《資料安全法》之下，你的資料安全建設跟上了嗎？

摘要：綠盟科技從資料安全建設頂層設計出發，提出“一箇中心，四個領域，五個階段”的資料安全體系建設思路。以資料安全防護為中心，在組織建設、制度流程、技術工具和人員能力四個領域同時開展建設工作，透過“知、識、控、察、行”五個步驟進行資料安全落地建設。

一、資料安全建設的三大難點

隨著雲端計算、大資料、物聯網、移動網際網路、人工智慧等新技術的發展，網路邊界被不斷打破，數字孿生、敏捷創新、安全合規驅動快速轉型，社會和企業都面臨著數字化轉型帶來的資料安全風險。

近年來資料洩露的安全事件頻發，國家和機構對資料安全的重視程度不斷提高，資料安全已經與關鍵資訊基礎設施一併成為影響國家穩定、民生安全及社會安全的關鍵因素。

1.1 資料安全體系建設目標模糊、建設步驟不清晰

缺少資料安全體系建設指導方針：資料資產在許多環境下對可用性的要求極高，並且由於資料資產對流動性的依賴，如何在保障資料可用性與流動性的前提下落實對資料機密性與完整性的保護是企業所面臨的重要問題。

缺乏資料安全體系建設經驗：由於資料安全體系建設與傳統資訊系統安全建設存在著保護範圍不同、保護物件不同、安全策略型別不同以及安全建設思路不同等差異，對於企業來說資料安全建設是一項全新的課題。

缺少合適的建設指導：由於我國的資料安全研究正處在逐步推進的階段，暫時缺少直接有效的指導標準或行業最佳實踐幫助企業明確資料安全體系建設的方法與步驟。

1.2 資料安全組織和人員建設不完善

資料資產的權責不一致：資料通常來自於企業的業務部門，在業務部門使用，並且資料的所有權也常常屬於業務部門，但由於資料安全策略有時會限制業務部門對資料使用的權力，而資料安全體系建設工作由安全部門主導，資料安全防護體系的建設很有可能受到來自於業務部門的阻力，資料安全體系建設工作推動困難。

缺乏有經驗的資料安全人員：由於我國資料安全建設工作正處在起步階段，企業安全團隊缺少有資料安全經驗的人員，這導致資料安全建設難以有效的執行。

1.3 資料安全技術體系不健全

傳統資訊保安體系無法保護資料安全：有別與傳統資訊保安防護體系，由於資料安全防護體系將保護物件聚焦在“資料資產”這樣的無形資產上，資料資產的機密性、完整性以及可用性與硬體資產存在著巨大差別，這導致傳統資訊保安防護體系通常不具備對資料安全的有效保護能力。

靜態防護策略無法保護資料安全：通常一個資訊系統中的硬體資產數量是有限的，且在沒有重大的系統變更時不會發生顯著變化，所以傳統資訊保安體系的安全策略的設計思路往往是靜態的。而隨著大資料技術的廣泛應用，以及移動網際網路應用的蓬勃發展，企業資料儲存、處理平臺所承載的資料量正在以極快的速度爆炸式增長，若仍以靜態的視角看待資料資產勢必無法應對資料量急劇增長帶來的資料洩漏、資料損壞、資料篡改以及對資料主體造成影響等安全問題。並且由於資料資產對流動性的要求，僅考慮當前主體的靜態防護策略顯然無法有效保證資料的安全。

二、 一箇中心，四個領域，五個階段

綠盟科技從資料安全建設頂層設計出發，提出“一箇中心，四個領域，五個階段”的資料安全體系建設思路。以資料安全防護為中心，在組織建設、制度流程、技術工具和人員能力四個領域同時開展建設工作，透過“知、識、控、察、行”五個步驟進行資料安全落地建設。綠盟科技資料安全體系建設思路貼合了《資料安全法》的相關要求。

在資料安全體系建設中，組織建設、制度流程、技術工具、人員能力四個領域都需要同步開展建設工作。組織層面，決策層、管理層、執行層必須在資料安全建設領域達成一致，資料安全建設工作必須得到組織高層的支援。組織高層在資料安全領域的戰略目標應該能夠被管理層和執行層實現。管理是技術的運營依據、技術是管理的落地保障。所以兩者要相輔相成，缺一不可。

綠盟科技借鑑了Gartner的資料安全治理框架，“知、識、控、察、行”的綠盟科技資料安全治理方法論應運而生，讓資料安全落地有聲。

知：分析政策法規、梳理業務及人員對資料的使用規範，定義敏感資料。

識：根據定義好的敏感資料，利用工具對全網進行敏感資料掃描發現，對發現的資料進行資料定位、資料分類、資料分級。

控：根據敏感資料的級別，設定資料在全生命週期中的可用範圍，利用規範和工具對資料進行細粒度的許可權管控。

察：對資料進行監督檢察，保障資料在可控範圍內正常使用的同時，也對非法的資料行為進行了記錄，為事後取證留下了清晰準確的日誌資訊。

行：對不斷變化的資料做持續性的跟蹤，提供策略最佳化與持續運營的服務。

三、資料安全整體建設五步走

3.1 組織建設與資料梳理

在組織與制度設計方面，業務部門要深入參與資料資產梳理以及分級分類工作之中，因為只有業務部門是最瞭解資料價值與重要性的。因此需要自上而下形成高層牽頭，橫跨業務部門與安全部門的組織架構。由資訊保安管理團隊和資料業務管理團隊共同商討建立資料安全制度流程體系。制定好制度體系應該以文件化的方式進行落地管理並嚴格執行，這樣才能更好地開展後續建設工作。

基於業務特點進行資料分類、資料分級。資料分類分級的準確清晰，是後續資料保護的基礎。由於資料型別不同，對企業影響不同，我們建議根據《網路安全法》《資料安全法》《個人資訊保安保護法》《資訊保安技術 個人資訊保安規範》的要求對個人資訊和重要資料分開進行評估與定級，再按照就高不就低的原則對資料條目進行整體定級。

3.2 資料全生命週期安全風險評估

結合資料分類分級要求，辨別人、環境、資料的風險。敏感資料發現與資料風險評估的工作要結合人工服務和專業工具共同完成。

綠盟科技透過對《資訊保安技術 資料安全能力成熟度模型》的研究，整合出一套資料全生命週期安全風險評估方法。資料全生命週期安全風險評估從通用安全和各階段安全兩個層面進行資料風險檢查，瞭解資訊系統總體安全風險狀況，對脆弱性的所有方面統一進行分析和評估，並提出整改意見，幫助客戶建立快速響應機制，及時有效完成資料安全風險修復工作。

3.3 資料安全縱深防護

針對資料安全的風險點，使用者側、終端側、網路側、業務側以及資料中心，都要做好安全防護措施，外防攻擊、防入侵、防篡改，內防濫用、防偽造、防洩露。最關鍵的是，對全部縱深防護環節進行整體控制，實現環境感知，可信控制和全面審計。透過資料安全運營平臺整合多層次的縱深防護，及時發現問題，阻止安全問題。

3.4 敏感資料監察分析

敏感資料監察分析、發現安全問題與異常事件。從使用者、資產和資料的行為模式出發，利用5W1H分析模型來進行敏感資料行為分析，基於行為模式發現資料異常事件。使用者行為分析與機器學習技術能夠更好的識別資料安全風險，再加入資料探勘與分析技術，在資料安全領域可以節省分析時間和分析量，提高分析數量和準確度。

基於歷史的可信訪問行為提取訪問規則，利用各類演算法進行行為聚類，形成可劃分的訪問行為簇並視覺化呈現。透過這種圖譜分析與視覺化展示讓管理者對於敏感資料訪問情況，由一無所知轉變為可視可管。

3.5 最佳化改進與持續運營

隨著業務的執行，資料也在不斷變化，因此安全也要不斷最佳化。為了應對變化，快速應對資料安全風險，必須對資料安全策略進行持續地最佳化改進與監督運營。

合規要求指導安全策略的設定，安全策略支撐合規治理要求的落地，二者相輔相成，配合上持續最佳化改進運營的“知、識、控、察、行”體系，實現持續自適應的資料安全防護能力。

綠盟科技資料安全整體建設思路提出了自上而下的資料管理體系，從資料安全治理到合規監管，從及時預警到風險態勢，全方位的解決個人資訊和重要資料在企業內的資料安全問題。

隨著資產資料化和資料資產化，資料安全成為從大資料時代到雲時代發展轉變的產物，資料安全的最終落腳點在於資料應用和價值實現，從資料管控向資料價值轉變，實現資料驅動業務發展。目前國內資料安全僅在法律法規層面有了方向性的指引，尚缺乏可執行的監管標準和業界最佳實踐。必須不斷從理論和實踐層面完善資料安全建設水平，打造成熟的資料安全建設體系最佳實踐，讓資料發揮最大價值，從而推動市場經濟高速發展。