前言

在當前的數(shù)據(jù)時代，隨著云計算、大數(shù)據(jù)、AI等技術的不斷發(fā)展，“數(shù)據(jù)”已經(jīng)滲透到當今每一個行業(yè)和業(yè)務職能領域，成為重要的生產(chǎn)因素。數(shù)據(jù)的計量單位至少是PB級別計算。這個時代不僅給“數(shù)據(jù)”賦予了“價值”屬性，也同步賦予了“法律”屬性，這些都推動著國家和企業(yè)重視數(shù)據(jù)，重視數(shù)據(jù)安全。

數(shù)據(jù)安全形勢

據(jù)IBM《2019年全球數(shù)據(jù)泄露成本報告》顯示，惡意數(shù)據(jù)泄露平均給調(diào)研中的受訪企業(yè)帶來 445 萬美元的損失。CNCERT 在2019年全年累計發(fā)現(xiàn)我國重要數(shù)據(jù)泄露風險與事件 3000 余起。數(shù)據(jù)泄漏對企業(yè)來說不僅是經(jīng)濟損失，還有國家層面的巨額罰款;比如Facebook的8700萬用戶數(shù)據(jù)的不當泄漏被罰款50億美金，英國航空公司的50萬乘客數(shù)據(jù)的不當泄漏被罰款2.3億美元;國內(nèi)大量企業(yè)都號稱自己有百萬、千萬甚至過億的用戶量，但你們是否有相應的數(shù)據(jù)安全能力來保證用戶數(shù)據(jù)不外泄，或者你們是否有能力應對合規(guī)層面的巨額罰款。

數(shù)據(jù)安全標準

國際層面，各國出臺了如GDPR、CCPA、COPPA、LGPD等。

國內(nèi)層面，近期相繼出臺了《網(wǎng)絡安全法》、《兒童個人信息網(wǎng)絡保護規(guī)定》、《APP違法違規(guī)收集使用個人信息行為認定方法》、 《數(shù)據(jù)安全管理辦法》(征求意見稿)、《網(wǎng)絡數(shù)據(jù)安全標準體系建設指南》(征求意見稿)和《中華人民共和國數(shù)據(jù)安全法(草案)》等。

數(shù)據(jù)安全相關定義

(1) 數(shù)據(jù)的定義：

任何以電子或者非電子形式對信息的記錄。

(2) 理解數(shù)據(jù)的類型：

a. 按照數(shù)據(jù)性質(zhì)區(qū)分

• 結構化數(shù)據(jù)：即行數(shù)據(jù),存儲在數(shù)據(jù)庫里,可以用二維表結構來邏輯表達實現(xiàn)的數(shù)據(jù)
• 非結構化數(shù)據(jù)：包括所有格式的工作文檔、文本、圖片、XML、HTML、各類報表、圖像和音頻/視頻信息等等
• 半結構化數(shù)據(jù)：就是介于完全結構化數(shù)據(jù)(如關系型數(shù)據(jù)庫、面向?qū)ο髷?shù)據(jù)庫中的數(shù)據(jù))和完全無結構的數(shù)據(jù)(如聲音、圖像文件等)之間的數(shù)據(jù)，HTML文檔就屬于半結構化數(shù)據(jù)

b. 按照數(shù)據(jù)狀態(tài)區(qū)分

• 靜態(tài)數(shù)據(jù)：存儲在磁盤、硬盤、SAN等介質(zhì)上的任何數(shù)據(jù)
• 動態(tài)數(shù)據(jù)：通過網(wǎng)絡傳輸?shù)娜魏螖?shù)據(jù)
• 使用中的數(shù)據(jù)：應用程序使用內(nèi)存或臨時緩沖區(qū)中的數(shù)據(jù)

(3) 數(shù)據(jù)活動的定義：

數(shù)據(jù)的收集、存儲、加工、使用、提供、交易、公開等行為。

(4) 數(shù)據(jù)安全的定義：

通過采取必要措施,保障數(shù)據(jù)得到有效保護和合法利用,并持續(xù)處于安全狀態(tài)的能力。

數(shù)據(jù)安全的挑戰(zhàn)

(1) 業(yè)務系統(tǒng)的靈活多變、需求復雜

互聯(lián)網(wǎng)+的時代，市場的快速變化，企業(yè)業(yè)務的極速調(diào)整，企業(yè)每天都有可能出現(xiàn)系統(tǒng)上線、功能調(diào)整、接口的三方接入、數(shù)據(jù)的線上和線下外發(fā)等。面對這些變化和場景，我們?nèi)绾螒獙?

(2) 新技術新挑戰(zhàn)

新技術帶來新風險。云、物聯(lián)網(wǎng)、大數(shù)據(jù)和AI等新技術的廣泛應用給企業(yè)帶來了巨大生產(chǎn)力的同時，也改變了傳統(tǒng)網(wǎng)絡的數(shù)據(jù)防護思路，新型的網(wǎng)絡威脅我們?nèi)绾螒?

(3) 數(shù)據(jù)量大

大數(shù)據(jù)的興起，數(shù)據(jù)的起始計量單位變成至少是PB級，甚至是EB級，在如此龐大的數(shù)據(jù)量面前，如何有效管理，如果做數(shù)據(jù)的快速識別、監(jiān)控、檢測、處置、響應?

(4) 安全威脅增多

數(shù)據(jù)價值的提升，導致外部威脅的目的性、隱蔽性、破壞性都成上升趨勢。如何降低威脅暴露面和何種體系防護應對?

數(shù)據(jù)安全的目標

目標：滿足合規(guī)，貼合業(yè)務，將數(shù)據(jù)風險降低至可接受水平，讓數(shù)據(jù)使用更安全。

辦法總比困難多，面對各位數(shù)據(jù)安全挑戰(zhàn)，數(shù)據(jù)安全從業(yè)者要有自己的數(shù)據(jù)安全防護體系思路，善于學習新技術新經(jīng)驗的能力，總結自己的套路和打法，以終為始，不斷更新和進步。

業(yè)務面前，安全不是他們的對立面，要采取雙贏思維，建立信任關系。業(yè)務的目的是盈利，而安全是保證業(yè)務穩(wěn)定盈利，規(guī)避風險最佳幫手，彼此相輔相成，相互依存。

數(shù)據(jù)安全模型框架

數(shù)據(jù)安全的執(zhí)行和管理需要以數(shù)據(jù)為中心，宏觀層，在滿足合規(guī)的基礎上，依托組織建設，采取技術和管理的手段，實施層，采取“識別”、“保護”、“監(jiān)視”、“檢測”、“響應”和“恢復”六大安全功能，保證數(shù)據(jù)全證明周期的安全。

數(shù)據(jù)安全建設框架

基于數(shù)據(jù)安全模型框架，梳理數(shù)據(jù)安全建設過程所需的基本功能和重點功能，制定如下數(shù)據(jù)安全建設框架：

框架說明

整理來看，數(shù)據(jù)安全建設框架可以分為三個層面。

(1) 最下面為組織建設層：

數(shù)據(jù)治理小組負責整體決策層工作，比如數(shù)據(jù)安全計劃的定位，策略、政策和組織等的制定;數(shù)據(jù)安全團隊負責整體戰(zhàn)術層和執(zhí)行層工作，戰(zhàn)術層比如具體安全計劃的管理管控，如合規(guī)管理、風險管理、計劃管理、進度管理和指標管理等等;執(zhí)行層負責整體數(shù)據(jù)安全計劃的落地工作，人員包括專業(yè)的數(shù)據(jù)安全人員和各業(yè)務團隊的安全接口人。

(2) 中間為能力實現(xiàn)層：

通過“識別”、“保護”、“監(jiān)視”、“檢測”、“響應”和“恢復”六大功能，落地數(shù)據(jù)安全的合規(guī)、管理、技術和運營。

(3) 最上面為目標和愿景層：

通過組織建設和數(shù)據(jù)安全能力實現(xiàn)，保證組織用戶數(shù)據(jù)、業(yè)務數(shù)據(jù)和公司數(shù)據(jù)，最終實現(xiàn)使數(shù)據(jù)使用更安全的愿景。

數(shù)據(jù)安全實施框架

數(shù)據(jù)安全工作如此繁雜多樣，我們?nèi)绾尉唧w落地和有序建設執(zhí)行呢，基于數(shù)據(jù)安全建設框架，制定如下數(shù)據(jù)安全實施框架：

框架說明

整體來看，每做一件事情，我們都要先做好計劃，然后實施，實施中進行復核檢測，進而改進，如此反復，階梯式完成，形成一個PDCA的循環(huán)。

(1) Plan：

我們要制定好計劃、確定范圍和明確目標，識別的重點工作為：范圍和邊界的識別、賬號識別、權限識別、數(shù)據(jù)識別、系統(tǒng)識別、操作識別、流程識別和數(shù)據(jù)的分類分級。

(2) Do&Act：

在Plan中的成果進行處置，事前做保護，事中做監(jiān)視和檢測，事后做響應和恢復。重點工作為合規(guī)的落地;安全基線的落地;管理制度的建立‘敏感信息在數(shù)據(jù)生命周期中的管控、處置和審計，如敏感數(shù)據(jù)打標簽、傳輸?shù)募用?、存儲的加密或脫敏、使用的脫敏、操作的日志記錄等?/p>

注：合規(guī)的部分問題可以參考我另兩篇文章《數(shù)據(jù)安全怎么做——合規(guī)篇之CCPA》《數(shù)據(jù)安全怎做——合規(guī)篇之數(shù)據(jù)安全法》

資產(chǎn)梳理的問題可以參考我另一篇文章《企業(yè)安全建設之資產(chǎn)庫篇》

其他詳細內(nèi)容都在撰寫中，后續(xù)會一一發(fā)出，比如數(shù)據(jù)安全治理、管理各種子篇、技術各種子篇等等，敬請期待。

(3) Check：

用以對Do的成果的復核檢測，提出問題和需求，由Act層跟進解決。

總結

數(shù)據(jù)安全是企業(yè)安全中與業(yè)務貼合最近的一項工作，好的落地勢必會帶來對業(yè)務的影響，所以搞定管理層是關鍵性因素，給數(shù)據(jù)安全工作戴上數(shù)據(jù)治理的帽子，

安全牽頭，拉上所有數(shù)據(jù)相關方共同執(zhí)行和承擔責任，這樣會大大增加工作開展的效率和有效性。

除此之外，數(shù)據(jù)安全的工作繁多，數(shù)據(jù)安全從業(yè)者需要為眾多事情結合公司業(yè)務排好優(yōu)先級，風險最大的不一定先做，優(yōu)先做公司業(yè)務當前狀態(tài)最需要的剛需，制定好工作計劃，摸清家底，工作有序開展。