騰訊安全首發企業級「資料安全能力圖譜」

當前數字化發展，無論是國家機關、企事業單位，還是普通自然人，對資料安全的關注和重視都是空前的，可以說資料安全是當前的熱門話題、共性話題。國家、地方、企事業內部都在不斷的完善相關法律法規和審計機制，提升自身的資料安全防護能力。

在資料安全體系建設時

你可能面臨的困惑

1. 當前所管理的資料資產是否與實際資產相符，敏感資料都在哪裡有，都在被誰訪問；
   
2. 已建設有部分安全產品，並進行了相應的策略配置，不清楚做的夠不夠；
   
3. 清楚資料的重要性，有意識整體提升資料安全防護能力，但不知道如何開展，如何迭代；
   
4. 資料安全相關制度已具備一些，不知道是否還有遺漏，不知道貫徹執行情況如何，怎麼稽核；
   
5. 平臺建設方、運維方可能是同一團隊，擔心未來資料被濫用，如何形成制約；
   
6. 現有的執行狀況都存在哪些洩漏點、風險點，影響有多大；
   
7. 知道資料安全投入是持續的，但還是想盡量避免重複投入，透過利舊、精準投入而實現降本增效。
   

關注騰訊安全（公眾號：TXAQ2019）

騰訊資料安全能力圖譜提出了六大能力，即資料資產管控能力、資料安全運營能力、資料業務安全管控能力、資料支撐環境安全管控能力、資料運維安全管控能力和資料安全感知能力，覆蓋了資料全生命週期及重要的資料場景，在開展資料安全體系建設時具有很高的參考價值。

一. 資料資產管理能力

開展資料安全體系建設，首先要加強資料資產的管理能力，包括資產的變化情況、許可權狀況和使用狀況，而非傳統的登記備案模式。資料資產梳理是提升資料資產管理能力的基礎，也是建設資料安全體系的第一步。如果在資產狀況不完整、資產資訊不準確的情況下開展資料安全防護，則會出現盲點，防護手段的價值不能充分發揮，甚至會影響安全方面人力、財力的決策。因此，在開展資料安全體系建設時，一定要先開展資料資產梳理工作。傳統的梳理方式以訪談為主，存在準確率低、人工投入大的弊端。藉助靜態掃描和協議解析技術，結合人工的方式，可有效提升效率和準確率。另外，在開展資料資產梳理過程中，還可以發現高頻資產、靜默資產、殭屍庫等，使得資料資產的管理水平也得到提升。

二. 資料安全運營能力

明確角色和義務、指定人員和責任、完善制度和規範、制定安全檢查機制和許可權管理機制。資料安全運營是近幾年逐漸被重視起來的。傳統的資料安全防護主要靠技術手段和管理制度進行約束，相對被動，很多制度也執行不起來，從業人員安全能力有限，一旦出現安全事件，響應速度和處理能力相對較弱。透過建立完善的資料安全運營體系，讓專業的人做專業的事，讓資料安全工作伴隨業務持續進行，提供實時的安全保障，可有效提升本組織的安全管理和防護能力，應對隨時可能釋出和執行的法律法規。

三. 資料業務安全管控能力

目前可用於資料安全管控的技術即成熟又全面，典型的有資料脫敏、資料加密、資料行為管控等等。由於資料安全需要與業務進行關聯，甚至需要滲透到業務的流程中，資料安全類產品又相對獨立，存在同質化的情況，這種情況下的整合往往會對業務造成效能大幅下降、改造工作量大、重複投入，不利於資料安全體系的建設。因此，需要將資料安全技術進行融合，統一管理、統一呼叫，以服務的形式應用到資料生命週期的各個環節中去。

四. 資料支撐環境安全管控能力

主要是對資料庫本身和大資料元件進行安全加固，配合資料安全技術對資料資產進行訪問控制，定期開展安全掃描和配置核查，確保資料資產的安全性和可用性。

五. 資料運維安全管控能力

資料運維角色一般是指DBA、資料運維工程師等相比應用許可權範圍更廣泛的人員。目前資料安全領域出現的眾多資料洩露事件大多是由這類人員造成，另外，資料運維過程中不排除會出現誤操作造成的資料損毀現象。因此，高許可權人員我們應該重點關注，對於高許可權人員應從授權審批、違規識別與阻斷、高危操作提示與阻斷、資料遮蔽四個方面進行管控，並建立許可權回收機制，支援靜態授權和動態授權，管控粒度達到操作語句級。

六. 資料安全感知能力

資料安全感知能力的核心價值是發現違規並調查取證、稽核制度規範和安全策略的執行情況、趨勢分析輔助決策。資料安全感知能力的建設一般是由資料安全管理員和日誌審計平臺組成，日誌審計平臺可以幫助資料安全管理員對大量的日誌進行進行運算和彙總，並從中自動發現觸碰規則的行為，資料安全管理員可以從日誌資訊中發現潛在的安全風險，不斷完善和增加安全規則，使得本組織的資料安全防護能力不斷提升。日誌審計平臺應具備日誌資訊採集、日誌彙總與分析、規則識別、告警和視覺化展現五個功能。騰訊安全基於20年資料安全運營經驗，整合輸出資料安全能力，助力企事業單位開展資料安全體系建設。騰訊安全秉承“讓資料遵規守序”的理念，聯合生態夥伴，共同讓資料管理遵循法規，讓資料流動遵守秩序。

掃描二維碼進群