數據安全與數據治理

前段時間某站數據庫被脫，海量用戶數據在暗站售賣，關于數據安全與數據治理再次被提升到一個高度，也成了眾安全從業者頭疼的問題，無論是運營商、企業、個體對于數據的管理需對用戶，對社會團體負應盡的責任。與業務無關的數據堅決不采集，對于業務相關的數據也需安全存儲。
以下博主就和大家討論下企業關于數據安全與數據整理的相關問題。
先解釋個某安全廠商所提的“統一安全內容中心”的概念：

1、SWG WEB安全網關
針對高級威脅和數據竊取的最有效防護
2、SEG 郵件安全網關
針對混合×××和定向×××的最先進郵件防護
3、DLP 數據防泄漏
采用深層內容分析，對靜態、傳輸中及使用中的數據進行 識別、監控、保護，擁有用戶及目的地感知的特色功能
4、Cloud接入安全云
對任意地點的 web及 郵件提供最佳防護，并且擁有最低的總體擁有成本和最輕松的部署
5、Mobile移動安全
對移動數據特有的有效防 護，針對竊取、遺失, 惡意 app

上述維度建立統一的安全內容數據中心，分維度保護企業內部數據安全與數據處理。

對于企業信息安全，若想得到結構性的保障就需要有一個 系統性信息安全支撐體系。無論這個體系采用什么樣的參考 框架，都需要考慮四個關鍵的構成要素，即人員People過程 Process 、、技術Technology和數據Data (PPTD)，其中:
? 人員是過程執行的資源;
? 過程是組織的系統性能力;
? 技術是過程有效性的支撐;
? 數據是過程執行的驅動。
技術安全措施是滿足企業信息 安全需求的三類安全措施之一， 也是其中最重要、最復雜的，因 此需要通過架構的設計來保證技 術控制之間的協同以及與其它安 全控制的協同。

風險的核心是圍繞著業務支撐或業務產生的資產，并取決于資產
自身的脆弱性和已采取的安全措施，因此安全技術有效性評估策略包括:
? 面向業務/業務資產的有效性評估 ? 面向威脅方的有效性評估
? 面向脆弱性的有效性評估
? 綜合加權的有效性評估

數據防泄密： 以集中策略為基礎，采用深層內容分析， 對靜態數據，傳輸中的數據及使用中的數據 進行識別，監控，保護的相關機制
數據防護所覆蓋的生命周期：

數據防泄密博主認為需要從以下三個維度治理：組織、制度、技術
所以那些技術蠻力者一心覺得技術可以解決一切問題的蠻力者，這也是博主把技術放到最后的緣故。
組織保障：
? 自上而下梳理并定義管 理層、業務部門、實施 部門、合規監控及審計 部門等的相關職責;
? 從組織上推動數據防泄 漏管控的實施。
制度保障：
建立或完善數據防泄漏總體策略、數據防泄漏管理辦法、數據防泄漏明細策略(面向數據)
及具體的操作流程;從制度體系上支撐數據防泄漏工作。
技術保障：
采用成熟、專業的數據庫防泄漏技術平臺，落實管理層認可的詳細策略，通過平臺實現數據外泄行為的記錄、告警及阻斷;從技術上實現數據防泄漏目標

只有三者有效的結合才能形成有效的體系，可持續化的為公司核心重要數據進行保駕護航。

數據防護整體機制：