基于数据安全态势背景提升企业数据安全治理能力议.pdf

《基于数据安全态势背景提升企业数据安全治理能力议.pdf》由会员分享，可在线阅读，更多相关《基于数据安全态势背景提升企业数据安全治理能力议.pdf（4页珍藏版）》请在咨信网上搜索。

1、信息通信基于数据安全态势背景提升企业数据安全治理能力议（中国电信股份有限公司增值业务运营中心-中国电信信息安全响应中心，北京10 0 0 93）摘要：数据安全治理的本质是数据作为生产要素，因流动产生价值，数据流动性致使泄露风险可能性增加。全球数据泄露的安全态势依然严峻，数据安全治理形势紧迫。文章通过对数据安全态势进行分析，结合“两法”和数据安全现状，提出企业整体数据安全防护体系建设思路，强化数据安全防护水平，防止数据泄露、滥用，在合规基础上，促进数据“流动”推动企业高质量发展。关键词：数据安全；数据安全治理；评估；手段中图分类号：TP309文献标识码：A0引言近年来，网络空间正成为继陆地、海洋

2、、天空、外空之外的“第五空间”，数据产业给各行各业带来了巨额价值。数字时代化催生数字经济蓬勃发展，数据成为继土地、资本、劳动力技术之后的新型生产要素，数据从资产的视角向生产的视角转换。新的发展机遇伴随着新的风险和挑战。在这种背景下，数据安全更为重要，对各企业做好新形势下数据安全治理和保护工作有积极推动作用，同时也给数据安全保护提出新的挑战和机遇。平衡数据安全与企业生产的关系，平衡数据安全保护与数据开放共享的关系成为行业课题。1全球数据安全呈现态势1.1数据安全风险影响范围不断扩大随着数字化进程迅猛推进，数据价值日益凸显，诱使不法分子利用各种手段非法获取网络数据，致使数据泄露滥用事件频发。数据作

3、为我国的“战略储备资源”，其安全关系到国计民生，危系着国家的整体安全观。随着“新基建、新技术”的发展，数字技术加深各个领域相互渗透融合，数据产业化、产业数字化，各行各业的内部资料、个人信息、企业重要数据等都加快了流动性。数据安全事件的影响跨宽度从“点对点”变成了“面对面”，海量数据涵盖范围从行业扩散到个人，数据泄露滥用不可避免，成为社会性焦点问题。1.2数据泄露危害程度加深过去几年间，大数据泄露事件层出不穷，社会各界对数据资产安全关注度与日俱增，看全球数据安全态势，Facebook、德勒、网易、京东、优酷58 同城等商业巨头纷纷中招，政府机构和组织未能幸免；2 0 2 1年7 月，“滴滴出行”

4、美国上市，涉及过渡采集个人隐私数据被审查。据IBM2 0 2 1年全球数据泄露报告数据，超过52%数据泄露源于恶意网络攻击，威胁越来越严峻，在研究的数据泄露中，客户的个人可识别信息(PII)是最常受的破坏类型，其成本也最高，危害程度加深。1.3数据安全风险途径多挑战大就泄露事件分析来看，有内部工作人员信息贩卖、离职员工信息泄露、第三方外包人员的交易行为、数据共享的第三方泄露、开发测试人员违规等。外部黑客攻击呈现新特点，攻击特征难以提取，攻击渠道多样化，单点的隐藏能力强，攻击持续时间长；合作伙伴，在业务合作过程中违规收集敏感数据，利用某些漏洞还原敏感数据，通过数据沉淀获取全量数据；供应链厂商在数

5、据平台或系统由第三方建设，代维护，这将导致收稿日期：2 0 2 3-0 3-0 3作者简介：孙伟东（198 0-），男，内蒙古赤峰人，硕士研究生，通信工程师，研究方向：数据安全、信息安全、网络安全。2023年第0 5期(总第 2 45期)孙伟东文章编号：2 0 9 6-9 7 59(2 0 2 3)0 5-0 16 8-0 3在特定阶段部分设备的操作权限，掌握在供应商手中；大量的非可信人员如外包、客服、业务员、代理商因工作需要必须接触数据；内部人员通过应用系统违规窃取或滥用数据DBA等特权人员越权违规操作数据存储系统数据治理，BI分析人员越权，违规操作数据。2数据安全治理手段建设实施安全事件的

6、层出不穷，国家安全和企业资产安全受到挑战。近年来，欧盟、美国、俄罗斯等国家纷纷推出不同的，但有共同使用目的法律法规标准，宣誓“数据主权”。2 0 2 1年下半年，我国立法机关相继颁布数据安全法个人信息保护法，从法理上规范数据处理活动，保障数据安全和个人隐私，促进开发利用。鉴于国内、国外现状，企业数据安全治理迫在眉睫，势在必行。2.1管理制度及手段的运用2.1.1数据资产管理通过手动和机器学习相结合，摸清企业内部软硬件资产，网络资产，拓扑、规划设计等。摸清资产，同时摸清了数据资产，并建立数据资产清单，通过技术识别、如扫描探、流量及日志分析技术协助管理摸清敏感数据的分布理顺敏感数据的使用情况，进行

7、敏感数据的分类分级，实行差异化分级管控。（1）数据分类、分级。对数据进行有效分类分级，实行差异化分类分级管控，以减少企业管控成本，使数据在共享和使用获得平衡，YD3813-2020明确了基础电信企业数据分类分级方法，要以数据的来源、内容和用途为依据对数据进行分类，按照数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分。重要数据CI数据重要网元数据个人数据用户数据企业管理业务运营 网络运营合作伙伴基本信息基信息物理位置物理位置硬件信息硬件信息软件信息软信息饭本信息版本信息设施数据网格拓扑流导数据设施数据关娱联数据流量数据运雄数据蓄察信息评测信息运维信息评估信息运推人员个人信息安

8、全策略详估信息图1数据分类明细表（来源：内部资料）分类框架个人信息身份标识内容数据联系人烫产数据生物特证业务订购财务数据基本材料人力数据充值数据实体身份(基本)秘密材料(值）用户密码服务记曼和办公环境用户账号酒要信息消费跃单精确位置大数位置违规记录设备标识设备资料运营数据梁道数据网络系统基本信息客服数据信息网给设施业务合同ERP数据高端客户合同信息名单白名单未公开的春网络性能（原始）微/产品/业共享教据网络日志(处理）集团客户针对性安全身份标识网维量管理信息集团运营防护设备无形资产168合作幼议配置信息发放文档网编设施收取文档共享数据Changjiang Information&Communi

9、cations数据安全法第二十一条国家建立分类分级保护制度，根据数据在经济发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。企业梳理出备案数据资产，确定敏感数据分布情况，针对敏感数据资产进行分类分级标记。数据破坏对国家安全社会秩序、公共利益的影响图2 数据分级流程（来源：内部资料）(2)数据全生命周期管理。为提高数据资产管理的成熟度，提升企业核心竞争力，就要对数据进行全生命周期的有效管理，用于管理数据在整个生命周期内

10、的数据采集、数据存储、数据处理、数据传输、数据交换、数据销毁各过程的安全，图5.2是生命周期各个环节描述。女据采集安全数据传输安全数据存储安全数据处理安全数据交换安全数据销毁安全进分类分级数据传输安全管理存清架构就采集和快取就清洗转换与量监控图3数据生命全周期安全图（来源：内部资料）根据数据分级标准，要加强端到端的数据安全管控，在数据的采集、传输、存储、使用、共享和销毁时，可依据“谁使用，谁负责”的原则实施管控。2.1.2数据安全评估国家数据安全合规性评估有特别的要求，根据要求，数据安全合规就是合规采集、合规传输、合规存储、合规共享、合规使用和合规销毁。对数据全生命周期各阶段进行评估，发现漏洞

11、、脆弱性、风险等，根据评估结果提出安全需求。数据安全合规评估要点分为三部分，基础性评估要点、数据生命周期评估要点和技术能力评估要点。坚持基础通用与重点环节相结合；管理规范与技术能力相结合；保留要点与新增内容相结合；深化落实与规划部署相结合。2.1.3应急响应企业建立数据安全事件响应机制，明确责任分工，事件发现和报告机制，做好应急保障、追踪溯源、事件处置和事件跟踪总结。确定应急响应范围和手段。在处理数据安全事件时，文献认为要谨遵循安全保障体系模型（PDRR），即保护（pro-tect)、监测（detection）、响应(reaction）、和恢复（restore)有机结合，增加主动和积极的防御概

12、念。利用安全技术有效的处理可能发生的网络安全隐患。169孙伟东：基于数据安全态势背景提升企业数据安全治理能力台议成功玫击保失败检成功响失败护测失败图4安全保障体系模型（PDRR）（来源：作者根据文献绘制）2.1.4第三方管理合作方是指受托代理市场销售和提供业务合作、技术支确定分级对象撑、数据服务等可能接到组织机构数据的外部机构。其中，业务合作主要包括数据业务合作推广、渠道接入等形式；技术支数据破坏对企业利益数据破坏对用户利益造成在成的影响的影响综合评定对客体的慢害程度数据对象的安全等级数据生命周期各阶段安全分布式处理安全数据导入导出安全价质使用管理数分析安全数媒共享安全访问控制数据正当使用数影

13、本密文数据处理数抵悦数处理数想时效性成功应撑主要包括系统开发集成、系统维护、技术支撑等形式；数据服务主要包括数据建模、数据挖掘、数据分析等数据服务能力提供形式。对外向合作方进行数据共享、交换、提供时，合作对接部门要预先开展风险评估和合规性审查，避免敏感数据外泄等风险，确保用户个人信息收集和对外提供时，要取得用户同意或授权。要在合同中明确数据安全责任，签署保密协议。2.2技术手段及工具控制2.2.1风险识别技术应用(1)数据识别安全。数据识别在适用于数据资产管理，通过嗅探技术识别敏感数据的在资产中的分布情况，同时判断面对的风险，实施不同的防护措施；数据识别的流程。整理分类分级规范明确数据对象敏感

14、数据发现构建数据目录图5数据识别流程（来源：内部资料）数据识别实施流程主要分为4个步骤：一是基于法律法规和数据分类分级规范，把规范分解成可实施的规范信息；二是明确数据对象，确定需要对其进行数据识别的数据对象；三数招销设处置数据发布安全介质销设处置数照交换监控是敏感数据发现，结合数据对象和分类分级规范进行敏感数据的发现和稽核；四是把敏感数据发现结果进行统一管理，构建敏感数据目录；数据识别能力部署。数据识别能力基于识别的要求，需要满足与数据识别对象之间的IP可达性，考虑识别对象的跨域问题，因此识别能力应支持分布式部署。如图6:数据识别管理平台数据识别探针数据识别探针非结构化结构化半结构化非结构化结

15、构化半结构化图6 数据识别能力部署（来源：内部材料）(2)数据库扫描技术。通过扫描可以发现数据库中弱安全配置，风险代码、弱口令，并对已知漏洞进行分析和模拟渗透攻击。2.2.2安全防御技术设计(1)数据水印和防泄漏。将水印标记嵌入到原始数据中，能够实现数据的分发后进行溯源。水印技术应当具有高隐蔽性，高易用性，数据水印产品解决数据泄露后无法对泄露源头追溯的难题，提高数据传输的安全性和可溯源能力，适用于数Changjiang Information&Communications字版权使用场景等，安装数据防泄漏工具，防止数据泄漏。(2)数据脱敏。企业对生产数据进行数据抽取、数据漂白和动态掩码，防止生产

16、库中的敏感数据的泄露，通过对生产库中的身份证号、地址、银行卡号、电话号码等敏感数据进行混淆扰乱后提供给第三方使用。数据源数据识别脱敏策略配置构建数据目录结果应用图7 数据脱敏流程（来源：内部资料）数据脱敏的流程分为5个步骤：一是配置需要脱敏数据源；二是针对配置数据进行敏感数据识别；三是基于敏感数据定义脱敏规则进行策略配置；四是针对配置的数据脱敏任务执行数据脱敏，执行数据脱敏，形成数据目录；五是脱敏后数据提供的应用需求方使用。根据脱敏场景不同采取不同的部署方式，静态脱敏采取旁路方式，动态脱敏采取串行方式。数据静态脱敏系统测试数据库业务系统生产数据库镜像数据库数据生产环境图8 静态脱敏旁路部署（来

17、源：内部材料）运维工具第三方系统业务系统孙伟东：基于数据安全态势背景提升企业数据安全治理能力台议力要求建设访问和操作审计行为审计平台，由审计通用能力、审计策略管理、审计场景分析、安全审计运营、平台安全管理、平台接口等技术组成。审计内容范围包括：主机、数据库、安全设备、网络设备、应用系统各类数据的访问和操作行为。技术架构如图10：平台安全管理1运营管理计组织婴求审计人员婴求审计报告管理审计风险告警账号管理审计场景分析角色营理账号管理存储管理账号管理传输管理数据备份与恢复问鉴权系统穴余日志营理(2)监控预警。采用监控预警技术对收集到的全量日志采取机器学习的算法，进行精量化威胁分析，得出数据画像和用

18、户画像，并实施监控数据访问和用户行为，然后结合数据的依赖关系和攻击手段，预测数据整个生命周期潜在的危险行为。开发数据库(3)态势感知。采用支持可视化数据态势全景态势感知技术，动态地、整体洞悉安全风险，提升对数据安全威胁的发现、理解和响应处置的能力，并以视图方式展现分析能力和结果。BI分折环境3数据安全能力成熟度评估国家标准GB/T37988-2019提到，数据安全保障能力，是数据开发测试环境以数据为中心，围绕数据生命周期，从组织建设、制度流程、技术工具和人员能力方面进行保障，此数据安全能力评估不同于合规性评估，是评估一个企业安全能力成熟度的工具模型。从图11中可以看出：该模型由三个维度构成即安

19、全能力维度、能力成熟度等级维度和数据安全过程维度（数据全生命生产载据库周期安全维度)。并将数据安全能力分为“非正式执行”、“计划跟踪”、“充分定义”、“量化控制”和“持续优化”5个等级，第三等级是各个企业的基础目标。动态脱敏测试数据库（审计策略管理账号管理账号管理账号警理账号管理通用安全能力数据采集审计数据采集对象日志采集API访问日志操作日志安全日志探针式采集端口流量镜像虚拟化引流图10 访问和操作行为审计技术架构安全能力维度数据交换安全数聘销毁安全组织建设制度流程技术工具人员能力账号营理账号营理数据标准化数据存储流量采集账号管理账号营理一API开放接口数据传输安全数据处理安全测式系统图9动

20、态脱敏旁路部署（来源：内部材料）(3)数据加密。支持国际加密算法与国内常用加密算法；支持透明加解密、半透明加解密、智能加解密等；支持对数据传输通道进行加密；防止数据采用明文方式进行传输，被盗取、篡改；支持以接口方式为应用系统提供加解密能力；防止外部非法入侵窃取敏感数据；防止内部高权限用户窃取数据；防止合法用户违规访问数据。2.2.3数据安全检测实施(1)日志审计。审计范围要求对操作进行审计，对合作方人员日常运维操作日志进行审计，防止在系统中违规操作或者预留后门程序。对开发进行审计，对客户程序发布上线进行审计，防止程序漏洞或把高价值数据隐藏为低价值数据输出，对输出进行审计，对输出数据进行审计，防

21、止输出数据与申请数据不一致，预防数据资产流失，保障数据价值，审计能数据存储安全5级：持续优化整采巢安全4级：量化控制3级：充分定义2级：计划跟踪1级：非正式执行能力成熟度等级图11数据安全能力成熟度模型（来源：能力成熟度规范资料）DSMM-3要求：（1）制定流程：形成数据保护的标准制度和流程，可重复执行；（2）组织建设：有实体和虚拟团队，负责数据安全域的建设和管理；（3）技术工具：在组织机构内部建设、部署相应的技术产品，强化相应的安全控制；（4)人员能力：从事数据安全工作人员具备数据安全标准资质，具备在数据安全领域工作经验。170数据生命周期安全信息通信基于数据挖掘的网络信息可视化模型研究张晶

22、（郑州科技学院,大数据与人工智能学院,河南郑州450 0 0 0）摘要：网络信息可视化模型多数采用Python技术对网络信息进行分类处理，无法搜索、分析并整合海量网络信息中的隐藏数据，降低网络信息可视化处理结果的相关度，不利于提升可视化模型的运行质量与效率。针对这一问题，引入数据挖掘技术，提出了一种全新的网络信息可视化模型研究。首先，利用数据挖掘技术，构建网络信息元数据，提取潜在的数据源，将网络信息划分为不同的种类。其次，根据网络信息分类结果，对网络信息单元进行可视化编码，将网络信息转化为具有感知作用的图形，映射可视化元素。在此基础上，构建网络信息可视化模型，对具有复杂网络结构的信息数据进行可

23、视化分析与处理。实验结果表明，提出的网络信息可视化模型具有较高的应用优势，网络信息节点可视化分析结果的相关度较高，均在95.2 8%以上。关键词：数据挖掘；可视化模型；网络信息中图分类号：TP319文献标识码：A0引言网络信息可视化在广义角度上，被定义为利用图形语言与视觉可视模式，快速识别并呈现信息异质性数据。网络信息可视化模型能够清晰直观地映射数据源与数据集的变化过程，描述网络信息数据之间的趋势性与差别性特征。在当前信息化技术、计算机网络技术共同发展的趋势下，对于网络信息可视化的研究日益成熟完善，能够有效地描述网络信息数据转换处理的过程，展示网络信息类别、网络信息数据区间、网络信息数据属性等

24、可视化结构。在可视化技术不断完善下，逐渐推出了网络信息可视化模型，涵盖的网络信息数据更加全面，实现了对网络信息数据服务的支持4。然而，当前传统的网络信息可视化模型在实际应用过程中，仍然存在一定的缺陷。主要体现在网络信息数据可视化分析的效率较低，无法在快速时间收稿日期：2 0 2 2-12-2 7作者简介：张晶（198 5-），女，河南郑州人，硕士，助教，主要研究方向：大数据分析、数据挖掘。i.+某公司评估从以企业数据生命周期安全维度为抓手，从此模型评估方法从“元科学”视角，从不同维度推进安全能30个过程域（PA），57 6 个过程域（PB），设计调查问卷，对安全力建设，科学的推进利益相关方的安

25、全需求，使体系更加完善。能力维度进行评估，形成企业安全成熟度等级（DP）。以数据4结语采集的数据分级分类为例，在完成30 个过程的调研问卷后，数字化经济、算力时代的到来，数据作为生产要素流动起通过对组织建设、制度流程、技术工具、人员能力4个维度进来才有价值。特别是“元宇宙”“数字李生”、“东数西算”背景行评级，目前数据安全能力等级达到DSMM-3有较大差距。如图12：过程域 成熟度等级且标等级PAO1数据采集安全PA03PAO3PA04数据传轴安全PA06PA05PAOT数据存安全PAGDPAOOPA10PA11数据处理安全PA1PA13PA14PA15数据文换安全PA16PA17数据树装安全

26、PA1BPA19PA59PA21PAS3PA24PAS7通用过程安全城PA26PAS5PAPAS7PA59PA302023年第0 5期(总第 2 45 期)文章编号：2 0 9 6-9 7 59(2 0 2 3)0 5-0 17 1-0 3内映射可视化元素与属性，且可视化分析结果的精度较低，不能为用户呈现质量与精度较高的可视化网络信息数据。数据挖掘能够改善以上问题，通过计算机科学技术与人工智能技术，在海量网络信息数据中搜索、分析、统计处理隐藏的信息数据，并将其转化为有用的可视化信息，具有较高的信息处理效率与质量 7 。基于此，本文在传统网络信息可视化模型的基础上，作出了改进设计，引入数据挖掘，

27、提出了一种全新的可视化模型，为促进网络信息领域高效发展作出贡献。1网络信息可视化模型设计1.1基于数据挖掘的网络信息分类本文在设计网络信息可视化模型前，首先，需要对海量网络信息作出合理分类，根据分类结果，明确不同类别网络信息的结构特征，为后续构建网络信息可视化模型提供基础保障。iiiii下，数据只有上的去，算力才能下的来，才能赋能。然而，数据流动必然产生泄露的风险，数据安全治理、数据防护能力必须数据安全能力成熟度评估实践形成整体能力，才能够抑制数据“泄露、滥用”，所以，数据安全治理任重道远。PAOA432573133333参考文献：1习近平,在中央网络安全和信息化领导小组第一次会议上PA2S的讲话 N.人民日报,2 0 14.2.240.5A2PA21PA20APA72 中华人民共和国.数据安全法.2 0 2 1.7.3 王英玮信息资源管理导论 M中国人民大学出版社，2009.7.PAB24信息安全技术数据安全能力成熟度模型（GB/T37988-2019)(S).国际对外发布,2 0 19.8.*44PAS5新形势下数据治理及安全保护专题会提出新思路 .通信图12 数据安全能力成熟度评估结果171世界,2 0 2 0.4.2 0.