诸子笔会 | 刘顺：企业数据安全体系建设实践

5G、AI、云计算、区块链等科学技术的发展，离不开以数据为核心的数字技术的支撑。数据作为数字经济时代核心的生产要素，已经成为经济增长的动力引擎。国家层面也曾先后提出“构建以数据为关键要素的数字经济、完善数据治理规则、确保数据安全有序使用、保障国家数据安全”等目标。数据安全已经上升到国家安全的战略高度。

近年来，《网络安全法》、《信息安全技术个人信息安全规范》、《网络安全审查办法》、《数据安全法》等一系列数据安全法律法规和标准规范的发布，使得数据安全工作变得“有章可循、有法可依”，使得企事业单位务必要加大对数据安全的重视程度和投资力度。

本文从数据安全事件的风险类型，数据安全法律法规的指引与要求出发，输出了企业数据安全体系的总体框架，并就框架中的重要举措，提出了落地执行方面的参考建议。

从面向风险的角度出发，在规划企业数据安全体系之前，我们先来分析数据安全面临哪些风险。

网络安全事件除去“肉鸡”、挖矿、勒索病毒等，其余大部分的网络安全事件都与数据相关，绝大多数网络攻击的目的就是为了获取被攻击方的数据资产。另外，还有一部分网络安全事件是因为企业自身管理不善导致数据因内部原因被泄露。下图对数据安全事件的风险类型做了总结，大致分为五类安全风险。

(一)  风险1：外部攻击窃取数据

攻击者利用应用系统存在的注入、远程命令执行、未授权访问、越权等各类安全漏洞，批量查询、下载数据。或者先通过安全漏洞获取主机、数据库的操作权限，然后在窃取数据。

(二)  风险2：业务人员泄露数据

1. 业务人员利用工作中已申请的系统功能权限，非法使用应用系统提供的功能，恶意批量查询、批量下载数据，数据落地到办公终端后，利用办公终端的外发渠道窃取数据，外发渠道包括U盘、邮箱、网盘、即时通讯工具等。如果应用系统已发布至互联网可访问，批量查询、批量下载的数据将直接落到外部互联网。

2. 因企业内部管理机制不完善、应用系统安全管控措施不完善，如访问控制权限设置不当，导致敏感、批量数据落地到办公终端。最终也可能因员工非主观恶意的行为导致数据泄露。

(三)  风险3：运维人员泄露数据

运维人员天生具备特权账号的权限，恶意的运维人员可以通过运维通道直接访问应用系统的主机、数据库，从而批量窃取数据。

(四)  风险4：研发人员泄露数据

在研发测试活动中，因业务需求，可能需要把生产环境数据导出至研发测试环境，数据导出过程中如果没有采取脱敏等匿名化措施，会导致敏感数据流向研发测试区。研发测试区的网络权限、账号权限、监控审计等安全管控措施相对松散，敏感数据可能会从研发测试环境直接被泄露，或者经研发人员的办公终端流向外部互联网。

(五)  风险5：外部第三方泄露数据

1.外部恶意第三方可能会利用正常的业务接口，非法、恶意批量请求正常业务之外的数据；

2. 因未按“授权最小化”原则严格控制数据范围，企业可能会主动向外部第三方提供了合作中并不需要的多余数据，比如接口中返回了多余的敏感字段。

从面向合规、法律遵从的角度出发，在规划企业数据安全体系前，我们同样需要梳理法律法规及相关标准，总结提炼数据安全建设与合规的要求。

如下图所示，通过对数据安全法律法规和相关标准的解读分析，提炼出企业数据安全体系建设中必做的几项重要工作，包括数据分类分级、个人信息（隐私）合规、数据生命周期安全防护、安全管理与运维体系建设。

为解决前文总结的五类数据安全风险，同时遵循数据安全法律标准的建设指引，满足数据安全法律法规和监管要求，结合企业现状，在企业数据安全体系建设前，应制定并发布《企业数据安全体系总体框架》，包括数据安全的目标、数据安全原则、数据安全各项建设举措等等，如下图所示：

鉴于《企业数据安全体系总体框架》中的安全建设举措较多，无法一一介绍，以下章节将分别介绍几项个重点举措，包括数据生命周期安全管控、办公终端安全管控、运维安全管控、安全管理体系建设。

(一)  安全管控思路

首先，要做数据安全管控，我们需要知道企业目前有哪些数据，数据是如何分布的，哪些是敏感数据，敏感数据分布在哪里。为了解决这些问题，我们需要做的是数据资产的梳理、数据分类分级。

其次，要做好敏感数据的安全管控，我们需要知道敏感数据是如何产生的，敏感数据是如何存储的，敏感数据是如何使用的，如谁有权访问敏感数据。为了解决这些问题，我们需要做的是“根据数据分类分级结果，针对敏感数据识别具体的使用场景，绘制出数据流转图。

再次，根据上述绘制的数据流转图，基于整个业务场景识别敏感数据可能存在的安全风险，开展风险评估。同时，识别敏感数据现有的安全控制措施，分析当前存在的不足。

最后，根据风险评估结果，设计差异化、可落地的安全管控措施，包括管理措施、技术措施、监控审计类措施，目的是为了确保数据安全的“可感、可控、可审、可视”。

(二)  数据分类分级

1. 分类分级的必要性

1) 从监管法规角度出发

《数据安全法》第三章第二十一条，已明确表明要开展数据分类分级工作，具体描述为“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护”，“各地区、各部门应当按照数据分类分级保护制度”。

2) 从业务角度出发

数据安全应遵循“谁采集、谁主导、谁使用、谁负责”的原则，安全部门在数据分类分级工作中，可以择机明确“业务部门是数据资产第一责任人的原则”，逐渐让业务部门行使数据合规性使用、访问授权管理、数据共享审批等安全职责。

3) 从安全角度出发

数据分类分级可以让安全部门明确组织数据资产情况、数据分布情况、敏感数据情况。明确数据安全保护的目标，将有限的资源投入到最具保护价值的资产上。

2. 数据分类工作的落地

企业数据的分类可以按照级别划分为一级子类、二级子类等多个类别，其中一级、二级子类一般是企业结合自身业务从整体层面制定，如管理类、技术类、经营类。又如客户类、业务类、系统类等。企业各级部门应根据一、二级子类细化自己部门的下级子类。

数据分类梳理通常采取两种做法：

一是按业务部门的实际业务场景开展资产梳理（适用于非结构化数据），比如研发部门可以按研发流程开展数据分类梳理，通常包括需求分析类数据、功能设计类数据、研发代码类数据、测试类数据、部署运维类数据等等，再比如人力资源管理部门，通常包括招聘类数据、绩效类数据、员工档案、培训类数据等等。

二是按应用系统的业务功能和流程开展资产梳理（适用于结构化数据），比如手机银行APP，按注册登录、绑定个人信息、转账交易等功能梳理采集、产生的各类数据。针对结构化数据也可使用平台工具开展自动化的分类工作，详见本节第4点。

数据分类工作完成后，最终要输出《企业数据资产分类清单》，并保持定期维护更新，如下图所示：

3. 数据分级工作的落地

数据资产的定级可以参考类似《金融数据安全分级指南》等标准，从影响对象和影响程度把数据分为五级，如下图所示：

另外，企业也可根据自身的风险偏好，制定适用于企业实际业务需求的数据定级标准，如企业可从“业务类型”、“流通范围”及“损失影响”三个方面为数据资产定级，可把数据资产分为绝密级、机密级、内部公开和非涉密信息四个等级。其中，业务类型可以分为：规划发展类、生产经营类、管理服务类、公开信息类。流通范围可以分为：极少数人员、少数人员、部门或全公司人群、公司外部人群。损失影响可以按照损失金额划分为不同的等级。最终要制定一个打分标准，不同的得分区间对应不同的涉密等级。

打分标准参考：

数据资产价值=业务类型*权重值+流通范围*权重值+损失影响*权重值。

数据资产价值的打分与数据资产定级的对应关系，可参见下表：

完成数据资产的分级工作后，应输出《企业数据资产分类分级清单》，如下图样例所示：

4. 结构化数据的自动分类分级

借助技术手段可以对结构化数据开展自动分类分级和敏感数据的标志标识，最终输出数据资产分布地图。如下图所示，自动分类分级平台可以通过多种方式采集应用系统中的原始数据，并使用关键字、正则表达式、字段名匹配、表明匹配、机器学习、自然语言识别等多种敏感信息识别算法，识别敏感数据的类型，并按照分级标准完成敏感数据的分级。

(三)  基于业务场景的数据流转梳理与风险评估

1.非结构化数据

对于非结构化数据，安全部门要与业务部门共同梳理数据的整个流转过程，绘制数据资产的流转图。如下图是一份绝密文件的流转图，具体流转场景包括，从应用系统中下载重要数据支撑员工起草编写文件；在办公终端上进行文件编写，把过程中的文件上传到文档管理系统以便多人协同编辑；文件在办公终端上分别通过打印、内外部邮箱发送至其他部门和公司外部。

完成数据流图的绘制后，可基于整个流转过程开展风险评估，比如针对上述的示例，至少需要评估以下方面：

1） 应用系统权限访问控制、敏感数据展示安全、敏感数据下载安全管控、敏感数据操作日志记录；

2） 文档管理系统的权限控制、日志记录；

3） 打印安全管控；

4） 邮件内部流转的安全管控；

5） 邮件外部流转的安全管控。

5. 结构化数据

对于结构化数据，可按应用系统的功能开展数据流转场景梳理，如下图所示，应用系统1会从互联网收集客户的敏感数据，完成数据处理后，会把数据流转至应用系统2以及其他内部系统，这些系统会根据业务需求对敏感数据进行加工处理，也可能会把敏感数据共享至外部第三方。系统用户在使用这些系统时，可能会把数据下载到本地办公电脑，并通过办公电脑的打印、拷贝、邮箱等方式把数据发送至内外部其他人。

同样基于整个流转过程开展风险评估，比如针对上述的示例，至少需要评估以下方面：

1） 敏感数据在互联网传输、内网传输的安全性；

2） 敏感数据在各应用系统存储时的安全性；

3） 敏感数据在各应用系统展示时的安全性；

4） 敏感数据在各应用系统是否可以被批量查看或下载；

5） 是否已控制用户单位时间内操作敏感数据的数量；

6） 各应用系统操作敏感数据的权限是否已得到严格控制；

7） 各应用系统是否已记录敏感数据的操作日志；

8） 敏感数据在办公终端被打印、拷贝、邮件外发时，是否有安全的管控措施。

通过上述基于业务场景的数据流转梳理和风险评估，可以识别出数据在生命周期内面临的各类安全风险，后续应针对识别的风险制定有效的、可落地的安全管控方案。

(四)  数据存储安全管控

为了降低因应用系统存在漏洞导致数据库被拖库的风险、降低攻击者或运维人员直连数据库窃取数据的风险，同时为了满足《个人信息安全规范》、《金融数据生命周期安全规范》等对敏感数据存储的安全要求，各应用系统在敏感数据存储时应采取加密措施。如下图所示，安全部门可以提供密钥管理系统，为各应用提供密钥的安全管控，各应用系统获取密钥后可自行对敏感数据进行加解密。

对于一次性批量加解密的场景，安全部门也可以提供统一的加解密平台为各应用系统提供支撑。

(五)  数据使用安全管控

数据使用环节是数据生命周期中风险最大的环节，整体应在满足业务需求的基础上遵循“看不见、拿不到、带不走”的管控原则，以结构化数据在使用环节可落地实施的安全管控措施举例如下。

1. 严格控制授权

应用系统功能权限的管理混乱会导致敏感信息被很多非相关人员访问，会导致敏感数据被下载到不同的地方，这将大大增加数据泄露的风险。因此，应结合业务部门的需求，遵守“授权最小化”原则，梳理并严格控制敏感数据的查询、编辑、下载等权限。

2. 数据查询（编辑）安全管控

1) 脱敏后的数据可以允许批量查看。

2) 应结合业务需求，控制明文敏感数据仅能单条查看或少量条数查看。

如下图所示，默认展示脱敏后的数据，严格控制明文敏感数据的查看权限。通过“查看”按键向具备权限的用户提供查看明文敏感数据的功能，从而控制仅能单条查看。单条查看的好处是可以详细记录哪个用户查看了哪条敏感数据，并对用户查看敏感数据的数量进行严格控制。

3) 应结合业务需求，严格控制单个用户在单位时间内对敏感数据的操作次数。控制账号异常导致数据泄露的范围。

比如：

A.1分钟内每个用户只能操作10条敏感数据

B.10分钟内每个用户只能操作30条敏感数据

C.24小时内每个用户只能操作200条敏感数据

3. 数据下载安全管控

1) 建议禁止在互联网环境下批量下载敏感数据，否则数据被下载时就已经脱离了公司的网络，已无法进行任何安全管控。

2) 调研敏感数据的下载需求，确认是否可以通过应用系统的线上功能满足下载需求。比如业务人员需要下载某次促销活动的订单信息，按下单地区、收件地区等维护统计销售金额，类似需求可以通过应用系统实现线上自动化统计，从而避免敏感数据被下载。因此，原则上尽可能不提供批量下载的功能。

3) 少数特殊场景，敏感数据必须被下载到办公终端时，需要通过一系列的终端安全管控方案保证数据防泄漏，方案包括办公终端标准化、终端网络权限管控、终端安全管控、远程办公安全管控、终端数据防泄漏（DLP）、终端水印、终端安全沙箱等。

4. 数据共享、联合风控场景下安全管控

针对数据分析、数据共享、联合风控、联合营销等场景，可以通过自动化脱敏、隐私计算等技术，在保证业务正常开展的前提下，确保数据的安全性。

1) 静态自动化脱敏

应用场景：批量脱敏，抽取生产环境数据后进行脱敏处理，并下发转移至其他环境。

2) 动态自动化脱敏

应用场景：通过改写数据库提交语句、改生产库返回数据的方式，进行实时脱敏处理，如应用系统敏感数据展示脱敏。

3) 隐私计算

隐私计算是在保证不泄露原始数据的前提下，综合运用一系列技术，对数据进行分析计算，确保数据在使用过程中的“可用不可见”。

目前主流隐私计算技术包括以多方安全计算为代表的基于密码学的隐私计算技术；以联邦学习为代表的人工智能与隐私保护技术融合衍生的技术；以可信执行环境为代表的基于可信硬件的隐私计算技术。

隐私计算技术体系（来源：信通院隐私计算白皮书）

A.多方计算

各方不再透露或传输原数据，各自加密状态下分散计算后在融合协作得到联合计算结果，实现“数据可用不可见”，在互相信任不足的情形下获得数据合作计算的价值。

B. 联邦学习

不传输也不汇总多方数据集，在分布式加密状态下开展机器学习联合建模，实现“数据不出门，算法满地跑”，解决数据隐私保护与数据价值挖掘的问题。

C.可信执行环境

可信执行环境是通过软硬件方法在中央处理器中构建一个安全的区域，保证其内部加载程序和数据的机密性和完整性。

(六) 数据风险感知

即数据安全的监控审计，目标是回答谁通过哪个应用的哪个接口访问了什么数据，访问了多少数据，访问行为是否属于正常的业务行为。

1.流量分析感知数据风险

通过流量分析，识别请求报文中的用户信息、接口信息，通过数据识别判断返回的敏感数类型以及数量，进而通过数据分析，对风险暴露面、数据访问行为等风险进行监测告警。

2. 应用日志感知数据风险

应用系统的日志也可以记录用户信息、接口信息以及请求返回的敏感数据类型和数据，因此通过对各应用系统的日志进行汇总分析，也可以实现数据风险的感知。与流量分析相比，应用日志可能存在应用数量太多、日志格式不统一、各应用的日志记录有遗漏等问题，最终导致的分析结果不全。

办公终端环境复杂、数据泄露通道较多，原则上应尽可能避免结构化敏感数据被批量下载到办公终端。针对办公终端数据防泄漏需要一系列的安全管控措施配合使用。

(一) 办公终端数据安全风险

(二) 办公终端数据安全管控

办公终端数据安全管控主要产品与措施如下：

运维人员天生具备特权账号的权限，恶意的运维人员可以通过运维通道访问系统后台的主机、数据库，从而批量窃取数据，因此需要对运维通道进行安全管控。

(一) 数据库访问行为审计

如果企业已经具备数据库运维管理平台，即DBA用户可以在平台web页面上直接操作数据库，那么可以开发安全工具，对平台返回的报文进行分析，识别报文中敏感数据的内容，分析查询敏感数据的数量，从而判断访问行为是否正常。确认属于异常事件时，可以联动数据库运维管理平台实现对用户后续操作行为的封禁，示意图如下：

(二) 数据库安全审计产品

可使用商用的数据库安全审计产品，对数据库的操作行为进行管控与审计。

除上述一系列技术举措的建设外，数据安全同样离不开完善的管理体系建设。包括：设立数据安全管理委员会，建立自上而下的覆盖决策、管理、执行、监督四个层面的安全组织体系，明确数据安全的组织架构和专业岗位设置。建立统一的、分类分级的数据安全管理制度体系，明确各部门和相关岗位的数据安全职责，规范工作流程。建立覆盖人员职业生命周期的人员安全管理机制，包括背景调查、保密协议、安全培训、权限管理、合同终止权限回收等。建立完善的第三方安全管理机制，包括审查评估、合同约束、保密协议等等。管理体系的建设工作在此不再展开详述。

如何保护数据的安全是目前各行业广泛面临的挑战，是各企业安全建设的重点和难点，如上面《企业数据安全体系总体框架》所示，数据安全涉及企业安全建设的方方面面，某一项工作没有做好可能会因为“木桶原理”导致数据安全事件的发生。数据安全没有一招见效的“银弹”，唯有明确目标、砥砺前行。

戳原文阅读查看往期征文合集

齐心抗疫 与你同在 

你怎么这么好看