解读数据传输安全白皮书——数据安全治理浅谈

技术博客

2022-10-21阅读：336

随着数字化浪潮席卷全球，各国政府逐渐意识到，数据已成为与国家安全和国际竞争力紧密关联的重要资源要素，对数据安全的认知已从传统的个人隐私保护上升到维护国家安全的高度。各行业各领域企业内生发展需求和外部合规要求激增，正在积极利用新技术不断提升数据安全保障能力。

数据安全全球化

Gartner对数据安全治理的基本定义是：“数据安全治理绝不仅是一套用工具组合而成的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下、贯穿整个组织架构的完整链条。组织内的各个层级需要对数据安全治理的目标和宗旨达成共识，确保采取合理和适当的措施，以最有效的方式保护信息资源。”

2021年1月，巴西的一个数据库30TB数据被破坏，泄露的数据包含有1.04亿辆汽车和约4000万家公司的详细信息，受影响的人员数量可能有2.2亿；

2021年3月，印度800万核酸检测结果泄露，含有姓名、年龄、婚姻状况、检测时间、居住地址等敏感个人信息；

2021年3月，美国保险巨头CNA公司的IT系统被勒索软件锁定，攻击者还窃取了数据，公司支付了4000万美元勒索赎金；

...

当前，全球数字化转型正在以爆发式速度快速发展，数据作为数字化的核心，已经成为新时代的核心生产要素之一。如果数据发生泄露，那么企业乃至国民经济运行，公共卫生、农业生产、运输物流等受到冲击，并可能引发各领域严重后果。伴随着《中华人民共和国数据安全法》的正式实施，对于如何依法做好数据安全治理成为当前各行业负责人最为关心、关注的问题。

数据安全政策频繁出台

继2015年7月颁布《国家安全法》，今年6月以来，《数据安全法》、《个人信息保护法》相继落地实施。三部法律被认为是数据安全领域的“三驾马车”。三个数据安全领域的基础性法律落地标志着，信息安全从“互联网大蛮荒时代”“网安法时代”走向“大合规时代”，由“或有”变“刚需”。

确保数据的可用性、完整性和保密性所采取的各种策略、技术和活动，包括从企业战略、企业文化、组织建设、业务流程、规章制度、技术工具等各方面提升数据安全风险应对能力的过程，控制数据安全风险或将风险带来的影响降至最低。

数据安全策略和技术可以识别数据集信息敏感性、重要性、合规性等要求，然后应用适当的保护措施来保护这些数据资源。数据安全治理涉及多种技术、流程和实践，以确保数据安全和防止未经授权的非法访问。同时，数据安全治理还应专注于保护个人敏感数据，例如个人身份、联系信息或关键业务知识产权。

从不同的视角理解数据治理的基本内涵：

目的：确保数据作为一种满足业务需要的资产（从数据到数据资产）

风险：致力于消除/降低数据资产的风险，包括法规依从性风险、质量风险、安全风险等。

收益：设置数据管理投入的正确方向，以获得更好的回报。

内容：明确作为企业资产的数据主体、建立围绕这些主体的权责体系

过程：覆盖数据的完整生命周期管理

实施：自上而下、面向企业整体范围的数据策略和高层规范。

数据安全治理落地方案

数据安全已成为数字经济时代最紧迫和最基础的安全问题，加强数据安全治理已成为维护国家安全和国家竞争力的战略需要。近几年来，数据安全保护相关法律框架的落地或颁布，为数据安全保障提供了制度和法律支撑。

企业通过有效的数据安全能力的建设，不仅可以对自身的敏感数据进行有效的防护，同时促进企业数据的共享，扩大数据资源的交互能力，从而存进企业的数据的进一步的分析与挖掘，大大的增加其在市场洪流中的竞争优势。

企业数据安全治理体系主要包含以下五部分，保证数据的全生命周期的可用性、完整性、保密性以及合规使用。

数据安全治理目标：重点强调安全目标与业务目标的一致性。数据安全治理的目标是保证数据的安全性，确保数据的合规使用，为业务目标的实现保驾护航。

数据安全管理体系：主要包括组织与人员、数据安全认责策略、数据安全管理制度等。

数据安全技术体系：主要包括数据全生命周期的敏感数据识别、数据分类与分级、数据访问控制、数据安全审计等。

数据安全运维体系：主要包括定期稽核策略、动态防护策略、数据备份策略、数据安全培训等。

数据安全基础设施：重点强调数据所在宿主机的物理安全和网络安全。

作为数字经济驱动的产物，作为一种轻量化的技术，API能够起到连接服务的功能，又可以用来传输数据，在全球范围内API受到企业组织的高度青睐，应用接口呈现爆发式增长。由于API的广泛使用和链接为恶意攻击者提供了广阔的攻击面，一旦成功攻击API，就能获取大量企业核心业务逻辑和敏感数据。相对于传统Web窗体，攻击API的成本更低、价值更高。

万物互联时代，API是承载应用数据交换的“血液”，人们需要用数据智能的方法去解决复杂的API安全问题，星阑科技萤火产品的出发点就是构建面向复杂行为的API防护体系。

当前，在国内外都有专注API管理的公司出现，其产品功能会包含统一接入、协议适配、流量管理、以及安全防护等。此类API管理产品更多专注解决通信侧的管理问题，其中会涵盖简单的鉴权功能等，但API本质上链接万物，安全需求是层层递进的。星阑科技的产品特点是围绕实战入侵的各个环节提供漏洞发现、风险管理、入侵检测与响应能力，助力数据安全治理。

数据安全治理是战略层面的策略，强调在战略、组织、政策的框架下，定义数据治理的策略，形成一种协作的秩序，让数据安全管理从“无序”到“有序”。持续关注数据处理全生命周期安全，重视管理与技术措施并举，并能够根据安全形势、技术发展和演进趋势等的动态变化，对数据安全治理体系进行持续优化，依据数据安全治理的核心理念，从数据安全战略、管理机制和技术手段多方面建设数据安全治理能力。

[上一篇]解读数据传输安全白皮书——数据传输安全浅谈 [下一篇]CVE-2022-25237 Bonitasoft Platform RCE漏洞分析了解更多