分享嘉宾：周瑞群 启明星辰 营销总监

编辑整理：李杰 九江数字

出品平台：DataFunTalk

导读：本文主要分享启明星辰在整个数据安全治理过程当中的一些实践经验。

--

01

回顾数据领域的一些重大事件

2017年12月8日，中共中央政治局集体学习中明确“构建以数据为关键要素的数字经济”。

2019年10月31日，党的十九届四中全会，首次提出“把数据作为生产要素参与分配”。

2020年3月30日，在中共中央国务院《关于构建更加完善的要素市场化配置体制机制的意见》中，数据正式纳入到生产要素。

2021年3月11日，在第十三届全国人民代表大会第四次会议通过《关于国民经济和社会发展第十四个五年规划和2035年远景目标纲要的决议》一文中，数字化发展已经上升为国家的一个战略。其中，第五篇章《加快数字化发展，建设数字中国》明确，作为新兴的一种经济形式，数字化已经渗透到我们各行各业，有数字经济，数字社会，数字政府，以数字化转型整体驱动生产方式、生活方式和治理方式变革等等。

--

02

数据安全领域的“两会”提案

在谈论数字化发展的过程当中，我们不得不提数据安全。在2021年初两会的时候，全国政协委员严望佳在《关于建立政务大数据全生命周期安全治理体系的提案》中强调：

• 加强对数据安全治理进行顶层规划；
• 保障政务大数据项目建设做到安全技术措施“三同步”，暨同步规划、同步建设、同步使用，建立数据安全“一票否决”制度；
• 依托典型场景启动专项数据安全能力治理。

--

03

我国数据安全顶层制度设计

2015年施行的《国家安全法》第25条明确提出“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。

2017年施行的《网络安全法》将数据安全纳入网络安全范畴，网络安全等级保护制度、关键信息基础设施保护制度、个人信息保护制度等为保障数据安全提供重要制度支撑。

2021年实施的《数据安全法》全面贯彻落实总体国家安全观，确立国家数据安全工作体制机制，构建数据安全协同治理体系，明确预防、控制和消除数据安全风险的一系列制度、措施，提升国家整体数据安全保障能力。

--

04

数字经济时代，数据安全事件频发

一系列安全事件，对国家形象、社会、企业和个人都造成巨大影响。

2020年春节前后，微博上出现的“武汉返乡人员信息被泄露”的话题，超7000名武汉返乡者信息泄露。

2020年3月，暗网发布一则名为“5.38亿微博用户绑定手机号数据，其中1.72亿有账号基本信息”的交易信息，售价1388美元。

2020年3月，Facebook被澳大利亚政府起诉，涉嫌泄露30万澳大利亚用户个人信息。

2020年3月，Google因泄露用户隐私，违反瑞典的数据保护法被惩罚800多万美金。

2020年4月，胶州市民的微信群里出现中心医院出入人员名单信息，内容涉及6000余人的姓名、地址、联系方式、身份证号码等个人身份信息。

2020年8月，不法分子与圆通快递多名“内鬼”勾结，倒卖40万条公民个人信息。

2020年12月，央视曝光简历信息被贩卖，招聘平台成简历信息泄露源头。

2020年12月，富士康约1200台服务器常规业务文档和报告数据面临泄露。

2021年3月，印度800万核酸检测结果泄露，含有姓名、年龄、婚姻状况、检测时间、居住地址等敏感个人信息。

2021年5月，美国大型成品油管道运营商科洛尼尔管道运输公司遭受了勒索软件的攻击，为此关闭了旗下4条主干成品油管道。

--

05

目前数据安全的现状和需求

1、数据资产不清。众多的业务系统中存在众多的数据，数据资产的位置、数量不清楚，缺乏有效的手段梳理数据资产。

2、数据防护能力不足。当前系统仅有堡垒机对运维用户进行管理，安全防护能力不足，存在运维、业务使用数据泄露的风险。

3、安全策略管理缺失。当前安全策略管理过于抽象，在数据运维方面只是建立一个能否访问的通道，缺乏数据安全策略精细化管理。、

4、缺乏有效溯源能力。缺乏有效的数据标识能力，数据泄露后，无法有效进行溯源、定位相关责任人。

5、数据安全风险未知。针对应用操作、接口行为目前只是记录，甚至还没有记录，缺乏有效的数据安全风险分析识别能力，数据风险不能提前防范。

--

06

国内外数据安全治理体系对比

这里介绍两个比较典型的国外的数据安全治理体系。

• Gartner强调业务需求、风险、威胁、合规之间的平衡。过去，很多企业是基于自身的业务发展需求做数据安全。随着近几年法律法规制度的完善，合规性可能比前几年更重要。
• 微软的数据安全治理体系，更偏向于人、制度流程、技术手段。

我国强调数据的分类分级，不同阶段采取不同的技术方法。下面做了一个矩阵型的图例，便于在整个实践过程当中提供更清晰的帮助，把精准的力量放到最需要防护手段上面。

--

07

数据安全治理三件套

具体实践过程中，

• 首先要具备“数据库审计、数据防火墙、数据加密、水印、脱敏”的数据安全能力；
• 其次需要一个平台化的工具来驱动各类能力，即通过平台的全生命周期管理、数据溯源管理等提供基础的能力应用场景；
• 最重要的是运营，在平台和工具部署完成后，制度、流程、策略、资产梳理以及风险评估等持续性的迭代使用才是数据安全治理持久化的坚强保证。

以上就是数据安全治理离不开的治理三件套。

--

08

治理思路

开展数据治理相关工作，首先要以场景化为切入点，以数字为中心，基于场景化进行治理。

--

09

体系和框架

参考国内外的相关标准，结合信通院牵头组织的数据安全治理能力评估方法，经过一些优化更迭，总结出数据安全治理体系框架。在一个综合管控平台上，把组织管理、制度流程、技术体系和运营体系粘合起来，然后通过场景化的方式实现数据的全生命周期管控。

--

10

数据安全治理体系特点

1、采用场景化方式，实现数据全生命周期管控。

2、基于身份和权限的数据安全管控措施。

3、可信数据安全环境，保证数据可用不可见。

4、数据水印和指纹，数据可溯源，保障共享安全。

5、持续的数据风险监控，对数据安全运营服务提供支撑。

--

11

数据安全治理工作流程

1、数据识别。数据资产统一管理，数据自动识别，数据分类分级。

2、集中管控。安全策略统一管控和调度，采用场景化的数据生命周期管理，基于身份的数据安全管控，数据不落地。

3、风险检测。数据安全监测，数据风险建模，全面深度分析数据安全风险状态。

4、安全运营。安全运营管理，持续安全保障，满足相关部门和内部合规检查要求。

--

12

真实案例

以下是地方大数据局的一个真实案例。

业务描述：首先对各委办局的数据进行抽取，然后大数据局进行数据的清洗、治理、挖掘，形成相关的一个主题库，通过主题库，再分享给委办局。

--

13

数据的分类分级

具体的怎么做，首先第一步就是数据资产的发现，第二个是数据识别的梳理，第三步就是数据分类分级。比如重要数据、个人敏感数据、一般数据（业务数据、其他数据）。其中要特别注意区分行业，比如电信行业，金融行业，医疗行业等，不同行业的数据特点是不一样的。

大部分的行业和地区，数据分级都会把国家、社会公众、公民的一些信息按照合规性、敏感性、风险控制程度等分一到四级区别管控。

--

14

最新的一些安全理念

1、零信任安全管理。以身份为中心，面向业务和数据，持续的身份认证（身份唯一性管理）和动态授权（基于命令和应用URL的细粒度授权，页面动态脱敏及水印技术）。

2、数据不落地的治理理念，通过数据方舱达到可信不可见的效果。

（1）打造可信数据安全环境，为每个数据访问用户提供虚拟个人空间，强制用户数据只能到虚拟个人空间，提供安全可信的数据使用和流转通道；

（2）在可信数据安全环境中使用数据，可以有效避免用户直接接触数据导致泄露，并通过在线水印等技术避免手机拍照，从而达到数据可用不可见；

（3）数据一旦需要离开可信数据安全环境，必须经过审批人员审批，同时采用离线数据水印、限制打印，保证了数据离线安全。

--

15

精彩问答

Q：数据安全分级分类是依据什么来执行的？

A：现在国家标准正在制定中，目前主要是行业的一些标准，比如说运营商有自己的分类信息相关标准，把日常业务拆分成不同的类别，级别非常细，在金融领域也有相关的标准。政府大数据局业务，目前还没有一个可以去参考的标准。我们会根据相关经验，结合已有的行业标准，帮助用户制定标准，比如我们在北京市，正在与用户一起推进数据安全分类分级标准。该项工作在整个环节可能不是最难的，但却是最复杂的。

Q：按行业和场景分，有什么颗粒度？

A：举个例子，金融行业按照业务类型（比如金融交易业务系统），可能会分成三类。第三类，也就是最细的颗粒度，会详细到每一个字段，比如人员姓名、卡号、有效期等等。

Q：数据分类分级用到什么技术，如何确保准确性？

A：我们是使用一种工具来扫描数据，过程中需要进行人工判定。因为每个行业的数据特点不一样，比如运营商行业，它的库表在设计过程中有它的特点。如果没有实践经验的话，就不能很好地理解这些数据。开始的话，肯定会出现识别率非常低的情况，通过不断地实践，会发现行业数据特点，再经过不断的修正，识别率会慢慢高起来。哪怕是再好的工具，也会有这样一个过程。

今天的分享就到这里，谢谢大家。

阅读更多技术原创文章，请关注微信公众号“DataFunTalk”。

分享嘉宾：

活动推荐：

《第二届线上DataFunSummit：数据科学在线峰会》

1. 时间：5月21日
2. 地点：在线直播
3. 嘉宾：来自腾讯、阿里、谷歌、快手、字节、中科院、人民大学等50+位来自企业和高校的专家参与分享

【免费观看方式】私信回复关键词“5.21”

关于我们：

DataFun：专注于大数据、人工智能技术应用的分享与交流。发起于2017年，在北京、上海、深圳、杭州等城市举办超过100+线下和100+线上沙龙、论坛及峰会，已邀请超过2000位专家和学者参与分享。其公众号 DataFunTalk 累计生产原创文章500+，百万+阅读，13万+精准粉丝。

欢迎转载分享，转载请留言或评论。