数据安全运营浅析与实践探索

随着信息技术的飞速发展，数据已经成为企业最宝贵的资源之一。敏感数据的快速增长，业务流程的日益复杂，接触敏感数据的用户越来越多，使得数据在运营过程中存在很大的外部威胁。

传统的网络安全运营旨在防护外部攻击，阻断外部威胁，通过主动防御、纵深防护等措施，降低网络安全事件发生的概率，降低网络安全风险。近年来，随着国家多对黑产、非法入侵计算机等打击力度的加大，黑客更多的转向了持续性APT，在时机成熟时窃取机密或者核心数据为主。这种方式隐蔽性更高，同时黑客们更偏向于在暗网出售相关获取的数据，以比特币等方式进行交易。

对传统企业来说，数据泄露了都不知情，甚至毫无感觉。这对网络安全运营是极大的的一个挑战，需要向数据安全转变才有可能解决敏感数据的泄露问题。为了保证数据的保密性、完整性和可用性，保证企业数据安全，数据安全运营应势而生。

数据安全运营的作用

数据安全运营广泛应用于各种企业和组织。通过数据安全管理平台，企业可以采取相应的技术手段和管理措施，确保数据不被非法获取、篡改或破坏。它可以帮助企业在以下几个方面取得更好的效果：

1、保障数据的保密性

防止数据泄露和非法访问，保护数据的机密性，为企业降低业务风险。通过使用加密技术和访问控制等措施，可以保护企业数据不被非法获取或篡改。

2、保障数据的完整性

防止黑客攻击和数据篡改等情况，通过使用数字签名和数据备份等技术，保障数据的完整性，减少因数据篡改造成的业务中断和业务损失。

3、保障数据的可用性

通过数据备份和灾备方案，确保数据的可用性。即使发生灾难性事件时，如自然灾害、火灾或电力故障等，企业也能确保数据的可用性和业务的连续性。

4、防止网络攻击和恶意软件

帮助企业防范网络攻击和恶意软件，保护企业数据和设备不受破坏。企业通过入侵检测、恶意软件检测等技术手段，可以防范网络攻击和恶意软件入侵，保护企业的数据和设备。

数据安全运营当前的主要困境

当前数据安全运营过程之中存在诸多问题。

一是技术方法措施不足。传统厂商目前给的解决方案不能覆盖数据的全生命周期管理，更多的是偏向数据库审计+日志审计+业务审计等安全解决方案，对数据的生产、使用、流转、备份和消亡等全生命周期缺乏技术控制措施。

二是监测手段不足。大部分案例证明，数据泄露都是通过正常数据操作泄露的，如正常用户单点查询；正常数据备份、异地泄露；合规用户非法查询、非法流程数据等，内部泄露或运维泄露占据了70%以上。真正黑客窃取，包括内鬼+黑客不足三成。

三是管理措施不足。虽然国家出台的数据安全法，但是在数据具体管理细节上，仍缺乏有效的管理手段。数据或业务运维涉及的人员多，运维厂商多，关系错综复杂，难以确定或制定相关具体管理措施，落地性和操作性都需要实践检验。

四是行业或企业具体可实践的标准规范缺失。行业或企业虽然出台的数据标准，但对于执行层面来说，面临的具体问题和实践就不适合这些标准，可以说缺乏实践标准规范。五是数据确权难以确认。数据的生产、加工、流通等都会产生数据，这些数据的所有权、使用权等权属难以鉴定和确权，这给数据管理带来新的挑战。

在全国信息化新基建的基础上，与实现信息化到数字化、数据化的道路上，数据安全运营保障的路还需要摸索和探索。毕竟实践是检验真理的唯一标准，各个企业的单位的探索也不是一成不变的。数据安全运营在不同行业、企业恐怕难有一个统一的数据安全运营或数据安全保障方案。相较于网络安全运营，这里可能更多的是不同企业、单位的数据安全运营方案可能都是个性化的、定制化的，但建设思路可以考虑一体化的构建方式。

数据安全运营指标体系建设价值

数据安全运营指标体系是一套用于评估和改进数据安全运营能力和效果的标准和方法。首先，基于运营指标体系，可提高数据安全运营可见性和可度量性，使得数据安全运营不再是一个黑箱或者空话，而是可通过数据和事实来展示和证明；其次，可提高数据安全运营可控性和可持续性，使得数据安全运营不再是被动或一次性的工作，而是可通过规划和执行来驱动和改进；最后，可提高数据安全运营可信任性和可交付性，使得数据安全运营不再是一个孤立或无用的工作，而是可通过沟通和协作来支持和赋能业务。具体可实现以下目的：

1. 明确数据安全运营目标和范围，对齐和赋能业务价值；

2. 量化数据安全运营输入和输出，提升风险管理能力；

3. 优化数据安全运营流程和方法，提升技术结合能力；

4. 验证数据安全运营效果和水平，满足内外部需求与要求。

数据安全运营指标体系建设内容

数据安全运营指标体系是一种用于评估和指导数据安全运营能力的方法，体系从不同维度、内容来构建和应用。根据不同数据安全运营目标和场景，可选择合适的指标体系来进行数据安全运营规划、执行、监控和改进。本体系包含风险维度、能力维度与价值维度三方面。

风险维度：主要关注数据安全运营过程中面临的各种风险，包括数据泄露、数据篡改、数据丢失、数据滥用等，以及风险对业务和法律的影响。风险维度指标包括风险识别率、风险评估准确性、风险治理效果、风险收敛率等。

能力维度：主要关注数据安全运营所需的各种能力，包括技术能力、管理能力与人员能力等，以及这些能力对数据安全运营支撑和提升作用。能力维度指标包括技术覆盖率、技术准确率、技术召回率、技术鲁棒性、管理规范性、管理效率、人员素质、人员满意度等。

价值维度：主要关注数据安全运营对业务价值的贡献，包括保障业务正常运行、提升业务信任度、增强业务竞争力等，以及这些价值量化和展示方式。价值维度指标包括业务可用性、业务满意度、业务增长率、业务收入等。

一体化建设思路，夯实数据安全运营底座

实时的敏感数据分类分级

以“摸清底数、明确权责”为原则，主动发现云上数据资产。基于主被动双引擎的全息识别技术，实时构建数据保护目录，自适应动态识别敏感数据类型。依据数据安全分类分级标准实施自动标注，结合人工稽核修正，形成结果清单。实时可视化呈现多维(数据源-数据位置-敏感数据类型-数量-业务-属主-消费-···)、模型可按需定义的敏感数据地图。结合个人信息保护规范，行业数据分类分级规范实现对数据资产的分类分级识别工作，形成清晰的数据资产目录，为数据安全保护奠定了坚实基础。

全链的敏感数据访问审计

全面记录数据访问路径和敏感数据上下文信息，动态构建由业务用户、业务应用、API路径、原点用户、数据库账号、访问接入点、数据位置、敏感数据类型等节点组成的流转轨迹，同时可呈现位置、时间、次数等关联信息。基于链路节点和上下文信息自定义敏感数据访问的监督看板，提升事中监督和事后溯源效能。

无缝的数据访问账号治理

基于用户认证代理技术，以原点用户映射真实数据访问主体，代替数据源真实账号口令， 缩窄数据源真实口令的暴露面，降低泄露风险。结合访问账号的主体属性，账号活动的权限、行为、环境、时间，数据的业务和安全属性等维度作为交叉结合的观测指标，提升事前防范、事中监督和事后追溯的精准性和有效性。

多维的数据安全运营中心

以敏感数据保护过程中产生的安全数据作为基础，以安全审计、安全管控、泄露溯源、出境合规、敏感数据使用监督等业务作为场景，以交互式的可视化实时监督看板、敏感数据梳理、专题报告、溯源检索、告警引擎、态势管理等应用作为手段，围绕敏感数据的保护构建长效的基础设施，配合运营服务强化保护效能。

一体化数据安全平台可实现组织内敏感数据发现与数据分类分级，并形成敏感数据资产目录；在此之上提供一体化的敏感数据访问控制、数据权限管控、数据动态脱敏、敏感数据访问审计等功能，满足数据安全管控、个人信息保护和数据出境安全合规要求，让企业的数据更安全，合规更高效。

数据安全平台可涵盖企业数据安全管理常见手段及管理方式，包括数据资产盘点管理，敏感数据识别、数据分类分级；数据库防火墙、数据审计，数据库安全审计、云数据库审计、API 审计；敏感数据脱敏，数据脱敏、数据动态脱敏、实时脱敏，敏感数据访问监督；数据库安全防护、数据库运维管控、云数据库安全运维，数据库权限管理设置、访问权限设置、数据访问治理，达到细粒度权限管控，做好数据安全运营，防止敏感数据泄露，满足数据合规与业务合规要求。