方案简介

plan Introduction

数据安全治理覆盖了安全防护、敏感信息管理、合规三大目标;这三个目标比我们过去以防黑客攻击和满足合规性两大安全目标,更为全面和完善。过去二十多年信息化和互联网经济的发展,数据成为继现金和技术之后又一核心价值资产;数据黑产在过去十年里蓬勃发展,让每个人、每个企业和国家的数据都面临着巨大威胁;只有合理地处理好数据资产的使用与安全,企业与国家才能在新的数据时代稳健而高速发展。对于敏感数据的安全管理和使用,是数据安全治理的核心主题。

方案架构

plan Architecture diagram

在数据安全治理的框架中,需要建立专门的安全治理团队,保证数据安全治理工作能够长期持续的得以执行,组织落地是有效开展数据安全治理工作的基础。数据安全治理团队要覆盖到安全、业务、运维等多个部门。

数据安全治理的策略和流程,要以文件的形式明确组织内部的敏感数据有哪些,敏感数据进行分类和分级,对不同类别和级别的敏感数据的管理控制原则,不同的工作部门和角色所具有的权限,数据使用的不同环节所要遵循的控制流程。

数据安全治理的技术支撑,是要明确在数据安全治理的过程中,要采用什么样的技术工具帮助完成数据安全治理工作。包括早期策略制定前的数据梳理工具,数据访问过程控制中,采用什么样的技术手段帮助实现数据的安全管理过程,以及在后期对数据安全治理工作进行稽核的过程中采用什么样的技术工具进行辅助监管。这些技术手段可以包括数据的梳理、数据的访问控制、数据的加密、数据的脱敏、数据的水印、数据的隔离、数据的防注入、数据的审计、数据访问的风险分析等。

Step1:业务需求与安全(风险/威胁/合规性)之间的平衡

这里需要考虑5个维度的平衡:经营策略、治理、合规、IT策略和风险容忍度,这也是治理队伍开展工作前需要达成统一的5个要素。
       经营策略:确立数据安全的处理如何支撑经营策略的制定和实施
       治理:对数据安全需要开展深度的治理工作
       合规:组织面临的合规要求
       IT策略:组织的整体IT策略同步
       风险容忍度:组织对安全风险的容忍度在哪里

Step2:数据优先级

进行数据分级分类,以此对不同级别数据实行合理的安全手段。

Step4:实施安全产品

从两个方向考虑如何实施数据安全治理,一是明确数据的访问者(应用用户/数据管理人员)、访问对象、访问行为;二是基于这些信息制定不同的、有针对性的数据安全策略。

Step3:制定策略,降低安全风险

数据是流动的,数据结构和形态会在整个生命周期中不断变化,需要采用多种安全工具支撑安全策略的实施。在数据安全治理体系中提出了实现安全和风险控制的6种工具:
       加密、以数据为中心的审计与保护、数据防护泄露、云防护代理、身份识别与访问管理、分析,其中可能包含多个具体的技术手段。

Step5:策略配置同步

策略配置同步指的是无论使用访问控制、脱敏、加密、令牌化,哪种手段都必须注意对数据访问和使用的安全策略保持同步下发,策略执行对象应包括关系型数据库、大数据类型、文档文件、云端数据、终端等数据类型。