企业数据安全体系建设思考

企业数据安全

数据安全的保护对象是公司的信息数据。信息数据有各种表现形式，如结构化数据（sql,json）及非结构化数据（图片，音频视频，office文档）。按作用类型分类，可分为客户数据，员工数据，业务数据，财务数据，权限数据，代码数据等。当然更准确的分类方式要根据各公司自己的具体情况进行。拿个人来说，数据安全有财不外露、不怕贼偷就怕贼惦记的俗理。拿企业来说，不管是古代的账房先生，还是现代企业的财务部门，都是老板极为信任的人才能担任。随着互联网发展，黑灰产发展，以及国家立法的要求，个人及企业对数据保护的要求在提高，范围在扩大。而且在监管层面，对数据安全的监管检查，也慢慢变成了新的监管重点。

企业数据安全建设落地

应急跟需求：处理应急跟公司需求。

法律合规：参考通用法律法规，及行业地方等特定法规，梳理数据安全要求。

数据梳理：梳理公司所有的数据，对数据进行分类分级。建设数据发现机制跟能力。

状态调研及评估：调研安全建设状态，评估建设完成度。

决策工作内容：结合数据安全调研结果，结合公司整体的建设方案，以数据安全能力模型为指导思想，来决定工作内容，内容顺序，落地方案。

具体到每条数据的数据安全

按数据生命周期的理念有如下简化版的落地内容：

1、采集阶段：最小化采集，完整性校验，合法合规等。

2、传输阶段：传输通道加密，内容加密，两端鉴权等。

3、存储阶段：存储加密，介质加密，数据备份等。

4、使用阶段：鉴权，访问控制，脱敏，流转日志等。

5、加工阶段：算法安全，过程审计，结果数据分类定级。

6、公开阶段：脱敏，水印，合规，审计等。

7、销毁阶段：数据删除，匿名化处理，物理销毁等。

数据安全与其他安全方面的耦合

基础安全：数据与数据库/数据仓库的存储对应关系；数据流转的基础组件顺序。如果存在弱口令，网络访问控制不当，AK泄露等问题，可导致数据泄露。

办公安全：安全办公；内鬼行为的审计及发现。如果存在内鬼可导致数据泄露。

应用安全：应用的数据调用关系，调用权限，日志记录，全流程的串联分析。如果存在越权、命令执行、SQL注入等问题，可导致数据泄露。

业务安全：黑灰产分析；互联网环境下，风控模型的设计及改进；垃圾数据清洗。

总结

1、数据安全是围绕公司信息数据的安全保护。

2、数据安全正在成为新的监管重点。

3、数据安全作为新兴安全领域，目前并没有很多配套工具。

4、数据安全是全公司都应该参与的体系化的工作，它牵扯到公司全部门，而非几个部门。

5、数据安全，与其他安全方面严重耦合。其他安全方面的问题都可能导致数据安全问题。