資料治理或者資料安全在大多數安全從業者的印象中是比較熟悉的概念，但資料安全治理似乎是個新名詞。實際上，對於擁有重要資料資產的各類企業，在資料安全治理方面或多或少都有實踐，只是尚未系統化的實行。比如客戶資料安全管理規範及其落地的配套管控措施，以及資料分級分類管理規範。這篇文章我們希望能相對系統化地對此概念進行闡述。

一、資料安全治理的組織和受眾

資料安全治理首先要成立專門的資料安全治理機構，以明確資料安全治理的政策、落實和監督由誰長期負責。該機構通常是虛擬機器構，可稱為資料安全治理委員會或資料安全治理小組，成員由資料的利益相關者和專家構成。其成立，標誌著組織的資料安全治理工作正式啟動，使組織內資料安全規範制定、資料安全技術匯入、資料安全體系建設得以不斷完善。該機構成立後，履行以下職責：

A．資料的分級分類原則的制定

B．資料安全使用（管理）規範的制定

C．資料安全治理技術的匯入

D．資料安全使用規範的監督執行

E．資料安全治理的持續演進

二、資料安全治理的策略與流程

資料安全治理，最為重要的是實現資料安全策略和流程的制訂，在企業或行業內經常被作為《某某資料安全管理規範》進行釋出，所有的工作流程和技術支撐都是圍繞此規範來制訂、落實。

2.1 外部所要遵循的策略

資料安全治理同樣需要遵循安全政策和行業內的安全政策。舉例如下：

網路安全法；
等級保護政策；
BMB17；
行業相關的政策要求舉例：

(a) PCI-DSS、Sarbanes-Oxley Act（SOX 法案）、HIPPA；

(b) 企業內部控制基本規範；（三會、財政、審計）

(c) 中央企業商業秘密保護暫行規定；

這些政策通常是在制訂組織內部政策時重點參考的外部政策規範。

2.2 資料的分級分類

資料治理主要依據資料的來源、內容和用途進行分類；以資料的價值、內容敏感程度、影響和分發範圍進行敏感級別劃分。

2.3 資料資產狀況的梳理

2.3.1 資料使用部門和角色梳理

資料資產梳理中，明確資料如何被儲存、資料被哪些物件使用、資料被如何使用。對於資料的儲存和系統的使用，需要透過自動化的工具進行；對於部門、人員角色梳理，更多在管理規範檔案中體現；對於資料資產使用角色的梳理，關鍵要明確不同受眾的分工、權利和職責。

2.3.2 資料的儲存與分佈梳理

清楚敏感資料分佈，才能知道需要對什麼樣的庫實現何種管控策略；對該庫運維人員實現怎樣的管控措施；對該庫的資料匯出實現怎樣的模糊化策略；對該庫資料的儲存實現何種加密要求。

2.3.3 資料的使用狀況梳理

明確資料被什麼業務系統訪問，才能準確地制訂業務系統工作人員對敏感資料訪問的許可權策略和管控措施。

資料的訪問控制

針對資料使用不同方面，完成對資料使用的原則和控制策略，包括：資料訪問的賬號和許可權管理、資料使用過程管理、資料共享（提取）管理、資料儲存管理。

定期的稽核策略

定期稽核，保證資料安全治理規範落地，包括：

A、合規性檢查；

B、操作監管與稽核；

C、風險分析與發現。

三、資料安全治理技術支撐框架

3.1 資料安全治理的技術挑戰

資料安全治理面臨資料狀況梳理、敏感資料訪問與管控、資料治理稽核三大挑戰。

3.1.1 資料安全狀況梳理技術挑戰

組織需要確定敏感性資料在系統內部的分佈情況，關鍵問題在於明確敏感資料的分佈；確定敏感性資料如何被訪問，如何掌握敏感資料以何種方式被什麼系統、什麼使用者訪問；確定當前賬號和授權狀況，清晰化、視覺化、報表化的明確敏感資料在資料庫和業務系統中的訪問賬號和授權狀況，明確當前權控是否具備適當基礎。

3.1.2 資料訪問管控技術挑戰

在敏感資料訪問和管控技術方面，面臨以下挑戰：

（1）如何將敏感資料訪問的審批在執行環節有效落地對於敏感資料的訪問、對於批次資料的下載要進行審批制度，這是關鍵；

（2）如何對突破權控管理的駭客技術進行防禦基於資料庫的許可權控制技術；

（3）如何在保持高效的同時實現儲存層的加密基於檔案層和硬碟層的加密將無法與資料庫的權控體系結合，對運維人員無效。

（4）如何實現保持業務邏輯後的資料脫敏對於測試環境、開發環境和 BI 分析環境中的資料需要對敏感資料模糊化。

（5）如何實現資料提取分發後的管控。

3.1.3 資料安全的稽核和風險發現挑戰

1、如何實現對賬號和許可權變化的追蹤

定期對賬號和許可權變化狀況進行稽核，保證對敏感資料的訪問在既定策略和規範內。

2、如何實現全面的日誌審計

全面審計是檢驗資料安全治理中的策略是否在日常執行中切實落地的關鍵。《網路安全法》針對全面的資料訪問審計的要求，日誌儲存最少保留6個月；全面審計工作對各種通訊協議、雲平臺的支撐，1000 億資料以上的儲存、檢索與分析能力上，均形成挑戰。

3、如何快速實現對異常行為和潛在風險的發現與告警

資料治理關鍵要素是發現非正常的訪問行為和系統中存在的潛在漏洞問題。如何對日常行為建模，是海量資料中快速發現異常行為和攻擊行為避免系統面臨大規模失控的關鍵。

3.2 資料安全治理的技術支撐

對應資料安全治理上述三大挑戰，提出針對資料安全狀況梳理、資料訪問管控及資料安全稽核的技術保障體系。

3.2.1 資料安全狀況梳理的技術支撐

1、資料靜態梳理技術

靜態梳理完成對敏感資料的儲存分佈狀況、資料管理系統的漏洞狀況、資料管理系統的安全配置狀況的資訊採集技術。

2、資料動態梳理技術

動態梳理技術實現對系統中的敏感資料的訪問狀況的梳理。

3、資料狀況的視覺化呈現技術

透過視覺化技術將靜態資產和動態資產梳理技術梳理出的資訊以視覺化的形式呈現，比如敏感資料的訪問熱度、資產在組織內不同部門或業務系統內的分佈、系統的賬號和許可權圖、敏感資料的範圍許可權圖：

資料安全治理理念，首先需要成立資料安全治理的組織機構，確保資料安全治理工作在組織內能真正地落地；其次，完成資料安全治理的策略性檔案和系列落地檔案；再次，透過系列的資料安全技術支撐系統應對挑戰，確保資料安全管理規定有效落地。