国际标准化组织(ISO)对计算机系统安全防护的定义是:“为数据处理系统建立和采用的技术与管理的安全保护,保护计算机硬件、软件和数据不因偶然或恶意的原因而遭到破坏、更改或泄露。”

Gartner提出,数据安全治理不仅仅是一套用工具组合的产品级解决方案,是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。

由此我们可以将数据安全治理理解为:确保数据的可用性、完整性和保密性所采取的各种策略、技术和活动,包括从企业战略、企业文化、组织建设、业务流程、规章制度、技术工具等各方面提升数据安全风险应对能力的过程,控制数据安全风险或将风险带来的影响降至最低。

按照Gartner DSG数据安全治理框架的建议,应该从组织根据业务战略制定数据集开始,在平衡业务战略、治理、合规、IT战略、风险容忍度后,制定数据集的优先级进行关键数据资产目录的确定与分级分类,结合统一的安全策略与防护技术形成差异化数据安全技术保障能力。

目的:确保数据作为一种满足业务需要的资产(从数据到数据资产)

风险:致力于消除/降低数据资产的风险,包括法规依从性风险、质量风险、安全风险等。

收益:设置数据管理投入的正确方向,以获得更好的回报。

内容:明确作为企业资产的数据主体、建立围绕这些主体的权责体系

过程:覆盖数据的完整生命周期管理

实施:自上而下、面向企业整体范围的数据策略和高层规范。

采取的数据安全管理技术我们根据数据的分级分类,结合业务,决定采用何种数据安全技术作为支撑。通常采取的技术有6类,分别是:DLP、UEBA、CASB、IAM、加解密、DCAP。

DLP

DLP通过对数据的内容的识别,对数据的存储、使用和传输对它进行发现和保护。比如有一个word文档,在 Word文档里面有一张图片,图片里面可能是通过屏幕截图的方式去截下来一个 Excel表,这个表里面的内容是姓名、身份证号和信用卡号, DLP能通过内容识别发现,知道这个Word文档里面包含了多少个身份证号。

UEBA

UEBA技术是对人的行为进行分析的技术,它的核心点是人。我们所有的数据泄露都是通过人的行为完成的。我们要去抓住“坏人”,就是通过UEBA对人的行为进行分析。采用行为分析的方式,可以在一大堆的“好人”里面发现有谁干了坏事。“坏人”总是会干一些异常的事情,UEBA通过行为的采集,就知道谁在整个数据使用的过程中,谁做了哪些动作,或者操作了哪些数据。通过大量的数据的获取,基于网络的、协议的行为,比如你上网都访问了什么样的网站,外发了那些敏感数据、在电脑上做了哪些操作等等,把所有的操作行为,放在基于人工智能算法的系统里进行分析,看究竟谁做了什么样的坏事。这种分析会把每个人自己的当前行为和过去的行为进行比较,和你周围同事的行为进行比较。

CASB

CASB主要是用来保护云端的数据,现在越来越多的金融企业开始使用SaaS服务模式。CASB主要是为了解决影子IT的问题,保护企业使用SaaS服务时潜在的数据安全风险。 CASB对于云安全的重要性,就像防火墙对于网络安全一样。各种SaaS服务,在一些服务中充满了数据安全的陷阱,比如对上传数据的所有权声明、对用户操作和行为的监控、服务商自身的安全保护等,很容易造成企业员工在使用非企业IT评估过的SaaS服务时泄露企业的核心数据资产。通过CASB技术,能有效的保护企业员工访问低风险级别的SaaS服务。

IAM

IAM就是身份与访问的管理。所有对数据能产生威胁的都是人,无论这个人员来自于内部还是外部,所有的动作都是人在操作。做数据治理的时候需要首先明确人员的身份,谁,使用什么样的设备,可以访问哪些敏感数据,可以访问哪些应用系统中的哪些模块。

加解密

加解密是针对数据的可用性采用的非常强有力的管理手段。加密是指看不见、打不开、拿不走。数据一旦做了加密之后,如果不具备相应的权限,就无法看见这些内容。加解密往往应用在对数据的保护级别非常高的场景,因为伴随加解密的同时往往是大量计算资源的投入和业务处理的不便捷性。

DCAP

DCAP是指对数据的审计与保护。我们对数据在企业的使用,需要有一个可视化的管理,能发现谁使用了哪些数据,这些数据是怎样流动的,通过DCAP技术能知道谁在去读写或者获取这些敏感数据。