李雪莹 王 玮

(北京天融信网络安全技术有限公司 北京 100089)

(li_xueying@topsec.com.cn)

据国际数据公司(IDC)预测，到2025年全球数据量将高达175 ZB.其中，中国数据量将增至48.6 ZB，占全球数据量的27.8%，将成为全球最大的数据圈[1].在数字经济蓬勃发展的背景下，数据安全问题也日益突出.世界各国纷纷采取行动，从战略规划、政策制定、立法执法等多个维度入手，形成了各具特色的治理理念和治理方案[2].就单个组织而言，大数据产业迎来了利好，同时也面临着诸多挑战，包括来自政策合规要求挑战、来自数据资产泄露风险的挑战、来自个人信息用户信任程度的挑战.另外，业务与安全之间仍然存在着对抗性，例如，在欧盟GDPR的严格管控之下，辖区内就有部分组织因违规面临巨额罚款，部分组织直接宣布终止相关业务.所以将业务与安全进行有机结合，构建可支撑数据安全常态化运营的数据安全治理模型具有重大意义.

1 数据安全治理方法现状分析

由于数据自身的流动性、可复制性等特性，给数据安全治理带来难题，诸多知名的咨询公司、安全厂商纷纷提出了数据安全治理理念和方法.当前被广泛认可的数据安全治理相关模型，包括：Gartner提出的数据安全治理(DSG)框架；微软提出的隐私、保密和合规性(DGPC框架)；现行的国家标准GB/T 37988—2019《信息安全技术 数据安全能力成熟度》中的DSMM模型.Gartner提出的数据安全治理框架主要从组织的经营策略、治理、合规、IT策略、风险容忍度出发，平衡业务和安全风险，确定安全目标，进而从数据集的优先级出发定义一系列差异化的数据安全策略，并通过各类技术手段进行落地，使得数据安全得以保障.

微软提出的隐私、保密和合规性DGPC框架使用了2维矩阵表的形式，以数据生命周期为纵轴，以安全构架、身份认证访问控制、信息保护、审计等安全要求为横轴，梳理数据安全的防护情况，用以识别安全需求.不同于Gartner的DSG框架，微软的数据治理框架DGPC主要从人员组织、策略流程和数据安全技术这3个维度出发，将框架重点放在数据安全的“树状结构”上，以识别和管理与特定数据流相关的安全和隐私风险需要保护的信息.在人员方面，把数据安全组织分为战略层、战术层和执行层；在流程方面，认为应首先检查数据安全相关的各种法规、标准、政策和程序，明确必须满足的要求，并形成制度及策略，指导数据安全要求落地；在技术方面，微软采用自开发的一种工具(数据安全差距分析表)，分析与评估数据安全流程控制和技术控制存在的特定风险.

DSMM模型是一项国内广泛认可的数据安全能力模型标准，包括一系列代表能力和进展的特征、属性、指示或者模式.DSMM模型可以作为评估标准评估组织当前的数据安全能力，也可作为组织数据安全能力建设的参考，DSMM模型以数据为中心，围绕数据全生命周期安全6个环节及通用管理定义30个过程域的要求，并从组织建设、制度流程、技术工具以及人员能力构建了4个数据安全能力维度.

上述数据安全治理模型都提出以数据为中心的理念，并提及了“业务”和“场景化”这样的关键词.然而在实践过程中往往会出现脱离实际业务场景的情况，在进行分析时也容易聚焦在IT系统侧，会产生的数据安全风险，架空业务内容本身.然而，数据安全的本质是保护数据在开放流动和利用过程中的安全，在此过程中保障国家安全和相关方的权益.数据的载体是业务活动，本文针对现有典型数据安全框架进行了审视，并提出基于业务场景的数据安全治理模型，核心思想是统筹兼顾安全与业务发展，以保障业务战略为最终目标，驱动数据安全的常态化运营.

2 业务场景与数据的相关性

2.1 业务与数据的依存关系

Zachman框架(Zachman framework)是由John A. Zachman提出的，是最经典的企业体系结构框架，在此基础上发展出很多企业体系结构框架[3].Zachman框架是通过确定组织、分类、描述复杂对象的逻辑关系帮助理解复杂对象的通用环境[4].该框架是一种逻辑结构，旨在为信息技术组织提供一种可以理解的信息表述.采用的是对组织信息按照要求分类和从不同角度进行表示的6行6列的矩阵形式，从不同角度进行划分可以描述组织内部的逻辑结构.本文基于Zachman框架，构建了数据安全架构问题模型，探求业务与数据之间的依存关系，包括建立数据(what)、业务(how)、承载环境(where)、相关方(who)、时间(when)、安全需求(why)6个问题维度；围绕范围、业务模型、系统模型、技术模型、详细表述、运行中6个角度，问题模型如表1所示.从该问题模型中可以发现数据与业务的强相关性，数据不能脱离业务单独存在，进行数据安全工作时，需确保数据安全与业务的强耦合，保障数据安全要求切实地落实到每个业务流程之中.

表1 基于Zachman框架的数据安全架构问题模型

2.2 业务场景与数据流转的相关性

通常组织通过开展n个业务，最终为客户提供产品或服务(组织业务模型如图1所示)[5].例如组织对用户提供金融产品，则可能是由用户个人信息收集业务、用户征信查验业务、用户支付交易业务等业务组成.

图1 组织业务模型

每个业务又是由m个一系列密切相关的由此及彼、由内到外的业务场景组成.例如用户个人征信查询业务可能包括征得用户同意查询场景、进行联邦计算获得用户征信情况场景等，组织业务场景模型如图2所示.

图2 组织业务场景模型

组织通过一系列连贯的业务行为活动，完成某项业务场景，业务活动与数据流转模型如图3所示.本文中活动是指组织业务经营管理、生产运营等具体业务中的某个单一流程节点，活动无法脱离业务场景而存在，而业务场景可以是最小单元的完整的连续相关的业务行为活动集合.例如在用户征信进行查询场景发生时，由于各受理人员登录相应平台进行征信查询时，提交查询申请为一个业务行为活动，会涉及访问者(业务受理人员)、访问对象(查询平台)、访问行为(查询)、访问行为权限(查询权限和可查询行数)、访问时间(执行业务时间)、受保护主体(用户个人信息主体)，通常可形成完整的五元组日志记录.

图3 业务活动与数据流转模型

3 基于业务场景的数据安全治理模型

在《中华人民共和国数据安全法》中对数据安全定义是“指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力.”达到持续安全状态也是本文模型的数据安全治理目标.本文借鉴上述3个模型，构建基于业务场景的体系化数据安全治理模型，如图4所示，包括3个维度：数据安全治理体系建设、产品和服务安全、数据生命周期安全，它们之间彼此关联.核心思想是对组织产品和服务的所有业务场景进行分析，将数据安全贯穿到组织全业务流程中.围绕数据生命周期对不同级别数据实施差异化管控，保障整个产品和服务的数据安全，实现数据安全风险的全面管控.通过结合实际业务场景对数据安全风险进行精准预判，达到持续安全状态的目标.

图4 基于业务场景的数据安全治理模型

3.1 数据安全治理体系建设维度

本文模型参考DSMM模型，并在其基础上进行了调整，将“组织建设、制度流程、技术工具、人员能力”4个能力维度调整为 “战略方针、组织建设、管理制度、技术工具、常态运营”.明确“战略方针”是一切行动的首要条件，以确保数据安全发展的长期性和连贯性.“组织建设”包含了组织设置、组织间工作机制、职责界面及相关岗位的人员能力的具备情况.“常态运营”则是在“战略方针、组织建设、管理制度、技术工具”的基础上落实相关数据安全管控策略，这是本文模型持续运转的关键.

3.1.1 战略方针

Gartner框架中的实施步骤包括平衡业务与风险/威胁/合规性的关系、数据优先级设置、制定安全策略、实施安全工具、策略编排和同步等[6].与此框架相似，本文模型的驱动力是平衡业务发展与安全的战略、组织可容忍的安全基线，以及所面临的合规要求.平衡业务发展与安全战略需由决策层组织内部相关方参与一同审视和讨论，从保障业务连续性入手，形成组织的中长期数据安全战略方针，并定期动态调整.合规要求由组织风控部门及法务部门共同完成，需做到及时更新合规清单及负面清单，对不符合情况进行及时督促整改，以便应对外部的合规挑战.安全基线由安全主管部门识别数据安全风险，根据专业经验及组织的风险偏好进行制定，督促并支撑风险处置，形成闭环，并将结果同步报送给风控部门.

3.1.2 组织机制

本文模型中的组织机构包括由制定战略和方针的决策层、制定具体管理要求的管理层、配合完成相关工作的执行层、在数据安全治理体系运行之下开展工作的参与层以及对体系运行情况进行监督并汇报给决策层的监督层组成.其中由业务部门和技术能力支撑部门作为执行层进行深度参与是本文模型的重点.组织内部需结合自身的业务及管理情况，明确各部门的工作职责以及协调机制，明确职责界面.

3.1.3 管理制度

管理制度需由管理层牵头，分级建设.首先需明确本组织数据安全管理的总体要求；接着需由执行层在总体要求之下，根据自身的业务特点制定更加细化的安全管理策略，包括流程、规范、指南等；最后根据上述相关的要求，制定相关的表单模板，在数据安全治理体系运行过程中产生标准化的记录文件，包括计划、报告、工作记录等.当然本文模型给出的范式化的4层级数据安全管理制度框架，可结合企业自身的管理特点进行调整，优先满足适宜性.

3.1.4 技术工具

技术工作是指固化数据安全管理要求、服务数据安全战略和方针的一套自动化的工具.Gartner的DSG框架中提出的技术工具包括加密(Crypto)、以数据为中心的审计和保护(data centric audit and protection, DCAP)、数据防泄露(data leakage prevention, DLP)、云访问代理(cloud access security broker, CASB)、身份识别与访问控制(identity and access management, IAM).对数据安全治理体系中可能用到的安全产品进行了高度概况和归类，但在全面性上可能存在问题.DSMM模型则对数据生存周期安全和通用安全进行了30个过程域的定义，并明确了每个过程域所需技术工具的详细要求.本文将DSMM模型中满足能力成熟度3级(充分定义级,指在组织级别实现了安全过程的规范执行)需具备的技术工具与DSG框架提出的技术工具进行归类对比(如表2所示)，试图探索出更为全面、完整的数据安全技术工具集.结果发现DSG框架中的数据安全技术工具的分类基本包括了所有的数据安全相关的技术能力要求，但未包含基础安全的产品，如漏扫、入侵防御以及一些自动化的办公类管理工具，基本未出现云访问代理.本文模型对其进行了补充，弱化了云代理访问控制.由于本文模型注重风险的识别与建设，故强调风险监测产品.数据安全技术工具包括加密、以数据为中心的审计和保护、数据防泄露、身份识别与访问控制、风险监测、基础安全.

续表2

3.1.5 常态运营

业务是动态的，数据也是动态的、流动的，所以数据安全治理体系需要常态化地运行，确保能持续满足数据安全战略和方针，保障数据安全管理要求执行落地，本文模型的体系运行过程串联了另外2大维度，将在3.2节详细讲解.

3.2 基于业务场景的围绕数据生命周期的数据安全治理模型运行过程

首先，本文通过对业务场景的梳理，做到数据安全的全面覆盖，即覆盖组织产品和服务，覆盖数据生命周期；接着对数据资产进行分类分级，根据数据安全的分级情况以及关键场景的识别情况，落地差异化的管控，并将产生的日志及告警作为技术侧安全情报的输入，将常态的数据安全运营活动结果作为管理侧安全情报输入；最后，通过对所有情报综合分析，实现对数据安全风险的预判，达到持续安全状态的目标，具体运行过程如图5所示.

图5 基于业务场景的数据安全治理模型运行过程

3.2.1 业务场景梳理

本文认为业务场景为一系列连续业务活动组成的最小单位，组织业务的梳理需围绕业务活动开展，根据公司的业务流程，采用“自底向上”和“自顶向下”相结合的方法，从业务流程出发梳理业务数据流转，确认数据安全生命周期的节点区间，根据数据全生命周期各阶段需满足的安全以及合规要求，实现数据安全风险全面覆盖.

组织需梳理全部的产品和服务，进而识别全量业务活动，如此细粒度的梳理工作是数据安全能力全面覆盖的基础，组织需要在对业务进行全面梳理的基础上，识别出关键的业务场景，如对外部机构共享数据、对数据进行分析挖掘、使用个人敏感数据等.组织需要梳理业务场景中的各种活动，细化到执行该活动的访问者信息，访问对象具体行为、操作等详细情况.从而识别出在此过程中可能发生的风险,并采取相应的措施进行安全管控，包括对关键节点部署相关的安全产品对相关风险点进行监测，避免数据安全事件的发生.

3.2.2 数据资产分类分级

数据分类分级工作意义重大，需要科学、合理地进行规划和设计，提出切实可行的原则和方法，并在实施过程中兼顾数据应用场景、业务需要、安全属性、合规保护等方面[7].

通常数据分级以不同对象(国家安全、社会稳定、企业利益、公共利益等)遭受破坏后可能产生的后果作为判定依据，但数据分类是实践过程中的一个难点.数据分类是指按照一定的原则和方法进行归类，并建立起一定的分类体系和排列顺序的过程[8]，是本文模型的另一个优势所在.在GB/T 38667—2020 《信息技术 大数据 数据分类指南》中的分类视角就包括业务应用视角，需要清理数据产生来源，明确业务场景、分发场景和质量情况.这些都可通过对于业务场景的梳理过程理清头绪，如通过理清业务场景，可以清楚地看到数据的流转情况、分发场景以及数据的权属关系.在业务层次相对明确，只需使用业务应用维度就可以进行分类的组织中，可直接选取线分法即可；若组织数据相对复杂，需要使用多个分类维度进行分类，则需采用面分法或混合分法.

需由业务部门深度参与的数据分类分级工作，包括对数据进行细化的业务分类、做好数据资产的科学管理，将业务数据的价值作为安全级别的考虑因子进行初步定级.最后由数据安全管理部门对分类分级结果以统筹管理的视角进行复核确认.

3.2.3 基于业务场景差异化的安全管控

数据资产根据安全级别进行差异化管控，避免安全的过渡投入，保障对敏感数据的重点保护，是当前数据安全领域关注的重点之一.由于数据是流动的，可以基于数据生命周期各阶段识别风险，识别出关键业务场景存在的数据安全风险.一方面针对识别出的风险，按照相应数据资产的安全等级部署差异化技术工具；另一方面对数据安全情况进行监测和情报收集，为数据安全风险预测提供技术侧数据输入.

3.2.4 常态化的数据安全运营活动

数据安全运营除了落实整个数据安全治理体系要求外，通常会采取相应的手段，保障数据安全治理模型的可持续改进，包括数据安全审计、数据安全风险评估、数据安全举报投诉处置，不断地发现问题；数据安全问题一旦发生后采取良好的应急手段，使得业务尽快得以恢复，将损失降到最低；在数据安全事件发生之后，总结经验教训，并对相关人员进行培训等.上述这些常态化的数据安全运营活动结果为数据安全风险识别提供管理侧的数据安全情报.

3.2.5 数据安全事件的预警/拦截

基于业务场景的风险分析进行的数据安全事件的预警监测，明显地区别于聚焦传统网络安全的边界防御、静态性、多误判的特点.具体为对上述管理侧和技术侧的数据安全情报进行集中分析处理；重点将安全审计、安全评估、应急响应情况以及组织自身形成的数据安全管理要求进行梳理，形成数据安全基本判别基线，是数据安全风险监测系统安全策略的输入；接下来，在具体的业务中根据业务自身特点进行相关参数的调优，细化到为本业务各行为活动的组成因素设定相应的阈值，从而减少仅根据相对宽泛的安全基线的判别，而将大量正常业务行为判别为安全事件，产生大量告警的情况，做到精准预警和及时拦截.

3.2.6 数据安全态势预判

数据安全风险态势预判，是在对当下发生的数据安全风险有效识别的基础上进行的数据安全事件事后经验积累转化的最佳形态，能对未来可能发生的数据安全事件进行有效的预防.数据安全风险态势预判的方式是将所有的业务系统、数据处理系统进行全量接入，对组织的业务行为活动进行集中采集；以安全专家的专业建议及历史已发生的数据安全事件数据为支撑，采用预测算法模型对各类业务活动行为要素组合后的结果进行判别，并从多维度(系统用户、数据资产、应用等)进行分析和展现.此过程为数据安全运营人员进行风险预防处置提供支撑，识别出需优先处置的对象和在正常状态下不容易发现的数据安全风险，最大化地避免数据安全事件的发生，例如长期的内部人员无意识的数据安全泄露行为、第三方运维人员因利益驱使在正常的运维业务行为中窃取数据的行为等.

4 结束语

数字经济快速发展至今，世界各国都将数据资产作为可能影响国家安全的重要资源，纷纷采取行动，颁布数据安全相关的法规、条例，全面提升数据安全能力.涉及数据安全处理活动的组织一方面需要面临相关的数据安全政策的制约，另一方面又希望保护好可能会影响到组织切身利益的数据.所以，除了做好数据安全合规工作之外，还需要切实落实数据安全相关要求，基于组织自身业务场景，将保障业务战略目标作为动能是数据安全能力可持续的关键要素，也是数据安全风险精准管控的关键.