网络安全态势感知运营中心建设解决方案

基于自适应安全架构（ASA）思想内核的数据安全态势感知运营 中心是用于指导整个数据安全体系建设的，应该具备六大安全能力。

(一)盘清家底：以数据资源为核心的资产管理中心

建立以数据资源为核心的资产管理中心，是数据安全运营的前提。 通过技术手段对企业自身拥有的数据资产进行全面的盘点，掌握数据 资产分布、数据资产类型、数据内容结构、数据资产归属、数据资产 使用状态等信息，最终的目标是构建“一棵既有业务属性也有安全属 性的数据资产目录树”。

数据资产发现是解决数据资产分布广泛问题的有效手段，通常是以主动发现与被动探测相结合的方式进行。数据资产主动发现是在安 全策略的配合下，通过主动嗅探的方式扫描全网地址，对潜在的数据 源建立连接并构造请求内容，解析响应内容从而收集数据源基本信息； 数据资产被动探测是通过镜像核心交换的流量来进行协议解析，根据 协议类型确定数据源类型，从而达到收集数据源基本信息的目的。通 过数据资产发现实现全网数据源的初步收集，从而建立数据资产顶层 目录。

数据资产扫描可丰富数据资产目录的“叶子”节点。在安全部门 的配合下，使用数据源的认证信息（通常只需可读权限）主动连接数 据源，对数据内容和数据结构进行扫描，进一步收集数据资产的结构、 内容等元信息，从而细化数据资产目录。为应对数据规模庞大且持续 增加的特点，数据扫描应具备定期增量式扫描的能力，减少扫描的时 间。

最后，在安全部门和业务部门的配合下，对数据资产的使用目的、 方式、范围以及管理归属等信息进行补充，最终形成完整的数据资产 目录树。

基于构建出来的数据资产目录，开展数据分类分级。结合相关行 业的分类分级标准和业务现状，数据安全专家、企业安全部门与业务 部门相互配合，定制化输出符合业务发展的数据分类分级模板，依据 模板落实分类分级工作。分类分级以数据识别技术为基础——在数据 扫描的过程中，通过关键字、正则表达式等匹配技术，结合上下文信

息对结构化数据进行识别；以机器学习、自然语言处理、光学字符识 别等智能化技术对非结构化或半结构化数据进行识别，辅助安全人员 落实数据资产分类分级。

(二)联防联控：以分类分级为核心的策略协同中心

数据的开发利用和数据安全防护往往是一对矛盾体，数据在没有 任务防护措施的情况下“裸奔”对数据的开发利用是最高效的；同样 的，通过物理手段、技术手段将数据层层“包围”起来不做任务开发 利用，则数据是最安全的，但两者均不利于组织整体业务健康地、可 持续的发展。数据安全建设应围绕分类分级的结果进行开展，对不同 类别、不同级别的数据资产进行差异化的防护能力建设和安全策略配 置，实现数据业务发展和安全管控的平衡。

将分类分级结果转化为业务知识，为数据资产提供安全防护建议， 并结合具体的数据安全防护组件，统一地下发安全策略，实现以分类 分级为核心的策略协同能力。例如针对核心级别的数据资产&#