在數(shù)據(jù)流通的整個(gè)過程中，數(shù)據(jù)的安全治理是基礎(chǔ)，在海量高價(jià)值數(shù)據(jù)資產(chǎn)面臨各種內(nèi)外威脅面前，數(shù)據(jù)安全更需要體系化的建設(shè)思路?！稊?shù)據(jù)安全法》明確提出，維護(hù)數(shù)據(jù)安全，應(yīng)當(dāng)堅(jiān)持總體國(guó)家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。

　　作為從國(guó)外引入的理念，數(shù)據(jù)安全治理在國(guó)內(nèi)市場(chǎng)的推廣、應(yīng)用過程中衍生出了不同的理解思考和實(shí)施路徑，我們推出《數(shù)據(jù)安全治理解決方案》系列訪談選題，聚焦企業(yè)用戶真實(shí)需求和挑戰(zhàn)，通過挖掘分享行業(yè)中有價(jià)值的解決方案及服務(wù)，力求幫助企業(yè)用戶在數(shù)據(jù)安全建設(shè)工作中提供有益參考。

　　本期，我們走進(jìn)廣州熠數(shù)信息技術(shù)有限公司（以下簡(jiǎn)稱 熠數(shù)信息），觀察他們?cè)谠擃I(lǐng)域的思考和實(shí)踐。

　　熠數(shù)信息成立于2021年，以構(gòu)建和諧的數(shù)據(jù)安全生態(tài)為己任，深耕數(shù)據(jù)安全領(lǐng)域，針對(duì)數(shù)據(jù)安全問題種類進(jìn)行梳理，從影響面及危害程度做分級(jí)分類，再將數(shù)據(jù)安全劃分為四個(gè)應(yīng)用場(chǎng)景：隱私合規(guī)場(chǎng)景、數(shù)據(jù)治理場(chǎng)景、數(shù)據(jù)應(yīng)用場(chǎng)景和開放共享場(chǎng)景，每個(gè)場(chǎng)景中提供數(shù)據(jù)安全解決方案，實(shí)現(xiàn)能合規(guī)、有抓手、查得出、防得住。推動(dòng)數(shù)據(jù)安全流動(dòng)，讓數(shù)據(jù)的價(jià)值熠熠生輝。

　　數(shù)據(jù)安全治理的實(shí)踐與經(jīng)營(yíng)業(yè)務(wù)、數(shù)據(jù)利用強(qiáng)相關(guān)

　　數(shù)據(jù)作為一種新型生產(chǎn)要素已經(jīng)被寫入中央文件，數(shù)據(jù)是數(shù)字經(jīng)濟(jì)的核心，數(shù)據(jù)要素對(duì)經(jīng)濟(jì)社會(huì)的發(fā)展起著關(guān)鍵作用。熠數(shù)信息CTO方偉表示，安全有效地推動(dòng)數(shù)據(jù)利用、共享和流通，挖掘數(shù)據(jù)價(jià)值，能快速釋放數(shù)據(jù)生產(chǎn)力，助推經(jīng)濟(jì)社會(huì)高質(zhì)量發(fā)展，這就要求我們著力解決數(shù)據(jù)安全領(lǐng)域的突出問題，提升數(shù)據(jù)安全治理能力。

　　數(shù)據(jù)安全治理是一個(gè)具有一定戰(zhàn)略高度的、綱領(lǐng)性的概念，是一個(gè)體系化、制度化的過程。數(shù)據(jù)安全治理是確保數(shù)據(jù)的可用性、完整性和保密性所采取的各種策略、技術(shù)和活動(dòng)，包括從企業(yè)戰(zhàn)略、企業(yè)文化、組織建設(shè)、業(yè)務(wù)流程、規(guī)章制度、技術(shù)工具等各方面提升數(shù)據(jù)安全風(fēng)險(xiǎn)應(yīng)對(duì)能力的過程，控制數(shù)據(jù)安全風(fēng)險(xiǎn)或?qū)L(fēng)險(xiǎn)帶來(lái)的影響降至最低。

　　數(shù)據(jù)安全治理自上而下，由治理層到管理層，從管理制度到技術(shù)工具，貫穿整個(gè)組織架構(gòu)的完整鏈條。組織內(nèi)的各個(gè)層級(jí)之間需要對(duì)數(shù)據(jù)安全治理的目標(biāo)達(dá)成共識(shí)，確保采取合理和適當(dāng)?shù)拇胧?，以最有效的方式保護(hù)數(shù)據(jù)的安全。

　　但不同于網(wǎng)絡(luò)安全已經(jīng)建設(shè)十幾甚至二十幾年，數(shù)據(jù)安全基礎(chǔ)薄弱，不能一蹴而就。方偉表示，傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品的使用者是安全運(yùn)營(yíng)人員，運(yùn)維與業(yè)務(wù)是割裂的；但數(shù)據(jù)安全與業(yè)務(wù)是強(qiáng)相關(guān)的，市場(chǎng)化數(shù)據(jù)安全類產(chǎn)品的落地建設(shè)需要業(yè)務(wù)線而非研發(fā)技術(shù)人員的支持，需要數(shù)據(jù)管理部門的支持。市場(chǎng)化解決方案只有單一技術(shù)，無(wú)法覆蓋企業(yè)數(shù)據(jù)安全治理的方方面面，比起網(wǎng)絡(luò)安全來(lái)，數(shù)據(jù)安全治理更需要有行業(yè)業(yè)務(wù)邏輯的理解。

　　因此，數(shù)據(jù)安全治理在實(shí)踐中，與經(jīng)營(yíng)業(yè)務(wù)、數(shù)據(jù)利用有更多的互動(dòng)，涉及的范圍更廣，落地推動(dòng)工作需要更多適配本地環(huán)境，相應(yīng)的產(chǎn)品也有更多的業(yè)務(wù)定制化，而不是像網(wǎng)絡(luò)安全產(chǎn)品那樣可以做到標(biāo)準(zhǔn)化。此外，由于目前相關(guān)的法律法規(guī)許多條款都比較原則性，因此需要結(jié)合不同的行業(yè)和業(yè)務(wù)場(chǎng)景，適時(shí)地增加地方性法規(guī)、行業(yè)標(biāo)準(zhǔn)等才能更好推進(jìn)和落實(shí)。所以，做好數(shù)據(jù)安全治理需要用戶基于業(yè)務(wù)提出需求、供應(yīng)商基于業(yè)務(wù)定制開發(fā)和監(jiān)管機(jī)構(gòu)基于行業(yè)場(chǎng)景制定標(biāo)準(zhǔn)。

　　數(shù)據(jù)安全治理的有力抓手：數(shù)據(jù)安全審計(jì)

　　熠數(shù)信息在數(shù)據(jù)安全治理方面把目光鎖定在數(shù)據(jù)安全審計(jì)。方偉解釋，因?yàn)榘踩@個(gè)領(lǐng)域是只有在事件發(fā)生的情況下才能體現(xiàn)自身價(jià)值，所以像加密、評(píng)估、認(rèn)證這些安全建設(shè)在短期內(nèi)是無(wú)法讓企業(yè)直觀感受到自身安全能力提升的。此外，內(nèi)部人員的疏忽行為、組織員工內(nèi)外串謀、離職前獲取數(shù)據(jù)，心懷不滿的惡意行為是所有數(shù)據(jù)安全事件中代價(jià)最高昂且最難檢測(cè)到的。

　　因此，對(duì)客戶而言最能夠體現(xiàn)效果的是數(shù)據(jù)安全審計(jì)。這里的數(shù)據(jù)安全審計(jì)不是對(duì)數(shù)據(jù)庫(kù)的審計(jì)，而是對(duì)內(nèi)部員工數(shù)據(jù)的使用行為、API接口調(diào)用行為的歷史數(shù)據(jù)進(jìn)行記錄和分析。

　　熠數(shù)信息的業(yè)務(wù)數(shù)據(jù)應(yīng)用安全審計(jì)系統(tǒng)通過定義用戶個(gè)體的標(biāo)簽，在縱向（個(gè)體的歷史行為習(xí)慣）和橫向（群體的行為習(xí)慣）的比較，識(shí)別行為習(xí)慣偏離度，再結(jié)合預(yù)定義規(guī)則和場(chǎng)景，及時(shí)攔截、預(yù)警高風(fēng)險(xiǎn)事件，避免歷史風(fēng)險(xiǎn)事件再次發(fā)生。

　　數(shù)據(jù)應(yīng)用安全審計(jì)不是應(yīng)對(duì)內(nèi)部威脅的，而是以數(shù)據(jù)行為為視角，囊括業(yè)務(wù)流程異常、業(yè)務(wù)接口的違規(guī)調(diào)用等行為發(fā)現(xiàn)數(shù)據(jù)訪問異常。

　　在業(yè)務(wù)風(fēng)控場(chǎng)景下，做關(guān)鍵業(yè)務(wù)識(shí)別，將業(yè)務(wù)流程中的操作對(duì)應(yīng)為編碼序列，基于歷史數(shù)據(jù)，訓(xùn)練序列異常的檢測(cè)模型。通過檢測(cè)用戶行為序列的異常度，判斷是否有違背關(guān)鍵業(yè)務(wù)的流程，找出異常。在大數(shù)據(jù)技術(shù)和基于AI的機(jī)器學(xué)習(xí)技術(shù)的加持下，數(shù)據(jù)安全審計(jì)更加能夠發(fā)揮其價(jià)值，識(shí)別用戶異常、異常用戶、員工利用賬號(hào)所做的操作與正常業(yè)務(wù)范圍不符合等行為。據(jù)了解，該系統(tǒng)目前已經(jīng)在某些省市的數(shù)字政府中應(yīng)用，得到用戶的好評(píng)。

　　方偉向我們著重強(qiáng)調(diào)了熠數(shù)信息解決方案的差異性。很多數(shù)據(jù)安全公司在做數(shù)據(jù)安全方案時(shí)都在談數(shù)據(jù)安全的生命周期，即數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)共享、數(shù)據(jù)使用、數(shù)據(jù)銷毀等階段。但圍繞數(shù)據(jù)安全生命周期的解決方案，周期長(zhǎng)、起效慢、投入高、操作復(fù)雜，并不適合當(dāng)下企業(yè)對(duì)數(shù)據(jù)安全的要求——高效、快速。

　　因此，熠數(shù)信息的解決方案是先聚焦某一個(gè)應(yīng)用場(chǎng)景，在場(chǎng)景中細(xì)分做模塊，輔助有效管理手段、技術(shù)工具和持續(xù)性服務(wù)形成一套小的體系后再把場(chǎng)景擴(kuò)大，體系擴(kuò)大。

　　例如，合規(guī)場(chǎng)景可以分為用戶隱私數(shù)據(jù)安全合規(guī)、數(shù)據(jù)共享和委托、內(nèi)部數(shù)據(jù)使用三類，這些場(chǎng)景包括一系列子場(chǎng)景，在這些子場(chǎng)景中一步步完善，這樣能夠保證在這個(gè)場(chǎng)景下快速高效地體現(xiàn)效果。再比如數(shù)據(jù)安全風(fēng)險(xiǎn)場(chǎng)景，可以從風(fēng)險(xiǎn)源出發(fā)，按照外部攻擊者、內(nèi)部工作人員和第三方合作伙伴三個(gè)場(chǎng)景設(shè)計(jì)方案，也可以從風(fēng)險(xiǎn)等級(jí)出發(fā)，按照信息安全風(fēng)險(xiǎn)評(píng)估的思路，從資產(chǎn)、威脅、脆弱性等幾個(gè)維度設(shè)計(jì)方案。

　　以評(píng)估-指導(dǎo)-監(jiān)督-檢查為主要過程建設(shè)數(shù)據(jù)安全能力

　　談及此，方偉介紹了熠數(shù)信息數(shù)據(jù)安全治理體系的整體設(shè)計(jì)思路，在ISO 38505數(shù)據(jù)治理安全體系標(biāo)準(zhǔn)的基礎(chǔ)上，結(jié)合客戶的數(shù)據(jù)安全需求，對(duì)實(shí)際情況進(jìn)行研究和實(shí)踐，建立一套輕量化、見效快的數(shù)據(jù)安全治理方法體系。該體系是以評(píng)估（Evaluate）-指導(dǎo)（Direct）-監(jiān)督（Monitor）-檢查（Check）為主要過程的EDMC數(shù)據(jù)安全能力建設(shè)模型。

　　評(píng) 估

　　通過評(píng)估數(shù)據(jù)在當(dāng)前和未來(lái)的安全狀況，在保障業(yè)務(wù)的前提下，實(shí)現(xiàn)合規(guī)約束和風(fēng)險(xiǎn)管控兩大數(shù)據(jù)安全目標(biāo)。

　　合規(guī)約束從數(shù)據(jù)源、數(shù)據(jù)使用、數(shù)據(jù)共享和第三方委托四個(gè)方面開展：識(shí)別數(shù)據(jù)類型，判斷其中是否包括個(gè)人信息、重要數(shù)據(jù)以及其他受監(jiān)管的特定行業(yè)的數(shù)據(jù)。對(duì)數(shù)據(jù)采取合理的分類分級(jí)，根據(jù)不同的數(shù)據(jù)類級(jí)識(shí)別合規(guī)風(fēng)險(xiǎn)，調(diào)整相應(yīng)的業(yè)務(wù)模式及授權(quán)條款，以保障數(shù)據(jù)來(lái)源的合法性，從而降低合規(guī)風(fēng)險(xiǎn)。業(yè)務(wù)涉及數(shù)據(jù)跨境傳輸或處理的，企業(yè)還需要關(guān)注適用境外法律的合規(guī)情況，例如，歐盟的《通用數(shù)據(jù)保護(hù)條例》等。

　　風(fēng)險(xiǎn)管控是評(píng)估因管理和技術(shù)手段的缺失造成數(shù)據(jù)未受到持續(xù)有效保護(hù)，使得數(shù)據(jù)的機(jī)密性、完整性和可用性的一個(gè)或多個(gè)遭受破壞的風(fēng)險(xiǎn)。評(píng)估圍繞數(shù)據(jù)安全風(fēng)險(xiǎn)源、數(shù)據(jù)安全措施，通過對(duì)數(shù)據(jù)處理活動(dòng)、數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)、個(gè)人信息保護(hù)、重要數(shù)據(jù)處理等方面進(jìn)行評(píng)估，發(fā)現(xiàn)安全風(fēng)險(xiǎn)。

　　指 導(dǎo)

　　指導(dǎo)是編制及實(shí)施戰(zhàn)略和政策，以確保數(shù)據(jù)安全服務(wù)于業(yè)務(wù)目標(biāo)。

　　數(shù)據(jù)安全治理的責(zé)任主體在治理層，治理層在開展數(shù)據(jù)治理的過程中主要通過制定數(shù)據(jù)安全戰(zhàn)略來(lái)指導(dǎo)數(shù)據(jù)管理活動(dòng)，而管理層需要通過管理活動(dòng)來(lái)實(shí)現(xiàn)戰(zhàn)略目標(biāo)。同時(shí)，治理主體需要通過建立數(shù)據(jù)安全政策來(lái)保障數(shù)據(jù)管理活動(dòng)符合數(shù)據(jù)安全戰(zhàn)略的需要，進(jìn)而滿足企業(yè)的戰(zhàn)略目標(biāo)。

　　數(shù)據(jù)安全治理體系文檔由數(shù)據(jù)戰(zhàn)略和數(shù)據(jù)政策組成。數(shù)據(jù)政策通常可分為三級(jí)文檔：一級(jí)文檔作為總綱，對(duì)治理體系進(jìn)行指導(dǎo)和治理域框架劃定，主要涵蓋體系的方針目標(biāo)、組織架構(gòu)、治理域范圍等內(nèi)容；二級(jí)文檔作為管理規(guī)范，涵蓋各治理域的管理政策；三級(jí)文檔作為管理程序，具體構(gòu)建管理規(guī)范在企業(yè)中的運(yùn)行管理流程及附上相應(yīng)的模板、表單等。

　　監(jiān) 督

　　監(jiān)督是對(duì)數(shù)據(jù)安全治理實(shí)施情況的監(jiān)督，獲取和度量數(shù)據(jù)安全治理工作的有效性和價(jià)值，監(jiān)督已定義的數(shù)據(jù)安全治理策略的執(zhí)行情況，并使得企業(yè)數(shù)據(jù)安全策略和績(jī)效的一致。

　　數(shù)據(jù)安全治理策略的執(zhí)行情況監(jiān)督主要是對(duì)已定義的數(shù)據(jù)安全策略、規(guī)則的遵從性、合規(guī)性進(jìn)行度量，確保數(shù)據(jù)安全的相關(guān)策略執(zhí)行到位，并及時(shí)發(fā)現(xiàn)執(zhí)行過程中存在的問題，及時(shí)更新策略。在實(shí)際工作中，企業(yè)根據(jù)自身的需求和現(xiàn)狀定義數(shù)據(jù)安全治理度量和評(píng)價(jià)體系，包括組織人員方面、流程制度方面、風(fēng)險(xiǎn)評(píng)估方面、宣傳培訓(xùn)方面等。

　　關(guān)于數(shù)據(jù)安全治理成功的衡量標(biāo)準(zhǔn)，要結(jié)合數(shù)據(jù)治理，以數(shù)據(jù)為基礎(chǔ)，以事實(shí)為依據(jù)，來(lái)證明數(shù)據(jù)安全的有效性和成本持續(xù)投入的合理性。數(shù)據(jù)安全治理可以和數(shù)據(jù)治理結(jié)合，其有效性和價(jià)值建立在對(duì)企業(yè)的業(yè)務(wù)安全價(jià)值提升的基礎(chǔ)上，也就是通過數(shù)據(jù)安全治理提升了哪些業(yè)務(wù)和安全指標(biāo)，例如收入和利潤(rùn)的增加、成本的降低、安全事件的降低、工作效率的提高、監(jiān)管機(jī)構(gòu)評(píng)分等。

　　檢 查

　　對(duì)企業(yè)而言，最直接地看到數(shù)據(jù)安全治理的效果就是檢查。以上幾個(gè)過程都是階段性的，而檢查是實(shí)時(shí)的，通過技術(shù)手段，實(shí)時(shí)全面監(jiān)測(cè)員工和第三方在數(shù)據(jù)訪問、使用、流轉(zhuǎn)的過程中的操作行為。對(duì)內(nèi)網(wǎng)的流量和系統(tǒng)日志的分析，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)審計(jì)，對(duì)內(nèi)部人員的疏忽行為、組織員工內(nèi)外串謀、離職前獲取數(shù)據(jù)，API接口濫用，識(shí)別用戶異常、賬號(hào)被濫用、員工利用賬號(hào)所做的操作與正常業(yè)務(wù)范圍不符合等行為。此外，檢查隱藏在企業(yè)正常運(yùn)行中的那些已被攻陷、被外部遠(yuǎn)程控制的潛伏主機(jī)，發(fā)現(xiàn)接收外部惡意指令，進(jìn)行暴力破解、數(shù)據(jù)收集、數(shù)據(jù)隱蔽外傳、異常域名訪問等數(shù)據(jù)竊取行為。

　　上述是在內(nèi)部檢查，在外部，境內(nèi)外網(wǎng)絡(luò)上的代碼平臺(tái)、技術(shù)博客、數(shù)據(jù)交易等平臺(tái)進(jìn)行監(jiān)控，及時(shí)檢查正在被交易和泄露的企業(yè)的數(shù)據(jù)。通過數(shù)據(jù)泄露監(jiān)控企業(yè)可以進(jìn)行有針對(duì)性的自查和整改，分析數(shù)據(jù)泄露的途徑，防止再次發(fā)生數(shù)據(jù)安全事件。

　　最后方偉強(qiáng)調(diào)，數(shù)據(jù)安全治理體系的建設(shè)與投入始終是要以提升業(yè)務(wù)價(jià)值為導(dǎo)向，同時(shí)在數(shù)據(jù)安全治理體系的建設(shè)和維護(hù)過程中，需要注意與企業(yè)實(shí)際業(yè)務(wù)場(chǎng)景的結(jié)合。數(shù)據(jù)安全治理的落地建設(shè)是一項(xiàng)長(zhǎng)期工程，企業(yè)需要不斷踐行PDCA循環(huán)，讓企業(yè)在數(shù)據(jù)安全治理方面持續(xù)地散發(fā)活力，讓數(shù)據(jù)與業(yè)務(wù)達(dá)到一個(gè)更加穩(wěn)定、平衡的狀態(tài)，實(shí)現(xiàn)數(shù)據(jù)安全能合規(guī)、有抓手、查得出、防得住，更自信地迎接來(lái)自數(shù)字時(shí)代的機(jī)遇與挑戰(zhàn)。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<