数据资产(Data Asset)是指由个人或企业拥有或者控制的，能够为企业带来未来经济利益的，以物理或电子的方式记录的数据资源。数据资产是拥有数据权属(勘探权、使用权、所有权)、有价值、可计量、可读取的网络空间中的数据集。数据资产的损失意味着企业价值的损失或流失，因此面向数字资产的保护意味着面向企业业务的保护。

资产是相对业务而言的，应用越多，经济价值越大，因此是业务驱动的。企业数据已经成为业务关键资产部分，能够带来业务价值和业务竞争力。数字化业务的价值体现数据表现的资产上，因此安全视点相应转为以具有业务价值的数据和被法规约束的数据为中心，而不是以网络技术为中心。

▲天空卫士数据安全咨询及南区售前技术总监 黄军

讲师简介：黄军，现任天空卫士华南区技术总监，高级安全顾问。具有近20年信息化与数据安全工作经验。曾任中国惠普有限公司企业软件业务技术顾问、云计算自动化解决方案顾问、埃森哲(中国)有限公司云计算业务经理与咨询顾问等职务，负责云计算、大数据安全相关项目的解决方案规划与咨询;近年重点关注高科技、政府、医疗、金融等领域商业机密与用户隐私数据安全合规与保护，具有丰富的数据安全治理咨询与技术体系规划、实施管理经验。

一、主要发现

什么资产需要保护?黄军表示，“需要保护的资产一定是围绕业务需求和监管环境所展开。”在内外部合规需求方面，在国内，有网络安全法、等保、数据安全法、个人信息保护法、行业法规等等。在国外，有欧盟GDPR、加州消费者隐私法案(CCPA)。

在内部业务输入需求方面，围绕企业业务形态，研发/生产/销售环节中重要的数据资产等，合规数据如财务、信贷、位置、医疗信息等相关个人隐私数据。而数据集保护需求是从海量的业务数据中按照风险、资产价值等优先级，识别出企业最具价值的数据，对其覆盖有限的安全保护。

新形势下数据安全的特点有以下几点：

l 传统的隔离手段在数字化转型下不能很好的保护。网络隔离、虚拟桌面、沙盒等手段阻碍在数字化转型下的数据大量共享、使用和传输，或阻碍业务，或完全放开。

l 分类分级的支持是数据安全的基础。数据无法进行全量保护或者不保护，成本投入和管理能力都会遇到巨大的挑战，识别并按照数据分类分级进行保护才是正确方式和手段。

l 敏感数据在企业分布中的任何位置都是敏感数据。无论是在终端、邮件、上传、应用处理、第三方交换、跨域传输、SaaS、IaaS等任何位置，都是敏感数据。因此，数据安全的覆盖面从能力上应当是覆盖企业IT全貌的，可以分步骤进行建设，但需要统一规划。

l 数据安全的策略涉及人、应用、数据分类分级，需要在整个数据安全体系中进行统一。

值得一提的是，企业数据安全保护的误区也有不少。比如，网络安全边界不等于数据安全边界;内部人员不等于安全内部人员;网络安全不等于数据安全;应用授权不等于数据授权。

数字化转型过程中，数据无处不在，打破传统的办公网、生产网等边界，在这种无边界网络中数据特别是敏感数据和数字资产的保护难度增大。入侵到内部的黑客，商业间谍、外包人员以及有意或者无意窃取或者泄露敏感数据的人员都处于企业内部，而人造成更大困难的数据资产保护。

网络安全为IT系统建设了坚固的边界防护系统，但数据在这些边界中的管道交互越来越多，从数据安全角度看，这些管道大多数是不安全的。身份与访问管理系统，以及应用自身的授权体系构成了应用的访问授权，但从数据安全的角度看，应用授权和数据授权仍然是不同的范畴。

数据安全与数据安全治理

数据安全的目标是数据保护，自身数据保护与攻击防护，以网络与威胁为中心。数据安全治理围绕数据生命周期安全(Data Lifecycle Protection)，以人/数据为中心。

二、数据安全治理最 佳实践

业务飞速发展，往往在开始的时候不顾及安全，导致后期各种修修补补。规范的业务体系有利于数据安全治理，历史累计下的各种形态的业务系统会导致数据安全治理的复杂。业务的不断变化特性导致数据安全治理是一个长期的持续性过程，运营特性增强。

业务流程中，法律制度需要下沉。数据安全从业务责任上升到企业责任。合规只是安全的底线，不一定能有效的保障业务发展。目前大多数的监管还是比较粗放，在进行逐步的探索过程中。缺乏可量化、可操作的标准对数据安全工作进行准确定义。

Gartner数据安全治理框架

Gartner提出了数据安全治理(DSG, Data Security Governance)概念，并从方法论的角度阐述了数据安全治理的框架，与DGPC框架类似，Gartner的DSG框架也是从宏观层面和方法论的角度阐述了数据安全治理的思路和基本框架，强调从上到下，从需求调研开始实施数据安全治理。

DSMM数据安全能力成熟度模型

2019年8月，全国信息安全标准化技术委员会发布国家标准《信息安全技术 数据安全能力成熟度模型》，正式提出数据安全能力成熟度模型(DSMM, Data Security Maturity Model)模型。

DSMM模型参考通用的能力成熟度模型，对数据安全能力成熟度进行了定义和等级划分，从高到低划分了持续优化、量化控制、充分定义、计划跟踪和非正式执行五个等级，实现敏感数据“可用不可见”、“可算不可识”前提下的数据分析和价值挖掘。

数据安全治理技术支撑体系

关于数据安全治理的流程，自上而下的方式是从业务/战略合规梳理开始，对数据集进行分类、标签、建模，形成数据识别特征，最终形成数据识别模版。将数据识别模版加载在技术运行平台上，最终实现以数据为中心的保护体系，通过UEBA/SoC/DSP等平台实现统一编排。

自下而上的方式是从快速合规开始，通过风险评估和场景分析，优先满足最紧急的要求。然后数据分类分级，逐步将数据安全范围扩大到企业的核心数据和重要数据。最后数据安全治理，结合技术和管理手段，实现企业的全面数据安全保护。

根据IDC预测，2018年到2025年之间，全球产生的数据量将从33ZB增长到175ZB，复合增长率达到27%，其中超过80%的数据都会是处理难度较大的非结构化数据。

谈到数据分类分级技术实践，黄军指出，“在数据被开发和利用的过程中，会导致生命周期的环节变多，数据的攻击平面显著扩大，技术栈就会比较多，比如DLP、邮件安全、WEB安全等。”数据分类分级对象主要有数据库存储、共享文件存储、大数据存储、办公流转文档、应用流转数据。

在这类实践当中，分级尽可能少，不同级别需要对应不同的安全审计和管控手段，级数定多了很难实现。分类需要持续进行，业务发展快，变化比较大，分类应当是一个持续的流程来进行定义。基于上下文的分类分级，数据的集合敏感性，继承性要从上下文进行设计。

分类分级过于复杂时，先处理最重要数据。一些行业数据类型复杂，数据量过大，人员组织结构复杂，这时关注于最重要数据。通常行业指导中的4级或者4级以上数据可以作为优先考虑。定级的责任权利并重，指定负责人/团队，先解决有无问题，后续进行调整优化。

借助产品标准模版，实现产品开箱即用，减少企业需要手工输入的大量内容。硬知识产权保护针对企业中的源代码、图纸等明显具有资产属性的数据进行定义。

软知识产权保护针对企业经营过程中最重要的数据，比如未发布的上市公司财报等进行定义。合规主要以个人身份信息、个人金融信息、个人隐私相关信息等为主，以复合数据安全法、个人信息保护法、GDPR等为首要原则。

想要持续的做数据分类分级，一定要引入自动化。选择最重要的内容进行首先保护，不用对全景数据进行完整处理。数据分类分级流程化，最终输出数据分类分级对象，针对结构化和非结构化同时进行。

数据分类分级对象可以输出用于在应用端的数据分类分级保护API服务，也可用于在数据安全解决方案中用于数据分类分级保护。

数据分类分级最 佳实践的核心是由简入“繁”，基于数据分类结果，按业务划分映射数据实体、保护策略以及数据存储、使用属性。基于数据分类结果，按照数据安全关键生命周期(开发/利用)识别风险与级数控制偏离。

在业务层面制定数据安全策略，一般是业务部门输入，初步识别所属行业数据类型与特征，回顾行业内相关泄漏风险事件，并基于通用的组织数据特征，作为沟通基线。

数据安全常见的重点场景有第三方交换、跨域交换、网闸隔离、邮箱钓鱼/商业欺诈、即时通讯、虚拟桌面、远程办公、数据跨境、大数据湖数据交换、协同办公文件共享、行业分析、数据库保护。

三、总结

数据安全治理体系博大精深，需要针对自身的情况选择适当的方法和技术手段来进行。人员、制度和技术三者相辅相成，缺一不可，并且可以互补。

总体设计、分步实施，数据安全和传统的安全体系不同，需要有深刻的合规、业务等其他知识支撑。因此，对人员、组织结构等方面都有较高的要求，不可能一步到位，需要一个循序渐进的过程。

数据无处不在，不能只关注在一个点上，而需要是对数据存在的所有位置进行统一的规划和设计。

参考链接：

https://www.bilibili.com/video/BV1FK41117R8/?spm_id_from=333.337.search-card.all.click&vd_source=80c8ae6a3b3043cc4f25354b6b5b12aa