数据安全治理的“治”与“理”

最新推荐文章于 2024-04-26 20:05:58 发布

垄断的5心

最新推荐文章于 2024-04-26 20:05:58 发布

阅读量152

点赞数

分类专栏：数据安全治理文章标签： web安全

本文链接：https://blog.csdn.net/arvin_fh/article/details/132560756

版权

数据安全治理专栏收录该内容

22 篇文章 4 订阅

订阅专栏

数据安全，我相信这个概念大家已经被普及到耳熟能详了，但对数据安全治理这个新的概念还是比较模糊。实际上，对于拥有重要数据资产的政府部门或企业，数据资产保护和数据安全治理方面或多或少都有实践，只是尚未体系化和标准化。

今年发布的《中华人民共和国数据安全法（草案）》中，对数据安全治理提到很多次，其中第一章就特别指明， “数据安全是指通过采取必要措施，保障数据得到有效保护和合法利用，并持续处于安全状态的能力。”“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”

这就在国家政策层面指明数据安全治理是围绕“数据安全使用”的愿景，构建数据安全防护、数据敏感信息管理、数据合法利用三大目标的技术保障体系，从而达到“让数据使用更安全”的目标。

从国际层面上讲，国际信息技术研究和分析公司Gartner认为数据安全治理不仅仅是一套用工具组合的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识，确保采取合理和适当的措施，以最有效的方式保护信息资源。

综上所述，要实现数据安全治理需从安全治理体系、安全合规、技术能力支撑等给出全方位的解决方案。从某种意义上讲，要保证数据的绝对安全，就要将数据全部物理隔绝，变成“死”数据，这样是最“安全”的，既拿不走，也破坏不了。但这样做是否有意义？上面我们讲过，数据只有在流动、分享、加工处理过程中才能创造价值，对数据的合理使用才能让数据变成“活”数据，数据安全治理的核心思想就是对“活”数据开展一系列有效的安全“治”与“理”，保障数据在安全可控的情况下使用并发挥价值。

大数据的建设是新基建的一个核心，其中大数据的“活”体现在数据的汇聚和共享，这也是体现数据价值的关键环节，如果只有汇聚而没有共享，那数据的价值将大打折扣。大数据应用是基于大数据平台对数据的处理过程，通常包括数据采集、数据存储、数据应用、数据交换和数据销毁等环节，上述各个环节均需要对数据进行保护，通常需考虑的安全控制措施包括数据采集、授权、数据真实可信、数据分类标识存储、数据交换完整性、敏感数据保密性、数据备份和恢复、数据输出脱敏处理、敏感数据输出控制以及数据的分类分级销毁机制等。只有对数据进行有效的治理，才能保证数据安全，才能让人们放心地享受大数据。

数据安全治理的“治”与“理”，那肯定在“治”之前要先进行“理”，梳理完了才能“治”。数据安全治理其实和中医诊疗是一个道理，要进行“望、闻、诊、断”，先要知道我的数据财产在哪里，这些数据财产是什么样的一个状态，和安全使用存在什么样的一个差距，理出这些信息我们才能更好的去治。在整个治理的过程中，数据不是死的，它是流动的，它跟人、财、物、跟智慧都息息相关，不仅是组织内部、各个部门、组织外部，甚至是国与国之间，流动中的数据要进行治理，难度就更大了，就像治黄河一样。

数据安全治理背后是有深刻内涵的，就是要构建以数据安全为核心的整体数据安全治理方案，既要把握好跟业务之间的紧密联系，又要兼顾效率与稳定可靠的平衡，所以整个治理方案精髓是“精准可视，安全可控”。

精准可视是数据安全治理的精髓，“理”的核心是精准可视。

首先我们要“理”清我们有哪些数据资产，我们在实际项目中遇到一个典型客户，他因为业务资产种类多、第三方开发运维厂家多，加上建设周期长，最终导致多种数据库并存，数据库实例更是多达上百个，其中还包含很多开发人员自己私搭私建的数据库。这些数据库客户都是不知道的，其中还存储了大量涉密和敏感数据。通过我们的系统帮助客户精准的识别出这些数据资产。

数据资产“理”清楚之后，我们需要继续梳“理”这些数据资产存在哪些风险。比如数据的存储环境是否安全、数据的访问环境是否安全、数据的交互环境是否安全、数据的流通环境是否安全。就拿上面那个客户为例，数据访问的超级用户权限在第三方运维人员手里面，用户自己没有。这对数据安全是一个巨大风险点。通过对数据资产的全生命周期、全数据形态以及全流通环节进行风险评估，可以“理”清数据资产存在的整体风险，更好地为“治”做铺垫。

先“理”再“治”。通过“理”我们对数据资产的安全状况有了整体评估，“治”就是一个对症下药的过程。“治”的核心就是安全可控。

“治”的过程分两个层面，一是安全产品的体系化落地实施，从数据全生命周期角度，需要部署系统化的安全产品，以数据安全综合治理平台为核心，包含数据库防火墙、数据库审计、数据脱敏、数据库漏洞扫描、数据库状态监控、数据水印溯源、数据安全模型、用户行为画像等能力单元，利用AI智能和机器学习，提升数据安全的“治”的效果。二是相关流程制度的规范执行，从安全建设规划、安全业务梳理、安全策略制定、安全系统建设、安全数据运营，对数据的采集、传输、存储、共享、处理进行安全操作规范，以制度和流程保证数据安全产品的有效运行。

垄断的5心

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
数据安全治理的“治”与“理”

治”的过程分两个层面，一是安全产品的体系化落地实施，从数据全生命周期角度，需要部署系统化的安全产品，以数据安全综合治理平台为核心，包含数据库防火墙、数据库审计、数据脱敏、数据库漏洞扫描、数据库状态监控、数据水印溯源、数据安全模型、用户行为画像等能力单元，利用AI智能和机器学习，提升数据安全的“治”的效果。在整个治理的过程中，数据不是死的，它是流动的，它跟人、财、物、跟智慧都息息相关，不仅是组织内部、各个部门、组织外部，甚至是国与国之间，流动中的数据要进行治理，难度就更大了，就像治黄河一样。
复制链接

扫一扫