方案簡介

plan Introduction

數據安全治理覆蓋了安全防護、敏感信息管理、合規三大目標;這三個目標比我們過去以防黑客攻擊和滿足合規性兩大安全目標,更為全面和完善。過去二十多年信息化和互聯網經濟的發展,數據成為繼現金和技術之后又一核心價值資產;數據黑產在過去十年里蓬勃發展,讓每個人、每個企業和國家的數據都面臨著巨大威脅;只有合理地處理好數據資產的使用與安全,企業與國家才能在新的數據時代穩健而高速發展。對于敏感數據的安全管理和使用,是數據安全治理的核心主題。

方案架構

plan Architecture diagram

在數據安全治理的框架中,需要建立專門的安全治理團隊,保證數據安全治理工作能夠長期持續的得以執行,組織落地是有效開展數據安全治理工作的基礎。數據安全治理團隊要覆蓋到安全、業務、運維等多個部門。

數據安全治理的策略和流程,要以文件的形式明確組織內部的敏感數據有哪些,敏感數據進行分類和分級,對不同類別和級別的敏感數據的管理控制原則,不同的工作部門和角色所具有的權限,數據使用的不同環節所要遵循的控制流程。

數據安全治理的技術支撐,是要明確在數據安全治理的過程中,要采用什么樣的技術工具幫助完成數據安全治理工作。包括早期策略制定前的數據梳理工具,數據訪問過程控制中,采用什么樣的技術手段幫助實現數據的安全管理過程,以及在后期對數據安全治理工作進行稽核的過程中采用什么樣的技術工具進行輔助監管。這些技術手段可以包括數據的梳理、數據的訪問控制、數據的加密、數據的脫敏、數據的水印、數據的隔離、數據的防注入、數據的審計、數據訪問的風險分析等。

Step1:業務需求與安全(風險/威脅/合規性)之間的平衡

這里需要考慮5個維度的平衡:經營策略、治理、合規、IT策略和風險容忍度,這也是治理隊伍開展工作前需要達成統一的5個要素。
       經營策略:確立數據安全的處理如何支撐經營策略的制定和實施
       治理:對數據安全需要開展深度的治理工作
       合規:組織面臨的合規要求
       IT策略:組織的整體IT策略同步
       風險容忍度:組織對安全風險的容忍度在哪里

Step2:數據優先級

進行數據分級分類,以此對不同級別數據實行合理的安全手段。

Step4:實施安全產品

從兩個方向考慮如何實施數據安全治理,一是明確數據的訪問者(應用用戶/數據管理人員)、訪問對象、訪問行為;二是基于這些信息制定不同的、有針對性的數據安全策略。

Step3:制定策略,降低安全風險

數據是流動的,數據結構和形態會在整個生命周期中不斷變化,需要采用多種安全工具支撐安全策略的實施。在數據安全治理體系中提出了實現安全和風險控制的6種工具:
       加密、以數據為中心的審計與保護、數據防護泄露、云防護代理、身份識別與訪問管理、分析,其中可能包含多個具體的技術手段。

Step5:策略配置同步

策略配置同步指的是無論使用訪問控制、脫敏、加密、令牌化,哪種手段都必須注意對數據訪問和使用的安全策略保持同步下發,策略執行對象應包括關系型數據庫、大數據類型、文檔文件、云端數據、終端等數據類型。

江西十一选五前三直遗漏