在數(shù)據(jù)流通的整個過程中，數(shù)據(jù)的安全治理是基礎，在海量高價值數(shù)據(jù)資產(chǎn)面臨各種內(nèi)外威脅面前，數(shù)據(jù)安全更需要體系化的建設思路?！稊?shù)據(jù)安全法》明確提出，維護數(shù)據(jù)安全，應當堅持總體國家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。

　　作為從國外引入的理念，數(shù)據(jù)安全治理在國內(nèi)市場的推廣、應用過程中衍生出了不同的理解思考和實施路徑，我們推出《數(shù)據(jù)安全治理解決方案》系列訪談選題，聚焦企業(yè)用戶真實需求和挑戰(zhàn)，通過挖掘分享行業(yè)中有價值的解決方案及服務，力求幫助企業(yè)用戶在數(shù)據(jù)安全建設工作中提供有益參考。

　　本期，我們走進廣州熠數(shù)信息技術有限公司（以下簡稱 熠數(shù)信息），觀察他們在該領域的思考和實踐。

　　熠數(shù)信息成立于2021年，以構建和諧的數(shù)據(jù)安全生態(tài)為己任，深耕數(shù)據(jù)安全領域，針對數(shù)據(jù)安全問題種類進行梳理，從影響面及危害程度做分級分類，再將數(shù)據(jù)安全劃分為四個應用場景：隱私合規(guī)場景、數(shù)據(jù)治理場景、數(shù)據(jù)應用場景和開放共享場景，每個場景中提供數(shù)據(jù)安全解決方案，實現(xiàn)能合規(guī)、有抓手、查得出、防得住。推動數(shù)據(jù)安全流動，讓數(shù)據(jù)的價值熠熠生輝。

　　數(shù)據(jù)安全治理的實踐與經(jīng)營業(yè)務、數(shù)據(jù)利用強相關

　　數(shù)據(jù)作為一種新型生產(chǎn)要素已經(jīng)被寫入中央文件，數(shù)據(jù)是數(shù)字經(jīng)濟的核心，數(shù)據(jù)要素對經(jīng)濟社會的發(fā)展起著關鍵作用。熠數(shù)信息CTO方偉表示，安全有效地推動數(shù)據(jù)利用、共享和流通，挖掘數(shù)據(jù)價值，能快速釋放數(shù)據(jù)生產(chǎn)力，助推經(jīng)濟社會高質(zhì)量發(fā)展，這就要求我們著力解決數(shù)據(jù)安全領域的突出問題，提升數(shù)據(jù)安全治理能力。

　　數(shù)據(jù)安全治理是一個具有一定戰(zhàn)略高度的、綱領性的概念，是一個體系化、制度化的過程。數(shù)據(jù)安全治理是確保數(shù)據(jù)的可用性、完整性和保密性所采取的各種策略、技術和活動，包括從企業(yè)戰(zhàn)略、企業(yè)文化、組織建設、業(yè)務流程、規(guī)章制度、技術工具等各方面提升數(shù)據(jù)安全風險應對能力的過程，控制數(shù)據(jù)安全風險或將風險帶來的影響降至最低。

　　數(shù)據(jù)安全治理自上而下，由治理層到管理層，從管理制度到技術工具，貫穿整個組織架構的完整鏈條。組織內(nèi)的各個層級之間需要對數(shù)據(jù)安全治理的目標達成共識，確保采取合理和適當?shù)拇胧?，以最有效的方式保護數(shù)據(jù)的安全。

　　但不同于網(wǎng)絡安全已經(jīng)建設十幾甚至二十幾年，數(shù)據(jù)安全基礎薄弱，不能一蹴而就。方偉表示，傳統(tǒng)網(wǎng)絡安全產(chǎn)品的使用者是安全運營人員，運維與業(yè)務是割裂的；但數(shù)據(jù)安全與業(yè)務是強相關的，市場化數(shù)據(jù)安全類產(chǎn)品的落地建設需要業(yè)務線而非研發(fā)技術人員的支持，需要數(shù)據(jù)管理部門的支持。市場化解決方案只有單一技術，無法覆蓋企業(yè)數(shù)據(jù)安全治理的方方面面，比起網(wǎng)絡安全來，數(shù)據(jù)安全治理更需要有行業(yè)業(yè)務邏輯的理解。

　　因此，數(shù)據(jù)安全治理在實踐中，與經(jīng)營業(yè)務、數(shù)據(jù)利用有更多的互動，涉及的范圍更廣，落地推動工作需要更多適配本地環(huán)境，相應的產(chǎn)品也有更多的業(yè)務定制化，而不是像網(wǎng)絡安全產(chǎn)品那樣可以做到標準化。此外，由于目前相關的法律法規(guī)許多條款都比較原則性，因此需要結合不同的行業(yè)和業(yè)務場景，適時地增加地方性法規(guī)、行業(yè)標準等才能更好推進和落實。所以，做好數(shù)據(jù)安全治理需要用戶基于業(yè)務提出需求、供應商基于業(yè)務定制開發(fā)和監(jiān)管機構基于行業(yè)場景制定標準。

　　數(shù)據(jù)安全治理的有力抓手：數(shù)據(jù)安全審計

　　熠數(shù)信息在數(shù)據(jù)安全治理方面把目光鎖定在數(shù)據(jù)安全審計。方偉解釋，因為安全這個領域是只有在事件發(fā)生的情況下才能體現(xiàn)自身價值，所以像加密、評估、認證這些安全建設在短期內(nèi)是無法讓企業(yè)直觀感受到自身安全能力提升的。此外，內(nèi)部人員的疏忽行為、組織員工內(nèi)外串謀、離職前獲取數(shù)據(jù)，心懷不滿的惡意行為是所有數(shù)據(jù)安全事件中代價最高昂且最難檢測到的。

　　因此，對客戶而言最能夠體現(xiàn)效果的是數(shù)據(jù)安全審計。這里的數(shù)據(jù)安全審計不是對數(shù)據(jù)庫的審計，而是對內(nèi)部員工數(shù)據(jù)的使用行為、API接口調(diào)用行為的歷史數(shù)據(jù)進行記錄和分析。

　　熠數(shù)信息的業(yè)務數(shù)據(jù)應用安全審計系統(tǒng)通過定義用戶個體的標簽，在縱向（個體的歷史行為習慣）和橫向（群體的行為習慣）的比較，識別行為習慣偏離度，再結合預定義規(guī)則和場景，及時攔截、預警高風險事件，避免歷史風險事件再次發(fā)生。

　　數(shù)據(jù)應用安全審計不是應對內(nèi)部威脅的，而是以數(shù)據(jù)行為為視角，囊括業(yè)務流程異常、業(yè)務接口的違規(guī)調(diào)用等行為發(fā)現(xiàn)數(shù)據(jù)訪問異常。

　　在業(yè)務風控場景下，做關鍵業(yè)務識別，將業(yè)務流程中的操作對應為編碼序列，基于歷史數(shù)據(jù)，訓練序列異常的檢測模型。通過檢測用戶行為序列的異常度，判斷是否有違背關鍵業(yè)務的流程，找出異常。在大數(shù)據(jù)技術和基于AI的機器學習技術的加持下，數(shù)據(jù)安全審計更加能夠發(fā)揮其價值，識別用戶異常、異常用戶、員工利用賬號所做的操作與正常業(yè)務范圍不符合等行為。據(jù)了解，該系統(tǒng)目前已經(jīng)在某些省市的數(shù)字政府中應用，得到用戶的好評。

　　方偉向我們著重強調(diào)了熠數(shù)信息解決方案的差異性。很多數(shù)據(jù)安全公司在做數(shù)據(jù)安全方案時都在談數(shù)據(jù)安全的生命周期，即數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)共享、數(shù)據(jù)使用、數(shù)據(jù)銷毀等階段。但圍繞數(shù)據(jù)安全生命周期的解決方案，周期長、起效慢、投入高、操作復雜，并不適合當下企業(yè)對數(shù)據(jù)安全的要求——高效、快速。

　　因此，熠數(shù)信息的解決方案是先聚焦某一個應用場景，在場景中細分做模塊，輔助有效管理手段、技術工具和持續(xù)性服務形成一套小的體系后再把場景擴大，體系擴大。

　　例如，合規(guī)場景可以分為用戶隱私數(shù)據(jù)安全合規(guī)、數(shù)據(jù)共享和委托、內(nèi)部數(shù)據(jù)使用三類，這些場景包括一系列子場景，在這些子場景中一步步完善，這樣能夠保證在這個場景下快速高效地體現(xiàn)效果。再比如數(shù)據(jù)安全風險場景，可以從風險源出發(fā)，按照外部攻擊者、內(nèi)部工作人員和第三方合作伙伴三個場景設計方案，也可以從風險等級出發(fā)，按照信息安全風險評估的思路，從資產(chǎn)、威脅、脆弱性等幾個維度設計方案。

　　以評估-指導-監(jiān)督-檢查為主要過程建設數(shù)據(jù)安全能力

　　談及此，方偉介紹了熠數(shù)信息數(shù)據(jù)安全治理體系的整體設計思路，在ISO 38505數(shù)據(jù)治理安全體系標準的基礎上，結合客戶的數(shù)據(jù)安全需求，對實際情況進行研究和實踐，建立一套輕量化、見效快的數(shù)據(jù)安全治理方法體系。該體系是以評估（Evaluate）-指導（Direct）-監(jiān)督（Monitor）-檢查（Check）為主要過程的EDMC數(shù)據(jù)安全能力建設模型。

　　評 估

　　通過評估數(shù)據(jù)在當前和未來的安全狀況，在保障業(yè)務的前提下，實現(xiàn)合規(guī)約束和風險管控兩大數(shù)據(jù)安全目標。

　　合規(guī)約束從數(shù)據(jù)源、數(shù)據(jù)使用、數(shù)據(jù)共享和第三方委托四個方面開展：識別數(shù)據(jù)類型，判斷其中是否包括個人信息、重要數(shù)據(jù)以及其他受監(jiān)管的特定行業(yè)的數(shù)據(jù)。對數(shù)據(jù)采取合理的分類分級，根據(jù)不同的數(shù)據(jù)類級識別合規(guī)風險，調(diào)整相應的業(yè)務模式及授權條款，以保障數(shù)據(jù)來源的合法性，從而降低合規(guī)風險。業(yè)務涉及數(shù)據(jù)跨境傳輸或處理的，企業(yè)還需要關注適用境外法律的合規(guī)情況，例如，歐盟的《通用數(shù)據(jù)保護條例》等。

　　風險管控是評估因管理和技術手段的缺失造成數(shù)據(jù)未受到持續(xù)有效保護，使得數(shù)據(jù)的機密性、完整性和可用性的一個或多個遭受破壞的風險。評估圍繞數(shù)據(jù)安全風險源、數(shù)據(jù)安全措施，通過對數(shù)據(jù)處理活動、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術、個人信息保護、重要數(shù)據(jù)處理等方面進行評估，發(fā)現(xiàn)安全風險。

　　指 導

　　指導是編制及實施戰(zhàn)略和政策，以確保數(shù)據(jù)安全服務于業(yè)務目標。

　　數(shù)據(jù)安全治理的責任主體在治理層，治理層在開展數(shù)據(jù)治理的過程中主要通過制定數(shù)據(jù)安全戰(zhàn)略來指導數(shù)據(jù)管理活動，而管理層需要通過管理活動來實現(xiàn)戰(zhàn)略目標。同時，治理主體需要通過建立數(shù)據(jù)安全政策來保障數(shù)據(jù)管理活動符合數(shù)據(jù)安全戰(zhàn)略的需要，進而滿足企業(yè)的戰(zhàn)略目標。

　　數(shù)據(jù)安全治理體系文檔由數(shù)據(jù)戰(zhàn)略和數(shù)據(jù)政策組成。數(shù)據(jù)政策通?？煞譃槿壩臋n：一級文檔作為總綱，對治理體系進行指導和治理域框架劃定，主要涵蓋體系的方針目標、組織架構、治理域范圍等內(nèi)容；二級文檔作為管理規(guī)范，涵蓋各治理域的管理政策；三級文檔作為管理程序，具體構建管理規(guī)范在企業(yè)中的運行管理流程及附上相應的模板、表單等。

　　監(jiān) 督

　　監(jiān)督是對數(shù)據(jù)安全治理實施情況的監(jiān)督，獲取和度量數(shù)據(jù)安全治理工作的有效性和價值，監(jiān)督已定義的數(shù)據(jù)安全治理策略的執(zhí)行情況，并使得企業(yè)數(shù)據(jù)安全策略和績效的一致。

　　數(shù)據(jù)安全治理策略的執(zhí)行情況監(jiān)督主要是對已定義的數(shù)據(jù)安全策略、規(guī)則的遵從性、合規(guī)性進行度量，確保數(shù)據(jù)安全的相關策略執(zhí)行到位，并及時發(fā)現(xiàn)執(zhí)行過程中存在的問題，及時更新策略。在實際工作中，企業(yè)根據(jù)自身的需求和現(xiàn)狀定義數(shù)據(jù)安全治理度量和評價體系，包括組織人員方面、流程制度方面、風險評估方面、宣傳培訓方面等。

　　關于數(shù)據(jù)安全治理成功的衡量標準，要結合數(shù)據(jù)治理，以數(shù)據(jù)為基礎，以事實為依據(jù)，來證明數(shù)據(jù)安全的有效性和成本持續(xù)投入的合理性。數(shù)據(jù)安全治理可以和數(shù)據(jù)治理結合，其有效性和價值建立在對企業(yè)的業(yè)務安全價值提升的基礎上，也就是通過數(shù)據(jù)安全治理提升了哪些業(yè)務和安全指標，例如收入和利潤的增加、成本的降低、安全事件的降低、工作效率的提高、監(jiān)管機構評分等。

　　檢 查

　　對企業(yè)而言，最直接地看到數(shù)據(jù)安全治理的效果就是檢查。以上幾個過程都是階段性的，而檢查是實時的，通過技術手段，實時全面監(jiān)測員工和第三方在數(shù)據(jù)訪問、使用、流轉的過程中的操作行為。對內(nèi)網(wǎng)的流量和系統(tǒng)日志的分析，實現(xiàn)業(yè)務數(shù)據(jù)審計，對內(nèi)部人員的疏忽行為、組織員工內(nèi)外串謀、離職前獲取數(shù)據(jù)，API接口濫用，識別用戶異常、賬號被濫用、員工利用賬號所做的操作與正常業(yè)務范圍不符合等行為。此外，檢查隱藏在企業(yè)正常運行中的那些已被攻陷、被外部遠程控制的潛伏主機，發(fā)現(xiàn)接收外部惡意指令，進行暴力破解、數(shù)據(jù)收集、數(shù)據(jù)隱蔽外傳、異常域名訪問等數(shù)據(jù)竊取行為。

　　上述是在內(nèi)部檢查，在外部，境內(nèi)外網(wǎng)絡上的代碼平臺、技術博客、數(shù)據(jù)交易等平臺進行監(jiān)控，及時檢查正在被交易和泄露的企業(yè)的數(shù)據(jù)。通過數(shù)據(jù)泄露監(jiān)控企業(yè)可以進行有針對性的自查和整改，分析數(shù)據(jù)泄露的途徑，防止再次發(fā)生數(shù)據(jù)安全事件。

　　最后方偉強調(diào)，數(shù)據(jù)安全治理體系的建設與投入始終是要以提升業(yè)務價值為導向，同時在數(shù)據(jù)安全治理體系的建設和維護過程中，需要注意與企業(yè)實際業(yè)務場景的結合。數(shù)據(jù)安全治理的落地建設是一項長期工程，企業(yè)需要不斷踐行PDCA循環(huán)，讓企業(yè)在數(shù)據(jù)安全治理方面持續(xù)地散發(fā)活力，讓數(shù)據(jù)與業(yè)務達到一個更加穩(wěn)定、平衡的狀態(tài)，實現(xiàn)數(shù)據(jù)安全能合規(guī)、有抓手、查得出、防得住，更自信地迎接來自數(shù)字時代的機遇與挑戰(zhàn)。

更多信息可以來這里獲取==>>電子技術應用-AET<<