企业开展数据安全治理的建设思路.pdf

1、Special Project 特别企划/责任编辑赵志远企业开展数据安全治理的建设思路兰州生物制品研究所有限责任公司雷东李小鹏编者按：针对数据安全问题，解析相关的数据安全防护思路，探讨企业数据安全治理架构及安全运营管控措施。数据安全性对于企业业务平稳发展起着极为重要的作用。开展数据安全治理的核心目标是保护商业秘密，使企业自身的生产经营及客户的合法效益得到保障。对于安全治理体系建设而言，应加大覆盖面，保护数据的全生命周期，同时设置预警系统，及时提示工作人员数据隐患情况；通过安全体系建设，实现安全监测和预警，重点做好安全防护、敏感信息管理以及合规三大目标。本文针对以上几点，展开企业数据安全治理思路

2、的探讨。数据安全防护思路1.明确防护目标企业层面的防护目标要满足相关法律法规以及企业、个人信息保护等要求，同时明确制度要求，履行企业的义务，还要确保企业生产经营中涉及的数据、信息，以及客户数据使用过程中的安全性、机密性和完整性。2.构建数据安全防护体系(1）数据安全制度数据安全制度主要是企业结合自身整体情况，为保证数据安全所建立的制度。无论是国家还是行业，企业数据安全制度要以国家对于企业商业秘密、重要数据、个人隐私保护等的要求为基础，要保证相关制度具有合法性及合规性。与此同时，需要保证制度涵盖内容的丰富性和全面性。具体来说，应包含处理安全、交换安全以及销毁安全等内容。企业也要为数据安全防护建立

3、相应的部门，完善组织架构建设，坚持“专业人干专业事”的原则，通过业务部门、管理部门、运营部门等多部门联合管控，提升数据安全防护水平。(2）数据安全统筹数据安全统筹是企业数据安全治理的关键。企业在物联网及大数据的加持下，不断开拓和创新业务。在此过程中，数据和信息的安全性对于企业自身的生产经营起着越来越重要的作用。在这种背景下，企业应放眼于大局，做好细节把控，并建立相应的管理机制来统筹各项工作，从上至下建立完善的组织架构，全方位覆盖管理、技术、运营和监管等内容，采取主、被动防护相结合的治理体系，从根源上清除数据流转隐患，提升抗风险能力，从而使企业生产经营稳定、安全，保障数据安全的全生命周期管理战略

4、目标得到有效落实。 2023.8投稿信箱责任编辑赵志远SpecialProject特别企划数据安全治理架构1.数据采集安全明确数据采集源、采集范围、采集方式、采集周期和频率，确保数据采集的合法性、必要性和正当性。2.数据传输安全建立数据传输安全管理规范，如数据传输通道加密、数据内容加密、签名验签、身份鉴别和数据传输接口安全；必要情况下，采用密码技术、数据脱敏、校验技术、数字签名等技术，保证传输数据的保密性、完整性和可用性。3.数据存储安全对数据在存储过程中的保密性、完整性和可用性受到的破坏进行检测，在检测到数据被破坏时，及时告警并采取必要的恢复措施；提供异地数据备份功能，利用通信网络，将数据定

5、时或实时批量传输至备份场地；对于数据备份，要严格执行各相关管理规定，每年制定数据备份计划，并严格执行备份计划。4.数据处理安全在数据使用环节，采用访问控制、数据权限管控、第三方数据访问监管、用户个人信息对外披露使用去标识化等措施，降低数据泄露风险；采用技术手段，对数据的使用、脱敏、违规行为进行有效的识别、监控和预警，同时保存相关记录，用于后续的溯源分析。5.数据交换安全在数据交换共享与公开披露前，对数据进行安全评估，并根据评估情况，采取相应的保护措施，确保数据交换共享与公开披露安全；数据共享时，对共享数据使用过程进行监控与审计，采取API接数据安全管理体系数福安全管理数银安全插货数招安全制度流

6、程数揭库状态监控数据漏润扫描数据资产机理数据安全综合治理数据采集安全数据传输安全数据处理安全数据交换安全图1数据安全治理架构图口管控方式，统一管理所有API接口，监测与审计数据流向。6.数据销毁安全采用可靠技术手段，销毁个人信息、敏感数据和重要数据，确保信息不可还原；对存储数据的介质或物理设备，采取无法恢复的方式进行数据销毁与删除，如物理粉碎、消磁、多次擦写等。安全运营管控1.数据资产梳理分类分级管理能力（1）快速发现敏感数据。数据安全分类分级系统内置各敏感数据类型，可以第一时间在大量数据中发现带有威胁的内容，做到准确定位、精准管控，对于风险数据的存储与分布以及威胁问题数量统计，都具有非常积极

7、的作用。通过对敏感数据自动发现和定位能力，扫描数据库中的字段信息，以发现相关敏感信息。结合人工方式，对敏感数据进行分类和等级划分，便于企业根据不同需求，对数据资产进行重点防护，更能提高数据的安全防护能力。(2）数据分类分级。数据安全分类分级系统通数据资产清单数趣安全拉术数据脱敏数据库审计数据库防火墙数据库运堆审计数据分类分级数据存储安全数据销级安全数据分类分级标准数据安全合数据安全标准规范投稿信箱 2023.837Special Project特别企划/责任编辑赵志远过内置的数据分类分级标准，或自定义添加的标准，对敏感数据进行自动分类分级标识。分类分级结果可以通过清单导出或API接口共享的方式

8、，提供给其他数据安全能力者使用，从而有针对性地防护薄弱部分，处理危险位置，提升防控水平，在数据安全治理成本与效率之间达到平衡。2.数据资产漏洞发现评估能力（1）互联网渗透威胁。互联网渗透威胁主要包括SQL注入、嗅探、攻击、窃取、篡改及拷贝等。企业在开展数据安全治理工作中，要设置网络安全防护系统及设备。（2）数据库自身脆弱性。数据库自身脆弱性产生的威胁主要是对数据库漏洞的利用，或者安全配置漏洞。因此，要设置数据防火墙和漏洞扫描等安全防护系统。（3）漏洞扫描与漏洞管理。针对数据安全漏洞的修补，要制定相应的管理制度和操作流程。在企业数据安全治理工作中，要根据漏洞管理制度和操作流程来指导并开展工作，同

9、时还要对相关工作人员设定评价标准，避免盲目操作而造成其他问题。（4）恶意代码防范。对于恶意代码，要制定相应的防护查杀管理机制以及操作流程，规范工作人员进行集中病毒查杀操作，严禁恶意代码清理不及时、清理不彻底的问题。3.数据安全访问控制能力（1）外包人员隐患。外包人员隐患主要是来自外包运维服务单位操作权限控制不严谨，导致许多没有权限访问数据的人员或用户非法得到敏感数据信息。因此，要强化外包运维人员的行为管理水平，设置相应的监控及权限分配工具。(2）合法人员的违规操作。在面对威胁时，合法人员的非授权访问也会造成极为严重的影响。例如，合法人员违规操作进行授权访问，或在非工作时间、非工作场所访问企业数

10、据。此外，离职人员私自带走数据，或受到外部利益诱惑等窃取数据等，都会对数据安全造成非常严重的影响。因此，企业应部署UEBA类安全系统对这些行为进行管控。（3）实时阻断未授权访问。对含有敏感数据的SQL语句，根据规则决定是否进行阻断，对有权限访问数据库的账户进行SQL语句级别的访问控制，确保账户无法对数据库执行超出其权限的风险操作。对于不符合安全策略的操作进行阻断告警。（4）数据库访问权限控制。数据库管理员拥有数据库系统管理、账号管理、权限分配等系统最高权限。如果数据库管理员利用工作之便，窃取、篡改、毁坏重要业务数据，对数据库安全的打击将是巨大的。数据库系统的操作管理采用分权管理形式，包括多个账

11、号，如普通账号、用于数据库日常维护的临时账号，以防止账号权限被内部人员或合作方人员用来窃取、恶意损毁数据库的重要业务数据。4.数据安全运维能力（1）规范运维流程。要保证数据运维的合规性，同时规范相关流程。第一，针对安全服务人员的管理，应采取诸如人员的录用来源甄别、日常管理、保密安全责任制、保密协议等措施；第二，在规范安全运维口令管理方面，定期更新数据库管理员密码、操作人员的身份验证等，制定双因子身份认证。（2）预案与演练。对于企业生产经营来说，数据安全防护是一个动态的过程，应针对不同时间段、不同环境制定相应的措施。当威胁已经发生时，需要采取应急预案进行控制。对此，企业应结合自身下转第39 页

12、2023.8投稿信箱责任编辑赵志远SpecialProject特别企划企业数据安全保护技术路线研究西安康剑王建忠杜绎如编者按：分析了大数据面临的安全问题，揭露了大数据价值驱动安全的现状，并从数据安全体系架构、数据安全实现步骤和数据安全主要产品三个方面，介绍了数据安全保护技术。随着社会信息化和物联网技术的快速发展，各个行业领域产生的数据呈现指数级增长，数据呈现出巨大研究价值与商业价值。而安全是大数据发展的重要基石，在充分发挥大数据价值的同时，解决大数据安全面临的问题和挑战也同样重要。数据安全背景1.数据安全风险频发大数据技术迅速普及，已广泛应用在各个行业中。IDC发布的数据时代2 0 2 5 预

13、测，全球数据量从2 0 18 年的33ZB增至2 0 2 5 年的17 5 ZB，增长超过五倍。美国政府将大数据比喻为“未来的新石油，一个国家拥有的数据规模和运用数据的能力将成为其综合实力的象征。但机遇来临的同时，也带来了风险与挑战。近几年，数据安全问题层出不穷，各个行业领域内的重要数据被置于极大的风险境地，无论对于个人、企业还是国家来说，数据安全问题都上接第38 页所涉及数据信息的特点，制定相应的应急预案，以便在突发情况出现时，指导工作人员进行处理。应注意，要保证全面且系统地制定应急预案，并组织有关工作人员进行定期演练，熟练掌握应急流程及注意事项。(3）监测预警。围绕数据安全目标，依据相关安全标准，建立数据安全监测预警和安全事件通报制度，收集分析数据安全信息，及时上报安全风险，包括按需发布数据安全监测预警信息等。结语数据安全对于企业生产经营来说，具有非常重要的作用。根据数据安全法、个人信息保护法等法规政策，参照信息安全技术个人信息安全规范(GB/T35273一2 0 17)、信息安全技术数据安全能力成熟度模型（GB/T379882019）等标准，立足数据生命周期安全管控，形成统一规范的企业数据治理安全管理体系，通过完善的制度、流程，使企业内部对敏感数据的访问更加规范、可控。满足国家、行业对企业的监管要求，实现快速合规。投稿信箱 2023.839