企业数据资产安全管理 中国网络安全产业联盟秘书长 陈兴跃，北京安华金和科技有限公司总裁 刘晓滔 导语 在数字经济时代，数据资产化已经是大势所趋，数据资产运营能力越来越成 为企业核心能力的重要组成部分，关乎着企业的生存与发展。与之同时，针对数 据和数据资产的网络安全威胁也越来越频繁、越来越复杂、越来越难以防护。新 形态的安全威胁，要求企业采取新思维和新手段，数据安全治理的理念与方法应 运而生。数据安全治理突破了传统安全的范畴，更全面地覆盖了数据全生命周期 的安全管理要求，以业务需求为导向，对数据资产安全管理提供了有力支撑。 —————————————————————————————— 6 月 1 日，顺丰和菜鸟突然掐架，先是菜鸟指责顺丰 2017 年 6 月 1 日凌晨 宣布关闭对菜鸟的数据接口。随后，顺丰曝出猛料称是菜鸟率先发难封杀丰巢， 最终目的是为了让顺丰由使用腾讯云切换到阿里云。事件发生后，国家邮政局在 第一时间向社会发布了消费提示信息，并积极协调当事方，双方暂时搁置争议， 于 6 月 3 日中午全面恢复业务合作至正常水平。7 月 3 日，国家邮政局网站发布 消息称，菜鸟与顺丰就数据共享合作形成一致意见。并称，双方因数据互通遗留 问题得以圆满解决。 事件发生的原因是多方面的，涉及到业务模式、商业生态、数据资产、数据 安全等多方面的因素。可以说顺丰和菜鸟之争是在数字经济快速发展的背景下， 非互联网企业（传统企业）对数字资产重要性开始觉悟的标志性事件。以此为引 子，分享几点对于企业数据资产安全管理的初步思考。 一、数据资产安全管理的概念与必要性 在以互联网为代表的信息通信技术高速发展的推动下，人类社会进入了数字 经济时代。宽带网络、数据中心、云计算、大数据和物联网是数字经济发展的五 大关键技术，数据更是数字经济时代的“石油”，成为关乎国家政治、经济、军 事、社会和文化发展的重要战略资源。随着数据的不断生成和聚集，数据资产的 价值越来越大，也日益成为网络犯罪的重要目标。在今年 5 月发生的“永恒之蓝” 勒索蠕虫爆发事件就是针对数据资产。 目前，全球为数字经济的发展所进行的数据开发和使用也引发了越来越多的 个人隐私安全、企业信息安全甚至国家安全风险。大规模网站数据和个人信息泄 露事件屡见不鲜，“衍生灾害”严重。信息泄露导致精准诈骗案件频发，去年发 生的高考考生信息泄露间接导致夺去了学生生命的“徐玉玉”事件，又再一次敲 响了警钟。我们共同面对，如何切实地保护好数据安全这个难题。如何在数字经 济快速发展过程中，协调好“安全”与“发展”的关系。 美国最大的电信运营商威瑞森公司（Verizon）在其发表的《2015 年全球数 据泄露调查报告》指出，2015 年全球共发生 7.07 亿条以上敏感信息泄露，较 2013 年 5 亿条敏感信息泄漏呈现大幅度增长趋势。同时 2015 年，国内的数据 泄露事件频发，越来越多的数据泄露事件进入人们的视线，从移动运营商到酒店 预订公司，从公司到政府机构都是数据泄露的受害者。据统计，2015 年大部分 数据外泄泄露自政府部门（3.07 亿条，43%），健康医疗机构外泄数据为 1.34 亿 条，占 19%；科技领域数据外泄达 8400 万条，占 12%；教育领域外泄数据 1900 万条，占 3%。攻击者最先对准的数据类型为个人身份和数据信息，约占外泄事 故的 53%，而 22%的外泄事故以金融财务数据为目标。账号密码数据占 11%， 存在性数据 10%，而黑客活动分子大部分以妨害行为为目的进行外泄（4%）。 威瑞森公司（Verizon）在数据泄露报告中评估每笔数据泄露要损失多少钱， 其结合 191 单数据泄露的保险单得出统计结果：如果泄露 1000 条记录，有 95% 的可能会损失 5.2-8.7 万美元；泄露 1 千万条数据记录的损失介于 210 万到 520 万美元之间。威瑞森公司（Verizon）作为全美收入第一的移动运营商，拥有财 富 500 强中 99%的企业客户，其报告中披露的分析数据非常具有参考价值。 随着国家“互联网+”战略的不断推进，移动互联网、物联网、大数据等新 技术的广泛应用，数据资产化趋势越来越显著。国际上对“数据资产管理”的定 义为：数据资产管理（Data Asset Management，简称 DAM）是规划、控制和提 供数据及信息资产的一组业务职能，包括开发、执行和监督有关数据的计划、政 策、方案、项目、流程、方法和程序，从而控制、保护、交付和提高数据资产的 价值。数据资产安全管理是数据资产管理不可或缺的组成部分，也是数据资产管 理的基础与前提。 二、以数据安全治理的理念与方法推动数据资产安全管 理的系统化、科学化 从资产角度看，数据的安全保存产生的价值非常有限，数据的价值体现在于 使用。更进一步讲，数据的价值不仅仅在于聚合与分析，更多的在于分享、在于 流动。不同于自然资源，使用就是在消耗。数据的多维度叠加使用是在创造更多 的数据资产，本身并没有被消耗掉。基于分享，数据在流动的过程中被不断使用， 从而不断产生新的价值。由此看来，要挖掘数据的价值，必须在由数据采集、数 据交换与分享、数据清洗与处理、数据使用等环节所构成的全业务链条和生命周 期中，确保数据与数据资产所有权、使用权、控制权有清晰的界定、确权和继承， 并且得到技术手段和管理体制的有力保障。这已经不是狭义地保障数据本身的安 全，需要在数据安全治理的范畴和体系下来实施数据资产安全管理。 数据安全治理是以数据的安全使用为目的的综合管理理念，其目标是数据安 全使用。这是以数据资产化的视角，以数据价值体现为重要驱动力的安全管理体 系与方法。 数据安全治理主要包括以下几个方面的主要内容： Ë 三个需求目标：数据安全保护（Protection）、敏感数据管理（Sensitive）、 合规性（Compliance） 。 这三个目标比过去的防黑客攻击和满足合规性两大安全目标，更为 全面和完善。只有合理地处理好数据资产的使用与安全，企业才能在数 字经济时代可持续快速发展。对于数据资产中的敏感数据需要进行重点 保护和专项管理，敏感数据的安全管理和使用，是数据安全治理的核心 主题。 Ë 四大重要环节：数据的分类（Classify）、梳理（Understand）、管控（Control）、 审计（Audit）。 在大数据应用和多元化数据应用中，会经常面临不同类型数据、不 同规模数据、不同实效数据的重要程度和安全敏感度各不相同的复杂情 况。因此，要实现数据的流动与使用，就必须要对数据资产进行分类分 级管理，按重要性、敏感度的不同，制定差异化的安全规则，采取有针 对性的安全技术措施。简单粗暴的封闭和隔离不是解决之道，不仅有违 “开放与分享”这一信息社会发展的基本规律，也不符合科学发展要求。 数据安全治理的核心内容，首先是来自对数据的有效理解和分析，对数 据进行不同类别和密级的划分；根据数据的类别和密级制定不同的管理 和使用规则，尽可能对数据做到有差别和针对性的防护，实现在适当安 全保护下的数据自由流动。 在数据分级和分类后，重要的是要描述数据的特征，以及这些数据 在系统内的分布，了解这些数据在被谁访问，这些人是如何使用和访问 数据的，这就需要完整的数据梳理过程。 在数据有效梳理的基础上，需要制定出针对不同数据、不同使用者 的管理控制措施；数据的管控包含数据的收集、存储、使用、分发和销 毁。 除了数据管控，还需要有效地对数据的访问行为进行日志记录，对 收集的日志记录进行定期地合规性分析和风险分析。 Ë 三大核心实现框架：数据安全人员组织（Person & Organization）、数据 安 全 使 用 的 策 略 和 流 程 （ Policy & Process ）、 数 据 安 全 技 术 支 撑 （Technology）。 在数据安全治理中，首先要明确安全责任体系，落实数据资产安全 管理的责权利，确定数据安全管理的关键岗位，条件具备的，还应按需 成立专门的安全治理团队与部门，保证数据安全治理工作能够长期持续 的得以执行。同时，数据安全治理要明确数据治理相关的工作部门和角 色（需求方、受众、支持者等），使数据治理工作能够与企业的业务体 系有效融合，确保数据治理工作有的放矢。 数据安全治理的策略和流程，要以规范文件的形式明确企业（组织） 内部的敏感数据有哪些，在对敏感数据进行分类和分级的基础上，针对 不同类别和级别的敏感数据采取针对性的管理控制规则。并且对不同的 作业部门和工作角色所具有的权限，以及数据使用的不同环节所要遵循 的控制流程进行定义和规范。 数据安全治理的技术支撑，是要明确在管理控制过程中，采用什么 样的技术手段帮助实现数据的安全管理过程；这些技术手段可以包括数 据的梳理、数据的访问控制、数据的保护、数据的脱敏和分发、数据的 审计、数据访问的风险分析。 图表 1. 数据安全治理理念框架 三、数据安全治理与传统安全概念的差异 为了更加有效地理解数据安全治理理念，与传统安全理念进行一个比较： 差异对比 数据安全治理 传统安全 目标方面 以数据的安全使用为目标 以数据的安全防护，不受攻击为目标 对象方面 面向内部或准内部人员，以这些人员行 面向外部黑客，以对外部黑客或入侵者的 为的安全管控为主要对象 防控为主要对象 理念方面 以数据分级分类为基础，以信息合理、 以区域隔离、安全域划分为目标 安全流动为目标 手段方面 以信息使用过程的安全管理和技术支 以边界防护为主要安全手段 撑为手段 融合方面 安全产品技术和流程管理深度整合 管理与技术相对分离 图表 2. 数据安全治理与传统数据安全的差异对比 国内 IT 咨询研究机构计世资讯（CCW Research）在发布的《2015-2016 数 据库安全市场现状和发展趋势研究报告》中指出，当前泄露事件中超过 90%的 数据都是从数据库中泄露出去的，而数据库被侵入事件中，内部侵入的比例更是 高达 80%以上。 在整个数据安全治理理念中，在组织保障方面首先需要成立数据安全治理的 组织机构，建立网络安全管理制度体系，确保数据安全治理工作在组织内能真正 地落地。其中，对于“内部人”的管理是重点之一。思想觉悟是基础，制度体系 是保障。不仅是要用信得过的人，更要有严谨科学的制度体系、责任明确的组织 保障和有效的安全技术支撑手段，真正做到安全管理体系的长效化、科学化、有 备无患。 四、数据安全治理的全生命周期管理 从数据资产管理的视角看数据安全，需要贯穿数据全生命周期，提供针对性 的安全管控手段。数据资产安全治理包括四个主要阶段：① 治理规划与计划； ②