数据安全能力建设思路

数据安全能力建设思路一、前言数据是对客观事物的性质、状态依据相互关系等进行记载的符号或符号的组合。数据的本质就是在连续的活动过程中，经过产生、加工、传输等环节完成记录，并不断指导业务活动持续开展的过程，所以数据的价值在次过程中得到了完整的体现，而传输交互与使用是数据价值的集中体现。数据安全是建立在价值基础上，实现数据准确的记录的同时完成安全交互和指定对象的加工与访问使用，防止数据被破坏、盗用及非授权访问。数据安全能力是指数据在流动过程中，组织为了保障数据的保密性、完整性、可用性而在安全规划、安全管理、安全技术、安全运营等方面所采取的一系列活动。2.1合规驱动《网络安全法》、《数据安全法（草案》《网络安全等级保护条例（征求意见稿X《关键信息基础设施保护条例（征求意见稿）》、《数据安全管理办法（征求意见稿）》等国内法律法规中明确了组织在数据安全方面的合规要求。欧盟正式施行《通用数据保护条例（简称GDPR）掀起了个人数据保护立法的改革浪潮。2.2业务驱动伴随云计算、大数据、人工智能等新兴技术的飞速发展，数据作为支撑这些前沿技术存在与发展的生产资料，已经成为组织的核心资产，受到前所未有的重视与保护。数据成为资产，成为基础设施，数据驱动商业成为新的商业发展的最大创新源泉。以数据为中心的安全治理，需要把安全聚焦在数据本身，围绕数据的生命周期来建设安全能力，包括各个环节相关系统的安全情况、各个环节专门的数据安全产品和策略、安全运营、制度和管理体系设计、专业人员能力建设等。2.3风险驱动数据生命周期指数据从创建到销毁的整个过程，包括采集、存储、处理、应用、流动和销毁等环节。通过对数据全生命周期各阶段进行针对性的风险分析，可以得出：.采集阶段采集阶段主要的风险集中在采集源、采集终端、采集过程中，包括采集阶段面临的非授权采集、数据分类分级不清、敏感数据识别不清、采集时缺乏细粒度的访问控制、数据无法追本溯源、采集到敏感数据的泄密风险、采集终端的安全性以及采集过程的事后审计等。.存储阶段存储阶段面临着数据分类分级不清、重要数据的保密性问题、重要数据缺乏细粒度访问控制的要求。.传输阶段传输阶段主要是指数据在各业务平台、各节点之间、各组件之间以及跨组织的数据传输，主要的风险在于传输时存在泄露问题。.处理阶段处理阶段面临的安全风险包括数据处理时缺乏访问控制、数据结果的访问接口缺乏控制、数据处理结果缺乏敏感数据保护措施、缺乏安全审计和数据溯源的能力。.交换阶段数据交换阶段主要指数据最终通过提供给其他业务系统、用户使用。此时数据安全风险主要有数据交换和数据输出时未授权输出及交换，输出的数据在应用或终端存在安全泄露的问题。.销毁阶段销毁阶段主要是指在获得用户的授权许可或用户请求后应对用户数据进行清除或销毁。据安全能力3.1数据安全能力建设目标在分析数据安全在合规层面、业务层面和风险层面所面临的挑战，结合组织在数据安全目标和远景，融合业务、管理、技术、运营等方面的需求后，以数据为核心，聚焦数据安全生命周期，规划设计全局化和开放性的数据安全体系，提升数据安全管理融合能力，夯实数据安全技术底盘构建数据安全运营场景落地，实现组织数据资产可视、数据血缘可溯、数据风险可控、数据威胁可管。3.2数据安全能力建设思路随着组织业务的丰富和扩展，数据越来越多种多样，越来越庞大，相应的数据安全问题也变得越来越复杂。单独使用一、两种技术难以应对；此外，数据安全不仅是一个技术问题，还涉及法律法规、标准流程、人员管理等问题。因此，一套科学的数据安全实践体系对于组织来说是十分必要的。近年来，一些安全相关的机构纷纷提出数据安全的实践体系、方法论与解决方案。主要分为两类：一类是〃由上而下”的数