数据安全治理的一些想法 – 作者:dawenjun

在“没有网络安全就没有国家安全”、“实施互联网+计划和国家大数据发展战略”等政策要求的时代背景下，国家层面越来越重视数据安全的发展。根据2019年《中国数字经济白皮书》指出，数字经济占全国GDP总和的36%，随着每年各行各业的数据量成几何倍的速度增长，可以预见在未来数据将会是国家发展、民族复兴的重要资源。为此，数据的安全也是当下数据治理的一个重要组成部分。

最近因为工作原因一直在思考数据安全治理到底该怎么做，在写之前，需要明确一下数据治理与数据安全治理之间的关系：

数据治理：数据治理是对数据资产管理行使权力和控制的活动。是将原始、离散的数据通过梳理、清洗、归集等方式形成有价值的数据目录。通过数据治理可以提升数据的价值。

数据安全治理：属于数据治理中的一个重要组成部分，通过数据资产识别、分类分级、数据管理，提升数据使用过程中的安全性避免数据丢失、泄露、篡改。

在理清这两个概念的关系后，下面我来阐述一下自己对数据安全治理的理解：“数据安全治理的最终目的是要确保数据全生命周期过程中的安全性”。为实现这一目的，我分为以下几步，按顺序介绍如下：

第一步：摸清家底

往往我们在做信息化安全建设时，一个固定的思维是：直接怼设备进用户业务网络，不断网+业务正常就大功告成。事实上这样做完全没有考虑到用户业务和管理现状。对于数据安全治理而言，切忌第一步不可直接告诉客户上安全设备，这样只会让客户觉得你是来推销产品，而不是帮他解决问题的。一般都是先了解清楚用户现场情况，包括业务情况、组织架构、安全制度等信息。建立一个领导层、管理层、执行层都十分重视数据安全的组织架构，为接下来的步骤打好基础。

第二步：数据识别、分类分级

就像我们在给用户规划网络安全要做分区分域一样，数据安全治理也需要做识别数据资产、分类分级。做分级分类前先将用户网络内所有的数据尽可能的搜集上来，避免发生遗漏。之后对数据进行分类分级，一般是需要先分类，将不同数据归类到不同的组织目录内，这样才能更好的实施安全防御策略。例如参照《贵州市数据分类分级指南》，其将政府数据按照主题、行业和服务三个维度进行归类，每个维度内又划分了大类、中类、小类三个类型。分级是在分类的基础上，按照数据的敏感程度进行划分，一般定义敏感程度是参照数据发生破坏或者泄露时产生的影响，可分为公开、半公开、不公开数据。

第三步：数据风险管理

在分类分级过后，需要针对这些数据可能存在的威胁进行风险评估，可以从以下几个角度进行分析：

• 从技术角度出发，在采集、传输、存储、分析、共享、销毁几个过程中，数据自身存在的安全风险。
• 从管理角度出发，数据拥有者、数据使用者、数据管理者存在身份鉴别、权限管理、操作留存的问题，稍有不慎，可能会让“微盟事件”重演。
• 从运营角度出发，如何能够全面了解业务网络中所有数据的安全状态、如何才能不让技术和管理措施成为纸老虎，这是必须要考虑的问题。

第四步：部署数据安全产品&策略

针对上述存在的风险，数据安全治理需要从两个角度出发，一个传统安全建设，另外一个是数据安全建设：

1）传统安全建设，可以参照等级保护的标准来，按照安全的通信网络+安全的区域边界+安全的计算机环境结合安全的管理中心，实现“主动防护，纵深防御”的安全体系。

2）针对数据安全，重点关注数据生命周期过程中的安全防护，例如，在采集阶段需要对数据做识别、分类分级；在传输阶段，需要实现数据的加密传输；在存储阶段，需要实现数据加密存储、存储介质的管理；在分析阶段，需要实现数据防泄密、数据脱敏、数据操作审计等功能；在共享阶段，需要对人员的身份、操作做管理；在销毁阶段，利用格式化、物理破坏等方式进行销毁。

第五步：持续性的监测、管理

部署运维人员、安全专家，将上述安全设备活用起来，针对不同数据制定相应的策略，并通过统一的安全平台做集中管理，形成一个持续性运营的状态。

最后，安全策略部署好之后不是一尘不变的，需要根据被保护对象状态进行及时的调整，例如，一条敏感数据由于政策原因变成可以公开的信息，原本针对敏感数据的策略，例如数据脱敏，可以适当进行调整，使其可以被正常使用。

以上是我个人对数据安全治理的一些看法，希望能对大家有所帮助。

来源：freebuf.com 2020-08-10 23:48:21 by: dawenjun