1、數(shù)據(jù)安全的必由之路：數(shù)據(jù)安全治理引言：企業(yè)轉(zhuǎn)型，對(duì)中國大量成長型企業(yè)而言，其轉(zhuǎn)型的過程就是完成從創(chuàng)業(yè)到成長，從成熟到規(guī)范成熟的企業(yè)生命體的進(jìn)化。其本質(zhì)就是企業(yè)從單一產(chǎn)品和簡單環(huán)節(jié)的低級(jí)或初級(jí)的價(jià)值創(chuàng)造狀態(tài)，向組合產(chǎn)品以及多環(huán)節(jié)整合的高級(jí)的價(jià)值創(chuàng)造狀態(tài)的轉(zhuǎn)變和進(jìn)化。這是面對(duì)市場經(jīng)濟(jì)的迅速發(fā)展及行業(yè)成熟規(guī)律下企業(yè)的自然行為與必然選擇。2017年，安華金和加快從數(shù)據(jù)庫安全廠商向數(shù)據(jù)安全治理產(chǎn)品和服務(wù)提供商轉(zhuǎn)型的步伐，致力于在數(shù)據(jù)安全治理領(lǐng)域大刀闊斧，開創(chuàng)全新領(lǐng)地。數(shù)據(jù)治理或者數(shù)據(jù)安全在大多數(shù)安全從業(yè)者的印象中是比較熟悉的概念，但數(shù)據(jù)安全治理卻似乎是個(gè)新名詞。實(shí)際上，對(duì)于擁有重要數(shù)據(jù)資產(chǎn)的企業(yè)或政府部

2、門，在數(shù)據(jù)安全治理方面或多或少都有實(shí)踐，只是尚未系統(tǒng)化的實(shí)行。比如運(yùn)營商行業(yè)的客戶數(shù)據(jù)安全管理規(guī)范及其落地的配套管控措施，一些政府部門的數(shù)據(jù)分級(jí)分類管理規(guī)范；在國外由Microsoft提出的DGPC（DataGovernanceforPrivacyConfidentialityandCompliance）框架也是專門的面向數(shù)據(jù)安全治理的管理和技術(shù)框架。接下來我們將把數(shù)據(jù)安全理念分成四篇系列文章，有側(cè)重的，相對(duì)系統(tǒng)化地加以闡述。1.數(shù)據(jù)安全治理概論2.數(shù)據(jù)安全治理的組織和受眾3.數(shù)據(jù)安全治理的策略與流程4.數(shù)據(jù)安全治理的技術(shù)支撐框架5.數(shù)據(jù)安全治理小結(jié)今天這篇文章，我們對(duì)“數(shù)據(jù)安全治理”概論做個(gè)

3、認(rèn)知。一.愿景數(shù)據(jù)安全治理的愿景。在這里，筆者首先要強(qiáng)調(diào)的是數(shù)據(jù)安全治理的目標(biāo)是數(shù)據(jù)安全使用。我們不談脫離了“使用”的安全，數(shù)據(jù)存在的目的就是為了使用，如果不是基于這個(gè)前提去談安全，最終有可能產(chǎn)生無法落地的情況，或者即使落地，效果也會(huì)差強(qiáng)人意。1.1數(shù)據(jù)安全治理概論數(shù)據(jù)安全治理的概念數(shù)據(jù)安全治理是以數(shù)據(jù)的安全使用為目的的綜合管理理念。三個(gè)需求目標(biāo)：1數(shù)據(jù)安全保護(hù)（Protection）敏感數(shù)據(jù)管理（Sensitive）合規(guī)性（Compliance）四大重要環(huán)節(jié)：數(shù)據(jù)的分類（Classify)梳理（Understand）管控（Control）和審計(jì)（Audit）三大核心實(shí)現(xiàn)框架：數(shù)據(jù)安全人員組織

4、（Person）數(shù)據(jù)安全使用的策略和流程（Policy&Process）數(shù)據(jù)安全技術(shù)支撐（Tech）數(shù)據(jù)安全治理理念框架1.2數(shù)據(jù)安全治理的需求目標(biāo)圍繞“數(shù)據(jù)安全使用”的愿景，數(shù)據(jù)安全治理覆蓋了安全防護(hù)、敏感信息管理、合規(guī)三大目標(biāo)；這三個(gè)目標(biāo)比我們過去以防黑客攻擊和滿足合規(guī)性兩大安全目標(biāo)，更為全面和完善。經(jīng)過二十多年信息化和互聯(lián)網(wǎng)經(jīng)濟(jì)的發(fā)展，數(shù)據(jù)成為繼現(xiàn)金和技術(shù)之后又一核心價(jià)值資產(chǎn)；數(shù)據(jù)黑產(chǎn)在過去十年里蓬勃發(fā)展，讓每個(gè)人、每個(gè)企業(yè)和國家的數(shù)據(jù)面臨著巨大威脅；只有合理地處理好數(shù)據(jù)資產(chǎn)的使用與安全，企業(yè)與國家才能在新的數(shù)據(jù)時(shí)代穩(wěn)健而高速發(fā)展。對(duì)于敏感數(shù)據(jù)的安全管理和使用，是數(shù)據(jù)安全治理的核心主題。

5、2二.數(shù)據(jù)安全治理的核心內(nèi)容數(shù)據(jù)安全治理的核心內(nèi)容，首先是來自對(duì)數(shù)據(jù)的有效理解和分析，對(duì)數(shù)據(jù)進(jìn)行不同類別和密級(jí)的劃分；根據(jù)數(shù)據(jù)的類別和密級(jí)制定不同的管理和使用原則，盡可能對(duì)數(shù)據(jù)做到有差別和針對(duì)性的防護(hù)，實(shí)現(xiàn)在適當(dāng)安全保護(hù)下的數(shù)據(jù)自由流動(dòng)。在數(shù)據(jù)分級(jí)和分類后，重要的是要描述數(shù)據(jù)的特征，以及這些數(shù)據(jù)在系統(tǒng)內(nèi)的分布，了解這些數(shù)據(jù)在被誰訪問，這些人是如何使用和訪問數(shù)據(jù)的，這就需要完整的數(shù)據(jù)梳理過程。在數(shù)據(jù)有效梳理的基礎(chǔ)上，我們需要制定出針對(duì)不同數(shù)據(jù)、不同使用者的管理控制措施；數(shù)據(jù)的管控包含數(shù)據(jù)的收集、存儲(chǔ)、使用、分發(fā)和銷毀。除了數(shù)據(jù)管控，我們還需要有效地對(duì)數(shù)據(jù)的訪問行為進(jìn)行日志記錄，對(duì)收集的日志記錄進(jìn)

6、行定期地合規(guī)性分析和風(fēng)險(xiǎn)分析。三.數(shù)據(jù)安全治理框架在數(shù)據(jù)安全治理中，首要任務(wù)是成立專門的安全治理團(tuán)隊(duì)，保證數(shù)據(jù)安全治理工作能夠長期持續(xù)的得以執(zhí)行。同時(shí)數(shù)據(jù)安全治理要明確數(shù)據(jù)治理相關(guān)的工作部門和角色（受眾），使數(shù)據(jù)治理工作能夠有的放矢。數(shù)據(jù)安全治理的策略和流程，要以文件的形式明確企業(yè)（組織）內(nèi)部的敏感數(shù)據(jù)有哪些，敏感數(shù)據(jù)進(jìn)行分類和分級(jí)，對(duì)不同類別和級(jí)別的敏感數(shù)據(jù)的管理控制原則，不同的工作部門和角色所具有的權(quán)限，數(shù)據(jù)使用的不同環(huán)節(jié)所要遵循的控制流程。數(shù)據(jù)安全治理的技術(shù)支撐，是要明確在管理控制過程中，采用什么樣的技術(shù)手段幫助實(shí)現(xiàn)數(shù)據(jù)的安全管理過程；這些技術(shù)手段可以包括數(shù)據(jù)的梳理、數(shù)據(jù)的訪問控制、數(shù)據(jù)

7、的保護(hù)、數(shù)據(jù)的脫敏和分發(fā)、數(shù)據(jù)的審計(jì)、數(shù)據(jù)訪問的風(fēng)險(xiǎn)分析。3四.數(shù)據(jù)安全治理與傳統(tǒng)安全概念的差異為了更加有效地理解數(shù)據(jù)安全治理概念與傳統(tǒng)數(shù)據(jù)安全的差異，我們可以與傳統(tǒng)安全理念進(jìn)行一個(gè)比較：差異對(duì)比數(shù)據(jù)安全治理傳統(tǒng)安全目標(biāo)方面以數(shù)據(jù)的安全使用為目標(biāo)對(duì)象方面面向內(nèi)部或準(zhǔn)內(nèi)部人員，以這些人員行為的安全管控為主要對(duì)象理念方面以數(shù)據(jù)分級(jí)分類為基礎(chǔ)，以信息合理、安全流動(dòng)為目標(biāo)手段方面以信息使用過程的安全管理和技術(shù)支撐為手段融合方面安全產(chǎn)品技術(shù)和流程管理深度整合以數(shù)據(jù)的安全防護(hù)，不受攻擊為目標(biāo)面向外部黑客，以對(duì)外部黑客或入侵者的防控為主要對(duì)象以區(qū)域隔離、安全域劃分為目標(biāo)以邊界防護(hù)為主要安全手段管理與技術(shù)相對(duì)分