来源：数据猿  作者：安华金和 石川

引言：

企业转型，对中国大量成长型企业而言，其转型的过程就是完成从创业到成长，从成熟到规范成熟的企业生命体的进化。其本质就是企业从单一产品和简单环节的低级或初级的价值创造状态，向组合产品以及多环节整合的高级的价值创造状态的转变和进化。这是面对市场经济的迅速发展及行业成熟规律下企业的自然行为与必然选择。2017年，安华金和加快从数据库安全厂商向数据安全治理产品和服务提供商转型的步伐，致力于在数据安全治理领域大刀阔斧，开创全新领地。数据治理或者数据安全在大多数安全从业者的印象中是比较熟悉的概念，但数据安全治理却似乎是个新名词。实际上，对于拥有重要数据资产的企业或政府部门，在数据安全治理方面或多或少都有实践，只是尚未系统化的实行。比如运营商行业的客户数据安全管理规范及其落地的配套管控措施，一些政府部门的数据分级分类管理规范；在国外由Microsoft 提出的DGPC（Data Governance for Privacy Confidentiality and Compliance）框架也是专门的面向数据安全治理的管理和技术框架。在这篇文章中我们希望能相对系统化地对数据安全治理这个概念进行阐述。

摘要

数据安全治理是以“数据安全使用”为目标的综合管理理念，具体实现数据安全保护、敏感数据管理与合规性三个需求；数据安全治理涵盖数据的分类、梳理、管控与审计四大重要环节。核心实现框架为：数据安全人员组织、数据安全使用的策略和流程、数据安全技术支撑。本文站在数据安全行业的高度，从数据安全治理的概念出发，为我们描述了数据安全治理的理念全貌，在整个数据安全治理理念中，在组织保障方面首先需要成立数据安全治理的组织机构，确保数据安全治理工作在组织内能真正地落地；其次是要完成数据安全治理的策略性文件和系列落地文件，这将是数据安全治理的纲领性文件，相应系列文件规范中要覆盖数据安全治理的三大需求目标和四个重要环节，针对所有与敏感数据有接触的人员的权限进行定义，就人员对数据访问的过程提出控制流程；在数据安全管理规范生成后，重要的是通过系列的数据安全技术支撑系统应对挑战，确保数据安全管理规定有效落地，而不是变成一张徒有虚表的废纸。

关键词：数据安全治理  组织受众  策略流程  技术支撑框架

1、数据安全治理概论

1.1数据安全治理的概念

数据安全治理的概念——数据安全治理是以数据的安全使用为目的的综合管理理念，包括：

三个需求目标：

数据安全保护（Protection）

敏感数据管理（Sensitive）

合规性（Compliance）

四大重要环节：

数据的分类（Classify)

梳理（Understand）

管控（Control）

和审计（Audit）

三大核心实现框架：

数据安全人员组织（Person）

数据安全使用的策略和流程（Policy & Process）

数据安全技术支撑（Tech）

图1数据安全治理理念框架

1.2数据安全治理的愿景

在这里，笔者首先要强调的是数据安全治理的目标是——数据安全使用。我们不谈脱离了“使用”的安全，数据存在的目的就是为了使用，如果不是基于这个前提去谈安全，最终有可能产生无法落地的情况，或者即使落地，效果也会差强人意。

1.3数据安全治理的需求目标

围绕“ 数据安全使用” 的愿景， 数据安全治理覆盖了安全防护、 敏感信息管理、合规三大目标 ；这三个目标比我们过去以防黑客攻击和满足合规性两大安全目标，更为全面和完善。经过二十多年信息化和互联网经济的发展，数据成为继现金和技术之后又一核心价值资产；数据黑产在过去十年里蓬勃发展，让每个人、每个企业和国家的数据面临着巨大威胁；只有合理地处理好数据资产的使用与安全，企业与国家才能在新的数据时代稳健而高速发展。对于敏感数据的安全管理和使用，是数据安全治理的核心主题。

1.4数据安全治理的核心内容

数据安全治理的核心内容，首先是来自对数据的有效理解和分析，对数据进行不同类别和密级的划分；根据数据的类别和密级制定不同的管理和使用原则，尽可能对数据做到有差别和针对性的防护，实现在适当安全保护下的数据自由流动。

在数据分级和分类后，重要的是要描述数据的特征，以及这些数据在系统内的分布，了解这些数据在被谁访问，这些人是如何使用和访问数据的，这就需要完整的数据梳理过程。

在数据有效梳理的基础上，我们需要制定出针对不同数据、不同使用者的管理控制措施；数据的管控包含数据的收集、存储、使用、分发和销毁。除了数据管控，我们还需要有效地对数据的访问行为进行日志记录，对收集的日志记录进行定期地合规性分析和风险分析。

1.5数据安全治理框架

在数据安全治理中，首要任务是成立专门的安全治理团队，保证数据安全治理工作能够长期持续的得以执行。同时数据安全治理要明确数据治理相关的工作部门和角色（受众），使数据治理工作能够有的放矢。

数据安全治理的策略和流程，要以文件的形式明确企业（组织）内部的敏感数据有哪些，敏感数据进行分类和分级，对不同类别和级别的敏感数据的管理控制原则，不同的工作部门和角色所具有的权限，数据使用的不同环节所要遵循的控制流程。

数据安全治理的技术支撑，是要明确在管理控制过程中，采用什么样的技术手段帮助实现数据的安全管理过程；这些技术手段可以包括数据的梳理、数据的访问控制、数据的保护、数据的脱敏和分发、数据的审计、数据访问的风险分析。

1.6数据安全治理与传统安全概念的差异

为了更加有效地理解数据安全治理概念与传统数据安全的差异，我们可以与传统安全理念进行一个比较：

图2数据安全治理与传统数据安全的差异对比

2、数据安全治理的组织和受众

数据安全治理首先要成立专门的数据安全治理机构，以明确数据安全治理的政策、落实和监督由谁长期负责，以确保数据安全治理的有效落实。成立的机构可以称为数据安全治理委员会或数据安全治理小组，机构的成员由数据的利益相关者和专家构成，这个机构通常是一个虚拟的机构，这里之所以称之为利益相关者，是因为这些人不仅仅是数据的使用者，可能是数据本身的代表者（比如用户），数据的所有者，数据的责任人。数据安全治理委员会或数据安全治理小组，这个机构本身既是安全策略、规范和流程的制定者，也是安全策略、规范和流程的受众。

在 DGPC 框架中这个机构一般称之为DGPC 团队， 或者叫 Data Stewards，这个团队的职责是：

This is a virtual organization whose members are collectively responsible for defining principles, policies and procedures that govern key aspects of data classification, protection, use and

management.

（负责制定数据分类、保护、使用和管理的原则、策略和过程）

这个团队的构成是：

IT, human resources, legal and finance departments as well as business groups and the marketing department—in short, any group with a stake in collecting, processing, using and managing personally identifiable information (PII), intellectual property, trade secrets and other types of confidential information.

（IT、人资、法务、财务、业务和市场部门等所有与人、知识产权、私密信息相关的部门）

数据安全治理的人员中另一个关键角色就是数据安全的受众，这些受众是数据安全策略、规范和流程的执行者和被管理者；包括了数据的使用者、管理者、维护者、分发者；大多数数据利益相关者都属于数据安全治理的受众。

图3 某运营商的数据安全治理的相关组织和角色结构图

3、数据安全治理的策略与流程

在整个数据安全治理的过程中，最为重要的是实现数据安全策略和流程的制订，在企业或行业内经常被作为《 某某数据安全管理规范》 进行发布，所有的工作流程和技术支撑都是围绕着此规范来制订和落实。但这个规范的出台往往需要经过大量的工作才能完成，这些工作通常包括：

A、梳理出组织所需要遵循的外部政策以及与数据安全管理相关的内容；

B、根据该组织的数据价值和特征，梳理出核心数据资产，并对其分级分类；

C、理清核心数据资产使用的状况（收集、存储、使用、流转）；

D、分析核心数据资产面临的威胁和使用风险；

E、明确核心数据资产访问控制的目标和访问控制流程；

F、制订出组织对数据安全规范落实和安全风险进行定期的核查策略。

3.1外部所要遵循的策略

在我国，数据安全治理同样需要遵循国家级的安全政策和行业内的安全政策。举例如下：

1.网络安全法；

2.等级保护政策；

3.BMB17；

4.行业相关的政策要求举例；

(a) PCI-DSS、Sarbanes-Oxley Act（SOX 法案）、 HIPPA ；

(b) 企业内部控制基本规范；（三会、财政、审计）

(c) 中央企业商业秘密保护暂行规定；

(d) 这些政策通常是在制订组织内部政策时重点参考的外部政策规范。

3.2 数据的分级分类

数据治理主要依据数据的来源、内容和用途对数据进行分类；按照数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分。

图4 某运营商对数据分级分类的结果

只有对数据进行有效分类，才能够避免一刀切的控制方式，在数据的安全管理上采用更加精细的措施，使数据在共享使用和安全使用之间获得平衡。

3.3 数据资产状况的梳理

3.3.1 数据使用部门和角色梳理

在数据资产的梳理中，需要明确这些数据如何被存储，需要明确数据被哪些部门、系统、人员使用，数据被如何使用。对于数据的存储和系统的使用，往往需要通过自动化的工具进行 ；而对于部门和人员的角色梳理，更多是要在管理规范文件中体现。对于数据资产使用角色的梳理，关键是要明确在数据安全治理中不同受众的分工、权利和职责。

组织与职责，明确安全管理相关部门的角色和责任，一般包括：

安全管理部门：制度制定、安全检查、技术导入、事件监控与处理；

业务部门：业务人员安全管理、业务人员行为审计、业务合作方管理；

运维部门：运维人员行为规范与管理、运维行为审计、运维第三方管理；

其它：第三方外包、人事、采购、审计等部门管理。

数据治理的角色与分工，需要明确关键部门内不同角色的职责，包括：

安全管理部门：政策制定者、检查与审计管理、技术导入者业务部门：根据单位的业务职能划分

运维部门：运行维护、开发测试、生产支撑

3.3.2数据的存储与分布梳理

敏感数据在什么数据库中分布着，是实现管控的关键。

只有清楚敏感数据在什么库中分布，才能知道需要对什么样的库实现怎样的管控策略；对该库的运维人员实现怎样的管控措施；对该库的数据导出，实现怎样的模糊化策略；对该库数据的存储实现怎样的加密要求。

3.3.3数据的使用状况梳理

在清楚了数据的存储分布的基础上，还需要掌握数据被什么业务系统访问。只有明确了数据被什么业务系统访问，才能更准确地制订这些业务系统的工作人员对敏感数据访问的权限策略和管控措施。

图5某运营商对敏感系统分布的梳理结果

以运营商行业上述梳理结果为例，这仅仅是一个数据梳理的基础，更重要的是要梳理出不同的业务系统对这些敏感信息访问的基本特征，如访问的时间、IP、 访问的次数、 操作行为类型、 数据操作批量行为等， 在这些基本特征的基础上，完成数据管控策略的制订。

数据的访问控制

针对数据使用的不同方面，需要完成对数据使用的原则和控制策略，一般包括如下方面：数据访问的账号和权限管理，相关的原则和控制内容包括：(1)专人账号管理；(2)账号独立原则；(3)账号授权审批；(4)最小授权原则；(4)账号回收管理；(5)管理行为审计记录；(6)定期账号稽核；

数据使用过程管理中，相关的原则和控制内容包括：（1）业务需要访问原则；（2）批量操作审批原则；（3）高敏感访问审批原则；（4）批量操作和高敏感访问指定设备、地点原则；（5）访问过程审计记录；（6）开发测试访问模糊化原则；（7）访问行为定期稽核；

数据共享（提取）管理，相关的原则和控制内容包括：（1）最小共享和模糊化原则；（2）共享（提取）审批原则；（3）最小使用范围原则；（4）责任传递原则；（5）定期稽核；

数据存储管理，相关的原则和控制内容包括：（1）不同敏感级别数据存储的网络区域；（2）敏感数据存储加密；（3）备份访问管理；（4）存储设备的移动管理；（5）存储设备的销毁管理；

定期的稽核策略

定期的稽核是保证数据安全治理规范落地的关键，也是信息安全管理部门的重要职责，包括：

A、合规性检查：确保数据安全使用政策被真实执行；

B、操作监管与稽核：主要针对数据访问账号和权限的监管与稽核；要具有账号和权限的报告；要具有账号和权限的变化报告 ；业务单位和运维部门数据访问过程的合法性监管与稽核；要定义异常访问行为特征 ；要对数据的访问行为具有完全的记录和分析；

C、风险分析与发现：对日志进行大数据分析，发现潜在异常行为；对数据使用过程进行尝试攻击，进行数据安全性测试。

4、数据安全治理技术支撑框

4.1 数据安全治理的技术挑战

实施数据安全治理的组织，一般都具有较为发达和完善的信息化水平，数据资产庞大，涉及的数据使用方式多样化，数据使用角色繁杂，数据共享和分析的需求刚性，要满足数据有效使用的同时保证数据使用的安全性，需要极强的技术支撑。

数据安全治理面临数据状况梳理、敏感数据访问与管控、数据治理稽核三大挑战。

图6 当前数据安全治理面临的挑战

4.1.1数据安全状况梳理技术挑战

组织需要确定敏感性数据在系统内部的分布情况，其中的关键问题在于如何在成千上百的数据库和存储文件中明确敏感数据的分布；组织需要确定敏感性数据是如何被访问的，如何掌握敏感数据在被什么系统、什么用户以什么样的方式访问；组织需要迅速确定当前的账号和授权状况，清晰化、可视化、报表化的明确敏感数据在数据库和业务系统中的访问账号和授权状况，明确当前权控是否具备适当的基础。

4.1.2数据访问管控技术挑战

在敏感数据访问和管控技术方面，细分至五个方面的挑战：

（1）如何将敏感数据访问的审批在执行环节有效落地对于敏感数据的访问、对于批量数据的下载要进行审批制度，这是数据治理的关键；但工单的审批若是在执行环节无法有效控制，访问审批制度仅仅是空中楼阁。

（2）如何对突破权控管理的黑客技术进行防御基于数据库的权限控制技术，在基于漏洞攻击的基础上将很容易被突破。

（3）如何在保持高效的同时实现存储层的加密基于文件层和硬盘层的加密将无法与数据库的权控体系结合，对运维人员无效；如何实现存储加密、权限控制和快速检索的整体解决，是这一问题的关键，只有这样的存储加密才能保证安全的同时数据可用。

（4）如何实现保持业务逻辑后的数据脱敏对于测试环境、开发环境和 BI 分析环境中的数据需要对敏感数据模糊化，但模糊化的数据保持与生产数据的高度仿真，是实现安全又可用的基础。

（5）如何实现数据提取分发后的管控

数据的共享是数据的基本使用属性，但数据的复制是没有痕迹的；数据分发后如何保证数据不会被流转到失控的环境，或者被复制后可溯源，这是数据提取分发管理的关键。

4.1.3 数据安全的稽核和风险发现挑战

1、如何实现对账号和权限变化的追踪

定期地对账号和权限变化状况进行稽核，是保证对敏感数据的访问在既定策略和规范内的关键；但如何对成百上千个业务系统和数据库中的账号与权限的变化状况进行追踪是关键。

2、如何实现全面的日志审计

在新的网络安全法出台后全面的数据访问审计要求，日志存储最少保留6个月；在新的等保中要求，云的提供商和用户都必须实现全面的日志记录。全面审计工作对各种通讯协议、云平台的支撑，1000 亿数据以上的存储、检索与分析能力上，均形成挑战。全面的审计是检验数据安全治理中的策略是否在日常的执行中切实落地的关键。

3、如何快速实现对异常行为和潜在风险的发现与告警

数据治理中，有一个关键要素就是发现非正常的访问行为和系统中存在的潜在漏洞问题。如何对日常行为进行建模，是海量数据中快速发现异常行为和攻击行为避免系统面临大规模失控的关键。

4.2数据安全治理的技术支撑

对应数据安全治理上述提到的三大挑战，笔者提出针对数据安全状况梳理、数据访问管控及数据安全稽核的技术保障体系。

4.2.1 数据安全状况梳理的技术支撑

1、数据静态梳理技术

静态梳理是基于端口扫描和登录扫描的方式完成对敏感数据的存储分布状况、数据管理系统的漏洞状况、数据管理系统的安全配置状况的信息采集技术，通过该技术帮助安全管理人员掌握系统的数据安全状态。

通过静态的扫描技术可以获得数据的以下基本信息：

a) 系统内的数据库列表，所分布的IP；

b) 根据数据特征，发现系统内不同类别和级别的数据如何分布；

c) 这些数据库中的安全漏洞和补丁状况，最严重的安全风险；

d) 数据库的账号和权限信息，特别是敏感信息标的账号和权限信息；

e) 数据库的安全配置状况。

2、数据动态梳理技术

动态梳理技术是基于对网络流量的扫描，实现对系统中的敏感数据的访问状况的梳理，包括：敏感数据的存储分布、敏感数据的系统访问状况、敏感数据的批量访问状况、敏感数据的访问风险。

通过动态梳理技术可以获得数据的以下基本信息：

a) 哪些IP（数据库主机）是数据的来源；

b) 哪些IP（业务系统或运维工具）是数据的主要访问者；

c) 敏感数据是如何被业务系统访问的（时间、流量、操作类型、语句）；

d) 敏感数据是如何被运维人员访问的（IP、用户、操作）。

3、数据状况的可视化呈现技术

通过可视化技术将静态资产和动态资产梳理技术梳理出的信息以可视化的形式呈现；比如敏感数据的访问热度、资产在组织内不同部门或业务系统内的分布、系统的账号和权限图、敏感数据的范围权限图：

图7 数据资产分布图

图8 数据访问热度图

图9 敏感数据账号和授权状况概况图

4、数据资产的管理系统支撑

基于静态梳理、动态梳理和可视化展现技术，建立数据资产的登记、准入、准出和定期核查。

图10 以自动流量分析技术完成存量资产梳理图

4.2.2数据访问管控的技术支撑

1、数据运维审批技术

(1) 堡垒机技术

堡垒机是当前最常用的进行运维管控的工具，包括对数据库的运维管控；堡垒机通过将运维工具集中到指定设备上，所有对数据库的运维操作都将在这个设备上完成。但堡垒机对数据库的运维大多仅能控制到库这个级别，无法控制到更细粒度的对象如表或列；同时对于图形化的运维工具无法作到控制，仅能作到录屏。

(2) 数据库专业运维管控技术

数据库的专业运维管控工具可以控制到表和列级，可以控制到各种数据库操作；同时可以精确控制到具体的语句，控制语句执行的时间，控制执行的阈值；同时满足事前审批，事中控制的模式；满足金融或运营商行业所需要的金库模式，这将极大提高数据库运维管控的准确性：

图11 数据库安全运维审批流程示意

2、防止黑客攻击的数据库防火墙技术

运维管控系统是对内部人员对敏感数据访问行为的管理；但敏感数据除了内部人员外，也要面临黑客的攻击和入侵，或者第三方外包人员利用黑客技术突破常规的权限控制；因此需要通过数据库防火墙技术实现对于漏洞攻击的防御， 包括 SQL 注入类的外部攻击，以及提权漏洞、缓冲区溢出漏洞和 TNS 漏洞等。

图12 数据库防火墙技术中最核心技术——虚拟补丁技术

3、数据库存储加密技术

数据库的存储加密是保证数据在物理层得到安全保障的关键，加密技术的关键是要解决几个核心问题：

a) 加密与权控技术的整合；

b) 加密后的数据可快速检索：可考虑通过密文索引技术（但需要操作系统的兼容）或保序加密技术。

c) 应用透明技术：数据加密后原有应用系统不需要改造，可选择的技术包括三层视图技术，或者保留格式加密技术。

4、数据库脱敏技术

数据库脱敏技术，是解决数据模糊化的关键技术；通过脱敏技术来解决生产数据中的敏感信息在测试环境、开发环境和 BI 分析环境的安全。

图13 数据访问控制技术-脱敏技术

在脱敏技术中的关键技术包括：

a)数据含义的保持：脱敏后的数据仍然具有原始数据类型所要求的格式、内置关系，如身份证、地址、人名脱敏后依然需要是身份证、地址、人名；

b) 数据间关系的保持：需要不同表间相同数据、不同库间相同数据，在脱敏后依然是相同数据，保证数据间的映射关系；

c) 增量数据脱敏：对于大规模数据的增量，能在原有数据的基础上持续性地快速脱敏，从而保障在某些测试或分析环境中数据相对的及时性；

d) 可逆脱敏：在 BI 分析环境下，用户信息等关键性信息需要被脱敏；但在 BI 分析的结果，重点关注的用户， 需要回到生产环境下时，可以还原为真实的用户信息，以进行行销；

e) 动态脱敏：在一些环境下，需要保持数据共享的及时性，但又要避免数据的泄露；因此需要对在不将数据重新生成一份脱敏副本的情况下提供给第三方。需要针对不同的用户，根据数据的共享和安全需要，对不同的数据集进行脱敏；

f)大数据脱敏：随着 MongoDB、Hadoop、Redis 等大数据技术的使用，脱敏技术更多地被需要。

5、数据水印技术

数据水印技术是为了保持对分发后的数据的追踪，在数据泄露行为发生后，对造成数据泄露的源头可进行回溯。数据水印技术的关键点包括：

A、建立具备水印能力的数据抽取和分发系统；

B、在分发数据中掺杂，不影响运算结果的数据，使泄密源可追溯；

C、掺杂的方式：增加伪行、增加伪列、在现有的数据中作修正，如某些字符串信息，掺加不显示字符；

D、建立数据分发项目清单，记录数据集、数据去向、水印特点；

E、拿到泄密数据的样本，可追溯数据泄露源。

4.2.3 数据安全稽核的技术支撑

数据安全稽核是安全管理部门的重要职责，以此保障数据治理的策略和规范被有效执行和落地，保障能够快速发现潜在的风险和行为。但数据稽核对于大型企业或机构超大规模的数据流量、庞大的数据管理系统和业务系统数量下，也面临着很大的技术挑战。

1、数据审计技术

数据审计的目标是对所有的数据访问行为进行记录，对危险行为进行告警，提供数据访问报表，提供对数据的检索和分析能力；数据审计技术是对工作人员行为是否合规进行判定的关键；数据审计技术主要是基于网络流量分析技术、高性能入库技术、大数据分析技术和可视化展现技术：

图14 数据审计技术

2、账户和权限变化追踪技术

账号和权限总是动态被维护的，在成千上万的数据账号和权限下，如何快速了解在已经完成的账号和权限基线上增加了哪些账号，账号的权限是否变化了，这些变化是否遵循了合规性保证，需要通过静态的扫描技术和可视化技术帮助信息安全管理部门完成这种账号和权限的变化稽核。

图15 授权变更统计分析管理界面

3、异常行为分析技术

在安全治理过程中，除了明显的数据攻击行为和违规的数据访问行为外，很多的数据入侵和非法访问是掩盖在合理的授权下的，这就需要通过一些数据分析技术，对异常性的行为进行发现和定义，这些行为往往从单个的个体来看是合法的。

对于异常行为，可以通过两种方式，一种是通过人工的分析完成异常行为的定义；一种是对日常行为进行动态的学习和建模，对于不符合日常建模的行为进行告警。

图16 异常访问行为定义

以上很多的异常访问行为，都与频次有密切的关系；这种频次分析技术不是传统的关系型数据库或大数据平台的强项，更多地需要引入一种新的技术，这就是 StreamDB技术；一种以时间窗体为概念，对多个数据流进行频次、累计量和差异量进行分析的技术，往往可以用于对大规模数据流的异常发现：

图17 Stream 数据处理技术

5、文章小结

数据安全治理是以“数据安全使用”为目标的综合管理理念，具体实现数据安全保护、敏感数据管理与合规性三个需求；数据安全治理涵盖数据的分类、梳理、管控与审计四大重要环节。核心实现框架为：数据安全人员组织、数据安全使用的策略和流程、数据安全技术支撑。

在整个数据安全治理理念中，在组织保障方面首先需要成立数据安全治理的组织机构，确保数据安全治理工作在组织内能真正地落地；其次是要完成数据安全治理的策略性文件和系列落地文件，这将是数据安全治理的纲领性文件，相应系列文件规范中要覆盖数据安全治理的三大需求目标和四个重要环节，针对所有与敏感数据有接触的人员的权限进行定义，就人员对数据访问的过程提出控制流程；在数据安全管理规范生成后，重要的是通过系列的数据安全技术支撑系统应对挑战，确保数据安全管理规定有效落地，而不是变成一张徒有虚表的废纸。

注：

本文由 安华金和 石川​ 投稿数据猿发布。

欢迎更多大数据企业、爱好者投稿数据猿，来稿请直接投递至：tougao@datayuan.cn

来源：数据猿