8月30日，【奇安信(688561)、股吧】集團(tuán)正式發(fā)布“數(shù)據(jù)安全能力框架”（簡(jiǎn)稱(chēng)：能力框架）及“數(shù)據(jù)安全運(yùn)行構(gòu)想圖”（數(shù)據(jù)安全ConOps），將抽象的數(shù)據(jù)安全體系具象化、可視化，受到業(yè)內(nèi)廣泛關(guān)注。本文應(yīng)廣大客戶(hù)要求，詳解數(shù)據(jù)安全運(yùn)行構(gòu)想圖，以饗讀者。

　　我國(guó)首部與數(shù)據(jù)安全相關(guān)的法律《數(shù)據(jù)安全法》已于9月1日正式實(shí)施，隨著數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展，數(shù)字化程度的不斷加深，數(shù)據(jù)安全直接關(guān)乎國(guó)家安全，也成為企業(yè)安全經(jīng)營(yíng)的生命線(xiàn)。筑牢數(shù)據(jù)安全防線(xiàn)成為維護(hù)國(guó)家安全和國(guó)家競(jìng)爭(zhēng)力的戰(zhàn)略需要，也成為全社會(huì)各行業(yè)組織、企業(yè)、機(jī)構(gòu)必須承擔(dān)的責(zé)任和義務(wù)。

　　《數(shù)據(jù)安全法》明確了幾個(gè)關(guān)鍵：一是國(guó)家建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度；二是開(kāi)展數(shù)據(jù)處理活動(dòng)以及研究開(kāi)發(fā)數(shù)據(jù)新技術(shù)，應(yīng)當(dāng)有利于促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展，增進(jìn)人民福祉，符合社會(huì)公德和倫理；三是建立健全數(shù)據(jù)交易管理制度，規(guī)范數(shù)據(jù)交易行為，培育數(shù)據(jù)交易市場(chǎng)；四是不得竊取或以其他非法方式獲取數(shù)據(jù)；數(shù)據(jù)交易中介服務(wù)機(jī)構(gòu)應(yīng)要求數(shù)據(jù)提供方說(shuō)明數(shù)據(jù)來(lái)源、審核交易雙方身份；五是建立健全數(shù)據(jù)安全管理制度，保障政務(wù)數(shù)據(jù)安全。

　　奇安信發(fā)布的數(shù)據(jù)安全能力框架、數(shù)據(jù)安全運(yùn)行構(gòu)想圖及配套舉措建議，為客戶(hù)完整地提供了數(shù)據(jù)安全全局治理的體系建設(shè)方法論，以及落地思路與工具。能夠幫助用戶(hù)設(shè)計(jì)和構(gòu)建業(yè)務(wù)場(chǎng)景的數(shù)據(jù)安全體系和解決方案，全景展現(xiàn)了數(shù)據(jù)安全治理到技術(shù)體系落地的貫穿過(guò)程，以及安全能力在數(shù)據(jù)安全相關(guān)的信息化各層的工程化落地方法。

　　數(shù)據(jù)安全能力框架共包含567個(gè)能力組件，這些組件全面內(nèi)生于數(shù)字化環(huán)境的方方面面，是數(shù)據(jù)安全治理成果轉(zhuǎn)化落地到技術(shù)和管理實(shí)踐的承載點(diǎn)，這些組件結(jié)合起來(lái)，可實(shí)現(xiàn)彈性擴(kuò)展、自適應(yīng)和自生長(zhǎng)，滿(mǎn)足政企客戶(hù)不斷變化的數(shù)據(jù)安全需求，不同行業(yè)在數(shù)據(jù)安全的體系建設(shè)與運(yùn)行過(guò)程中，都可以按需選擇、有序分布。

　　數(shù)據(jù)安全運(yùn)行構(gòu)想圖，則為政企機(jī)構(gòu)直觀、形象地展現(xiàn)了有效運(yùn)轉(zhuǎn)數(shù)據(jù)安全這個(gè)復(fù)雜系統(tǒng)的全貌：從策略到流轉(zhuǎn)，再到應(yīng)用組件控制與網(wǎng)絡(luò)計(jì)算環(huán)境的多層次結(jié)合。

　　運(yùn)行構(gòu)想圖：貫穿治理先行、規(guī)劃設(shè)計(jì)到技術(shù)落地

　　目前業(yè)內(nèi)談到數(shù)據(jù)安全，普遍只提及了數(shù)據(jù)治理，或是細(xì)致的單一落地技術(shù)點(diǎn)，缺乏一套真正將數(shù)據(jù)安全治理的結(jié)果轉(zhuǎn)化為技術(shù)落地，并真正運(yùn)行起來(lái)的體系建設(shè)全景。

　　數(shù)據(jù)安全運(yùn)行構(gòu)想圖采用系統(tǒng)工程的方法，從數(shù)據(jù)安全運(yùn)行視角，以新型數(shù)據(jù)中心的業(yè)務(wù)場(chǎng)景為依托，基于業(yè)務(wù)到技術(shù)實(shí)現(xiàn)的層次化視角，囊括了數(shù)據(jù)安全應(yīng)具備的三個(gè)狀態(tài)：治理態(tài)、規(guī)劃態(tài)和運(yùn)行態(tài)，細(xì)致展現(xiàn)了數(shù)據(jù)安全治理結(jié)果轉(zhuǎn)化到規(guī)劃設(shè)計(jì)、技術(shù)落地的過(guò)程。

　　四個(gè)層次：解決全周期全流程的數(shù)據(jù)安全需求

　　奇安信數(shù)據(jù)安全運(yùn)行構(gòu)想圖分為四個(gè)層次，分別是數(shù)據(jù)策略中心層、數(shù)據(jù)流轉(zhuǎn)管控層、數(shù)據(jù)應(yīng)用安全能力層和數(shù)據(jù)中心安全能力層，滿(mǎn)足全周期、全流程的數(shù)據(jù)安全需求。這四個(gè)層次涵蓋了業(yè)務(wù)規(guī)則、資源流轉(zhuǎn)、應(yīng)用能力、產(chǎn)品部署，并與能力框架中的各類(lèi)策略清晰對(duì)應(yīng)。

　　1）數(shù)據(jù)策略中心層 重點(diǎn)是健全數(shù)據(jù)安全管理制度，能根據(jù)數(shù)據(jù)安全治理的結(jié)果，構(gòu)建相應(yīng)的數(shù)據(jù)安全策略。數(shù)據(jù)的使用與安全策略，主要由如大數(shù)據(jù)主管部門(mén)、數(shù)字化主管部門(mén)、法務(wù)合規(guī)部門(mén)、審計(jì)部門(mén)等聯(lián)合制定。

　　數(shù)據(jù)策略中心層，能幫助機(jī)構(gòu)明確數(shù)據(jù)安全所需的組織、規(guī)范、制度、流程等；同時(shí)從業(yè)務(wù)場(chǎng)景、應(yīng)用邏輯出發(fā)，基于數(shù)據(jù)在組件間的數(shù)據(jù)流轉(zhuǎn)和數(shù)據(jù)脈絡(luò)、主體身份視圖、客體數(shù)據(jù)資源視圖、主客體之間的訪問(wèn)關(guān)系、數(shù)據(jù)標(biāo)簽、數(shù)據(jù)分類(lèi)分級(jí)等數(shù)據(jù)安全治理階段的成果，構(gòu)建基于“主客體”數(shù)據(jù)訪問(wèn)的業(yè)務(wù)權(quán)限策略以及數(shù)據(jù)的安全策略，并形成數(shù)據(jù)流轉(zhuǎn)管控策略、應(yīng)用安全能力策略、產(chǎn)品策略，并分發(fā)到數(shù)據(jù)流轉(zhuǎn)控制層、數(shù)據(jù)應(yīng)用安全能力層以及數(shù)據(jù)中心能力層。。

　　2）數(shù)據(jù)流轉(zhuǎn)控制層，重點(diǎn)是確保數(shù)據(jù)的流轉(zhuǎn)有序合規(guī)，規(guī)范數(shù)據(jù)使用與交易行為，對(duì)數(shù)據(jù)進(jìn)行全面梳理和有效防護(hù)。通俗地解釋?zhuān)褪悄軇?dòng)態(tài)精準(zhǔn)地控制“什么部門(mén)的什么人，在什么地方、因?yàn)槭裁慈蝿?wù)，訪問(wèn)什么數(shù)據(jù)里的什么字段”。

　　數(shù)據(jù)流轉(zhuǎn)控制層，能全面梳理數(shù)據(jù)資產(chǎn)，確定適當(dāng)?shù)臄?shù)據(jù)安全等級(jí)，并根據(jù)風(fēng)險(xiǎn)情況、威脅場(chǎng)景、業(yè)務(wù)分工、數(shù)據(jù)特征等設(shè)定多樣化的屬性標(biāo)簽，利用新型的數(shù)據(jù)屬性技術(shù)體系，全方位描述與數(shù)據(jù)安全管控可能相關(guān)的數(shù)據(jù)信息；結(jié)合數(shù)據(jù)流轉(zhuǎn)，構(gòu)建數(shù)據(jù)脈絡(luò)和數(shù)據(jù)地圖；通過(guò)清晰管控?cái)?shù)據(jù)的流轉(zhuǎn)，并結(jié)合數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)、數(shù)據(jù)安全態(tài)勢(shì)感知等，發(fā)現(xiàn)非法用戶(hù)竊取數(shù)據(jù)等異常行為；根據(jù)數(shù)據(jù)流轉(zhuǎn)與管控策略，以“權(quán)限最小化”原則進(jìn)行授信，通過(guò)零信任體系進(jìn)行動(dòng)態(tài)評(píng)估，實(shí)現(xiàn)對(duì)數(shù)據(jù)的動(dòng)態(tài)、細(xì)粒度訪問(wèn)控制；對(duì)數(shù)據(jù)使用行為留痕，為實(shí)時(shí)的監(jiān)測(cè)響應(yīng)和審計(jì)提供支撐；依據(jù)數(shù)據(jù)交易制度，審核交易主體身份、客體資源，所有交易記錄留痕，利用數(shù)據(jù)沙箱的技術(shù)，規(guī)范數(shù)據(jù)的交易行為。

　　3）數(shù)據(jù)應(yīng)用安全能力層， 重點(diǎn)是數(shù)據(jù)的防竊密、防泄密、防濫用，通過(guò)去標(biāo)識(shí)化、匿名化、脫敏等安全能力實(shí)現(xiàn)對(duì)個(gè)人隱私數(shù)據(jù)保護(hù)，并對(duì)重要數(shù)據(jù)存儲(chǔ)進(jìn)行加密。

　　數(shù)據(jù)應(yīng)用安全能力層，基于業(yè)務(wù)系統(tǒng)的邏輯和應(yīng)用架構(gòu)，將業(yè)務(wù)系統(tǒng)各應(yīng)用組件層和各組件之間的邏輯關(guān)系呈現(xiàn)出來(lái)；同時(shí)，將所需要的安全能力嵌入到每個(gè)組件中，實(shí)現(xiàn)安全能力與應(yīng)用的內(nèi)生融合，如：業(yè)務(wù)系統(tǒng)采用微服務(wù)架構(gòu)，應(yīng)用與服務(wù)、服務(wù)與服務(wù)之間通過(guò)API通信，需要在業(yè)務(wù)系統(tǒng)中內(nèi)置API安全管控與防護(hù)能力；根據(jù)數(shù)據(jù)安全治理的成果做相關(guān)的安全保護(hù)（如加密、脫敏、去標(biāo)識(shí)化等）。

　　應(yīng)用安全能力策略的落地會(huì)集中在這一層。根據(jù)內(nèi)置的內(nèi)容識(shí)別引擎和數(shù)據(jù)密級(jí)進(jìn)行控制，對(duì)違規(guī)訪問(wèn)的數(shù)據(jù)進(jìn)行攔截，防竊密，防泄密，防止數(shù)據(jù)的濫用等；涉及到個(gè)人隱私數(shù)據(jù)訪問(wèn)，進(jìn)行脫敏、去標(biāo)識(shí)化等保護(hù)個(gè)人信息；對(duì)重要數(shù)據(jù)的存儲(chǔ)進(jìn)行加密等。

　　4）數(shù)據(jù)中心安全能力層，重點(diǎn)是保障數(shù)據(jù)的載體和業(yè)務(wù)運(yùn)行環(huán)境的安全，包括安全區(qū)域劃分、邊界網(wǎng)絡(luò)安全棧、服務(wù)器加固、系統(tǒng)安全等。

　　數(shù)據(jù)中心安全能力層，以體系化的方式，保障數(shù)據(jù)運(yùn)行環(huán)境的安全，數(shù)據(jù)中心安全區(qū)域劃分，保證了不同安全等級(jí)業(yè)務(wù)在適合的區(qū)域運(yùn)行、不同安全等級(jí)數(shù)據(jù)的有效隔離；數(shù)據(jù)中心網(wǎng)絡(luò)安全棧防護(hù)，做好邊界安全的防護(hù)抵御外部攻擊；服務(wù)器加固與防護(hù)并對(duì)應(yīng)用和中間件進(jìn)行持續(xù)監(jiān)控保護(hù)，防止服務(wù)器遭受APT和0DAY攻擊；面向資產(chǎn)、配置、漏洞、補(bǔ)丁的系統(tǒng)安全，解決了資產(chǎn)不清、配置不明、漏洞分布不知、補(bǔ)丁修復(fù)緩慢等問(wèn)題。

　　數(shù)據(jù)安全運(yùn)行構(gòu)想圖中，各層級(jí)之間的有效聯(lián)系與運(yùn)轉(zhuǎn)，可以從兩個(gè)方向上來(lái)理解：一是自上而下看，是策略的逐層實(shí)現(xiàn)與落地；二是自下而上看，是從產(chǎn)品部署到應(yīng)用能力，再到業(yè)務(wù)流轉(zhuǎn)及邏輯規(guī)則的支撐與提煉。

　　政企機(jī)構(gòu)可以按圖索驥，從“管理、技術(shù)、運(yùn)行”三方面來(lái)開(kāi)展數(shù)據(jù)安全的治理與防護(hù)工作，基于數(shù)據(jù)應(yīng)用場(chǎng)景、業(yè)務(wù)邏輯與數(shù)據(jù)的流轉(zhuǎn)，以數(shù)據(jù)安全治理為前提，在進(jìn)行數(shù)據(jù)安全組織建設(shè)、制度建設(shè)與數(shù)據(jù)資產(chǎn)梳理及分級(jí)分類(lèi)的前提下，進(jìn)行數(shù)據(jù)安全防護(hù)設(shè)計(jì)，并通過(guò)數(shù)據(jù)安全態(tài)勢(shì)感知進(jìn)行數(shù)據(jù)安全運(yùn)營(yíng)，從數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)流動(dòng)態(tài)勢(shì)、數(shù)據(jù)風(fēng)險(xiǎn)分析、用戶(hù)行為分析等維度，促進(jìn)數(shù)據(jù)安全治理的閉環(huán)形成，讓數(shù)據(jù)安全能力與日俱增。