前言

在《网络安全法》中，虽然已经明确了要求保障网络数据的完整性、保密性、可用性的能力，但随着近些年数据安全热点事件的出现， 如：数据泄露事件、个人信息滥用事件。表明对数据保护的要求仅依赖《网络安全法》中的几款条例是不足以支撑的。因此2021年9月1日《中华人民共和国数据安全法》便正式诞生，从此数据安全也被推上了风口浪尖。

• 那么数据安全如何定义？
• 与传统网络安全有何区别？
• 数据安全体系又应该如何建立？

一、数据安全概述

笔者认为数据安全与传统网络安全、信息安全属于递进关系。数据安全应当建立一套独立于传统网络安全的新体系。

其实人们早早便认识到数据安全的重要性，目前但大部分设备或策略都集中在存储中的数据，例如数据加密、数据备份，因为该类数据泄露问题是最显而易见的。

而在传输过程中并不那么重视，以传统TCP/IP五层通信模型为例。数据仅存储于应用层之中，但整个通讯协议是通过全栈(物理层、数据链路层、网络层、传输层、应用层)协议共同完成。当然，传统网络安全设备也有很多设备会针对数据包的应用层检测和处置。WAF便是其中之一的典型设备，但该类设备通常更关注“业务连续性”层面，大量规则库均以检测攻击为目的，极少考虑数据传输泄露问题。

以上陈述，显而易见。建立一套数据安全防护体系是必要的，我们应当从数据全生命周期逐一进行防护，独立于传统网络安全之外。
参照GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》
数据生命周期安全过程¹具体包括:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全

---

一、数据安全准备阶段

1.数据收集(数据识别)

通过人工读取或设备抽取的方式，将各个数据库中的所有数据全部收集起来。

2.数据分类分级

将上述收集的数据，参考行业监管单位颁布的指南进行分类分级。

尽管《数据安全法》²已提出数据分类分级制度建立要求，但目前走在前沿的行业为工业与金融，其他行业(部门子行业存在相关指南或条例，例如烟草、税务)暂没有颁布相关指南或制度。

工业：工信部颁布《工业数据分类分级指南（试行）》
金融：银保监颁布《JR/T 0197-2020 金融数据安全 数据安全分级指南》

没有参考指南的话，也可以参考其他行业标准结合企业/单位自身情况进行分类分级。该动作对上级监管单位的制度编制也有一定价值。

二、数据安全技术体系建设

1.数据安全技术体系特性

根据概述可知，数据安全递进于网络安全，数据安全需要基于数据生命周期进行体系化建设。数据安全体系化其一是依赖管理制度的设立和执行，其二便是需要相关安全设备的联防联动。在当下的市场环境，想要统一各设备接口是相当困难的，目前建设体系化最好的方式便是基于自身需求结合各厂商优劣势选用整套某一厂商数据安全设备。

2.传统存在的数据安全产品复用

传统网络安全体系中，原有部分针对数据进行防护。以下是传统安全体系中的，数据安全相关设备的简介³。

• 数据库审计：以安全事件为中心，以全面审计和精确审计为基础，实时记录网络上的数据库活动，对–数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行实时告警。它通过对用户访问数据库行为的记录、分析和汇报，来帮助用户事后生成合规报告、事故追根溯源，同时通过大数据搜索技术提供高效查询审计报告，定位事件原因，以便日后查询、分析、过滤，实现加强内外部数据库网络行为的监控与审计，提高数据资产安全。

• 数据库防火墙：数据库防火墙系统，串联部署在数据库服务器之前，解决数据库应用侧和运维侧两方面的问题，是一款基于数据库协议分析与控制技术的数据库安全防护系统。DBFirewall基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。

• 数据防泄漏：数据防泄漏可以通过数据库加密实现核心数据加密存储，可以通过数据库防火墙实现批量数据泄漏的网络拦截，也可以通过数据脱敏实现外发敏感数据的匿名化，这些数据库安全技术可以实现数据防泄漏问题。

• 数据脱敏系统：数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。在涉及客户安全数据或者一些商业性敏感数据的情况下，在不违反系统规则条件下，对真实数据进行改造并提供测试使用，如身份证号、手机号、卡号、客户号等个人信息都需要进行数据脱敏。

3.数据安全设备近年新增类型

近年由相关法律法规、事件推动的设备类型⁴。

• 数据发现（数据识别）类：该类平台通常提供数据发现、识别、分类、分级、敏感数据发布、监控、审计、风险评估等功能。

• 数据安全运营平台类：该类平台通常通过对数据审计、数据防火墙、数据加密、数据脱敏等各种数据安全产品采集的信息进行集中处理，形成统一的大数据日志存储。在此基础上，将多种异构数据进行归一，并进行关联分析，将数据资产分布状况、敏感数据访问行为进行动态展示，并预测数据资产可能面临的泄露风险。建设数据安全体系的核心产品

• 数据漏洞扫描：对当前的数据库系统进行自动化安全评估的专业软件，能有效暴露当前数据库系统的安全问题，对数据库的安全状况进行持续化监控。

• 数据沙箱：创造并管理了独立的数据使用空间，其内部管理的数据通过数据置换、数据加密等方式屏蔽了敏感信息而又保留了业务特征。操作人员可以安全的在特定空间区域里探索数据、开发程序，成果可即时保留，而数据空间也可回收再利用。

二、数据安全管理体系建设

参照GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》结合实际的工作经验，笔者认为以下安全能力维度需要管理制度支撑：

• 组织建设:数据安全组织的设立、职责分配和沟通协作;
• 制度流程:组织数据安全领域的制度和流程执行;

1.组织建设

理论上组织建设应当覆盖组织机构内每一层级

• (决策层)数据安全领导小组：指定机构最高管理者或授权代表担任小组组长,并明确组长责任与权力，从业务发展和数据安全结合的视角制定数据安全体系建设的策略和方针；

• (管理层)数据管理小组：以信息科主任为主导，协调其余核心业务部门领导，从数据安全体系建设的策略和方针制定相关具体制度，监督执行层工作；

• (执行层)数据安全小组：以信息科为主导，另外在每一核心核心业务部门中选取一人作为数据安全小组成员，落实该部门执行制定的管理制度；

2.制度流程

具体制度流程应当按照数据安全领导小组制定的数据安全体系建设的策略和方针结合数据数据生命周期安全过程进行制定。在每一阶段中，需要制定的管理制度可参考GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》中的PA(过程域、上图)。

---

1. 图源于《信息安全技术 数据安全能力成熟度模型》 ︎

2. 《数据安全法》第二十一条描写：“国家建立 数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作 协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。” ︎

3. 简介均源于百度百科，各厂商具体定义会有略微不一致，理解大方向概念即可。 ︎

4. 简介均源各厂商公开资料，厂商之间一类产品会有小部分不一致。 ︎