一、熟悉業(yè)務(wù)

其實這么多年信息安全、數(shù)據(jù)安全做下來，跟很多同行有過不同程度的交流，業(yè)內(nèi)的分享也很多了，我覺得現(xiàn)在已經(jīng)不能說“不知道怎么做數(shù)據(jù)安全”了，但是確實依然有很多同行在問“應(yīng)該怎么做數(shù)據(jù)安全”。我對這個現(xiàn)象的研究和判斷是：因為數(shù)據(jù)安全和業(yè)務(wù)結(jié)合太緊密，技術(shù)人員很難把握實施數(shù)據(jù)安全措施的尺度，無法在安全和業(yè)務(wù)中取得良好的平衡。本質(zhì)上是因為對業(yè)務(wù)不了解、不熟悉，或者是公司管理層、業(yè)務(wù)管理層人員沒有參與到數(shù)據(jù)安全決策中。所以做數(shù)據(jù)安全的同事，一定要對公司的業(yè)務(wù)有充足的了解，要了解公司各類業(yè)務(wù)的流程，以及在流程中的物流、人流、數(shù)據(jù)流、資金流。

這里就有必要提一下Gartner提倡的DSG方法，理念肯定是正確的。如果完全不懂業(yè)務(wù)或者對業(yè)務(wù)只是一知半解，就著手做數(shù)據(jù)安全，大概率沒有辦法真正、有效解決數(shù)據(jù)安全風(fēng)險。從網(wǎng)上拷貝了一張圖，見下圖。

運用DSG方法的時候，要特別注意：涉及數(shù)據(jù)安全風(fēng)險的業(yè)務(wù)有很多，短期內(nèi)機(jī)制、流程卡點不完善的情況下，很難全面熟悉業(yè)務(wù)、評估風(fēng)險，因此熟悉業(yè)務(wù)也要有針對性，這時候往往根據(jù)法律法規(guī)強(qiáng)制要求、公司當(dāng)期經(jīng)營重點、過往或同行多發(fā)的場景、近期主要執(zhí)法案例等因素選擇重點業(yè)務(wù)先入手、做起來，也就是DSG的框架第一層描述所包含的那些維度。一定要保證當(dāng)下選擇的業(yè)務(wù)及數(shù)據(jù)真的重要，也要讓關(guān)鍵干系人覺得重要。為什么？因為只有選擇了這些重點業(yè)務(wù)，短期內(nèi)數(shù)據(jù)安全才能出成績，才能得到后續(xù)長期的支持。

運用DSG方法的過程中，要注意這不是一個靜態(tài)的方法論，而是一個類似PDCA循環(huán)的動態(tài)方法論。這個方法論告訴我們的是：一要意識到數(shù)據(jù)資產(chǎn)的動態(tài)性，數(shù)據(jù)資產(chǎn)的流動、使用隨著業(yè)務(wù)的變化而變化，很難能找到一個完全的卡口，因此要持續(xù)了解、感知、熟悉業(yè)務(wù)；二是單位里面往往都是業(yè)務(wù)在先、數(shù)據(jù)安全在后，業(yè)務(wù)都上線運行了，數(shù)據(jù)安全再去推廣落地、就會面臨壓力，所以需要很好的業(yè)務(wù)切面和技術(shù)切面的能力（業(yè)務(wù)切面我在7.2會講，技術(shù)切面我在11.1會講）；第三，因為數(shù)據(jù)和業(yè)務(wù)緊密綁定，業(yè)務(wù)在動態(tài)變化過程中，數(shù)據(jù)面臨的安全風(fēng)險也會動態(tài)變化，因此要在業(yè)務(wù)動態(tài)變化的過程中實現(xiàn)數(shù)據(jù)安全的動態(tài)平衡，就要有機(jī)制、有技術(shù)手段感知、介入和控制風(fēng)險。

二、定義數(shù)據(jù)安全

了解完業(yè)務(wù)之后，是不是馬上就要開始數(shù)據(jù)安全的工作了？根據(jù)我的經(jīng)驗，不是。為什么？因每家公司對“數(shù)據(jù)安全”這個詞的定義是不一樣的，雖然《數(shù)據(jù)安全法》對“數(shù)據(jù)安全”的定義是：數(shù)據(jù)安全是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力，但這個定義仍然有待進(jìn)一步拆分和解讀，什么叫“必要措施”、“有效保護(hù)”、“合法利用”、“持續(xù)安全”？因此必須要通過回答如下問題來明確數(shù)據(jù)安全工作的邊界，明確數(shù)據(jù)安全工作對什么結(jié)果負(fù)責(zé)。

1、“數(shù)據(jù)”是指哪些內(nèi)容的數(shù)據(jù)。個人信息、商業(yè)秘密、國家秘密？商業(yè)秘密中的哪些？這里其實本質(zhì)上說的不是該被保護(hù)的“內(nèi)容”，而是基于不同組織利益而要求保護(hù)的信息。比如自身組織利益，就是商業(yè)秘密；客戶利益，就是和客戶協(xié)議定義的客戶信息；個人利益，是個人信息；國家利益、公眾利益，就有數(shù)安法定義的核心數(shù)據(jù)、重要數(shù)據(jù)；保密法定義的國家秘密；還有美國14117行政令定義的美國“政府相關(guān)數(shù)據(jù)”。這其中不同類別的數(shù)據(jù)也會有交集，有些國家關(guān)基單位的商業(yè)秘密可能同時就是國家的重要數(shù)據(jù)；有些互聯(lián)網(wǎng)或者物流企業(yè)，其掌握的個人信息本身也是該組織的商業(yè)秘密。

2、“數(shù)據(jù)”指哪些形態(tài)的數(shù)據(jù)，電子化數(shù)據(jù)、紙質(zhì)數(shù)據(jù)？指服務(wù)器、應(yīng)用系統(tǒng)中的電子數(shù)據(jù)，還是也包括終端、合作方系統(tǒng)中存儲流動的電子數(shù)據(jù)？是包括結(jié)構(gòu)化數(shù)據(jù)，也包括非結(jié)構(gòu)化數(shù)據(jù)（通常指各種文檔、研發(fā)設(shè)計圖紙）？是僅在公司業(yè)務(wù)系統(tǒng)、公司終端中存儲流動的數(shù)據(jù)，還是也包括提供給客戶、合作方的客戶端、App中存儲流動的數(shù)據(jù)？如果包括紙質(zhì)數(shù)據(jù)，往往會超出IT部門的能力范疇，需要慎重考慮。

3、數(shù)據(jù)安全的管控邊界在哪里、是什么？這里的管控邊界通常是指安全策略、措施能夠管理的范圍，包括網(wǎng)絡(luò)范圍、物理邊界、存儲介質(zhì)形態(tài)。比如電子數(shù)據(jù)、紙質(zhì)數(shù)據(jù)管到哪些，在線數(shù)據(jù)、離線數(shù)據(jù)管哪些？比如研發(fā)設(shè)計圖紙要交給合作伙伴，對合作伙伴管到什么地步？比如服務(wù)器外出維修或報廢、移動存儲介質(zhì)外出維修，這些邊界要不要管到？有沒有一些數(shù)據(jù)只流經(jīng)公司、但沒有落地存儲，那這些數(shù)據(jù)要不要管，管到什么地步？比如有跟第三方公司開展隱私計算業(yè)務(wù)，那數(shù)據(jù)安全在隱私計算過程中要管到哪個環(huán)節(jié)？

4、“安全”指的到底是什么特性，機(jī)密性、完整性、可用性、抗抵賴性、可追溯性、合規(guī)性、可見性中的哪些？不同的行業(yè)，不同的安全分工，不同的團(tuán)隊職能對這個問題的回答可能都是不一樣的，所以要回答清楚。這里要特別搞清楚“公司領(lǐng)導(dǎo)想要的數(shù)據(jù)安全里的安全到底是什么”？舉個例子，安全團(tuán)隊可能只對機(jī)密性、可見性負(fù)責(zé)，研發(fā)團(tuán)隊對完整性、抗抵賴性、可追溯性負(fù)責(zé)，運維團(tuán)隊對可用性負(fù)責(zé)，領(lǐng)導(dǎo)的意圖是“都想要”，那數(shù)據(jù)安全工作交給安全團(tuán)隊總體負(fù)責(zé)，安全團(tuán)隊在實際工作中，不但要承擔(dān)機(jī)密性、可見性的工作，還要對研發(fā)和運維團(tuán)隊的工作進(jìn)行監(jiān)督、督促。

在實踐中，我們發(fā)現(xiàn)“安全”有時候還包含“自證清白”的內(nèi)涵，也就是當(dāng)接到投訴、舉報或外部監(jiān)管檢查的時候，數(shù)據(jù)安全團(tuán)隊必須要能夠舉證自己的管控措施是有效的、合規(guī)的、充分的，從而幫助公司盡可能免責(zé)、保護(hù)公司利益，這點內(nèi)涵也要充分識別與考慮，尤其是金融、互聯(lián)網(wǎng)平臺等類似的單位。

5、“數(shù)據(jù)安全保護(hù)的效果”是什么，得描述清楚，至少要用明確的、盡可能量化的描述方式跟老板對齊目標(biāo)和效果。“不發(fā)生被監(jiān)管通報處罰的數(shù)據(jù)安全事件”，“數(shù)據(jù)被竊取、勒索造成的損失每年小于公司營收的0.3‰”，“晚于監(jiān)管機(jī)構(gòu)發(fā)現(xiàn)的互聯(lián)網(wǎng)、暗網(wǎng)數(shù)據(jù)泄露事件每年為0”，“敏感數(shù)據(jù)的訪問和操作可對應(yīng)到人、數(shù)據(jù)可追溯1年”，“對敏感數(shù)據(jù)的常見異常訪問、操作可在發(fā)生后48小時內(nèi)發(fā)現(xiàn)”等類似的描述方式都是可以借用的。這里給出這些例子，核心目的是像定義KPI一樣跟老板對齊數(shù)據(jù)安全工作的目標(biāo)和效果，否則只是一個含糊的“不出事”“別丟數(shù)據(jù)”，是沒有辦法干活，出了事也是沒有辦法界定責(zé)任的。這個指標(biāo)最好還是能不斷提升的，這樣才能持續(xù)驅(qū)動改進(jìn)。

6、在完成上面這個步驟之后，還要再考慮一個問題。在現(xiàn)階段，“數(shù)據(jù)合規(guī)”這個詞的含義基本等同于“個人信息保護(hù)、隱私保護(hù)、跨境數(shù)據(jù)合規(guī)、個人信息合法合規(guī)采集使用”，數(shù)據(jù)安全團(tuán)隊必須要明確“數(shù)據(jù)安全”和“數(shù)據(jù)合規(guī)”工作之間的關(guān)系，是包含還是交叉，對于交叉部分、由哪些團(tuán)隊分別對什么負(fù)責(zé)。如果數(shù)據(jù)合規(guī)和數(shù)據(jù)安全是兩個團(tuán)隊的話，一般建議的操作方式是：數(shù)據(jù)合規(guī)團(tuán)隊（可能是法務(wù)團(tuán)隊，也可能是其他技術(shù)團(tuán)隊）負(fù)責(zé)解讀、提出合規(guī)和業(yè)務(wù)需求，數(shù)據(jù)安全團(tuán)隊（一般在IT部門內(nèi)）對技術(shù)實現(xiàn)負(fù)責(zé)，非技術(shù)部分的實現(xiàn)由數(shù)據(jù)合規(guī)團(tuán)隊負(fù)責(zé)。同時也要敏銳地注意到，“數(shù)據(jù)合規(guī)”現(xiàn)階段仍主要圍繞“個人信息”、“隱私信息”的保護(hù)，而“數(shù)據(jù)安全”往往不只是保護(hù)個人信息，因此兩者按照上述分工是一種比較合理的協(xié)作方式。

關(guān)于不同團(tuán)隊分工的話題，本文的幾位作者提出了一些不同意見，也是很有趣：其實也可以考慮用一個團(tuán)隊來統(tǒng)籌管數(shù)據(jù)治理、數(shù)據(jù)合規(guī)和數(shù)據(jù)安全，就是成立一個獨立的數(shù)據(jù)管理團(tuán)隊。因為數(shù)據(jù)安全本身就是數(shù)據(jù)管理的一個屬性，很多數(shù)據(jù)的梳理，數(shù)據(jù)流轉(zhuǎn)的梳理，可以和數(shù)據(jù)團(tuán)隊的業(yè)務(wù)一并來做，或者用較為相同的流程方法來做。

有幾位作者也認(rèn)為：在不同的公司里面，也要切實考量下數(shù)據(jù)合規(guī)團(tuán)隊和數(shù)據(jù)安全團(tuán)隊劃分邊界之后的可操作性。把非技術(shù)的交給合規(guī)，技術(shù)的交給數(shù)據(jù)安全團(tuán)隊，恐怕這樣的邊界比較難以厘清。因為技術(shù)是實現(xiàn)業(yè)務(wù)目標(biāo)的一個手段，有時候非常難以切割。就以數(shù)據(jù)分類分級這個業(yè)務(wù)目標(biāo)來說，因為最末端流程一定是要涉及到業(yè)務(wù)一線的，只有業(yè)務(wù)一線能知道自己的業(yè)務(wù)流程是否會接收或產(chǎn)生商業(yè)秘密、重要數(shù)據(jù)、個人信息、國家秘密等，那這個工作發(fā)起者，推動者到底是合規(guī)團(tuán)隊，還是數(shù)據(jù)安全團(tuán)隊？是否數(shù)據(jù)安全團(tuán)隊只負(fù)責(zé)提供工具，其實是由合規(guī)團(tuán)隊向下推進(jìn)呢？但實際情況，可能早在合規(guī)之前，數(shù)據(jù)安全團(tuán)隊已經(jīng)存在了，幫助業(yè)務(wù)單位識別了商業(yè)秘密等，來了合規(guī)團(tuán)隊，又是另一個方法去識別合規(guī)相關(guān)的數(shù)據(jù)？

看起來，關(guān)于分工問題沒有定論，每個組織選擇一個自己合適的方式就好，但是一定要講清楚。很多單位數(shù)據(jù)安全做不好，一個很重要的原因就是天天在扯皮。

7、在某些央國企、事業(yè)單位，大概率還有保密辦這么一個組織，主要落實對國家秘密、商業(yè)秘密的保護(hù)要求。單位里面類似的組織多了，就很容易扯皮，那么數(shù)據(jù)安全和保密辦之間是個什么關(guān)系？我一直以來的建議就是：盡可能簡單點來，只要老板給我資源和支持，我不怕多扛職責(zé)。有更多機(jī)會鍛煉提升自己，是好事哇！因此一般來說，我建議把保密辦當(dāng)做一個業(yè)務(wù)部門看待，也就是上面說的：保密辦提需求，技術(shù)部分由數(shù)據(jù)安全團(tuán)隊負(fù)責(zé)實現(xiàn)，非技術(shù)部分由保密辦負(fù)責(zé)實現(xiàn)。

上面提出了很多需要思考和注意的問題維度。最后總結(jié)一下，定義“數(shù)據(jù)安全”是為了劃邊界，劃一個做什么、不做什么的邊界（其實任何工作職責(zé)都得有這么個邊界，我以前講過“怎么做規(guī)劃”的課程，也有這么個環(huán)節(jié)，其實都是一個意圖）：

1、明確定義數(shù)據(jù)安全工作中需要保護(hù)的對象是什么；

2、針對這些保護(hù)對象，數(shù)據(jù)安全工作中到底要解決哪些風(fēng)險？

3、針對這些風(fēng)險的控制活動由誰定規(guī)則、由誰執(zhí)行、誰對最終結(jié)果負(fù)責(zé)，本質(zhì)上這是一個組織分工問題。

三、開展數(shù)據(jù)安全規(guī)劃

業(yè)務(wù)也了解清楚了，“數(shù)據(jù)安全”的定義也定義好了，該開始下手買工具、建系統(tǒng)了吧？不、不、不，還早著呢。下一步工作是做規(guī)劃。

很多人不理解為什么要做規(guī)劃，我拉著團(tuán)隊內(nèi)部討論一下、統(tǒng)一一下意見，不就搞定了？一定要做個數(shù)據(jù)安全規(guī)劃出來嗎？答案是“一定要做”。因為規(guī)劃的目的和意義在于“統(tǒng)一思想”，數(shù)據(jù)安全規(guī)劃的目的和意義在于“統(tǒng)一和管理層、協(xié)作團(tuán)隊、業(yè)務(wù)部門的思想”，統(tǒng)一對于“數(shù)據(jù)安全”定義的認(rèn)知，統(tǒng)一對于數(shù)據(jù)安全工作開展過程中的各方職責(zé)、定位和協(xié)作關(guān)系的認(rèn)知，統(tǒng)一先解決哪些數(shù)據(jù)安全問題、后解決哪些數(shù)據(jù)安全問題的認(rèn)知，統(tǒng)一重大數(shù)據(jù)安全策略、尺度的認(rèn)知。

傳統(tǒng)意義上，網(wǎng)絡(luò)安全、基礎(chǔ)安全更多屬于技術(shù)層面的工作，可能1、2個技術(shù)團(tuán)隊拉在一起就討論、確定了。數(shù)據(jù)安全本身和公司業(yè)務(wù)關(guān)系緊密，必須要通過“制訂規(guī)劃、匯報規(guī)劃、確定規(guī)劃”的套路把以上這些問題解決掉才能往后推進(jìn)，否則一定會在執(zhí)行過程中遇到多方阻力，因為你上安全手段就會對業(yè)務(wù)便捷、數(shù)據(jù)流動、系統(tǒng)穩(wěn)定造成負(fù)面影響。所以，一定要通過數(shù)據(jù)安全規(guī)劃這個動作要解決這些推進(jìn)過程中出現(xiàn)的風(fēng)險。至于怎么做規(guī)劃，我以前的文章都寫過，就不細(xì)說了，特別提醒的一點是：規(guī)劃中要基本明確針對各類數(shù)據(jù)安全風(fēng)險的控制措施，盡可能細(xì)化、明確，如果確實精力、能力不夠，可以先把確定要干的明確了，剩下的寫個大概，然后在不斷的技術(shù)交流、評估測試、技術(shù)選型、同行交流過程中磨合、確定。

有人會問，做個3年規(guī)劃耗時耗力，有沒有簡便的辦法？也可以，那就是每年滾動規(guī)劃。每年底做預(yù)算之前，花一定的時間，完成下一年度的數(shù)據(jù)安全規(guī)劃，在年度規(guī)劃中把以上這些問題逐步解決掉。但具體如何切分，就看自己把握了。

數(shù)據(jù)安全規(guī)劃中要特別注意的一點是，數(shù)據(jù)資產(chǎn)的流動和使用與業(yè)務(wù)緊密相關(guān)，業(yè)務(wù)過程靈活調(diào)整、數(shù)據(jù)資產(chǎn)彈性變化、訪問使用多元多面都可能導(dǎo)致數(shù)據(jù)安全規(guī)劃會失效，所以數(shù)據(jù)安全團(tuán)隊一定要有機(jī)制流程和技術(shù)手段感知、適應(yīng)以及應(yīng)對這些變化，怎么做？再就是企業(yè)內(nèi)部一般都是業(yè)務(wù)系統(tǒng)已經(jīng)建好了，業(yè)務(wù)流程已經(jīng)基本建好了、運行了一段時間了，這時想再推廣、落地數(shù)據(jù)安全控制措施，就會面臨很大的阻力，那么應(yīng)該怎么辦？這些問題在6章數(shù)據(jù)流動，7.2業(yè)務(wù)運營 和11章 切面技術(shù)思想 中有描述。

四、分類分級

做完規(guī)劃，就進(jìn)入執(zhí)行階段。執(zhí)行階段的第一步是什么，一定是分類分級。

分類分級怎么做，其實很多人都說過了，概括來說無非就是人工分，或者結(jié)合系統(tǒng)和流程用機(jī)器分。這個環(huán)節(jié)很多人都寫過文章，我就不細(xì)說了。但是我發(fā)現(xiàn)很多人其實對分類分級的本質(zhì)并沒有正確的認(rèn)識。到底什么是分類分級？為什么要做分類分級？

分類分級其實不是一個新概念，但凡資源有限的領(lǐng)域，想更好地開展工作，一定是要把手頭的任務(wù)區(qū)分重點和次要，并做優(yōu)先級排序。數(shù)據(jù)安全的分類分級本質(zhì)上也是識別需要重點保護(hù)的數(shù)據(jù)和優(yōu)先級。

分類其實很簡單，公司有哪些業(yè)務(wù)活動、經(jīng)營管理活動，就有哪些類別的數(shù)據(jù)；分級就是區(qū)分在這些業(yè)務(wù)活動、經(jīng)營管理活動中有哪些數(shù)據(jù)在流動，這些數(shù)據(jù)從安全保護(hù)的重要性來說屬于1、2、3、4什么級別。傳統(tǒng)的分類分級會根據(jù)這個結(jié)果輸出一張巨寬、巨長的Excel，到這里就結(jié)束了，也可能把這個Excel存到數(shù)據(jù)庫里面，以便后續(xù)共調(diào)用。

但實際上，我認(rèn)為這樣的分類分級是有嚴(yán)重缺陷的。正確的分類分級應(yīng)該是

（1）識別公司有哪些業(yè)務(wù)活動、經(jīng)營管理活動對公司是最重要的、當(dāng)前和未來一個階段最有價值的；

（2）對這些重要的業(yè)務(wù)活動、經(jīng)營管理活動進(jìn)行理解和拆分，將這些活動拆解為人流、物流、資金流和數(shù)據(jù)流，最后形成一個數(shù)據(jù)流圖，并附加說明數(shù)據(jù)在流動中有哪些人、崗位角色可以訪問、操作這些數(shù)據(jù)；

（3）對數(shù)據(jù)流圖中的數(shù)據(jù)進(jìn)行分級、定級；

（4）將分類分級的結(jié)果，以某種結(jié)構(gòu)化、容易被自動化識別的方式保存下來，便于后續(xù)在自動化的識別過程中調(diào)用；

這樣的分類分級方法，其實應(yīng)該是在第一章“熟悉業(yè)務(wù)”中完成的，這才是真正有靈魂的分類分級，是站在業(yè)務(wù)視角、保護(hù)業(yè)務(wù)利益的分類分級。不講業(yè)務(wù)過程的分類分級，不止效率最低，對后續(xù)的數(shù)據(jù)安全保護(hù)動作也很難形成有價值的輸入。

以上的分類分級完成后，基本還只是一個靜態(tài)的數(shù)據(jù)分類分級成果，也就是“知道”了哪些數(shù)據(jù)是需要被保護(hù)的，但在實際應(yīng)用中，還有一個動態(tài)識別的過程。比如從系統(tǒng)A通過API讀取了系統(tǒng)B的數(shù)據(jù)，那么這些API里面包含了哪些類別的數(shù)據(jù)，這些數(shù)據(jù)分別定級是多少，有沒有未定級的數(shù)據(jù)？也都需要被識別出來。識別出來之后，就可以按照后續(xù)的數(shù)據(jù)安全策略予以保護(hù)；如果發(fā)現(xiàn)有未分類分級的數(shù)據(jù)，也要按照既定的策略對數(shù)據(jù)訪問操作予以控制。那么具體怎么做，在第六章里面闡述。

分類分級的流程和方法也可能跟以上的做法不一樣，不過我們認(rèn)為最本質(zhì)的一點是相通的，要基于業(yè)務(wù)活動來識別、分類、分級。

五、確定數(shù)據(jù)保護(hù)措施

5.1 基本認(rèn)識

做完分類分級、識別了需要保護(hù)的數(shù)據(jù)之后，緊接著就是要確定數(shù)據(jù)保護(hù)措施了。趕緊的，上工具、上手段！這是不是很多人的第一反應(yīng)？

慢點，慢點，你是不是快了點，這里面是不是缺了點啥？

從邏輯上分析，應(yīng)該先做數(shù)據(jù)安全威脅建模，然后才是確定數(shù)據(jù)保護(hù)措施。威脅建模這個步驟一定不能?。〔灰欢ㄒ獙懴聛?，即便你在腦子里面過了一下，這個建模的動作也必須要有，否則怎么可能知道在上一個步驟中輸出的數(shù)據(jù)流圖中的數(shù)據(jù)有哪些安全風(fēng)險？安全風(fēng)險不清晰、準(zhǔn)確的話，怎么保證數(shù)據(jù)保護(hù)措施是恰當(dāng)、合理的？當(dāng)然，如果數(shù)據(jù)安全工作涉及人員較多或者跨團(tuán)隊的話，這個威脅建模的結(jié)果最好寫下來、有評審，避免遺漏。關(guān)于如何做數(shù)據(jù)安全威脅建模，參見

https://mp.weixin.qq.com/s/jLsf_LQZZycLAdNKQrOJ2g。注意個細(xì)節(jié)，這個威脅建模不只是分析了威脅，其實還同步評估了風(fēng)險。

完成數(shù)據(jù)安全威脅建模之后，就要確定數(shù)據(jù)保護(hù)措施。大多數(shù)人對數(shù)據(jù)保護(hù)措施的反應(yīng)就是“上安全工具”！這也是一個要不得的誤區(qū)。我們之所以說數(shù)據(jù)安全難做，就是因為數(shù)據(jù)是在業(yè)務(wù)過程中流動的，數(shù)據(jù)的流動、使用就代表著業(yè)務(wù)活動，上工具就很容易對業(yè)務(wù)活動造成阻礙；而實際過程中很多數(shù)據(jù)安全風(fēng)險就來自于業(yè)務(wù)活動中對數(shù)據(jù)的不當(dāng)使用、流動和授權(quán)。所以考慮數(shù)據(jù)保護(hù)措施的時候，首先應(yīng)該考慮對業(yè)務(wù)活動的流程、工具、方法是否可以做改造、優(yōu)化，降低數(shù)據(jù)風(fēng)險暴露面、減少不必要的授權(quán)，這往往是最有效的數(shù)據(jù)安全保護(hù)措施。只有無法、不愿改變業(yè)務(wù)活動的情況下，才需要動用外掛式的安全工具來達(dá)到保護(hù)數(shù)據(jù)安全的目的。

當(dāng)然，確定數(shù)據(jù)安全保護(hù)措施的過程中，有一個風(fēng)險容忍度的平衡。不同的人對于風(fēng)險接受度是不一樣的，因此在這個過程，是需要和管理層做充分溝通的，這個一定是需要管理層參與和決策的。數(shù)據(jù)安全保護(hù)措施和其他安全措施的類型是一樣的，要綜合采用規(guī)避風(fēng)險（包括業(yè)務(wù)最小化滿足、技術(shù)方案的設(shè)計安全等前置工作），降低風(fēng)險（例如采取功能優(yōu)化，使得影響程度小、影響面小、影響對象重要性低），接受風(fēng)險等組合型措施。

如果翻閱一下市面上各類數(shù)據(jù)安全管理技術(shù)規(guī)范、標(biāo)準(zhǔn)，都會提到“數(shù)據(jù)全生命周期保護(hù)”。這個提法的初衷是沒錯的，因為確實存在數(shù)據(jù)采集、傳輸、存儲、使用、分享、銷毀這么一個鏈條，如果忽略了其中任何一個環(huán)節(jié)，就容易造成數(shù)據(jù)安全保護(hù)措施的缺失。因此，在對數(shù)據(jù)安全威脅建模的過程中，不但要考慮業(yè)務(wù)活動中的數(shù)據(jù)安全風(fēng)險（這里大多涉及的是采集、使用、分享），還要考慮IT基礎(chǔ)設(shè)施管理與服務(wù)中的數(shù)據(jù)安全風(fēng)險（這里大多涉及的是傳輸、存儲、銷毀）；要根據(jù)企業(yè)數(shù)據(jù)安全工作的目標(biāo)，不但保護(hù)機(jī)密性，也根據(jù)數(shù)據(jù)安全規(guī)劃定義的目標(biāo)，適當(dāng)?shù)乇Ｗo(hù)可用性、完整性、可追溯性、抗抵賴性、可見性。

上一章講分類分級的時候，特別提到“將分類分級的結(jié)果，以某種結(jié)構(gòu)化、容易被自動化識別的方式保存下來，便于后續(xù)在自動化的識別過程中調(diào)用”，在確定、實施數(shù)據(jù)保護(hù)措施的時候就能用到。比如在數(shù)據(jù)流動的監(jiān)測中，對某個API訪問的數(shù)據(jù)進(jìn)行監(jiān)測并和庫中的分類分級樣本進(jìn)行比對，發(fā)現(xiàn)有敏感數(shù)據(jù)則根據(jù)保護(hù)策略自動啟動相應(yīng)的告警、加密等保護(hù)措施，過程完全自動化實現(xiàn)，效率和質(zhì)量都有很大的提升。

5.2 場景抽象

傳輸、存儲、銷毀的環(huán)節(jié)以及保護(hù)措施相對明確，本文就不做贅述了?；谶^往對數(shù)據(jù)安全的認(rèn)知和經(jīng)驗，我把企業(yè)內(nèi)部數(shù)據(jù)采集、使用、分享的場景做了一個抽象，將各類業(yè)務(wù)活動、經(jīng)營管理活動中的數(shù)據(jù)采集、使用、分享環(huán)節(jié)抽象成如下圖所示的一個田字格。

網(wǎng)絡(luò)架構(gòu)簡述：企業(yè)內(nèi)部網(wǎng)絡(luò)分成辦公網(wǎng)、生產(chǎn)網(wǎng)兩張大網(wǎng)，中間有效、邏輯隔離，每張大網(wǎng)的安全管控要求有差別，可以理解為生產(chǎn)網(wǎng)是高密區(qū)、辦公網(wǎng)是低密區(qū)；每個大網(wǎng)細(xì)分終端側(cè)、應(yīng)用側(cè)，中間有效、邏輯隔離；紅色圓角方框代表企業(yè)網(wǎng)絡(luò)邊界、辦公場地邊界；藍(lán)色帶箭頭粗線代表數(shù)據(jù)流向；辦公網(wǎng)、生產(chǎn)網(wǎng)的終端統(tǒng)稱“員工辦公終端”。

場景A1：員工辦公終端訪問互聯(lián)網(wǎng)；

場景A2：員工辦公終端的數(shù)據(jù)離線存儲（拷貝到U盤，打印復(fù)印掃描紙件）；

場景B：員工辦公終端帶離公司管控邊界以外；員工通過個人手機(jī)、個人電腦以遠(yuǎn)程方式訪問公司內(nèi)網(wǎng)資源；第三方人員以遠(yuǎn)程方式訪問公司內(nèi)網(wǎng)資源；

場景C：員工辦公終端訪問公司應(yīng)用系統(tǒng)、公司數(shù)據(jù)；IT特權(quán)運維人員訪問操作數(shù)據(jù)；

場景D1：在同一個大網(wǎng)內(nèi)應(yīng)用系統(tǒng)之間的數(shù)據(jù)流動；

場景D2：跨大網(wǎng)的應(yīng)用系統(tǒng)之間的數(shù)據(jù)流動；數(shù)據(jù)從不同應(yīng)用系統(tǒng)進(jìn)入數(shù)據(jù)倉庫（數(shù)據(jù)湖）；運用公司數(shù)據(jù)訓(xùn)練AI模型；

場景E：應(yīng)用系統(tǒng)被互聯(lián)網(wǎng)用戶訪問；

場景F：應(yīng)用系統(tǒng)被第三方合作機(jī)構(gòu)訪問，或訪問第三方合作機(jī)構(gòu)；

以上對數(shù)據(jù)安全場景抽象、解耦的邏輯、思路、方法，可能每個單位不太一樣，本質(zhì)上還是基于不同類型數(shù)據(jù)、不同威脅和業(yè)務(wù)場景來做管控。

5.3推薦策略和順序

將這些場景抽象以后，我推薦的策略實施重點和優(yōu)先順序是

1、先控制A、B、E、F的風(fēng)險，因為數(shù)據(jù)出了管控邊界；AB的保護(hù)措施實施起來相對容易，可以先做；E、F會復(fù)雜一些，可以放在第二步。在完成這些保護(hù)措施的同時，調(diào)研熟悉C、D的場景，做威脅建模、評估保護(hù)措施。實施ABEF的保護(hù)措施，可以為CD保護(hù)措施贏得時間和空間。當(dāng)然，第一步并不只是針對這個場景，還是要看業(yè)務(wù)需求、公司領(lǐng)導(dǎo)的需求綜合判定，但選擇第一步的原則就是“先救命、再養(yǎng)生”。

2、再控制C、D的風(fēng)險。這2類場景最復(fù)雜，技術(shù)實施難度也很大。

3、A、B類主要管員工、服務(wù)商，可控性強(qiáng)，策略可以選擇脫敏、加密、隔離、阻斷、嚴(yán)格審批為主，強(qiáng)勢一些；E、F類主要管用戶、合作機(jī)構(gòu)，可控性弱，策略以監(jiān)測、阻斷、審計可追溯、簡單審批為主，略微弱勢一些；C、D場景復(fù)雜、數(shù)據(jù)類型復(fù)雜，策略以監(jiān)測檢測、數(shù)據(jù)流動可視化、收斂暴露面、備案告知為主，配合獎懲、績效考核等管理措施驅(qū)動治理和改進(jìn)，減少對業(yè)務(wù)、系統(tǒng)的打擾，又能達(dá)成數(shù)據(jù)安全目標(biāo)。

以上保護(hù)措施舉例的更多是技術(shù)類的保護(hù)措施，很容易造成大家的誤解，因此需要特別強(qiáng)調(diào)一下，保護(hù)措施也包括流程類、管理類的保護(hù)措施，比如數(shù)據(jù)訪問的權(quán)限控制既要有工具控制、也要有授權(quán)審批，比如對數(shù)據(jù)接口類的API要在變更流程后配套一個滲透測試的檢查環(huán)節(jié)，比如要在立項環(huán)節(jié)對系統(tǒng)架構(gòu)和方案進(jìn)行評審、控制數(shù)據(jù)安全風(fēng)險，比如在員工申請從生產(chǎn)環(huán)境提取數(shù)據(jù)后要自動追加一個“30天確認(rèn)刪除”的動作。這些流程類、管理類的保護(hù)措施，有的是通用類的（比如立項評審、授權(quán)審批），有的是業(yè)務(wù)專用類的（比如API變更后的滲透測試），但都是建立在數(shù)據(jù)安全威脅建模的基礎(chǔ)上確定的保護(hù)措施。數(shù)據(jù)安全保護(hù)措施也應(yīng)該參照安全左移的思想，盡可能在在項目初期完成數(shù)據(jù)的識別與威脅建模、隱私保護(hù)設(shè)計（Privacy by Design），并配套相應(yīng)的數(shù)據(jù)安全工具；參照安全右移的思想，確保技術(shù)保護(hù)、流程改進(jìn)、業(yè)務(wù)提升類措施是閉環(huán)的、持續(xù)改進(jìn)的。

5.4多云數(shù)據(jù)安全

云上數(shù)據(jù)安全和傳統(tǒng)最大的差異在于基建的變化，在治理思路上打破了傳統(tǒng)安全的人為分類，尤其是在基礎(chǔ)設(shè)施安全和數(shù)據(jù)安全之間的分類，更考驗的是技術(shù)的管理執(zhí)行。多云的數(shù)據(jù)安全其實是互通的，前提是需要先了解和熟悉單云的數(shù)據(jù)安全風(fēng)險及差異。

深入理解云上的數(shù)據(jù)安全風(fēng)險，一個關(guān)鍵的認(rèn)知很重要，云上的產(chǎn)品從誕生之初就肩負(fù)著“獨立生存的使命”，要在這種使命下看他們的風(fēng)險，云上產(chǎn)品既可能單獨存在風(fēng)險，也可能因為組合使用后構(gòu)成新的風(fēng)險。

在云環(huán)境下，傳統(tǒng)的終端數(shù)據(jù)安全場景風(fēng)險即5.2中的ABC依然是存在的。不過，在終端數(shù)據(jù)安全場景下時，需要將云平臺視為一個應(yīng)用來進(jìn)行管理，C模式下的風(fēng)險更甚。因為，從云廠商的視角看，云管控臺可以通過任何地方、任何終端訪問，所以通過終端上的泄露場景是首先需要解決的風(fēng)險，要保證可控數(shù)據(jù)落在可控端。

在云環(huán)境下，還會面臨傳統(tǒng)IDC場景下永遠(yuǎn)不會面臨的問題，正如下圖所揭示的“企業(yè)云化數(shù)據(jù)安全管控”中總結(jié)的5大挑戰(zhàn)，云上傳統(tǒng)的網(wǎng)絡(luò)邊界會被打破，有很多種的方式：

●AK是打破大門的第一環(huán)，未經(jīng)任何限制的AK可以在任何地方、任何設(shè)備自由的出入云上環(huán)境，當(dāng)然更會有各種隱藏模式，防不勝防；

●除了AK之外，還有存儲桶Bucket，云上數(shù)據(jù)泄露80%來自于此。

這些都是需要單獨拿出來去關(guān)注和管理的云上數(shù)據(jù)安全場景。管控方案也很簡單，正如“新視角下企業(yè)云化安全管控框架OCBC”（https://mp.weixin.qq.com/s/QcMkBOH6KzMMwSJUjqp9Ug）中提及的，要做好這塊的工作，首先需要關(guān)注“3控”（控邊+控權(quán)+控桶），同時處理好“雙非”風(fēng)險。

在云環(huán)境下，最后一個需要關(guān)注的就是云產(chǎn)品，所有云產(chǎn)品拿來即用的思路也是不可取的，很有可能因為一個新的云產(chǎn)品的引入打破原有的已經(jīng)固防的安全邊界，造成新的攻擊面和數(shù)據(jù)泄漏點。所有，尤其需要關(guān)注云產(chǎn)品的“選、用、留”，做好云產(chǎn)品的數(shù)據(jù)安全基線就非常關(guān)鍵了。

每家云平臺都可能存在安全漏洞，只是存在多與少、發(fā)現(xiàn)早與晚的問題。但是，更多的時候，其實是作為甲方企業(yè)沒有安全、合規(guī)的使用云而造成的安全漏洞或數(shù)據(jù)泄露，云平臺間接成了”背鍋俠“。所以，堅持做好用云數(shù)據(jù)安全第一責(zé)任人的角色定位是重要的。

六、關(guān)于數(shù)據(jù)安全可觀測

講一個近年來經(jīng)同行啟發(fā)后的思考成果：數(shù)據(jù)安全可觀測其實也是一種有效的數(shù)據(jù)安全保護(hù)策略。

比如上面這張圖，是N年前我們經(jīng)過訪談梳理出來的用戶信息流轉(zhuǎn)圖。只是這么一張粗略的流轉(zhuǎn)圖，完全足以指導(dǎo)我們后續(xù)的數(shù)據(jù)安全規(guī)劃和保護(hù)策略的實施，重要性不言而喻。當(dāng)時畫這張圖，是為了便于數(shù)據(jù)安全同事理解、便于向老板匯報，但是用下來效果特別好。對這個現(xiàn)象，我們也進(jìn)行了持續(xù)的思考。

傳統(tǒng)的數(shù)據(jù)分類分級方法主要聚焦于對數(shù)據(jù)本身的理解，依據(jù)數(shù)據(jù)的敏感程度、重要性等屬性進(jìn)行簡單分類，其核心目的是便于企業(yè)初步識別和管理數(shù)據(jù)。然而，這種方式存在明顯的局限性，它未能充分考慮數(shù)據(jù)的載體以及數(shù)據(jù)在企業(yè)內(nèi)部和外部的流轉(zhuǎn)情況。在復(fù)雜的業(yè)務(wù)環(huán)境中，數(shù)據(jù)的載體多種多樣，數(shù)據(jù)的流轉(zhuǎn)路徑錯綜復(fù)雜，缺乏對這些關(guān)鍵信息的了解，企業(yè)難以構(gòu)建全面有效的數(shù)據(jù)安全防護(hù)體系。因此，有必要建立“數(shù)據(jù)安全可觀測能力”。

與之形成鮮明對比的是，現(xiàn)代數(shù)據(jù)安全觀測能力涵蓋了“我有什么數(shù)據(jù)（數(shù)據(jù)標(biāo)簽分類分級）”“在哪里（數(shù)據(jù)資產(chǎn)清單）”“如何流動（數(shù)據(jù)流轉(zhuǎn)地圖）” 這幾個核心能力，實現(xiàn)了對數(shù)據(jù)全生命周期的可視化管理。

（1）數(shù)據(jù)標(biāo)簽分類分級是數(shù)據(jù)安全觀測的基礎(chǔ)。通過更細(xì)致、精準(zhǔn)的分類分級體系，企業(yè)不僅能像傳統(tǒng)方式那樣識別數(shù)據(jù)的敏感程度，還能基于業(yè)務(wù)場景和風(fēng)險特征為數(shù)據(jù)添加豐富的標(biāo)簽。例如，對于金融企業(yè)，除了將客戶的身份證號、銀行卡號標(biāo)記為高敏感數(shù)據(jù)外，還可以根據(jù)數(shù)據(jù)的使用場景，如線上交易、線下業(yè)務(wù)辦理等，進(jìn)一步細(xì)分?jǐn)?shù)據(jù)標(biāo)簽。這樣，企業(yè)能夠更全面地理解數(shù)據(jù)的價值和風(fēng)險，為后續(xù)的安全防護(hù)提供更精準(zhǔn)的依據(jù)。

（2）數(shù)據(jù)資產(chǎn)清單則明確了數(shù)據(jù)的具體存儲位置和所屬系統(tǒng)。它就像是一份詳細(xì)的數(shù)據(jù)“地圖”，記錄了企業(yè)內(nèi)各個數(shù)據(jù)資產(chǎn)的詳細(xì)信息，包括數(shù)據(jù)的存儲介質(zhì)、所在服務(wù)器、關(guān)聯(lián)的業(yè)務(wù)系統(tǒng)等。有了數(shù)據(jù)資產(chǎn)清單，企業(yè)可以快速定位重要數(shù)據(jù)，了解數(shù)據(jù)的存儲環(huán)境和訪問路徑，及時發(fā)現(xiàn)潛在的安全隱患。比如，當(dāng)發(fā)現(xiàn)某個服務(wù)器存在安全漏洞時，通過數(shù)據(jù)資產(chǎn)清單可以迅速確定受影響的數(shù)據(jù)范圍，采取相應(yīng)的防護(hù)措施，避免數(shù)據(jù)泄露的風(fēng)險擴(kuò)大。

（3）數(shù)據(jù)流轉(zhuǎn)地圖是數(shù)據(jù)安全觀測的關(guān)鍵能力之一。它通過實時監(jiān)測和分析數(shù)據(jù)在不同系統(tǒng)、部門、地域之間的流動軌跡，幫助企業(yè)掌握數(shù)據(jù)的去向和使用情況。以電商企業(yè)為例，數(shù)據(jù)流轉(zhuǎn)地圖可以清晰地展示用戶從注冊、瀏覽商品、下單、支付到售后整個過程中數(shù)據(jù)的流轉(zhuǎn)路徑，包括數(shù)據(jù)在各個業(yè)務(wù)系統(tǒng)之間的傳遞、存儲和處理。通過對數(shù)據(jù)流轉(zhuǎn)地圖的觀測，企業(yè)可以及時發(fā)現(xiàn)異常的數(shù)據(jù)流動，如數(shù)據(jù)流向未經(jīng)授權(quán)的第三方，從而及時采取措施阻斷數(shù)據(jù)傳輸，防止數(shù)據(jù)泄露。

總結(jié)來看，數(shù)據(jù)安全觀測能力不僅僅是對數(shù)據(jù)的了解，更是實現(xiàn)數(shù)據(jù)安全防護(hù)和運營的基礎(chǔ)。在理解業(yè)務(wù)的前提下，通過數(shù)據(jù)安全觀測，企業(yè)可以制定更有針對性的防護(hù)策略。例如，對于頻繁流轉(zhuǎn)且涉及敏感信息的數(shù)據(jù)，可以加強(qiáng)加密和訪問控制措施；對于存儲在高風(fēng)險環(huán)境中的數(shù)據(jù)，增加備份頻率和安全防護(hù)級別。同時，數(shù)據(jù)安全觀測也為數(shù)據(jù)安全運營提供了有力支持。通過對數(shù)據(jù)標(biāo)簽分類分級、數(shù)據(jù)資產(chǎn)清單和數(shù)據(jù)流轉(zhuǎn)地圖的持續(xù)監(jiān)測和分析，企業(yè)可以及時調(diào)整安全策略，優(yōu)化安全流程，提升數(shù)據(jù)安全的整體運營水平。因此，企業(yè)建立數(shù)據(jù)安全可觀測能力，將數(shù)據(jù)的分布、流轉(zhuǎn)以直觀、量化的形式展現(xiàn)出來，本身就是一項重要的基礎(chǔ)工作。有了數(shù)據(jù)安全觀測能力，依靠對業(yè)務(wù)的理解就能發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險、建立業(yè)務(wù)切面和技術(shù)切面的感知能力，并指導(dǎo)安全人員采取下一步的保護(hù)措施；同時數(shù)據(jù)安全可觀測的成果（比如數(shù)據(jù)資產(chǎn)清單、數(shù)據(jù)流轉(zhuǎn)地圖）可以做到很直觀的效果，很容易打動業(yè)務(wù)部門、公司領(lǐng)導(dǎo)，很容易驅(qū)動數(shù)據(jù)安全決策。因此我們認(rèn)為數(shù)據(jù)安全可觀測也是一種有效的數(shù)據(jù)安全保護(hù)策略。過往我們很容易忽視這一點，現(xiàn)在該加強(qiáng)重視這個能力的建設(shè)了。

因此，數(shù)據(jù)安全觀測是企業(yè)數(shù)據(jù)安全管理的核心環(huán)節(jié)。它彌補(bǔ)了傳統(tǒng)數(shù)據(jù)分類分級的不足，通過實現(xiàn)對數(shù)據(jù)的全面了解和可視化管理，為企業(yè)構(gòu)建了一道堅實的數(shù)據(jù)安全防線。隨著數(shù)據(jù)安全威脅的日益復(fù)雜，企業(yè)應(yīng)不斷強(qiáng)化數(shù)據(jù)安全觀測能力，將其融入到數(shù)據(jù)安全防護(hù)與運營的全過程，以保障數(shù)據(jù)資產(chǎn)的安全，推動企業(yè)的數(shù)字化轉(zhuǎn)型和可持續(xù)發(fā)展。

七、數(shù)據(jù)安全運營

7.1 技術(shù)運營

攻防對抗場景下部署了這些安全工具都要運營，數(shù)據(jù)安全也同理，更需要運營。無論是DLP、數(shù)據(jù)庫審計、數(shù)據(jù)脫敏還是審計可追溯，這些數(shù)據(jù)安全工具的有效性咋樣？漏報誤報咋樣？告警處置了沒？復(fù)盤分析改進(jìn)了沒？都得按照安全運營的邏輯展開運營。同理，不但要有運營閉環(huán)，也要有數(shù)據(jù)化的度量。度量指標(biāo)哪里來？請參見第二章“定義數(shù)據(jù)安全的目標(biāo)和效果”一節(jié)的描述。

這里特別要強(qiáng)調(diào)的一點是，安全運營不能只管安全工具，凡是可能造成數(shù)據(jù)安全工具效果變化的工具、系統(tǒng)也應(yīng)該納入數(shù)據(jù)安全運營的范疇。比如要控制U盤拷貝，你是在桌管軟件上實施策略的，但這個系統(tǒng)在桌面團(tuán)隊運行管理，那他們執(zhí)行的怎樣，要運營、要監(jiān)督；比如在應(yīng)用系統(tǒng)中部署了水印插件，對敏感信息展示的頁面要附加水印，那這個插件作為系統(tǒng)的一部分、屬于系統(tǒng)運維范疇啊，那這個插件是否正常運行要有檢查和運營；比如你部署了一個基于DNS引流的數(shù)據(jù)安全網(wǎng)關(guān)，那DNS服務(wù)及其配置的變更就可能影響數(shù)據(jù)安全網(wǎng)關(guān)的運行有效性，則DNS服務(wù)及其配置變更后就要有有效性驗證。

容易被忽略的是，數(shù)據(jù)安全運營活動本身蘊含數(shù)據(jù)安全風(fēng)險，常見的場景是數(shù)據(jù)安全運營人員由于風(fēng)險告警的響應(yīng)、調(diào)查需要接觸敏感數(shù)據(jù)。誰來授權(quán)、監(jiān)督數(shù)據(jù)安全運營人員接觸數(shù)據(jù)安全工具中記錄的敏感數(shù)據(jù)，以免引起公司其他領(lǐng)導(dǎo)和同事過度的隱私擔(dān)憂與爭議，這本身也是一種數(shù)據(jù)安全風(fēng)險，也需要通過合適的規(guī)范、機(jī)制、工具來予以控制，例如人力資源部門擔(dān)心薪酬數(shù)據(jù)被數(shù)據(jù)安全工具監(jiān)控；數(shù)據(jù)安全運營人員應(yīng)該在何種受管控的流程、環(huán)境下接觸敏感數(shù)據(jù)，是否僅能在必要的情況下，取得授權(quán)并在安全的環(huán)境中最小化的訪問使用敏感數(shù)據(jù)。

7.2 業(yè)務(wù)運營

除了安全工具、系統(tǒng)的持續(xù)運營外，還有一個要特別提醒的運營活動，就是要建立機(jī)制、主動感知公司有哪些業(yè)務(wù)活動、經(jīng)營管理活動、技術(shù)活動存在數(shù)據(jù)安全風(fēng)險。怎么建立？一般幾個渠道（1）參與立項評審，設(shè)立數(shù)據(jù)安全風(fēng)險評估卡點；（2）安排個意識敏感的人，參與公司的研發(fā)、運維、AI、外部合作等領(lǐng)域的例會，聽聽其他團(tuán)隊、部門都在做什么，既熟悉了業(yè)務(wù)，也及時察覺這些領(lǐng)域存在的數(shù)據(jù)安全風(fēng)險，避免被動。（3）在上一章的“數(shù)據(jù)安全可觀測”部分提到的，建立數(shù)據(jù)安全可觀測能力，能看到數(shù)據(jù)分布流動，基本也就七七八八知道哪里可能有風(fēng)險了。對于這種能力，我稱之為“業(yè)務(wù)切面”，本意是想說在公司的業(yè)務(wù)活動中，我們要建立對各類業(yè)務(wù)活動中數(shù)據(jù)安全風(fēng)險的觀測能力，進(jìn)而幫助提升數(shù)據(jù)安全保護(hù)措施的覆蓋面和有效性。

數(shù)據(jù)安全運營活動與公司風(fēng)險、合規(guī)等后臺執(zhí)法部門建立良好的協(xié)作機(jī)制至關(guān)重要，一方面需要從這些部門獲取支持以表明實施監(jiān)控的合規(guī)、合理性，另一方面也需要借助這些部門的執(zhí)法權(quán)力與流程威懾、處罰違法違規(guī)人員。

八、數(shù)據(jù)安全制度和組織運作

數(shù)據(jù)安全的工作要想做得好，制度和組織運作也是必不可少的。這也是為什么“數(shù)據(jù)安全工作”經(jīng)常也會被稱為“數(shù)據(jù)安全治理工作”的原因。

1、數(shù)據(jù)安全在絕大部分場景上，基本上等同于業(yè)務(wù)安全。那么在業(yè)務(wù)活動、經(jīng)營管理活動中，誰對數(shù)據(jù)安全的最終結(jié)果負(fù)責(zé)，需要在組織中通過制度、組織運作確定下來。比如：業(yè)務(wù)部門說我就要通過這種方式把數(shù)據(jù)給到合作單位，就要追求快、敏捷靈活，安全團(tuán)隊說你這樣不行，我們現(xiàn)有的安全手段保護(hù)不了你，你得改業(yè)務(wù)流程、改系統(tǒng)接口。在這種情況下，是安全團(tuán)隊有一票否決的權(quán)利，還是業(yè)務(wù)部門簽字畫押、承擔(dān)風(fēng)險，還是升級到最高領(lǐng)導(dǎo)決策拍板，組織內(nèi)部必須明確這樣的責(zé)任，明確仲裁和決策的流程。

2、數(shù)據(jù)安全團(tuán)隊與數(shù)據(jù)治理團(tuán)隊、數(shù)據(jù)合規(guī)團(tuán)隊的協(xié)作關(guān)系，也要參照上一條，通過制度或組織運作的形式界定清楚。畢竟，數(shù)據(jù)治理、為單位內(nèi)部提供數(shù)據(jù)服務(wù)的過程，本身也是一項經(jīng)營管理活動，那么在這項活動中的數(shù)據(jù)安全誰負(fù)責(zé)、對什么負(fù)責(zé)，是需要界定清楚的。

3、按照“責(zé)權(quán)利對等”的原則，明確了數(shù)據(jù)安全責(zé)任之后，誰承擔(dān)最終責(zé)任，就要給責(zé)任部門提供相應(yīng)的工具、手段，讓他們管好業(yè)務(wù)活動、經(jīng)營管理活動中的數(shù)據(jù)安全風(fēng)險，技術(shù)團(tuán)隊至少要讓他能看到數(shù)據(jù)安全風(fēng)險。因此這時第6章提到的“數(shù)據(jù)安全可觀測能力”就很重要了，當(dāng)然，還可以整合數(shù)據(jù)安全工具的數(shù)據(jù)，將“數(shù)據(jù)風(fēng)險可視化”。

4、數(shù)據(jù)安全團(tuán)隊要通過月報、例會、安全委員會等不同層級的渠道，展現(xiàn)數(shù)據(jù)安全工作的進(jìn)展、運營狀態(tài)和風(fēng)險問題。所有的匯報都是為了展現(xiàn)業(yè)績、暴露問題、驅(qū)動問題的解決，數(shù)據(jù)安全也不例外。

5、持續(xù)的、為員工喜聞樂見形式的安全意識教育是必不可少的。

九、技術(shù)措施的逐步演進(jìn)

在這幾年開展數(shù)據(jù)安全工作的過程中，從安全運營的方法論中也吸取了一點想法，最終有這么一個認(rèn)識：從整體視野看，數(shù)據(jù)安全防護(hù)能力的建設(shè)一定是先解決痛點場景、痛點問題，采購部署工具，就形成了多個場景的單點能力；然后隨著場景的深入解構(gòu)和實施，我們發(fā)現(xiàn)有必要將這些單點能力串聯(lián)、編排，形成多場景下的平臺化能力，所以如果要看數(shù)據(jù)安全的技術(shù)架構(gòu)的話，最終很可能是“基礎(chǔ)工具”-“能力”-“場景”這么一個層次架構(gòu)。

想列出這個層次架構(gòu)的目的是想說

1、數(shù)據(jù)安全技術(shù)體系的建設(shè)，不太可能一下子想清楚、看明白，大多數(shù)人都是一步一步走過來之后，才看到一個完整的數(shù)據(jù)安全技術(shù)體系是咋樣的。

2、如果這篇文章看到這里的話，希望上面這個層次架構(gòu)能對你有一點幫助，至少在技術(shù)選型的時候，可以多考慮一些工具和能力的互聯(lián)互通、可整合性，比如API的開放，比如多節(jié)點部署，比如策略設(shè)置的格式、字段一致性。

3、數(shù)據(jù)安全保護(hù)措施基本都是針對一個個場景，這些場景本質(zhì)上就是一類業(yè)務(wù)活動、業(yè)務(wù)流程，因此數(shù)據(jù)安全保護(hù)措施要做的要么是規(guī)范、調(diào)整業(yè)務(wù)活動、業(yè)務(wù)流程，要么就是適應(yīng)場景、部署針對性的保護(hù)措施。

十、集團(tuán)型企業(yè)數(shù)據(jù)安全應(yīng)該怎么做

關(guān)于集團(tuán)型企業(yè)數(shù)據(jù)安全應(yīng)該怎么做，有以下幾點想法：

1、集團(tuán)層的數(shù)據(jù)治理制度、數(shù)據(jù)安全制度要區(qū)分集團(tuán)和一級子公司、二級子公司之間的關(guān)系，主要強(qiáng)調(diào)數(shù)據(jù)安全組織、職責(zé)和決策機(jī)制、通用的保護(hù)&教育&應(yīng)急要求、運作匯報機(jī)制等，不要對具體的數(shù)據(jù)保護(hù)要求做出過多約束，盡可能把這部分職責(zé)交給子公司自己決策、落實。因為子公司的業(yè)務(wù)特性、風(fēng)險接受程度是不同的，集團(tuán)層要避免把這些要求做出太硬性的要求。

2、加強(qiáng)與管理層/業(yè)務(wù)部門溝通，明確需要保護(hù)的數(shù)據(jù)和目標(biāo)。如果管理層和業(yè)務(wù)部門不清楚哪些數(shù)據(jù)需要保護(hù)，可以考慮推動數(shù)據(jù)湖或者數(shù)據(jù)中臺的建設(shè)，再從數(shù)據(jù)湖或數(shù)據(jù)中臺梳理出現(xiàn)有的數(shù)據(jù)，提供給管理層/業(yè)務(wù)部門參考；

3、明確需要保護(hù)的數(shù)據(jù)后，進(jìn)行風(fēng)險評估，開始查漏補(bǔ)缺。這些數(shù)據(jù)的當(dāng)前保護(hù)措施是否依然有效，或者是否符合管理層/業(yè)務(wù)部門的期望，列出當(dāng)前無效的措施或者沒受到保護(hù)的數(shù)據(jù)；

4、根據(jù)風(fēng)險評估結(jié)果以及數(shù)據(jù)的重要性，制定管理和技術(shù)控制措施，管理措施一般都是制度與流程，技術(shù)措施例如以下：

(1)網(wǎng)絡(luò)層：根據(jù)數(shù)據(jù)的重要性，將業(yè)務(wù)系統(tǒng)進(jìn)行分類，在網(wǎng)絡(luò)層面進(jìn)行分區(qū)分域，做好網(wǎng)絡(luò)層訪問控制以及相關(guān)的審計措施，攻擊防護(hù)和流量分析等；

(2)服務(wù)器主機(jī)層：防勒索，主機(jī)安全，特權(quán)管理等；

(3)應(yīng)用層：應(yīng)用系統(tǒng)訪問控制，權(quán)限管理，攻擊防護(hù)，代碼/組件安全（SDL/DevSecOps)

(4)數(shù)據(jù)層：高敏感數(shù)據(jù)加解密、脫敏，二次認(rèn)證，數(shù)據(jù)防泄漏等；

(5)客戶端側(cè)：終端安全管理，高敏感文件加密，防釣魚/勒索；

(6)數(shù)據(jù)安全運營：數(shù)據(jù)地圖、流轉(zhuǎn)監(jiān)測、數(shù)據(jù)溯源、事件管理等

十一、對數(shù)據(jù)安全工具的期待和思考

11.1 切面技術(shù)思想

螞蟻集團(tuán)這幾年力推的“切面技術(shù)思想”，是我現(xiàn)階段看到的數(shù)據(jù)安全領(lǐng)域最好的技術(shù)思想，強(qiáng)烈推薦。當(dāng)然，其他數(shù)據(jù)安全技術(shù)工具還是有不錯的，但在技術(shù)思想上沒有新的突破；切面技術(shù)思想之前在國外也有應(yīng)用和普及，但是我覺得螞蟻的同事們在理論和實踐上都有很好的突破。具體可參見https://mp.weixin.qq.com/s/bCZ6gHwXXObE3XCfA2Y8XA和相應(yīng)公眾號。同時也期待螞蟻的平行切面技術(shù)聯(lián)盟能夠聯(lián)合國內(nèi)廠家，推動基于切面技術(shù)思想的數(shù)據(jù)安全工具整合、優(yōu)化。

之所以很喜歡這個技術(shù)思想，從第9章的內(nèi)容描述來看，就能看到。數(shù)據(jù)安全工具的精細(xì)化場景應(yīng)對，決定了數(shù)據(jù)安全工具、能力未來會朝著“多個基礎(chǔ)能力控制點+一個控制平臺”的方向演進(jìn)，切面技術(shù)思想正好應(yīng)運而生。這樣可以做到既不打擾業(yè)務(wù)、不改造系統(tǒng)，數(shù)據(jù)安全保護(hù)措施也可以動態(tài)演進(jìn)、有效實施。螞蟻把切面技術(shù)思想比喻成平行的高速公路，我覺得比喻成“輸液埋管”更合適：通過這根管子既可以監(jiān)測血液流動和監(jiān)測指標(biāo)，還可以輸液、施加控制措施。

11.2 融合框架性技術(shù)

在文章的編寫過程中，有作者貢獻(xiàn)了一個非常有價值的觀點：數(shù)據(jù)安全技術(shù)、工具應(yīng)該融合IT技術(shù)領(lǐng)域的框架性技術(shù)。

前面多次提到，數(shù)據(jù)安全工作面臨的主要挑戰(zhàn)之一就是“業(yè)務(wù)在先、安全在后”，因此對于數(shù)據(jù)安全控制措施而言，是具有較大的滯后性、有時候可能跟不上業(yè)務(wù)和應(yīng)用系統(tǒng)的變化。那為了讓數(shù)據(jù)安全技術(shù)、工具能夠適應(yīng)變化，就必須要和主流的技術(shù)框架做融合，就必須要融合、迎合技術(shù)生態(tài)，這樣才能具有普適性。國內(nèi)有的數(shù)據(jù)安全廠家在JDBC、ODBC層面提供數(shù)據(jù)安全的能力，這就是一種融合技術(shù)框架、具有普適性的數(shù)據(jù)安全技術(shù)；切面技術(shù)思想本身也是符合這個技術(shù)理念的，在操作系統(tǒng)、Java解釋層做切點切入。

大家看WAF為什么能賣得好？因為HTTP和HTTPS協(xié)議是標(biāo)準(zhǔn)化的，可以基于此做解析和風(fēng)險控制。那為啥數(shù)據(jù)庫防火墻買不好？因為每個廠家有自己的私有協(xié)議，你得一個一個適配，他不是通用性的框架和技術(shù)。

當(dāng)然，在融合的過程中如果又能夠運用切面技術(shù)思想，善莫大焉。

11.3數(shù)據(jù)安全系統(tǒng)的開放性

從上面多個章節(jié)的闡述中，我們已經(jīng)看到非常明顯的趨勢：（1）數(shù)據(jù)安全工具之間存在數(shù)據(jù)打通、訪問調(diào)用的需求，比如敏感數(shù)據(jù)識別檢查策略的一致性，比如多個工具脫敏策略設(shè)置的一致性，比如告警數(shù)據(jù)的統(tǒng)一身份關(guān)聯(lián)、告警數(shù)據(jù)格式化和標(biāo)準(zhǔn)化；（2）為了被集成、嵌入業(yè)務(wù)活動中，數(shù)據(jù)安全工具也需要被其他業(yè)務(wù)系統(tǒng)、IT工具所調(diào)用，一些通用的數(shù)據(jù)安全能力很可能需要作為服務(wù)對內(nèi)開放，比如加密、動態(tài)脫敏、水印展示、數(shù)據(jù)敏感度檢查等。

從甲方角度來看，顯然是有如上的訴求，也期待各個數(shù)據(jù)安全廠商能夠意識到這一點，在產(chǎn)品設(shè)計、架構(gòu)上做出改進(jìn)。從廠商角度而言，做大而全的數(shù)據(jù)安全產(chǎn)品也不太可能，更多的可能是針對某個、某幾個場景推出有效果的數(shù)據(jù)安全產(chǎn)品，因此短期內(nèi)來看，甲方環(huán)境下部署多個數(shù)據(jù)安全產(chǎn)品的局面不會改變，那如果數(shù)據(jù)安全產(chǎn)品的開放性、可集成性比較強(qiáng)的話，會更容易受到甲方的青睞。