“數據安全治理” 這個詞大家并不陌生，但是如何做好數據安全治理，很多用戶卻不清楚從何著手，對數據的合規利用也毫無頭緒。今天我們結合《數據安全法》來講解一下，如何才能做好數據安全治理，數據安全治理的步驟有哪些？

　　數據安全治理的本質

　　數據因流動產生價值。企業內部的數據會在整個企業內部、甚至更大的范圍內共享，如果想要保障數據被安全使用，那么就不能任由個人或部門各行其是地處置他們的數據，數據活動需要在一個企業的規范框架約束下進行。如果數據是敏感或關鍵性的，那么使用、傳輸或存儲這類的數據，會需要特別的處置，這種情況下也不能任由個人或部門各行其是，而是需要在一個企業的安全策略框架約束下進行。

　　企業數據安全治理的本質是建立一組企業的“數據法規”，由這些法規來規范企業所有人員的所有數據活動。

　　數據安全治理的定義

　　Gartner提出，數據安全治理不僅僅是一套用工具組合的產品級解決方案，而是從決策層到技術層，從管理制度到工具支撐，自上而下貫穿整個組織架構的完整鏈條。組織內的各個層級之間需要對數據安全治理的目標和宗旨取得共識，確保采取合理和適當的措施，以最有效的方式保護信息資源。

　　數據安全治理的步驟

　　Gartner建議，對數據進行數據安全治理，建立以人為中心，自上而下的數據安全治理體系。數據安全治理分為以下幾個步驟：

　　數據的分級分類

　　從風險角度看，首先，公司有哪些數據是最重要的數據，把這些最重要的數據區分出來，對數據進行分級分類，然后，根據誰會使用這些數據來去做什么，形成數據安全的策略。

　　很多企業單位在開始去做數據安全分級分類的時候，面對海量數據不知如何入手。我們建議從業務入手，自上而下的進行數據梳理。我們要做一個分級分類的指南，需要定位到數據最后落地的點，以及數據以什么形態存在。我們按照普遍性原則來看，可以把數據定義成1~5級的這種模式。

　　制定數據安全策略

　　通過第一步的數據梳理，我們可以了解到此類業務數據分布在何處，誰會去使用這些數據去做什么樣的事情，誰可能去接觸到這些數據？此類數據泄露或者丟失會帶來什么樣的后果。經過綜合指數加權計算，我們可以得到某種數據泄露的風險值，根據風險值來對數據分級，比如級別定成公開、機密、絕密，不同級別數據需要采取什么樣的策略，監控、阻止、告警、加密等。

　　采取的數據安全管理技術我們根據數據的分級分類，結合業務，決定采用何種數據安全技術作為支撐。通常采取的技術有6類，分別是：DLP、UEBA、CASB、IAM、加解密、DCAP。

　　數據安全治理涉及到的產品

　　DLP

　　DLP通過對數據的內容的識別，對數據的存儲、使用和傳輸對它進行發現和保護。比如有一個word文檔，在 Word文檔里面有一張圖片，圖片里面可能是通過屏幕截圖的方式去截下來一個 Excel表，這個表里面的內容是姓名、身份證號和信用卡號， DLP能通過內容識別發現，知道這個Word文檔里面包含了多少個身份證號。

　　UEBA

　　UEBA技術是對人的行為進行分析的技術，它的核心點是人。我們所有的數據泄露都是通過人的行為完成的。我們要去抓住“壞人”，就是通過UEBA對人的行為進行分析。采用行為分析的方式，可以在一大堆的“好人”里面發現有誰干了壞事。“壞人”總是會干一些異常的事情，UEBA通過行為的采集，就知道誰在整個數據使用的過程中，誰做了哪些動作，或者操作了哪些數據。通過大量的數據的獲取，基于網絡的、協議的行為，比如你上網都訪問了什么樣的網站，外發了那些敏感數據、在電腦上做了哪些操作等等，把所有的操作行為，放在基于人工智能算法的系統里進行分析，看究竟誰做了什么樣的壞事。這種分析會把每個人自己的當前的行為和過去的行為進行比較，和你周圍同事的行為進行比較。

　　CASB

　　CASB主要是用來保護云端的數據，現在越來越多的金融企業開始使用SaaS服務模式。CASB主要是為了解決影子IT的問題，保護企業使用SaaS服務時潛在的數據安全風險。

　　CASB對于云安全的重要性，就像防火墻對于網絡安全一樣。

　　各種SaaS服務，在一些服務中充滿了數據安全的陷阱，比如對上傳數據的所有權聲明、對用戶操作和行為的監控、服務商自身的安全保護等，很容易造成企業員工在使用非企業IT評估過的SaaS服務時泄露企業的核心數據資產。通過CASB技術，能有效的保護企業員工訪問低風險級別的SaaS服務。

　　IAM

　　IAM就是身份與訪問的管理。所有對數據能產生威脅的都是人，無論這個人員來自于內部還是外部，所有的動作都是人在操作。做數據治理的時候需要首先明確人員的身份，誰，使用什么樣的設備，可以訪問哪些敏感數據，可以訪問哪些應用系統中的哪些模塊。

　　加解密

　　加解密是針對數據的可用性采用的非常強有力的管理手段。加密是指看不見、打不開、拿不走。數據一旦做了加密之后，如果不具備相應的權限，就無法看見這些內容。加解密往往應用在對數據的保護級別非常高的場景，因為伴隨加解密的同時往往是大量計算資源的投入和業務處理的不便捷性。

　　DCAP

　　DCAP是指對數據的審計與保護。我們對數據在企業的使用，需要有一個可視化的管理，能發現誰使用了哪些數據，這些數據是怎樣流動的，通過DCAP技術能知道誰在去讀寫或者獲取這些敏感數據。