前言

在當(dāng)前的數(shù)據(jù)時(shí)代，隨著云計(jì)算、大數(shù)據(jù)、AI等技術(shù)的不斷發(fā)展，“數(shù)據(jù)”已經(jīng)滲透到當(dāng)今每一個(gè)行業(yè)和業(yè)務(wù)職能領(lǐng)域，成為重要的生產(chǎn)因素。數(shù)據(jù)的計(jì)量單位至少是PB級(jí)別計(jì)算。這個(gè)時(shí)代不僅給“數(shù)據(jù)”賦予了“價(jià)值”屬性，也同步賦予了“法律”屬性，這些都推動(dòng)著國(guó)家和企業(yè)重視數(shù)據(jù)，重視數(shù)據(jù)安全。

數(shù)據(jù)安全形勢(shì)

據(jù)IBM《2019年全球數(shù)據(jù)泄露成本報(bào)告》顯示，惡意數(shù)據(jù)泄露平均給調(diào)研中的受訪企業(yè)帶來 445 萬美元的損失。CNCERT 在2019年全年累計(jì)發(fā)現(xiàn)我國(guó)重要數(shù)據(jù)泄露風(fēng)險(xiǎn)與事件 3000 余起。數(shù)據(jù)泄漏對(duì)企業(yè)來說不僅是經(jīng)濟(jì)損失，還有國(guó)家層面的巨額罰款;比如Facebook的8700萬用戶數(shù)據(jù)的不當(dāng)泄漏被罰款50億美金，英國(guó)航空公司的50萬乘客數(shù)據(jù)的不當(dāng)泄漏被罰款2.3億美元;國(guó)內(nèi)大量企業(yè)都號(hào)稱自己有百萬、千萬甚至過億的用戶量，但你們是否有相應(yīng)的數(shù)據(jù)安全能力來保證用戶數(shù)據(jù)不外泄，或者你們是否有能力應(yīng)對(duì)合規(guī)層面的巨額罰款。

數(shù)據(jù)安全標(biāo)準(zhǔn)

國(guó)際層面，各國(guó)出臺(tái)了如GDPR、CCPA、COPPA、LGPD等。

國(guó)內(nèi)層面，近期相繼出臺(tái)了《網(wǎng)絡(luò)安全法》、《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》、《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》、 《數(shù)據(jù)安全管理辦法》(征求意見稿)、《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》(征求意見稿)和《中華人民共和國(guó)數(shù)據(jù)安全法(草案)》等。

數(shù)據(jù)安全相關(guān)定義

(1) 數(shù)據(jù)的定義：

任何以電子或者非電子形式對(duì)信息的記錄。

(2) 理解數(shù)據(jù)的類型：

a. 按照數(shù)據(jù)性質(zhì)區(qū)分

• 結(jié)構(gòu)化數(shù)據(jù)：即行數(shù)據(jù),存儲(chǔ)在數(shù)據(jù)庫里,可以用二維表結(jié)構(gòu)來邏輯表達(dá)實(shí)現(xiàn)的數(shù)據(jù)
• 非結(jié)構(gòu)化數(shù)據(jù)：包括所有格式的工作文檔、文本、圖片、XML、HTML、各類報(bào)表、圖像和音頻/視頻信息等等
• 半結(jié)構(gòu)化數(shù)據(jù)：就是介于完全結(jié)構(gòu)化數(shù)據(jù)(如關(guān)系型數(shù)據(jù)庫、面向?qū)ο髷?shù)據(jù)庫中的數(shù)據(jù))和完全無結(jié)構(gòu)的數(shù)據(jù)(如聲音、圖像文件等)之間的數(shù)據(jù)，HTML文檔就屬于半結(jié)構(gòu)化數(shù)據(jù)

b. 按照數(shù)據(jù)狀態(tài)區(qū)分

• 靜態(tài)數(shù)據(jù)：存儲(chǔ)在磁盤、硬盤、SAN等介質(zhì)上的任何數(shù)據(jù)
• 動(dòng)態(tài)數(shù)據(jù)：通過網(wǎng)絡(luò)傳輸?shù)娜魏螖?shù)據(jù)
• 使用中的數(shù)據(jù)：應(yīng)用程序使用內(nèi)存或臨時(shí)緩沖區(qū)中的數(shù)據(jù)

(3) 數(shù)據(jù)活動(dòng)的定義：

數(shù)據(jù)的收集、存儲(chǔ)、加工、使用、提供、交易、公開等行為。

(4) 數(shù)據(jù)安全的定義：

通過采取必要措施,保障數(shù)據(jù)得到有效保護(hù)和合法利用,并持續(xù)處于安全狀態(tài)的能力。

數(shù)據(jù)安全的挑戰(zhàn)

(1) 業(yè)務(wù)系統(tǒng)的靈活多變、需求復(fù)雜

互聯(lián)網(wǎng)+的時(shí)代，市場(chǎng)的快速變化，企業(yè)業(yè)務(wù)的極速調(diào)整，企業(yè)每天都有可能出現(xiàn)系統(tǒng)上線、功能調(diào)整、接口的三方接入、數(shù)據(jù)的線上和線下外發(fā)等。面對(duì)這些變化和場(chǎng)景，我們?nèi)绾螒?yīng)對(duì)?

(2) 新技術(shù)新挑戰(zhàn)

新技術(shù)帶來新風(fēng)險(xiǎn)。云、物聯(lián)網(wǎng)、大數(shù)據(jù)和AI等新技術(shù)的廣泛應(yīng)用給企業(yè)帶來了巨大生產(chǎn)力的同時(shí)，也改變了傳統(tǒng)網(wǎng)絡(luò)的數(shù)據(jù)防護(hù)思路，新型的網(wǎng)絡(luò)威脅我們?nèi)绾螒?yīng)用?

(3) 數(shù)據(jù)量大

大數(shù)據(jù)的興起，數(shù)據(jù)的起始計(jì)量單位變成至少是PB級(jí)，甚至是EB級(jí)，在如此龐大的數(shù)據(jù)量面前，如何有效管理，如果做數(shù)據(jù)的快速識(shí)別、監(jiān)控、檢測(cè)、處置、響應(yīng)?

(4) 安全威脅增多

數(shù)據(jù)價(jià)值的提升，導(dǎo)致外部威脅的目的性、隱蔽性、破壞性都成上升趨勢(shì)。如何降低威脅暴露面和何種體系防護(hù)應(yīng)對(duì)?

數(shù)據(jù)安全的目標(biāo)

目標(biāo)：滿足合規(guī)，貼合業(yè)務(wù)，將數(shù)據(jù)風(fēng)險(xiǎn)降低至可接受水平，讓數(shù)據(jù)使用更安全。

辦法總比困難多，面對(duì)各位數(shù)據(jù)安全挑戰(zhàn)，數(shù)據(jù)安全從業(yè)者要有自己的數(shù)據(jù)安全防護(hù)體系思路，善于學(xué)習(xí)新技術(shù)新經(jīng)驗(yàn)的能力，總結(jié)自己的套路和打法，以終為始，不斷更新和進(jìn)步。

業(yè)務(wù)面前，安全不是他們的對(duì)立面，要采取雙贏思維，建立信任關(guān)系。業(yè)務(wù)的目的是盈利，而安全是保證業(yè)務(wù)穩(wěn)定盈利，規(guī)避風(fēng)險(xiǎn)最佳幫手，彼此相輔相成，相互依存。

數(shù)據(jù)安全模型框架

數(shù)據(jù)安全的執(zhí)行和管理需要以數(shù)據(jù)為中心，宏觀層，在滿足合規(guī)的基礎(chǔ)上，依托組織建設(shè)，采取技術(shù)和管理的手段，實(shí)施層，采取“識(shí)別”、“保護(hù)”、“監(jiān)視”、“檢測(cè)”、“響應(yīng)”和“恢復(fù)”六大安全功能，保證數(shù)據(jù)全證明周期的安全。

數(shù)據(jù)安全建設(shè)框架

基于數(shù)據(jù)安全模型框架，梳理數(shù)據(jù)安全建設(shè)過程所需的基本功能和重點(diǎn)功能，制定如下數(shù)據(jù)安全建設(shè)框架：

框架說明

整理來看，數(shù)據(jù)安全建設(shè)框架可以分為三個(gè)層面。

(1) 最下面為組織建設(shè)層：

數(shù)據(jù)治理小組負(fù)責(zé)整體決策層工作，比如數(shù)據(jù)安全計(jì)劃的定位，策略、政策和組織等的制定;數(shù)據(jù)安全團(tuán)隊(duì)負(fù)責(zé)整體戰(zhàn)術(shù)層和執(zhí)行層工作，戰(zhàn)術(shù)層比如具體安全計(jì)劃的管理管控，如合規(guī)管理、風(fēng)險(xiǎn)管理、計(jì)劃管理、進(jìn)度管理和指標(biāo)管理等等;執(zhí)行層負(fù)責(zé)整體數(shù)據(jù)安全計(jì)劃的落地工作，人員包括專業(yè)的數(shù)據(jù)安全人員和各業(yè)務(wù)團(tuán)隊(duì)的安全接口人。

(2) 中間為能力實(shí)現(xiàn)層：

通過“識(shí)別”、“保護(hù)”、“監(jiān)視”、“檢測(cè)”、“響應(yīng)”和“恢復(fù)”六大功能，落地?cái)?shù)據(jù)安全的合規(guī)、管理、技術(shù)和運(yùn)營(yíng)。

(3) 最上面為目標(biāo)和愿景層：

通過組織建設(shè)和數(shù)據(jù)安全能力實(shí)現(xiàn)，保證組織用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)和公司數(shù)據(jù)，最終實(shí)現(xiàn)使數(shù)據(jù)使用更安全的愿景。

數(shù)據(jù)安全實(shí)施框架

數(shù)據(jù)安全工作如此繁雜多樣，我們?nèi)绾尉唧w落地和有序建設(shè)執(zhí)行呢，基于數(shù)據(jù)安全建設(shè)框架，制定如下數(shù)據(jù)安全實(shí)施框架：

框架說明

整體來看，每做一件事情，我們都要先做好計(jì)劃，然后實(shí)施，實(shí)施中進(jìn)行復(fù)核檢測(cè)，進(jìn)而改進(jìn)，如此反復(fù)，階梯式完成，形成一個(gè)PDCA的循環(huán)。

(1) Plan：

我們要制定好計(jì)劃、確定范圍和明確目標(biāo)，識(shí)別的重點(diǎn)工作為：范圍和邊界的識(shí)別、賬號(hào)識(shí)別、權(quán)限識(shí)別、數(shù)據(jù)識(shí)別、系統(tǒng)識(shí)別、操作識(shí)別、流程識(shí)別和數(shù)據(jù)的分類分級(jí)。

(2) Do&Act：

在Plan中的成果進(jìn)行處置，事前做保護(hù)，事中做監(jiān)視和檢測(cè)，事后做響應(yīng)和恢復(fù)。重點(diǎn)工作為合規(guī)的落地;安全基線的落地;管理制度的建立‘敏感信息在數(shù)據(jù)生命周期中的管控、處置和審計(jì)，如敏感數(shù)據(jù)打標(biāo)簽、傳輸?shù)募用堋⒋鎯?chǔ)的加密或脫敏、使用的脫敏、操作的日志記錄等。

注：合規(guī)的部分問題可以參考我另兩篇文章《數(shù)據(jù)安全怎么做——合規(guī)篇之CCPA》《數(shù)據(jù)安全怎做——合規(guī)篇之?dāng)?shù)據(jù)安全法》

資產(chǎn)梳理的問題可以參考我另一篇文章《企業(yè)安全建設(shè)之資產(chǎn)庫篇》

其他詳細(xì)內(nèi)容都在撰寫中，后續(xù)會(huì)一一發(fā)出，比如數(shù)據(jù)安全治理、管理各種子篇、技術(shù)各種子篇等等，敬請(qǐng)期待。

(3) Check：

用以對(duì)Do的成果的復(fù)核檢測(cè)，提出問題和需求，由Act層跟進(jìn)解決。

總結(jié)

數(shù)據(jù)安全是企業(yè)安全中與業(yè)務(wù)貼合最近的一項(xiàng)工作，好的落地勢(shì)必會(huì)帶來對(duì)業(yè)務(wù)的影響，所以搞定管理層是關(guān)鍵性因素，給數(shù)據(jù)安全工作戴上數(shù)據(jù)治理的帽子，

安全牽頭，拉上所有數(shù)據(jù)相關(guān)方共同執(zhí)行和承擔(dān)責(zé)任，這樣會(huì)大大增加工作開展的效率和有效性。

除此之外，數(shù)據(jù)安全的工作繁多，數(shù)據(jù)安全從業(yè)者需要為眾多事情結(jié)合公司業(yè)務(wù)排好優(yōu)先級(jí)，風(fēng)險(xiǎn)最大的不一定先做，優(yōu)先做公司業(yè)務(wù)當(dāng)前狀態(tài)最需要的剛需，制定好工作計(jì)劃，摸清家底，工作有序開展。