廣州江南科友科技股份有限公司

2020年國務院國常會強調“新型基礎設施建設”，并寫入2020年政府工作報告。“新基建”的涵蓋領域包括大數據、人工智能等IT領域。大數據作為海量信息的中心，將攜手人工智能、數據可視化等技術為各行各業(yè)提供決策依據。

隨著大數據應用的普及，數據的重要程度將越來越高，數據作為一項重要資產，必然會使國家政府、社會機構、企業(yè)都紛紛建立起自己的大數據中心平臺。但是大數據中心的建設，必將帶來新的數據安全問題。

企業(yè)數據資產是一把雙刃劍，它既能在國家政策、社會管理、商業(yè)策略過程中起到了重要的作用，同時也帶來諸多的安全問題，如數據泄露風險、數據越權訪問、數據非法使用等問題。所以各個機構建造自身的大數據平臺，永遠繞不開數據安全治理的話題。

根據Gartner預測,2021年,超過30%的企業(yè)開始實施執(zhí)行數據安全治理框架。2022年，90％的企業(yè)戰(zhàn)略將明確數據作為關鍵企業(yè)資產。很明顯未來將越來越多的企業(yè)機構關注數據安全治理問題。

如何保證數據資產能夠得到有效的保護？作為一個企業(yè)，如何合理的制定和規(guī)劃敏感數據治理的方案呢？

n敏感數據治理的范圍原則

隨著互聯(lián)網、移動互聯(lián)網、工業(yè)互聯(lián)網等發(fā)展，數據來源和數據結構更加的多元化，海量的數據需要大量的結構化手段才能夠形成可用的數據化資產。對于敏感數據的安全治理方案成本和數據量、數據結構、數據使用的范圍、數據來源渠道、數據使用方式都息息相關。

因此企業(yè)在制定解決方案時，需慎重考慮數據保護的范圍，明確哪些才是敏感數據，并為其制定有效的解決方案。

首先是考慮合規(guī)問題，按照《GBT 35273-2017 信息安全技術個人信息安全規(guī)范》解釋，個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。所以企業(yè)在考慮數據保護范圍時，在企業(yè)活動中收集的個人敏感數據是首先要考慮的保護和安全治理的。

其次要需要考慮的是企業(yè)經營數據。數據資產對企業(yè)的重要程度，通常需要根據數據的價值來決定，只有有價值的數據才能形成數據資產。對于一個企業(yè)來說，有價值的數據指的是能給其運營、管理和決策帶來重要影響或幫助的數據。企業(yè)運營的關鍵數據通常也是作為企業(yè)需要安全治理保護的對象。

最后還需要評估企業(yè)數據的保護范圍。企業(yè)敏感數據治理的重點在數據落地和使用的環(huán)節(jié)。雖然數據落地和使用是敏感數據治理的重點，但是敏感數據治理范圍還須覆蓋整個數據活動的整個生命周期，因為任何一個環(huán)節(jié)如果長期處于數據泄露狀態(tài)，也會造成敏感數據的泄露。按照《數據保護法》草案中描述，數據活動,是指數據的收集、存儲、加工、使用、提供、交易、公開等行為。因此企業(yè)的數據治理必須覆蓋到數據活動的各個環(huán)節(jié)。

n敏感數據治理的方案規(guī)劃

企業(yè)在規(guī)劃敏感數據治理方案時，方案與產品選型考慮的因素非常多，包括方案是否合理，投入產出是否匹配，落地難度等。國內很多企業(yè)在做方案規(guī)劃時，對數據的范圍，敏感數據的隱秘方案，敏感數據的訪問權限等方面的處理非常簡單粗暴，但是在落地的過程中往往讓數據倉庫變成一個個黑匣子，它無法被泄露但是為使用帶來極大的麻煩，失去了作為數據資產的價值。任何脫離應用場景的敏感數據方案都是不合理的，因此企業(yè)在規(guī)劃數據方案時，應多方面考慮方案的合理性。

一、在規(guī)劃敏感數據治理的方案時，企業(yè)需要對數據本身的屬性有詳細的了解。比如數據結構、數據容量、數據重要性分級、是否屬于相關法規(guī)規(guī)定保護的數據等。只有對數據的屬性了解，才能進一步考慮匹配的方案和產品，比如產品性能能否滿足海量數據的脫敏要求，加密處理后數據訪問性能產生影響、非結構化數據的存儲介質是否滿足高可用高安全性等。

二、數據落地問題。數據落地存儲是敏感數據治理保護中重點和難點。目前國內外重要的數據泄露事件大部分都是由結構化數據發(fā)生“拖庫”事件引發(fā)的。其實企業(yè)大部分也能意識到數據明文存儲的風險，但由于對數據進行隱秘和權限管理，需要付出巨大的技術和管理投入，也會對數據的可用性帶來一定的影響，需要一定程度上改變數據的使用習慣，因此在引發(fā)數據泄露事件之前，企業(yè)往往存在僥幸心理。

三、明確數據的使用對象，包括使用的人員、系統(tǒng)和機構。在確定數據的使用對象后，才能針對使用對象的身份和權限做有效的安全規(guī)劃。敏感數據也是分為等級的，每個企業(yè)對數據的敏感程度定義是不一樣的，因此根據數據的敏感程度等級，進而規(guī)劃敏感數據治理方案，才能達到數據統(tǒng)一，分而治之的目的。

四、數據的使用環(huán)節(jié)是一個極度容易數據泄露的環(huán)節(jié)。數據的使用通常在數據收集完成之后，包括數據加工處理、數據的應用、數據的服務等。在這些環(huán)節(jié)往往需要將數據脫離數據安全域進行應用。保證數據使用中的安全性是一個很復雜的過程，往往需要在企業(yè)IT架構和系統(tǒng)中的各個環(huán)節(jié)都要進行安全梳理和評估，最終從方案中有針對性的對各個使用環(huán)節(jié)提供安全可控的方案。

五、合理性和可執(zhí)行性。企業(yè)在做敏感數據治理方案時經常會進入一個誤區(qū)，就是制定一個完善而安全的制度或者方案，進而要求各個部門、各個系統(tǒng)和使用者按照方案規(guī)劃執(zhí)行。這類脫離了實際應用場景進規(guī)劃的敏感數據治理解決方案，往往最后都是無法執(zhí)行的，最終成為爛尾項目。在敏感數據治理方案的規(guī)劃當中，應考慮方案的合理性和可執(zhí)行性。一般情況下，數據的可用性和數據的保密性是對立關系，在一個無防護、無加密、無權限控制的環(huán)境下，數據的可用性將達到最大化，但是這種“裸奔”的數據帶來了非常大的風險；相反，如果對數據進行嚴苛而粗暴的管理措施，使得數據的獲取和使用非常困難和繁雜，也不符合大數據以及數據共享時代的趨勢。所以，非常應該對數據進行有效分類，避免一刀切的管理方式，而應采用更加精細的方案，讓敏感數據在可用性和安全性之間獲得平衡。只有讓數據繼續(xù)發(fā)揮其作用，才是數據資產，對其的敏感數據治理才有意義。

江南科友作為專注數據保護的安全服務商，為企業(yè)敏感數據安全治理中提供有效的安全方案規(guī)劃，讓數據治理更簡單更安全。