前言

在當前的數據時代，隨著云計算、大數據、AI等技術的不斷發展，“數據”已經滲透到當今每一個行業和業務職能領域，成為重要的生產因素。數據的計量單位至少是PB級別計算。這個時代不僅給“數據”賦予了“價值”屬性，也同步賦予了“法律”屬性，這些都推動著國家和企業重視數據，重視數據安全。

數據安全形勢

據IBM《2019年全球數據泄露成本報告》顯示，惡意數據泄露平均給調研中的受訪企業帶來 445 萬美元的損失。CNCERT 在2019年全年累計發現我國重要數據泄露風險與事件 3000 余起。數據泄漏對企業來說不僅是經濟損失，還有國家層面的巨額罰款;比如Facebook的8700萬用戶數據的不當泄漏被罰款50億美金，英國航空公司的50萬乘客數據的不當泄漏被罰款2.3億美元;國內大量企業都號稱自己有百萬、千萬甚至過億的用戶量，但你們是否有相應的數據安全能力來保證用戶數據不外泄，或者你們是否有能力應對合規層面的巨額罰款。

數據安全標準

國際層面，各國出臺了如GDPR、CCPA、COPPA、LGPD等。

國內層面，近期相繼出臺了《網絡安全法》、《兒童個人信息網絡保護規定》、《APP違法違規收集使用個人信息行為認定方法》、 《數據安全管理辦法》(征求意見稿)、《網絡數據安全標準體系建設指南》(征求意見稿)和《中華人民共和國數據安全法(草案)》等。

數據安全相關定義

(1) 數據的定義：

任何以電子或者非電子形式對信息的記錄。

(2) 理解數據的類型：

a. 按照數據性質區分

• 結構化數據：即行數據,存儲在數據庫里,可以用二維表結構來邏輯表達實現的數據
• 非結構化數據：包括所有格式的工作文檔、文本、圖片、XML、HTML、各類報表、圖像和音頻/視頻信息等等
• 半結構化數據：就是介于完全結構化數據(如關系型數據庫、面向對象數據庫中的數據)和完全無結構的數據(如聲音、圖像文件等)之間的數據，HTML文檔就屬于半結構化數據

b. 按照數據狀態區分

• 靜態數據：存儲在磁盤、硬盤、SAN等介質上的任何數據
• 動態數據：通過網絡傳輸的任何數據
• 使用中的數據：應用程序使用內存或臨時緩沖區中的數據

(3) 數據活動的定義：

數據的收集、存儲、加工、使用、提供、交易、公開等行為。

(4) 數據安全的定義：

通過采取必要措施,保障數據得到有效保護和合法利用,并持續處于安全狀態的能力。

數據安全的挑戰

(1) 業務系統的靈活多變、需求復雜

互聯網+的時代，市場的快速變化，企業業務的極速調整，企業每天都有可能出現系統上線、功能調整、接口的三方接入、數據的線上和線下外發等。面對這些變化和場景，我們如何應對?

(2) 新技術新挑戰

新技術帶來新風險。云、物聯網、大數據和AI等新技術的廣泛應用給企業帶來了巨大生產力的同時，也改變了傳統網絡的數據防護思路，新型的網絡威脅我們如何應用?

(3) 數據量大

大數據的興起，數據的起始計量單位變成至少是PB級，甚至是EB級，在如此龐大的數據量面前，如何有效管理，如果做數據的快速識別、監控、檢測、處置、響應?

(4) 安全威脅增多

數據價值的提升，導致外部威脅的目的性、隱蔽性、破壞性都成上升趨勢。如何降低威脅暴露面和何種體系防護應對?

數據安全的目標

目標：滿足合規，貼合業務，將數據風險降低至可接受水平，讓數據使用更安全。

辦法總比困難多，面對各位數據安全挑戰，數據安全從業者要有自己的數據安全防護體系思路，善于學習新技術新經驗的能力，總結自己的套路和打法，以終為始，不斷更新和進步。

業務面前，安全不是他們的對立面，要采取雙贏思維，建立信任關系。業務的目的是盈利，而安全是保證業務穩定盈利，規避風險最佳幫手，彼此相輔相成，相互依存。

數據安全模型框架

數據安全的執行和管理需要以數據為中心，宏觀層，在滿足合規的基礎上，依托組織建設，采取技術和管理的手段，實施層，采取“識別”、“保護”、“監視”、“檢測”、“響應”和“恢復”六大安全功能，保證數據全證明周期的安全。

數據安全建設框架

基于數據安全模型框架，梳理數據安全建設過程所需的基本功能和重點功能，制定如下數據安全建設框架：

框架說明

整理來看，數據安全建設框架可以分為三個層面。

(1) 最下面為組織建設層：

數據治理小組負責整體決策層工作，比如數據安全計劃的定位，策略、政策和組織等的制定;數據安全團隊負責整體戰術層和執行層工作，戰術層比如具體安全計劃的管理管控，如合規管理、風險管理、計劃管理、進度管理和指標管理等等;執行層負責整體數據安全計劃的落地工作，人員包括專業的數據安全人員和各業務團隊的安全接口人。

(2) 中間為能力實現層：

通過“識別”、“保護”、“監視”、“檢測”、“響應”和“恢復”六大功能，落地數據安全的合規、管理、技術和運營。

(3) 最上面為目標和愿景層：

通過組織建設和數據安全能力實現，保證組織用戶數據、業務數據和公司數據，最終實現使數據使用更安全的愿景。

數據安全實施框架

數據安全工作如此繁雜多樣，我們如何具體落地和有序建設執行呢，基于數據安全建設框架，制定如下數據安全實施框架：

框架說明

整體來看，每做一件事情，我們都要先做好計劃，然后實施，實施中進行復核檢測，進而改進，如此反復，階梯式完成，形成一個PDCA的循環。

(1) Plan：

我們要制定好計劃、確定范圍和明確目標，識別的重點工作為：范圍和邊界的識別、賬號識別、權限識別、數據識別、系統識別、操作識別、流程識別和數據的分類分級。

(2) Do&Act：

在Plan中的成果進行處置，事前做保護，事中做監視和檢測，事后做響應和恢復。重點工作為合規的落地;安全基線的落地;管理制度的建立‘敏感信息在數據生命周期中的管控、處置和審計，如敏感數據打標簽、傳輸的加密、存儲的加密或脫敏、使用的脫敏、操作的日志記錄等。

注：合規的部分問題可以參考我另兩篇文章《數據安全怎么做——合規篇之CCPA》《數據安全怎做——合規篇之數據安全法》

資產梳理的問題可以參考我另一篇文章《企業安全建設之資產庫篇》

其他詳細內容都在撰寫中，后續會一一發出，比如數據安全治理、管理各種子篇、技術各種子篇等等，敬請期待。

(3) Check：

用以對Do的成果的復核檢測，提出問題和需求，由Act層跟進解決。

總結

數據安全是企業安全中與業務貼合最近的一項工作，好的落地勢必會帶來對業務的影響，所以搞定管理層是關鍵性因素，給數據安全工作戴上數據治理的帽子，

安全牽頭，拉上所有數據相關方共同執行和承擔責任，這樣會大大增加工作開展的效率和有效性。

除此之外，數據安全的工作繁多，數據安全從業者需要為眾多事情結合公司業務排好優先級，風險最大的不一定先做，優先做公司業務當前狀態最需要的剛需，制定好工作計劃，摸清家底，工作有序開展。