“數(shù)據(jù)安全治理” 這個詞大家并不陌生，但是如何做好數(shù)據(jù)安全治理，很多用戶卻不清楚從何著手，對數(shù)據(jù)的合規(guī)利用也毫無頭緒。今天我們結(jié)合《數(shù)據(jù)安全法》來講解一下，如何才能做好數(shù)據(jù)安全治理，數(shù)據(jù)安全治理的步驟有哪些？

　　數(shù)據(jù)安全治理的本質(zhì)

　　數(shù)據(jù)因流動產(chǎn)生價值。企業(yè)內(nèi)部的數(shù)據(jù)會在整個企業(yè)內(nèi)部、甚至更大的范圍內(nèi)共享，如果想要保障數(shù)據(jù)被安全使用，那么就不能任由個人或部門各行其是地處置他們的數(shù)據(jù)，數(shù)據(jù)活動需要在一個企業(yè)的規(guī)范框架約束下進(jìn)行。如果數(shù)據(jù)是敏感或關(guān)鍵性的，那么使用、傳輸或存儲這類的數(shù)據(jù)，會需要特別的處置，這種情況下也不能任由個人或部門各行其是，而是需要在一個企業(yè)的安全策略框架約束下進(jìn)行。

　　企業(yè)數(shù)據(jù)安全治理的本質(zhì)是建立一組企業(yè)的“數(shù)據(jù)法規(guī)”，由這些法規(guī)來規(guī)范企業(yè)所有人員的所有數(shù)據(jù)活動。

　　數(shù)據(jù)安全治理的定義

　　Gartner提出，數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級解決方案，而是從決策層到技術(shù)層，從管理制度到工具支撐，自上而下貫穿整個組織架構(gòu)的完整鏈條。組織內(nèi)的各個層級之間需要對數(shù)據(jù)安全治理的目標(biāo)和宗旨取得共識，確保采取合理和適當(dāng)?shù)拇胧?，以最有效的方式保護(hù)信息資源。

　　數(shù)據(jù)安全治理的步驟

　　Gartner建議，對數(shù)據(jù)進(jìn)行數(shù)據(jù)安全治理，建立以人為中心，自上而下的數(shù)據(jù)安全治理體系。數(shù)據(jù)安全治理分為以下幾個步驟：

　　數(shù)據(jù)的分級分類

　　從風(fēng)險角度看，首先，公司有哪些數(shù)據(jù)是最重要的數(shù)據(jù)，把這些最重要的數(shù)據(jù)區(qū)分出來，對數(shù)據(jù)進(jìn)行分級分類，然后，根據(jù)誰會使用這些數(shù)據(jù)來去做什么，形成數(shù)據(jù)安全的策略。

　　很多企業(yè)單位在開始去做數(shù)據(jù)安全分級分類的時候，面對海量數(shù)據(jù)不知如何入手。我們建議從業(yè)務(wù)入手，自上而下的進(jìn)行數(shù)據(jù)梳理。我們要做一個分級分類的指南，需要定位到數(shù)據(jù)最后落地的點(diǎn)，以及數(shù)據(jù)以什么形態(tài)存在。我們按照普遍性原則來看，可以把數(shù)據(jù)定義成1~5級的這種模式。

　　制定數(shù)據(jù)安全策略

　　通過第一步的數(shù)據(jù)梳理，我們可以了解到此類業(yè)務(wù)數(shù)據(jù)分布在何處，誰會去使用這些數(shù)據(jù)去做什么樣的事情，誰可能去接觸到這些數(shù)據(jù)？此類數(shù)據(jù)泄露或者丟失會帶來什么樣的后果。經(jīng)過綜合指數(shù)加權(quán)計算，我們可以得到某種數(shù)據(jù)泄露的風(fēng)險值，根據(jù)風(fēng)險值來對數(shù)據(jù)分級，比如級別定成公開、機(jī)密、絕密，不同級別數(shù)據(jù)需要采取什么樣的策略，監(jiān)控、阻止、告警、加密等。

　　采取的數(shù)據(jù)安全管理技術(shù)我們根據(jù)數(shù)據(jù)的分級分類，結(jié)合業(yè)務(wù)，決定采用何種數(shù)據(jù)安全技術(shù)作為支撐。通常采取的技術(shù)有6類，分別是：DLP、UEBA、CASB、IAM、加解密、DCAP。

　　數(shù)據(jù)安全治理涉及到的產(chǎn)品

　　DLP

　　DLP通過對數(shù)據(jù)的內(nèi)容的識別，對數(shù)據(jù)的存儲、使用和傳輸對它進(jìn)行發(fā)現(xiàn)和保護(hù)。比如有一個word文檔，在 Word文檔里面有一張圖片，圖片里面可能是通過屏幕截圖的方式去截下來一個 Excel表，這個表里面的內(nèi)容是姓名、身份證號和信用卡號， DLP能通過內(nèi)容識別發(fā)現(xiàn)，知道這個Word文檔里面包含了多少個身份證號。

　　UEBA

　　UEBA技術(shù)是對人的行為進(jìn)行分析的技術(shù)，它的核心點(diǎn)是人。我們所有的數(shù)據(jù)泄露都是通過人的行為完成的。我們要去抓住“壞人”，就是通過UEBA對人的行為進(jìn)行分析。采用行為分析的方式，可以在一大堆的“好人”里面發(fā)現(xiàn)有誰干了壞事?！皦娜恕笨偸菚梢恍┊惓５氖虑?，UEBA通過行為的采集，就知道誰在整個數(shù)據(jù)使用的過程中，誰做了哪些動作，或者操作了哪些數(shù)據(jù)。通過大量的數(shù)據(jù)的獲取，基于網(wǎng)絡(luò)的、協(xié)議的行為，比如你上網(wǎng)都訪問了什么樣的網(wǎng)站，外發(fā)了那些敏感數(shù)據(jù)、在電腦上做了哪些操作等等，把所有的操作行為，放在基于人工智能算法的系統(tǒng)里進(jìn)行分析，看究竟誰做了什么樣的壞事。這種分析會把每個人自己的當(dāng)前的行為和過去的行為進(jìn)行比較，和你周圍同事的行為進(jìn)行比較。

　　CASB

　　CASB主要是用來保護(hù)云端的數(shù)據(jù)，現(xiàn)在越來越多的金融企業(yè)開始使用SaaS服務(wù)模式。CASB主要是為了解決影子IT的問題，保護(hù)企業(yè)使用SaaS服務(wù)時潛在的數(shù)據(jù)安全風(fēng)險。

　　CASB對于云安全的重要性，就像防火墻對于網(wǎng)絡(luò)安全一樣。

　　各種SaaS服務(wù)，在一些服務(wù)中充滿了數(shù)據(jù)安全的陷阱，比如對上傳數(shù)據(jù)的所有權(quán)聲明、對用戶操作和行為的監(jiān)控、服務(wù)商自身的安全保護(hù)等，很容易造成企業(yè)員工在使用非企業(yè)IT評估過的SaaS服務(wù)時泄露企業(yè)的核心數(shù)據(jù)資產(chǎn)。通過CASB技術(shù)，能有效的保護(hù)企業(yè)員工訪問低風(fēng)險級別的SaaS服務(wù)。

　　IAM

　　IAM就是身份與訪問的管理。所有對數(shù)據(jù)能產(chǎn)生威脅的都是人，無論這個人員來自于內(nèi)部還是外部，所有的動作都是人在操作。做數(shù)據(jù)治理的時候需要首先明確人員的身份，誰，使用什么樣的設(shè)備，可以訪問哪些敏感數(shù)據(jù)，可以訪問哪些應(yīng)用系統(tǒng)中的哪些模塊。

　　加解密

　　加解密是針對數(shù)據(jù)的可用性采用的非常強(qiáng)有力的管理手段。加密是指看不見、打不開、拿不走。數(shù)據(jù)一旦做了加密之后，如果不具備相應(yīng)的權(quán)限，就無法看見這些內(nèi)容。加解密往往應(yīng)用在對數(shù)據(jù)的保護(hù)級別非常高的場景，因?yàn)榘殡S加解密的同時往往是大量計算資源的投入和業(yè)務(wù)處理的不便捷性。

　　DCAP

　　DCAP是指對數(shù)據(jù)的審計與保護(hù)。我們對數(shù)據(jù)在企業(yè)的使用，需要有一個可視化的管理，能發(fā)現(xiàn)誰使用了哪些數(shù)據(jù)，這些數(shù)據(jù)是怎樣流動的，通過DCAP技術(shù)能知道誰在去讀寫或者獲取這些敏感數(shù)據(jù)。