數(shù)據(jù)安全能力建設(shè)思路一、前言數(shù)據(jù)是對客觀事物的性質(zhì)、狀態(tài)依據(jù)相互關(guān)系等進(jìn)行記載的符號或符號的組合。數(shù)據(jù)的本質(zhì)就是在連續(xù)的活動過程中，經(jīng)過產(chǎn)生、加工、傳輸?shù)拳h(huán)節(jié)完成記錄，并不斷指導(dǎo)業(yè)務(wù)活動持續(xù)開展的過程，所以數(shù)據(jù)的價值在次過程中得到了完整的體現(xiàn)，而傳輸交互與使用是數(shù)據(jù)價值的集中體現(xiàn)。數(shù)據(jù)安全是建立在價值基礎(chǔ)上，實現(xiàn)數(shù)據(jù)準(zhǔn)確的記錄的同時完成安全交互和指定對象的加工與訪問使用，防止數(shù)據(jù)被破壞、盜用及非授權(quán)訪問。數(shù)據(jù)安全能力是指數(shù)據(jù)在流動過程中，組織為了保障數(shù)據(jù)的保密性、完整性、可用性而在安全規(guī)劃、安全管理、安全技術(shù)、安全運(yùn)營等方面所采取的一系列活動。2.1合規(guī)驅(qū)動《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法（草案》《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿X《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例（征求意見稿）》、《數(shù)據(jù)安全管理辦法（征求意見稿）》等國內(nèi)法律法規(guī)中明確了組織在數(shù)據(jù)安全方面的合規(guī)要求。歐盟正式施行《通用數(shù)據(jù)保護(hù)條例（簡稱GDPR）掀起了個人數(shù)據(jù)保護(hù)立法的改革浪潮。2.2業(yè)務(wù)驅(qū)動伴隨云計算、大數(shù)據(jù)、人工智能等新興技術(shù)的飛速發(fā)展，數(shù)據(jù)作為支撐這些前沿技術(shù)存在與發(fā)展的生產(chǎn)資料，已經(jīng)成為組織的核心資產(chǎn)，受到前所未有的重視與保護(hù)。數(shù)據(jù)成為資產(chǎn)，成為基礎(chǔ)設(shè)施，數(shù)據(jù)驅(qū)動商業(yè)成為新的商業(yè)發(fā)展的最大創(chuàng)新源泉。以數(shù)據(jù)為中心的安全治理，需要把安全聚焦在數(shù)據(jù)本身，圍繞數(shù)據(jù)的生命周期來建設(shè)安全能力，包括各個環(huán)節(jié)相關(guān)系統(tǒng)的安全情況、各個環(huán)節(jié)專門的數(shù)據(jù)安全產(chǎn)品和策略、安全運(yùn)營、制度和管理體系設(shè)計、專業(yè)人員能力建設(shè)等。2.3風(fēng)險驅(qū)動數(shù)據(jù)生命周期指數(shù)據(jù)從創(chuàng)建到銷毀的整個過程，包括采集、存儲、處理、應(yīng)用、流動和銷毀等環(huán)節(jié)。通過對數(shù)據(jù)全生命周期各階段進(jìn)行針對性的風(fēng)險分析，可以得出：.采集階段采集階段主要的風(fēng)險集中在采集源、采集終端、采集過程中，包括采集階段面臨的非授權(quán)采集、數(shù)據(jù)分類分級不清、敏感數(shù)據(jù)識別不清、采集時缺乏細(xì)粒度的訪問控制、數(shù)據(jù)無法追本溯源、采集到敏感數(shù)據(jù)的泄密風(fēng)險、采集終端的安全性以及采集過程的事后審計等。.存儲階段存儲階段面臨著數(shù)據(jù)分類分級不清、重要數(shù)據(jù)的保密性問題、重要數(shù)據(jù)缺乏細(xì)粒度訪問控制的要求。.傳輸階段傳輸階段主要是指數(shù)據(jù)在各業(yè)務(wù)平臺、各節(jié)點(diǎn)之間、各組件之間以及跨組織的數(shù)據(jù)傳輸，主要的風(fēng)險在于傳輸時存在泄露問題。.處理階段處理階段面臨的安全風(fēng)險包括數(shù)據(jù)處理時缺乏訪問控制、數(shù)據(jù)結(jié)果的訪問接口缺乏控制、數(shù)據(jù)處理結(jié)果缺乏敏感數(shù)據(jù)保護(hù)措施、缺乏安全審計和數(shù)據(jù)溯源的能力。.交換階段數(shù)據(jù)交換階段主要指數(shù)據(jù)最終通過提供給其他業(yè)務(wù)系統(tǒng)、用戶使用。此時數(shù)據(jù)安全風(fēng)險主要有數(shù)據(jù)交換和數(shù)據(jù)輸出時未授權(quán)輸出及交換，輸出的數(shù)據(jù)在應(yīng)用或終端存在安全泄露的問題。.銷毀階段銷毀階段主要是指在獲得用戶的授權(quán)許可或用戶請求后應(yīng)對用戶數(shù)據(jù)進(jìn)行清除或銷毀。據(jù)安全能力3.1數(shù)據(jù)安全能力建設(shè)目標(biāo)在分析數(shù)據(jù)安全在合規(guī)層面、業(yè)務(wù)層面和風(fēng)險層面所面臨的挑戰(zhàn)，結(jié)合組織在數(shù)據(jù)安全目標(biāo)和遠(yuǎn)景，融合業(yè)務(wù)、管理、技術(shù)、運(yùn)營等方面的需求后，以數(shù)據(jù)為核心，聚焦數(shù)據(jù)安全生命周期，規(guī)劃設(shè)計全局化和開放性的數(shù)據(jù)安全體系，提升數(shù)據(jù)安全管理融合能力，夯實數(shù)據(jù)安全技術(shù)底盤構(gòu)建數(shù)據(jù)安全運(yùn)營場景落地，實現(xiàn)組織數(shù)據(jù)資產(chǎn)可視、數(shù)據(jù)血緣可溯、數(shù)據(jù)風(fēng)險可控、數(shù)據(jù)威脅可管。3.2數(shù)據(jù)安全能力建設(shè)思路隨著組織業(yè)務(wù)的豐富和擴(kuò)展，數(shù)據(jù)越來越多種多樣，越來越龐大，相應(yīng)的數(shù)據(jù)安全問題也變得越來越復(fù)雜。單獨(dú)使用一、兩種技術(shù)難以應(yīng)對；此外，數(shù)據(jù)安全不僅是一個技術(shù)問題，還涉及法律法規(guī)、標(biāo)準(zhǔn)流程、人員管理等問題。因此，一套科學(xué)的數(shù)據(jù)安全實踐體系對于組織來說是十分必要的。近年來，一些安全相關(guān)的機(jī)構(gòu)紛紛提出數(shù)據(jù)安全的實踐體系、方法論與解決方案。主要分為兩類：一類是〃由上而下”的數(shù)