引言

已經(jīng)忘記哪一年突然雨后春筍般遍地?cái)?shù)據(jù)安全，很多安全廠商的安全產(chǎn)品也“華麗轉(zhuǎn)身”，演變成了xx數(shù)據(jù)安全管控方案，聽著不僅高大上而且很神秘，仔細(xì)聽下來原來是講堡壘機(jī)。這，是數(shù)據(jù)安全嗎？

一、什么是數(shù)據(jù)安全

根據(jù)Gartner的說法，數(shù)據(jù)安全是由保護(hù)靜態(tài)或動態(tài)敏感信息資產(chǎn)的一系列流程和工具組成。有點(diǎn)抽象，Gatner解釋了數(shù)據(jù)安全的構(gòu)成和如何管控，但似乎又沒有解釋什么是數(shù)據(jù)安全。筆者認(rèn)為，

數(shù)據(jù)安全=數(shù)據(jù)+安全，數(shù)據(jù)是基礎(chǔ)，安全是動作，依賴管控措施和手段，有數(shù)據(jù)的地方就會有數(shù)據(jù)安全。

沒有純粹的數(shù)據(jù)安全，其和網(wǎng)絡(luò)安全、應(yīng)用安全及個人隱私安全息息相關(guān)，而且高度耦合。脫離了網(wǎng)絡(luò)安全和應(yīng)用安全的數(shù)據(jù)安全管控，猶如紙上談兵。

數(shù)據(jù)安全的概念很大，也很豐富。筆者結(jié)合個人思考和實(shí)踐，淺談下企業(yè)數(shù)據(jù)安全治理的幾點(diǎn)想法。

二、數(shù)據(jù)安全治理

筆者眼中的數(shù)據(jù)安全治理（以下簡稱“數(shù)安治理”），整體框架總結(jié)為： “1+3+1+1”，即1管理能力，3場景，1原子能力，1運(yùn)營能力

圖1 數(shù)安治理框架

“1管理能力”

即數(shù)安管理能力，具體包括數(shù)安組織+數(shù)安制度，組織是數(shù)安工作開展的基本保障和基礎(chǔ)，數(shù)安制度是組織落地?cái)?shù)安工作的第一著力點(diǎn)。所謂，“兵馬未動，糧草先行”，這里數(shù)安制度就是“糧草”。否則，單純的開始311始終會顯得不像“正規(guī)軍”，而且數(shù)安管理能力是落地311的重要支撐。

數(shù)安組織設(shè)計(jì)百花齊放，不一而足，筆者認(rèn)為企業(yè)可以結(jié)合實(shí)際現(xiàn)狀來進(jìn)行考量。針對，數(shù)安制度，筆者認(rèn)為一般應(yīng)包括1個總綱2個支柱，總綱即數(shù)安管理總括原則性事項(xiàng)和內(nèi)容要點(diǎn)的部分，2個支柱是基礎(chǔ)類制度和場景類制度。

針對基礎(chǔ)類制度如數(shù)據(jù)分類分級、數(shù)據(jù)權(quán)限管理等是原子能力落地的理論保障，數(shù)據(jù)審計(jì)、數(shù)安事件應(yīng)急響應(yīng)是運(yùn)營能力的底座和潤滑劑。場景類制度是快速支撐和響應(yīng)業(yè)務(wù)需求并日臻完善。

圖2 數(shù)安制度框架

“3場景”

即終端數(shù)安、應(yīng)用數(shù)安、大數(shù)據(jù)數(shù)安三個場景。所有數(shù)據(jù)安全的管理，基本都圍繞此3個場景展開。筆者以某銀行業(yè)務(wù)為例簡要說明

圖3 3場景數(shù)安示例

終端數(shù)安，面向的是內(nèi)部人員（包括員工、外包、三方等），管理的對象為端，管控的對象為權(quán)限。如圖3所示，運(yùn)營、客服等人員通過辦公終端接入和訪問各種辦公后臺應(yīng)用數(shù)據(jù)，端是數(shù)據(jù)可能散落的地方。所以，終端數(shù)安要做好必須控好端，但至于控端的程度，取決于應(yīng)用數(shù)安和大數(shù)據(jù)數(shù)安管控的好壞。后者強(qiáng)，則前者弱，體驗(yàn)優(yōu)；后者弱，則前者強(qiáng)，體驗(yàn)差。

應(yīng)用數(shù)安，面向的是應(yīng)用（對客應(yīng)用和對內(nèi)應(yīng)用），管理的對象為應(yīng)用，管控的對象為權(quán)限。如圖3所示，不同的業(yè)務(wù)功能會帶來數(shù)據(jù)在不同應(yīng)用間傳遞，對于對客應(yīng)用，就需要關(guān)注接口、庫等權(quán)限的安全性；而對內(nèi)應(yīng)用，就需要關(guān)注人、接口、庫等的權(quán)限安全性。本質(zhì)上來講，應(yīng)用數(shù)安就是將數(shù)據(jù)安全貼著應(yīng)用安全來做，將數(shù)安針對應(yīng)用的控制要求在應(yīng)用安全中覆蓋，但范圍會比應(yīng)用安全更廣。孤立的應(yīng)用數(shù)安是落不下去的，對應(yīng)用側(cè)的數(shù)安管控，不可能也不應(yīng)該脫離應(yīng)用安全已經(jīng)成熟的體系再搞一套。

大數(shù)據(jù)數(shù)安，面向的是大數(shù)據(jù)平臺，管理的對象為平臺，管控的對象為權(quán)限。如圖3所示，大數(shù)據(jù)人員使用大數(shù)據(jù)平臺進(jìn)行離線數(shù)據(jù)加工和分析，從數(shù)安角度，需要關(guān)注大數(shù)據(jù)平臺自身的安全性和大數(shù)據(jù)平臺使用的安全性。

通過上面的介紹，留心的讀者可能會發(fā)現(xiàn)筆者一直在強(qiáng)調(diào)的1個點(diǎn)“權(quán)限”。其實(shí)，這本質(zhì)上是數(shù)安原子能力的一部分。正所謂，工欲善其事必先利其器，沒有有利的“兵器”和有用的“兵馬”，談數(shù)安治理落地，猶如空中樓閣。

“1原子能力”

即數(shù)安原子能力。數(shù)安原子能力是數(shù)安3場景落地的唯一支撐，是數(shù)據(jù)安全治理的壓艙石。為什么稱之為“原子能力”呢？因?yàn)闊o論數(shù)安治理面臨哪種業(yè)務(wù)場景都需要且都適用的能力，抑或是采用其他的思路落地?cái)?shù)安治理，從技術(shù)數(shù)安能力建設(shè)的角度都需要具備且可以快速考量和入手的點(diǎn)，原子能力具備不可再分性。

基于實(shí)踐，筆者歸納數(shù)安原子能力包括數(shù)據(jù)標(biāo)識能力、數(shù)安評估能力、權(quán)限控制能力、水印能力、數(shù)據(jù)脫敏能力、數(shù)據(jù)加密能力、數(shù)據(jù)刪除能力、數(shù)據(jù)恢復(fù)能力。

其中，數(shù)據(jù)標(biāo)識能力是基礎(chǔ)，數(shù)安評估能力是核心，脫敏/權(quán)控/加密/水印能力是抓手，數(shù)據(jù)刪除能力和數(shù)據(jù)恢復(fù)能力是要求。下面對每塊原子能力進(jìn)行說明。

圖4 數(shù)安原子能力關(guān)系圖

數(shù)據(jù)標(biāo)識能力：數(shù)安治理最核心的點(diǎn)是需要知道重點(diǎn)保護(hù)的數(shù)據(jù)是什么，即哪些數(shù)據(jù)是敏感數(shù)據(jù)。同時，以特定標(biāo)簽進(jìn)行標(biāo)記，供給上下游，這是所有數(shù)安治理的基礎(chǔ)。有了這個基礎(chǔ)，數(shù)據(jù)的流轉(zhuǎn)管控和數(shù)據(jù)使用管控才更有意義和針對性。另一方面，數(shù)據(jù)標(biāo)識需要有制度支撐，在數(shù)安制度中需要規(guī)范和明確公司的數(shù)據(jù)分類和分級，同時有詳細(xì)的數(shù)據(jù)分類分級明細(xì)列表。

數(shù)安評估能力：“知病方可下藥”，數(shù)安評估能力是指對數(shù)據(jù)面臨的風(fēng)險(xiǎn)進(jìn)行識別、判斷和管控的綜合能力，是數(shù)安治理的核心，依賴安全人員的專業(yè)性和專業(yè)度。如果對數(shù)據(jù)面臨的風(fēng)險(xiǎn)都缺少安全評估能力，討論下一步的管控就很困難了。

權(quán)限控制能力、數(shù)據(jù)脫敏能力、數(shù)據(jù)加密能力和水印能力可以稱得上數(shù)安治理抓手“四板斧”，每一板都斧斧見“要害”。

權(quán)限控制能力，本質(zhì)是權(quán)限最小化，是降低數(shù)安風(fēng)險(xiǎn)的最有效殺手锏，也是最難的數(shù)安原子能力。說是殺手锏，是因?yàn)槿绻龊脵?quán)限控制，基本上可以在源頭上減少數(shù)據(jù)暴露面。要做好權(quán)限控制，首先要要有權(quán)限分類分級，其次要有權(quán)限流程（審批），再次要有權(quán)限策略（風(fēng)險(xiǎn)前置管控等），最后要有權(quán)限運(yùn)營（優(yōu)化管控，做好服務(wù)，提升體驗(yàn)）。

數(shù)據(jù)脫敏能力，本質(zhì)是減少敏感數(shù)據(jù)暴露面，針對非需展示、留存等業(yè)務(wù)場景，以脫敏化形式呈現(xiàn)。頁面脫敏、日志打印脫敏是數(shù)據(jù)脫敏能力最常見的2類業(yè)務(wù)需求場景。

數(shù)據(jù)加密能力，本質(zhì)是扼制數(shù)據(jù)泄露后的風(fēng)險(xiǎn)，尤其針對敏感個人數(shù)據(jù)，其防護(hù)效果無出其右。數(shù)據(jù)加密的形式有很多種，像介質(zhì)加密、存儲TDE加密、存儲數(shù)據(jù)加密都是常見的業(yè)務(wù)需求場景，是數(shù)安原子能力中復(fù)雜性和要求最高的能力。在隱私計(jì)算中也有著廣泛的應(yīng)用。

水印能力，本質(zhì)是事前威懾和事后追溯數(shù)據(jù)泄露。頁面和數(shù)據(jù)本身是常見的2種業(yè)務(wù)需求場景，是數(shù)安原子能力中復(fù)雜性和要求比較高的能力。

數(shù)據(jù)刪除能力和數(shù)據(jù)恢復(fù)能力是滿足合規(guī)、數(shù)據(jù)防勒索或數(shù)據(jù)丟失等業(yè)務(wù)場景下的2種能力。尤其在監(jiān)管趨嚴(yán)和GDPR背景下，全球性企業(yè)對此類的訴求會更大且更強(qiáng)。

數(shù)安全原子能力是構(gòu)成數(shù)安必備安全能力（產(chǎn)品）的基礎(chǔ)。

讀到這里，或許很多讀者會有疑問，數(shù)安原子能力和數(shù)安產(chǎn)品有什么關(guān)系？

首先，這里，筆者想說明幾個點(diǎn)，

• 數(shù)安原子能力可以是數(shù)安產(chǎn)品，但數(shù)安產(chǎn)品不一定是數(shù)安原子能力。
• 數(shù)安原子能力是構(gòu)建數(shù)安治理技術(shù)手段的最小單元，但是支撐數(shù)安3場景落地，需要多種數(shù)安原子能力的組合。其以排列組合形式構(gòu)建和形成數(shù)安產(chǎn)品，至于產(chǎn)品名稱叫什么都是可以的。
• 只有和業(yè)務(wù)平臺強(qiáng)關(guān)聯(lián)和耦合的情況下，數(shù)安原子能力才能發(fā)揮最大的效果和價(jià)值。

所以，回到引言中提到的堡壘機(jī)，其實(shí)可以算是一種數(shù)據(jù)安全產(chǎn)品，其本質(zhì)是權(quán)限控制能力、數(shù)據(jù)脫敏能力等數(shù)安原子能力的組合，當(dāng)然它也屬于數(shù)據(jù)安全治理的一個范疇。

筆者，簡單舉2個例子進(jìn)一步說明數(shù)安原子能力在3場景下的應(yīng)用案例。

案例1：應(yīng)用數(shù)安場景下在線數(shù)據(jù)管控

針對在線數(shù)據(jù)DB的管控一直數(shù)數(shù)據(jù)安全治理中的重點(diǎn)和難點(diǎn)。在線數(shù)據(jù)管控，本質(zhì)是管理人對庫中數(shù)據(jù)的訪問權(quán)限，敏感的數(shù)據(jù)怎么管，不敏感的數(shù)據(jù)怎么管，以及數(shù)據(jù)查詢、導(dǎo)出、下載怎么控。

傳統(tǒng)的DB管控工具一般是DBA團(tuán)隊(duì)搞一套，安全團(tuán)隊(duì)搞一套，相互割裂，但同時又相互依賴。安全團(tuán)隊(duì)需要結(jié)合數(shù)據(jù)的敏感性來客制不同的權(quán)限管控邏輯，而兩套班子的困難在于反饋機(jī)制如何正常的建立和關(guān)聯(lián)。

這時候，需要的是統(tǒng)一的具備數(shù)安原子能力屬性的產(chǎn)品來解決這個問題，這其中就會涉及到數(shù)據(jù)標(biāo)識能力、權(quán)限控制能力、數(shù)據(jù)水印能力、數(shù)據(jù)脫敏能力的組合。市面上已經(jīng)有類似產(chǎn)品的應(yīng)用，當(dāng)然如果自研也是需要按照多種數(shù)安原子能力來進(jìn)行建設(shè)和規(guī)劃。

案例2：應(yīng)用數(shù)安場景下辦公后臺應(yīng)用管控

眾多的辦公后臺應(yīng)用，屬于企業(yè)內(nèi)部重要的風(fēng)險(xiǎn)敞口，也是一個老大難的問題。統(tǒng)一的、集中的權(quán)限管理平臺一般是此類場景下訴求。權(quán)限管理平臺本質(zhì)是權(quán)限控制能力的一種產(chǎn)品化，當(dāng)然基于不同的管控要求，亦可能涉及到水印能力等數(shù)安原子能力應(yīng)用。

最后，有個很重要的事情，流動的數(shù)據(jù)才是有價(jià)值的。數(shù)安原子能力是用來支撐3場景下數(shù)據(jù)更好的流動和使用。但是要做到數(shù)據(jù)更好的流動和使用，需要依賴另一個重要能力，運(yùn)營能力。

“1運(yùn)營能力”

數(shù)安運(yùn)營能力，是數(shù)據(jù)安全治理的穩(wěn)定器和加速器。

那么，什么是數(shù)安運(yùn)營能力呢？

筆者認(rèn)為，數(shù)安運(yùn)營能力是指以日志能力為基礎(chǔ)，以分析能力為手段，以指標(biāo)能力為度量，優(yōu)化風(fēng)險(xiǎn)管控閉環(huán)，提升服務(wù)和體驗(yàn)的一種能力。

整體上來看，數(shù)安運(yùn)營能力由日志?能力、分析能力和指標(biāo)能力三部分構(gòu)成。

圖5 運(yùn)營能力構(gòu)成

日志能力

具體來講，日志能力是指數(shù)安3場景中安全應(yīng)用及相關(guān)產(chǎn)品日志采集、傳輸、存儲的能力。日志能力，重點(diǎn)解決的是日志有沒有和全不全的問題，沒有日志談分析能力，猶如“巧婦難為無米之炊”；日志不全談指標(biāo)能力，猶如“盲人摸象”。

舉個例子，應(yīng)用數(shù)安場景，遠(yuǎn)程辦公時如果需要根據(jù)不同訪問端來源（移動端或PC端）限制用戶的訪問權(quán)限。如果實(shí)際操作時卻發(fā)現(xiàn)應(yīng)用側(cè)沒有記錄端來源類型的日志，下一步的控制動作基本就很難展開。這，是日志沒有的一種情況。

再舉個例子，終端數(shù)安場景，筆者在《安全運(yùn)營視角下的POC測試》一文中，曾提及某商用產(chǎn)品U盤管控策略日志記錄的情形，無論拷貝失敗或成功都會記錄一條操作日志，但是卻僅記錄拷貝行為，沒有記錄拷貝的結(jié)果（失敗或成功）。單一看的是沒有什么問題的，但是如果站在全局，如何保障控制有效性的時候，沒有拷貝結(jié)果的記錄，就苦不堪言了。這，是日志不全的一種情況。

同時，需要強(qiáng)調(diào)的是孤立的日志是沒有意義的。

日志能力?是基礎(chǔ)，是?運(yùn)營?能力?構(gòu)成中的?第一?生產(chǎn)力?。

分析能力

分析能力，是基于大數(shù)據(jù)平臺，利用規(guī)則、AI等手段，對3場景風(fēng)險(xiǎn)進(jìn)行建模、檢測，并持續(xù)優(yōu)化完善的一種能力。

分析能力考驗(yàn)的安全人員對場景風(fēng)險(xiǎn)的識別和利用日志進(jìn)行抽象建模的水平。

舉個例子，用戶外發(fā)行為異常風(fēng)險(xiǎn)

第一步，首先需要梳理外發(fā)的渠道類型，其次需要確認(rèn)這些外發(fā)渠道是否都有可用日志記錄，接著識別出可能的外發(fā)行為動作，最后將之轉(zhuǎn)化為監(jiān)控規(guī)則

第二步，基于檢測的結(jié)果數(shù)據(jù)，進(jìn)一步“理論”結(jié)合“實(shí)際”驗(yàn)證，優(yōu)化場景、規(guī)則

第三步，如此反復(fù)。

分析能力，是運(yùn)營能力的核心手段，需要對場景風(fēng)險(xiǎn)有深入的理解。

指標(biāo)能力

指標(biāo)能力，是通過構(gòu)建關(guān)鍵核心評估指標(biāo)對數(shù)安運(yùn)營進(jìn)行結(jié)果性度量的一種能力。一般來講，指標(biāo)能力由4個基礎(chǔ)指標(biāo)構(gòu)成，即完備率，覆蓋率，有效率，準(zhǔn)確率。圖6呈現(xiàn)了4個指標(biāo)間的關(guān)聯(lián)關(guān)系。

圖6 指標(biāo)關(guān)聯(lián)關(guān)系

完備率：度量的是有無。從數(shù)安必備安全能力的維度，首先解決有沒有。例如，企業(yè)希望可以做到數(shù)據(jù)追溯，但沒有水印產(chǎn)品提供業(yè)務(wù)側(cè)接入，從整體數(shù)安治理的角度來看，數(shù)安必備安全能力完備率肯定是小于100%的。就像疫苗一樣，如果我們連基本的新冠疫苗都不具備，談疫情防控就像天方夜談。

覆蓋率：度量的是覆蓋面。例如，很多企業(yè)都會有辦公后臺應(yīng)用需要接入權(quán)限平臺的要求，希望做統(tǒng)一化的權(quán)限控制，盡量最小化風(fēng)險(xiǎn)。那么，如何評價(jià)此場景下風(fēng)險(xiǎn)控制，肯定是要看已經(jīng)覆蓋了多少的辦公后臺應(yīng)用，整體覆蓋面的情況。就像疫苗一樣，完備率解決了有沒有，但是如果大家都不接種，有的意義也就不大了。

有效率：度量的是可靠性。很多時候，數(shù)安面臨的是很多安全能力都具備，而且也都有很好的覆蓋，但是實(shí)際的風(fēng)險(xiǎn)卻敞口減少不大，很可能是有效率偏低的一種情況。

舉個例子，很多企業(yè)都會安裝DLP來進(jìn)行數(shù)據(jù)泄露的防護(hù)，很多時候會面臨發(fā)生了數(shù)據(jù)泄露的事件但卻查不到的情況，倒查時發(fā)現(xiàn)要么是DLP端點(diǎn)沒有正常工作，要么是規(guī)則沒有生效，要么是沒有覆蓋此場景的規(guī)則，要么是?不能記錄?，前兩者就屬于有效率的范疇。再或者上網(wǎng)行為規(guī)則禁止訪問Gmail郵箱，對所有用戶都下發(fā)了策略，表明上看大家都在策略的覆蓋范圍內(nèi)，但是某個用戶掛個代理可能就繞過了，一定程度上也反映了策略有效率的問題。就像疫苗一樣，確實(shí)你也打了，但是只打了一針，或者打了2針，但很可能已經(jīng)不再防護(hù)期內(nèi)了，就起不到防護(hù)效果。而實(shí)際上，你又確實(shí)有打，所以僅僅“有”是不夠的。

準(zhǔn)確率：度量的是精準(zhǔn)度。大量的高風(fēng)險(xiǎn)告警和沒有告警的結(jié)果差不太多。舉個例子，如果你是公有云用戶，規(guī)則提醒你的OSS

BUCKET每天都成百上千IP的訪問記錄，查詢一看，原來這個桶是對公使用的，開的是公共讀，業(yè)務(wù)場景確實(shí)會出現(xiàn)這么多的訪問IP，可想場景的告警準(zhǔn)確率一定會很低，這一定程度上也反映規(guī)則精準(zhǔn)度不好。準(zhǔn)確率的高低，極大程度上反映了可運(yùn)營度。但是，也需要清醒的看到，如圖6所示，準(zhǔn)確率的高低對完備率、覆蓋率和有效率有著很強(qiáng)的依賴，不是一蹴而就的。

運(yùn)營能力的構(gòu)建，一方面依賴3場景和數(shù)安原子能力組合源源不斷的場景輸入和日志輸入；同時，安全管理能力也可以保證運(yùn)營效果的有效運(yùn)轉(zhuǎn)和落地。另一方面，通過運(yùn)營能力的建設(shè)，又會持續(xù)反哺提升3場景和數(shù)安原子能力的建設(shè)，同時持續(xù)完善數(shù)安管理能力，形成有效正向循環(huán)。

三、寫在最后

企業(yè)數(shù)據(jù)安全治理是一項(xiàng)龐雜和繁重的工作，尤其在數(shù)安與網(wǎng)絡(luò)安全、應(yīng)用安全高度耦合的背景下，更具有極大的挑戰(zhàn)性，需要一盤棋考量。

數(shù)安治理，無論是數(shù)安原子能力組合構(gòu)建還是運(yùn)營能力提質(zhì)增效，都需要有足夠的技術(shù)積累和技術(shù)支撐，“技術(shù)是第一生產(chǎn)力”，手中有“糧”，心中才能不慌。

數(shù)安治理，亦對數(shù)安人員的專業(yè)性和專業(yè)度提出了更高的要求，掌握數(shù)安管理能力的同時，也需要增強(qiáng)對技術(shù)的理解。尤其在企業(yè)云化背景下，云上數(shù)安考驗(yàn)的更是技術(shù)化的管理執(zhí)行。

值得注意的是，沒有“萬能藥”通解百病，期望出現(xiàn)一個新的產(chǎn)品或技術(shù)能夠解決數(shù)安的所有問題是不現(xiàn)實(shí)的；

單純的追求0到1，忽視運(yùn)營能力1到N的持續(xù)投入和長期建設(shè)，期望做好數(shù)據(jù)安全是不現(xiàn)實(shí)的。