慧化識別、監控和阻斷將會成為資料防洩漏技術發展的趨勢。資料防洩露技術將實現使用者行為分析與資料內容的智慧識別相結合，實現資料的智慧化分層、分級保護，並提供終端、網路、雲端協同一體的敏感資料動態集中管控體系。

5.3  結構化資料庫安全技術

結構化的資料安全技術主要是指資料庫安全防護技術，可以分為事前風險評估、事中安全管控和事後分析追溯三類，其中事前風險評估主要採用資料庫漏洞掃描技術，事中安全管控主要採用資料庫防火牆、資料庫加密、資料庫脫敏技術，事後分析追溯主要是資料庫審計和資料水印技術。

資料庫防火牆：透過實時分析使用者對資料庫的訪問行為，自動建立合法訪問資料庫的特徵模型。同時，透過訪問控制和虛擬補丁等防護手段，及時發現並阻斷SQL隱碼攻擊和違反安全策略的資料庫訪問請求。

資料庫安全審計：透過監控資料庫的多重狀態和通訊內容，評估資料庫所面臨的風險，並可透過日誌進行事後追查取證。透過AI威脅智慧識別，超越傳統安全規則庫的侷限性，可實現對資料庫未知風險的識別。

資料庫加密：基於加密演算法和合理的金鑰管理，有選擇性地加密敏感欄位內容，保護資料庫內敏感資料的安全。敏感資料以密文的形式儲存，能保證即使在儲存介質被竊取或資料檔案被非法複製的情況下，敏感資料仍是安全的。並透過密碼技術實現三權分立，避免資料庫管理員密碼洩漏帶來的批次資料洩漏風險。

資料水印：資料庫水印技術可為系統中的資料新增水印標記，這些水印標記與原資料格式相同，不會被察覺；在外洩過程中即便有部分資料丟失，也不會影響資訊還原效果；當洩露資料被發現後，可根據資料中的水印查詢洩露點，實現事後追責。

資料安全態勢感知：透過與業務系統、資料資源系統、資料安全系統（資料庫審計、資料庫防火牆、資料加密、資料脫敏）進行日誌對接，應用大資料分析技術對訪問日誌和管理日誌進行集中分析，將多種日誌資訊歸一化，從多個維度感知資料安全風險，集中展示資料資產安全態勢。

5.4  大資料平臺安全技術

目前開源大資料平臺套件的安全機制不足表現為以下幾個方面，一是在身份認證方面，開源大資料平臺多采用簡單機制和Kerberos機制。簡單機制只能避免內部人員誤操作。基於Kerberos的認證方式對於系統外部可以實現強安全認證，但其基於作業系統使用者的認證機制無法支援各元件之間的身份認證。二是在訪問控制方面，開源大資料平臺各元件多采用不同的訪問控制，包括基於許可權、基於角色、基於標籤和基於作業系統的訪問控制。大資料場景下使用者角色眾多，使用者需求複雜，在針對每個使用者實現精細化、細粒度訪問控制方面存在不足。三是安全審計方面，開源大資料平臺元件眾多，並且各自獨立提供日誌和審計記錄，實現統一安全審計存在困難，需要藉助日誌審計平臺從叢集中各節點採集審計日誌，進行集中儲存、清洗和分析。四是在金鑰管理方面，大資料環境下也需要實現資料在儲存及傳輸時的加密保護，包括金鑰的安全管理。

因此，應統一管理安全策略、安全審計、安全運維，解決目前開源大資料平臺集中安全策略配置和管理繁雜的問題。身份認證方面，透過集中身份管理和單點登入等方式，簡化認證機制；訪問控制方面，透過統一管理角色和授權，降低叢集管理的難度，透過基於角色或標籤（結合資料分類分級標籤）的訪問控制策略，實現對資料訪問的細粒度管控。加密和金鑰管理方面，提供靈活的加密策略，實現對Hive、HBase的表或欄位加密，同時要加強金鑰的管理。

透過安全認證和授權機制，保障大資料平臺各元件、程式、介面、節點間的安全；透過細粒度的訪問控制，實現對資料訪問的許可權最小化管理；透過統一的安全審計，實現對平臺使用者所有操作行為的安全審計；透過運用資料加密技術，實現對資料在儲存和傳輸時的安全。

透過構建統一的身份認證、訪問控制、安全審計以及資料加密能力，進一步提升大資料平臺整體安全性，保障平臺資料可管可控。

5.5  同態加密和安全多方計算

為保障資料在合作時的機密性，可以採用同態加密和安全多方計算。

同態加密提供了一種對加密資料進行處理的功能，對經過同態加密的資料處理得到一個輸出，將這一輸出進行解密，其結果與未加密的原始資料得到的輸出結果一致。同態加密尤其適合在大資料環境中應用，既能滿足資料應用的需求，又能保護使用者隱私不被洩露，是一種理想的解決方案。現有的同態加密方案由於佔用資源過大且速度過慢導致無法廣泛應用。

安全多方計算是解決一組互不信任的參與方之間在保護隱私的同時協同計算，確保輸入的獨立性，計算的正確性，保證自己的資料不會暴露給其他成員。安全多方計算的這一特點，對於大資料環境下的資料機密性保護具有獨特的優勢。

第6章 結束語

隨著資料應用的快速發展，使資料孤島被打破，各企事業單位都在積極尋找資料場景，謀求資料合作，一方面可以提升自身資料的價值，另一方面也可以利用合作伙伴的資料提升自身的生產力。資料應用的越廣泛，資料安全工作越重要，資料一旦被洩露、篡改、濫用，影響的是整個合作生態。傳統的資料安全防護以邊界、旁路為主，在大資料時代，資料安全防護會向縱深、主路發展，將資料安全能力滲透到資料業務中，管控粒度不斷細化。