“數(shù)據(jù)安全治理” 這個(gè)詞大家并不陌生，但是如何做好數(shù)據(jù)安全治理，很多用戶卻不清楚從何著手，對(duì)數(shù)據(jù)的合規(guī)利用也毫無(wú)頭緒。今天我們結(jié)合《數(shù)據(jù)安全法》來(lái)講解一下，如何才能做好數(shù)據(jù)安全治理，數(shù)據(jù)安全治理的步驟有哪些？

　　數(shù)據(jù)安全治理的本質(zhì)

　　數(shù)據(jù)因流動(dòng)產(chǎn)生價(jià)值。企業(yè)內(nèi)部的數(shù)據(jù)會(huì)在整個(gè)企業(yè)內(nèi)部、甚至更大的范圍內(nèi)共享，如果想要保障數(shù)據(jù)被安全使用，那么就不能任由個(gè)人或部門各行其是地處置他們的數(shù)據(jù)，數(shù)據(jù)活動(dòng)需要在一個(gè)企業(yè)的規(guī)范框架約束下進(jìn)行。如果數(shù)據(jù)是敏感或關(guān)鍵性的，那么使用、傳輸或存儲(chǔ)這類的數(shù)據(jù)，會(huì)需要特別的處置，這種情況下也不能任由個(gè)人或部門各行其是，而是需要在一個(gè)企業(yè)的安全策略框架約束下進(jìn)行。

　　企業(yè)數(shù)據(jù)安全治理的本質(zhì)是建立一組企業(yè)的“數(shù)據(jù)法規(guī)”，由這些法規(guī)來(lái)規(guī)范企業(yè)所有人員的所有數(shù)據(jù)活動(dòng)。

　　數(shù)據(jù)安全治理的定義

　　Gartner提出，數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級(jí)解決方案，而是從決策層到技術(shù)層，從管理制度到工具支撐，自上而下貫穿整個(gè)組織架構(gòu)的完整鏈條。組織內(nèi)的各個(gè)層級(jí)之間需要對(duì)數(shù)據(jù)安全治理的目標(biāo)和宗旨取得共識(shí)，確保采取合理和適當(dāng)?shù)拇胧?，以最有效的方式保護(hù)信息資源。

　　數(shù)據(jù)安全治理的步驟

　　Gartner建議，對(duì)數(shù)據(jù)進(jìn)行數(shù)據(jù)安全治理，建立以人為中心，自上而下的數(shù)據(jù)安全治理體系。數(shù)據(jù)安全治理分為以下幾個(gè)步驟：

　　數(shù)據(jù)的分級(jí)分類

　　從風(fēng)險(xiǎn)角度看，首先，公司有哪些數(shù)據(jù)是最重要的數(shù)據(jù)，把這些最重要的數(shù)據(jù)區(qū)分出來(lái)，對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類，然后，根據(jù)誰(shuí)會(huì)使用這些數(shù)據(jù)來(lái)去做什么，形成數(shù)據(jù)安全的策略。

　　很多企業(yè)單位在開始去做數(shù)據(jù)安全分級(jí)分類的時(shí)候，面對(duì)海量數(shù)據(jù)不知如何入手。我們建議從業(yè)務(wù)入手，自上而下的進(jìn)行數(shù)據(jù)梳理。我們要做一個(gè)分級(jí)分類的指南，需要定位到數(shù)據(jù)最后落地的點(diǎn)，以及數(shù)據(jù)以什么形態(tài)存在。我們按照普遍性原則來(lái)看，可以把數(shù)據(jù)定義成1~5級(jí)的這種模式。

　　制定數(shù)據(jù)安全策略

　　通過(guò)第一步的數(shù)據(jù)梳理，我們可以了解到此類業(yè)務(wù)數(shù)據(jù)分布在何處，誰(shuí)會(huì)去使用這些數(shù)據(jù)去做什么樣的事情，誰(shuí)可能去接觸到這些數(shù)據(jù)？此類數(shù)據(jù)泄露或者丟失會(huì)帶來(lái)什么樣的后果。經(jīng)過(guò)綜合指數(shù)加權(quán)計(jì)算，我們可以得到某種數(shù)據(jù)泄露的風(fēng)險(xiǎn)值，根據(jù)風(fēng)險(xiǎn)值來(lái)對(duì)數(shù)據(jù)分級(jí)，比如級(jí)別定成公開、機(jī)密、絕密，不同級(jí)別數(shù)據(jù)需要采取什么樣的策略，監(jiān)控、阻止、告警、加密等。

　　采取的數(shù)據(jù)安全管理技術(shù)我們根據(jù)數(shù)據(jù)的分級(jí)分類，結(jié)合業(yè)務(wù)，決定采用何種數(shù)據(jù)安全技術(shù)作為支撐。通常采取的技術(shù)有6類，分別是：DLP、UEBA、CASB、IAM、加解密、DCAP。

　　數(shù)據(jù)安全治理涉及到的產(chǎn)品

　　DLP

　　DLP通過(guò)對(duì)數(shù)據(jù)的內(nèi)容的識(shí)別，對(duì)數(shù)據(jù)的存儲(chǔ)、使用和傳輸對(duì)它進(jìn)行發(fā)現(xiàn)和保護(hù)。比如有一個(gè)word文檔，在 Word文檔里面有一張圖片，圖片里面可能是通過(guò)屏幕截圖的方式去截下來(lái)一個(gè) Excel表，這個(gè)表里面的內(nèi)容是姓名、身份證號(hào)和信用卡號(hào)， DLP能通過(guò)內(nèi)容識(shí)別發(fā)現(xiàn)，知道這個(gè)Word文檔里面包含了多少個(gè)身份證號(hào)。

　　UEBA

　　UEBA技術(shù)是對(duì)人的行為進(jìn)行分析的技術(shù)，它的核心點(diǎn)是人。我們所有的數(shù)據(jù)泄露都是通過(guò)人的行為完成的。我們要去抓住“壞人”，就是通過(guò)UEBA對(duì)人的行為進(jìn)行分析。采用行為分析的方式，可以在一大堆的“好人”里面發(fā)現(xiàn)有誰(shuí)干了壞事?！皦娜恕笨偸菚?huì)干一些異常的事情，UEBA通過(guò)行為的采集，就知道誰(shuí)在整個(gè)數(shù)據(jù)使用的過(guò)程中，誰(shuí)做了哪些動(dòng)作，或者操作了哪些數(shù)據(jù)。通過(guò)大量的數(shù)據(jù)的獲取，基于網(wǎng)絡(luò)的、協(xié)議的行為，比如你上網(wǎng)都訪問(wèn)了什么樣的網(wǎng)站，外發(fā)了那些敏感數(shù)據(jù)、在電腦上做了哪些操作等等，把所有的操作行為，放在基于人工智能算法的系統(tǒng)里進(jìn)行分析，看究竟誰(shuí)做了什么樣的壞事。這種分析會(huì)把每個(gè)人自己的當(dāng)前的行為和過(guò)去的行為進(jìn)行比較，和你周圍同事的行為進(jìn)行比較。

　　CASB

　　CASB主要是用來(lái)保護(hù)云端的數(shù)據(jù)，現(xiàn)在越來(lái)越多的金融企業(yè)開始使用SaaS服務(wù)模式。CASB主要是為了解決影子IT的問(wèn)題，保護(hù)企業(yè)使用SaaS服務(wù)時(shí)潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)。

　　CASB對(duì)于云安全的重要性，就像防火墻對(duì)于網(wǎng)絡(luò)安全一樣。

　　各種SaaS服務(wù)，在一些服務(wù)中充滿了數(shù)據(jù)安全的陷阱，比如對(duì)上傳數(shù)據(jù)的所有權(quán)聲明、對(duì)用戶操作和行為的監(jiān)控、服務(wù)商自身的安全保護(hù)等，很容易造成企業(yè)員工在使用非企業(yè)IT評(píng)估過(guò)的SaaS服務(wù)時(shí)泄露企業(yè)的核心數(shù)據(jù)資產(chǎn)。通過(guò)CASB技術(shù)，能有效的保護(hù)企業(yè)員工訪問(wèn)低風(fēng)險(xiǎn)級(jí)別的SaaS服務(wù)。

　　IAM

　　IAM就是身份與訪問(wèn)的管理。所有對(duì)數(shù)據(jù)能產(chǎn)生威脅的都是人，無(wú)論這個(gè)人員來(lái)自于內(nèi)部還是外部，所有的動(dòng)作都是人在操作。做數(shù)據(jù)治理的時(shí)候需要首先明確人員的身份，誰(shuí)，使用什么樣的設(shè)備，可以訪問(wèn)哪些敏感數(shù)據(jù)，可以訪問(wèn)哪些應(yīng)用系統(tǒng)中的哪些模塊。

　　加解密

　　加解密是針對(duì)數(shù)據(jù)的可用性采用的非常強(qiáng)有力的管理手段。加密是指看不見(jiàn)、打不開、拿不走。數(shù)據(jù)一旦做了加密之后，如果不具備相應(yīng)的權(quán)限，就無(wú)法看見(jiàn)這些內(nèi)容。加解密往往應(yīng)用在對(duì)數(shù)據(jù)的保護(hù)級(jí)別非常高的場(chǎng)景，因?yàn)榘殡S加解密的同時(shí)往往是大量計(jì)算資源的投入和業(yè)務(wù)處理的不便捷性。

　　DCAP

　　DCAP是指對(duì)數(shù)據(jù)的審計(jì)與保護(hù)。我們對(duì)數(shù)據(jù)在企業(yè)的使用，需要有一個(gè)可視化的管理，能發(fā)現(xiàn)誰(shuí)使用了哪些數(shù)據(jù)，這些數(shù)據(jù)是怎樣流動(dòng)的，通過(guò)DCAP技術(shù)能知道誰(shuí)在去讀寫或者獲取這些敏感數(shù)據(jù)。