導讀：數據安全立法2018年9月於十三屆全國人大常委會列入立法規劃。經過三次審議，在2021年6月10日，十三屆全國人大常委會第二十九次會議正式表決通過，並於2021年9月1日起施行。從法律角度來說，國家對於數據安全越來越重視，作為企業該如何針對數據安全法進行數據安全治理的規劃，最終進行對應的技術落地？本文將分享數據法在企業的落地。

主要內容包括以下幾大方面：

• 背景介紹
• 數據安全架構——DSG框架
• 數據安全控制——CARTA模型
• 技術總結
  --

01 背景介紹

首先來看一下近幾年企業數字化轉型以及數據安全的發展趨勢。

從2000年開始，企業經歷了三個不同的階段，分別是IT的工匠階段、工業化階段以及數字化時代的階段。在IT數字化時代，企業將雲計算、大數據、物聯網以及移動互聯代表性的新興技術和企業業務進一步的結合，得到廣闊的和深入的應用，從而加速傳統經濟到數字化經濟轉型。Gartner在2017年預測未來3年數據將成為企業的戰略資產，現實進一步驗證了這個預測。

企業在數字化轉型後，數據安全和整個IT發生了一些變化，包括雲計算、大數據的應用導致企業IT失去了可視化，企業安全邊界消失，數據資產安全考慮不足等。

Gartner在2020年規劃指南中提出了構建數字化轉型技能，也就是數據安全與風險管理，包括合規性和風險的重大變化影響到安全計劃和路線圖，容器、DevSecOps、混合雲和多雲改變了基礎設施安全等方式方法。

企業的數據資產的安全需求有兩個目的：一是合規，與數字安全法、網路安全法、個人信息保護法內容息息相關；二是知識產權的保護。

數據安全立法2018年9月於十三屆全國人大常委會列入立法規劃。經過三次審議，在2021年6月10日，十三屆全國人大常委會第二十九次會議正式表決通過，並於2021年9月1日起施行。網路安全法、數據安全法和個人信息保護法是我國在數據和網路安全的基礎法規。數據安全法提升了國家數據安全的保障能力，個人信息保護法則加速了個人信息法的法制化的一個進程。從法律角度來說，國家對於數據安全是越來越重視，

針對數據資產的保護，首先要瞭解企業的數據和數據資產的價值。安全分為信息安全、數據安全，以及數據資產安全幾個層面。數據資產安全主要是針對業務而言，應用經濟價值越大，數據也就越值錢，因此數據安全是由業務驅動的，數據安全應該以數據資產的價值為中心確定，而不是以網路技術為中心。

作為企業如何針對數據安全法進行數據安全治理的規劃，最終進行對應的技術落地？

業界主要的數據安全框架有兩種：一是Gartner 2017年提出的以數據為中心的DSG框架；二是微軟提出的數據根治理框架。本次分享主要介紹戛納提出的DSG框架。

--

02 數據安全架構——DSG框架

Gartner提出了以數據為中心的DSG安全架構。

如上圖中紅色部分所示，Gartner提出一個企業不要貿然地直接引用安全技術，而是應該從業務分析開始，圍繞著業務戰略、治理、合規等需求，制定IT戰略，並結合風險容忍度對數據分類分級。

Gartner將整個數據落地分成了兩個級別：第一個級別是治理部分，包含對於業務或者企業進行商業治理，分析企業的業務戰略、IT戰略和風險容忍度，同時進行數據戰略以及合規性和安全性以及安全架構的分析；第二級別是數據安全治理的落地。

在進行完業務分析之後，形成數據安全架構，從以下三個不同的層面來去實行：

第一層面：數據安全，在這個技術層面主要圍繞著企業的洞察力、機密性，以及針對於數據安全進行監控和對應的合約。

第二層面：數據區域，以企業數據為中心，以企業的管控的力度為範圍，包括內部、以及外部受控第三方。

第三層面：數據位置，也就是無論是數據在企業的數據管理系統、大數據文件系統，通過所有的管控位置，實行統一的數據安全的管控策略，來達到滿足企業的數據安全需求。

整個以數據為中心的體系建設分為五個步驟：

第一步：數據映射，企業需要明確需要保護什麼樣的數據，這些數據存放在哪裡，以及誰可以訪問這些數據，並且是不是合法的存儲和處理；

第二步：數據發現和分類，定義數據的類別和敏感度，同時清晰地瞭解數據資產和所有者之間的關係。所有者包含著三個不同的層次層面，數據的擁有者、使用者和操作者；

第三步：數據流建模，建模關係是以數據的存儲位置為核心，分析整個數據的流動方向，並且對數據存儲和使用的流向進行分析。其中流動方向包含在企業內部的數據流轉，以及和企業外部乃至第三方的數據流轉。

第四步：數據控制檢查，對於數據使用了哪一些控制手段，是否完成了數據的可視化、保密性和流轉監控？是否滿足了數據的最小化使用的需求？

第五步：產品檢驗，檢驗當前產品能否解決上述的控制手段，並且企業還需要哪一些技術和產品去消除控制手段對應的差距。

在以上流程思路的基礎上，引入了對應的控制系列，可以簡單地理解為安全的能力。安全能力分成四塊，分別是洞察力、保密性、監控和響應、合約。

第一塊：洞察力，是指針對於企業需要獲得存儲哪些數據以及存儲數據的位置、方式，並對數據的敏感性和元數據進行詳細的瞭解，從而能夠實施成功的DCSA（以數據為中心的方法）。這裡引入了三個不同的安全控制技術：數據地圖、數據發現、數據的分類分級。

第二塊：保密性，數據安全技術的種類非常多，比如訪問控制、數據屏蔽和加密、許可權控制、數據反泄漏。

第三塊：監控和響應，主要是企業確保控制有效性、驗證合規性和確保全全性。相應的技術提到了安全信息和日誌的管理、資料庫的活動監控。

第四塊：合約，也叫做第三方治理。很多企業或者組織通過第三方數據的處理器進行數據共用，去實現業務目標。在這種情況下，很難以某種實際的安全的手段來去完成對應的控制，因此雙方的合約控制非常重要。

上圖右側展示了以數據為中心的數據安全架構。分為不同的數據區域，包括內部、外部非受控，以及第三方。無論數據分佈在哪裡都有對應的數據安全。

--

03 數據安全控制——CARTA模型

作為一個企業如何進行數據落地，Gartner 提出了CARTA模型。CARTA模型可用於選擇數據安全控制，作為一個持續性、周期性的過程，在不同的生命周期裡面普遍用於每一個數據集。

第一個階段是預防階段，使用數據匿名化進行數據安全保護，比如說加密硬碟、脫敏執行反應控制、全址的分離；

第二個階段是檢測階段，數據防泄漏通過類似於身份控制方法，供管理員獲得對於數據的訪問許可權以及許可權控制的映射；

第三個階段是監控階段，當潛在惡意數據訪問時，提示安全管理員去考慮實施自動阻止控制，通常可以採用數據審計方式；

第四個階段是預測階段，主要是圍繞著以數據為中心的審計和保護DCAP去實行。

接下來將分別介紹控制系列中的方法。

1. inSight（洞察）

洞察力用於獲取有關存儲哪些數據以及存儲數據的位置和方式的詳細信息，以及對這些數據的敏感性和其他元數據的一些詳細見解，對於成功的DCSA方法至關重要。

洞察所推崇的是以數據為核心，分別在企業內部（終端、移動設備）、存儲（數據中心）、雲端（SaaS、IaaS）將敏感數據找到併進行合規的展示。

通過數據洞察的能力，結合額外的Data Mapping產品，幫助企業找到所有的業務數據，再用Data Discovery對數據敏感性進行檢測，從而為企業形成靜態數據分佈視圖。可以應用於數據生成、數據存儲、數據歸檔、數據銷毀的階段。

2. Confidentiality （保密性）

保密性是最古老和最常見的安全要求之一。許多以數據為中心的控制項可用於限制數據可見性，並僅使用授權用戶和實體。為了正確保護機密和隱私，技術專業人員必須選擇適合其應用程式和數據資產的適當體繫結構選項。

數據審計是瞭解數據中必不可少的環節，因此重點介紹數據審計的能力。主要應用於企業的應用數據、郵件數據和辦公網數據。

(1) 企業應用數據

作為安全管理員需要瞭解數據下載時刻、下載方式和下載內容，其中數據的下載方式包括三種：旁路下應用數據上傳下載監控、反向代理下的應用數據上傳下載監控和應用改造後的數據流轉監控。

① 旁路下應用數據上傳下載監控

② 反向代理下的應用數據上傳下載監控

對於數據進行敏感性檢測，判斷是否有不合規的數據返回，包括未脫敏、未加密、非法數據，結合外部的大數據系統、用戶許可權的設定，為企業保證實現最小化使用的原則。可以針對於企業去瞭解業務數據的上傳和下載行為，形成業務的統一視圖，為企業展示用戶調用或使用了哪一些的數據內容。

③ 應用改造後的數據流轉監控

市面上普遍存在的CS架構或者非我們所理解的外部協議，在這種情況底下，就需要有針對於這種特定應用來進行數據流轉監控。通常是針對業務進行相應的改造，將數據在不同階段使用的過程中，把數據投遞給外部的一個審計系統，來進行對應的分析，最終決定是否參與到整個業務流轉過程中。

包括用戶針對某個應用進行的數據上傳和下載，以及在應用內進行數據的內部流轉，比如數據的內部分享。同時也包含對第三方應用的數據傳遞。

(2) 企業郵件數據

在企業自建郵件系統，判斷員工通過郵件伺服器對外發郵件中是否包含著敏感的業務信息、業務數據，並且根據業務數據形成對應的敏感數據外發的審計結果，進行相應的阻斷或審批流程，以便於事後追溯。

(3) 辦公網數據

辦公數據防護有三個方面：

一是終端辦公的數據安全防護。針對在辦公電腦或者運維電腦終端的數據的流轉和使用來進行，比如U盤、互聯網協議、百度網盤、QQ、微信等外發敏感信息的時候，進行相應敏感數據的管控策略。

二是跨網數據，通常是在兩個不同的安全域之間進行數據流轉的時候，通過旁路的方式或者以串聯阻斷的方式，幫助企業提供敏感數據流轉的審計記錄和審計分析。

三是在移動終端上部署企業級的移動終端客戶端，然後對企業的業務應用數據進行相應的保護，包括對於企業數據進行本地的加密存儲、加密傳輸，在必要的時候進行遠程清除，並且控制對應的攝像頭、提供水印、控制截屏以及第三方分享的控制能力。

(4) 其他的保密技術

① 加解密技術

加密後保證數據即便丟失了也不會數據泄露，是目前整個數據安全治理過程中非常重要技術之一。

② IAM

主要用來做用戶身份識別，為許可權控制、數據防泄漏、數據審計等提供身份信息，是數據安全治理的排頭兵。

③ DCAP

針對資料庫的動作審計和文件數據的審計，精準識別對資料庫的各種動作。

3. Monitoring and Response（監控與響應）

監控響應主要引用UEBA技術挖掘用戶行為，包括用戶異常行為分析、用戶精準分析、用戶定位分析、專家系統分析，找到異常用戶，並且將異常用戶結合數據控制技術進行更有效的控制。

--

04 技術總結

企業完成以數據為中心的整體控制框架，需要圍繞企業的核心數據資產，從應用數據的生成、使用、存儲、流轉、分享（內部或者外部第三方）全過程，針對企業的核心數據進行分佈展示、身份識別、數據流轉、使用控制等環節相應的管控手段。

天空衛士的數據安全治理自動化平臺，結合了業務系統流程，對數據控制者和數據使用者的異常行為進行大數據分析，在數據生成、使用等全流程，都有相應的管控。天空衛士是目前為止亞太地區唯一入選 Gartner 全球數據泄露防護（DLP） 代表性廠商、郵件安全網關代表性廠商以及CASB 觀察者名單的中國網路安全企業。

天空衛士提供的數據安全治理方面的咨詢、產品和技術，包括企業的數據安全治理、數據分級分類、風險評估等等。

天空衛士的數據安全治理體系，為企業的核心數據資產，提供包括發現、標簽監控識別保護能力，通過識別、捕獲、分析、阻斷、遏制，降低企業被有害數據和惡意行為的入侵和破壞。