随着5G、云计算、物联网、人工智能等新兴技术与大数据应用的深度融合，数据安全的重要性日益凸显。据Security Scorecard的研究显示，全球超过90%的大型能源公司遭遇了数据泄露事件[1],这一事实揭示了数据安全防护的迫切需求。当前,数据安全保护模式正从以网络为核心转变为以数据为中心,安全管控和防护措施也由硬件层面扩展到更复杂的策略层面和软件层面的纵深防御。本文以能源行业A集团数据安全管控体系建设为例,研究和探讨如何构建数据安全过程管理框架,包括数据安全风险识别“二表”(数据安全威胁风险评估表和数据安全威胁防护评估表)、数据安全风险“九原因”、数据安全管控“三体系”(数据安全监测体系、安全管控体系、安全保障体系),简称“293”框架,从而确保数据全生命周期中的安全,它是一种集中管理和保护数据的解决方案。A集团通过数据安全的系统性研究,为相关企业提供了可资借鉴的示范案例。
　　
　　一、数据安全环境现状
　　
　　1.1全球数据安全态势
　　
　　随着数字化转型的深入发展,数据安全问题日益凸显,造成的损失也在迅速上升。根据IBMSecurity发布的2023年数据泄露成本报告,全球数据泄露的平均成本已上升至445万美元,较过去三年增长了15%[2]。在成本构成中,安全漏洞的检测与修复费用增长了42%,安全漏洞占总成本的比值快速上升,这表明,企业应对漏洞的调查和处理正在变得更加复杂[3]。
　　
　　为应对这一挑战,全球多个国家和地区纷纷出台数据保护法规,如欧盟的《通用数据保护条例》(General Data Protection Regulation,GDPR)[4]、《加利福尼亚消费者隐私法案》(California Consumer Privacy Act,CCPA)[5]、新加坡《个人数据保护法》(Personal Data Protection Act,PDPA)[6]和韩国的《个人信息保护法》(PersonalIn for mation Protection Act,PIPA)[7]等。与此同时,我国也出台了《国家安全法》《网络安全法》《网络安全审查办法》《数据安全法》和《个人信息保护法》等一系列法律法规[8],以及GB/T35274-2017、GB/T37988-2019等技术标准[9],为企业数据安全合规提供了明确指导。然而,法规政策的滞后性和实践操作的局限性仍然存在,导致数据泄露和隐私侵权事件频繁发生。目前,国内数据安全主流的建设思路,依然采取硬件加软件堆叠的方式,无法从根源上解决数据安全管理难题。因此,数据安全保护不仅是一个技术挑战,也是一个法律合规议题,更是一个管理难题。数据安全的技术实践、合规实践的研究十分丰富,但缺乏一个用统合的管理视角来系统化审视数据安全,这也本研究需要重点解决的问题。
　　
　　1.2 A集团的信息安全挑战
　　
　　A集团在信息安全方面面临的挑战,主要源于传统的管理模式和技术架构,包括不完善的信息安全组织架构、缺乏统一的信息管理制度、员工信息安全意识薄弱,以及过时的信息安全技术等。为了应对这些挑战,A集团开始构建一个全新的数据安全监测体系。
　　
　　全球信息安全发展的主要技术趋势集中在两个核心范式上:一是以身份为中心的范式,该范式通过实施“最小权限”原则和采用零信任架构来强化访问控制;二是以数据为核心的范式,该范式强调在数据全生命周期中的保护,涵盖数据存储、访问权限和综合管理。这两种技术路径为实现全面的数据安全保护提供了方向[10]。
　　
　　然而,A集团的信息安全现状与全球信息安全最佳实践存在系统性的差距,包括体系层面的技术架构[11]、安全策略[12]、风险评估[13]等。因此,A集团需要借鉴全球信息安全最佳实践,从技术、管理和法律等多个角度出发,全面提升信息安全水平。
　　
　　二、构建数据安全监测体系
　　
　　基于A集团的数据安全现状,A集团创新性的构建了数据安全监测体系,包括数据风险识别和数据风险根因分析。通过系统性的方法识别和评估潜在数据安全风险,包括量化识别风险产生的可能性、数据安全威胁的影响程度以及对风险根源的深入分析。在此过程中,综合考虑了内外部因素,例如系统漏洞、管理缺陷、法律合规性的不足以及其它内外部威胁等,从而构建一个全面的数据安全管控体系框架,有效应对数据安全风险。
　　
　　2.1数据安全风险识别和评估方法
　　
　　构建一个全面的数据安全分析及管控体系,离不开有效的量化识别和评估工具。这些工具确保组织能够对识别的风险采取适当的防御措施,并实现数据安全的持续改进和优化。在量化评估工具的基础上,定期和持续的评估监测也是必不可少的,有助于及时发现新的风险和风险变化,而数据安全管控平台则确保安全措施得到有效执行。
　　
　　在A集团的数据安全实践中,我们创新性地开发了两个关键量化评估工具,即数据安全威胁风险评估表和防护评估表,简称“二表”。这两个工具分别覆盖了安全防护的“策略”和“工具”两个维度,二者的相互配合对于提高防护效能至关重要。通过这些量化评估工具的应用,组织能够对风险进行常态量化评估,主动识别安全管理中的薄弱环节,并据此制定针对性的加固措施。这种方法的结合使用能够及时准确识别和评估各种安全风险,为制定有效安全策略和提升安全主动防护效率提供了科学依据。
　　
　　2.1.1威胁风险识别方法
　　
　　威胁风险评估表通过以下四个关键维度进行量化分析,旨在精确评估数据安全风险[14]。
　　
　　(1)资产重要性:该指标通过对资产的价值及其对组织的重要性进行评分,量化资产的相对重要性。例如,若某项“商业机密”的价值为人民币1000万元,组织总资产价值为人民币2000万元,则资产重要性为C=1000万元/2000万元=0.5。
　　
　　(2)节点影响价值:该指标用于量化特定节点(如数据库服务器、备份服务器等）对资产安全性的影响程度，揭示节点在维护资产安全中的关键作用。
　　
　　(3)节点维度:这一维度代表组织信息安全体系中的各个环节,例如数据库服务器,它是威胁可能发生的具体区域或平台。
　　
　　(4)威胁程度:该指标基于威胁可能引发的潜在危害或实施难度进行评分。这一评分通过专用设备或服务的支持,并结合实地走访、调研获取数据,量化特定威胁的危害程度或潜在威胁水平。
　　
　　综合这四个维度进行分析,可以更准确地评估数据安全风险,并为制定相应的安全策略提供科学依据。
　　
　　用vij表示“节点”对“资产”的影响程度,Cj表示资产的重要程度,资产威胁风险评估分数为
　　
　　用dki表示“风险威胁”对“节点”的威胁或者潜在威胁程度,某“节点”被“威胁”的分数为
　　
　　威胁风险评估表为组织提供结构化、量化的分析方法,综合考虑资产重要性、节点影响价值、安全体系关键维度及威胁程度,及时识别高风险,为制定防御措施和策略提供科学依据。表1展示当前应对“外部”和“内部”威胁的措施和手段,相关的分值经过调研,且专家组多轮讨论并确认。
　　
　　此处Vi=1则
　　
　　T木马=3+1+1+9+3=17,
　　
　　TDDoS=3+1+1+1+3+3=12
　　
　　T恶意代码=3+9+9+9=30,
　　
　　T漏洞=9+1+9+3+9+9=40
　　
　　T密码=9+3+9+3+9+9=42,
　　
　　T权限=9+9+3+3+9=33
　　
　　T误操作=9+3+9+3+9+9=42,
　　
　　T蓄意破坏、盗窃=9+9+9+9+9+9=54
　　
　　2.1.2威胁风险防护评估方法
　　
　　为了进一步提升安全防护的效率和效果,A集团还开发了威胁风险防护评估方法。威胁防护评估表通过以下两个关键维度进行量化分析[15]:
　　
　　(1)防护效能:该指标评估特定防护措施对于威胁的防御能力,揭示安全手段(如防火墙、数据加密和权限管理机制等)在实际应对特定威胁时的有效性。通过对防护效能进行量化评估,可以明确安全防护措施在防御特定威胁时的保护力度。
　　
　　(2)策略有效性:该指标是一个综合性指标,结合了威胁风险评估结果与防护效能分析,用于计算并量化特定防护策略在实际应对威胁中的实施效果。该指标基于对威胁场景及防护措施应用效果的深入分析,借助专门设备或服务的支持,并结合现场走访、调研数据,以准确量化“防护”对“威胁”的实际防御分数。策略有效性分数为:

     　　
　　eok表示“防护”对“威胁”的有效防护程度。
　　
　　威胁防护评估表通过两个维度的量化评估,为组织提供系统、定量的工具,评估安全防护措施及策略效果,识别并加强薄弱环节,提升整体数据安全。通常用柏拉图法从高到低排列“威胁”,按照轻重缓急制定相应的防护策略。表2中的“防护”和“威胁”数据获取方式同表1。
　　
　　依据表2,得分从高到低排列如下,以便追因溯源和寻找解决方案。
　　
　　Z策略-策略执行度=1539,Z工具-行为管理=1413
　　
　　Z策略-人员培训=1353,Z工具-权限管理平台=1291
　　
　　Z策略-权限管理机制=1291,Z策略-事件上报处理流程=1101
　　
　　Z策略-备份数据管理=1095,Z工具-数据加密=909
　　
　　Z工具-数据防泄漏=798,Z工具-数据脱敏=783,Z工具-数据备份=702
　　
　　2.2数据安全风险原因分析
　　
　　在完成数据安全风险识别之后,接下来的关键步骤是针对风险源头进行深入分析。对每项风险进行根本原因分析是必要的,以确保能够针对性地采取措施,从源头上降低风险发生的概率,以下从事前、事中和事后进行原因识别分析。
　　
　　2.2.1“事前”数据安全风险分析
　　
　　(1)策略联动和管控机制不足
　　
　　A集团的安全管理体系与数据安全产品策略未能实现一致性和系统化,仍旧依赖于传统的网络安全体系,采用较为单一(“点”或“线”)的技术防护手段。这些组织部署的数据安全产品缺乏统一的安全策略管控,导致安全管理呈现零散状态,未能有效整合成系统化(“面”或“体”)的管理体系,从而难以全面预防安全风险。
　　
　　(2)数据分类分级规范不足
　　
　　数据分类分级构成了数据安全的核心基础,对于执行数据风险评估、制定数据安全策略、实施数据访问控制等关键活动具有至关重要的意义。随着A集团业务系统的不断扩展,管理日益增长且多样化使得数据资产管理变得复杂,这种复杂性增加了全面数据资产清点的难度,数据责任的归属变得模糊,进而影响了数据的准确性和安全性。此外,缺少统一的数据管理平台和标准化的数据分类分级机制,导致数据权责不明确,进而增加数据使用中的风险。
　　
　　(3)合规性评价不足
　　
　　《网络安全法》《数据安全法》《个人信息保护法》和《网络安全审查办法》等法律法规的实施,为企业数据安全建设提供了明确的法律和行业监管依据。然而,许多企业的安全管理者仍然缺乏相关的安全意识,这将导致他们无法对企业活动和数据资产进行有效的安全评估。
　　
　　(4)数据访问人员与权限管控混乱
　　
　　A集团现有的安全防控体系,在内部人员业务访问权限的精细化管控方面存在不足,缺乏有效的内部审计机制或手段,无法实现对内部人员行为的实时管控、动态拦截阻止以及事后追溯定责。用户数据隔离面临困难,内部人员的数据访问权限界定不清晰;数据占用情况不透明,各岗位人员对关键数据掌握程度不明确;管理员权限过高,导致数据滥用和异常流通的风险增加;数据真实性难以保证,内部人员和运维人员可随意修改数据库数据,难以鉴别数据是否遭到篡改。
　　
　　(5)数据访问控制的局限性
　　
　　传统的网络安全技术主要侧重于边界防御,即在广域网出口或专线网络边界抵御外部威胁。然而,随着数据安全需求的演变以及数据在动态环境中的流转和使用,传统的边界防护机制已显示出其局限性。在复杂多变的数据环境下,对数据的采集、存储、传输和应用等环节实现细粒度访问控制的能力,这给全面确保数据的完整性、机密性和可用性带来了挑战。
　　
　　2.2.2“事中”数据安全风险分析
　　
　　(1)数据存储的泄密风险
　　
　　数据以明文形式贮存的文件和分布在存储介质上,由于缺乏有效的加密措施,面临着较高的泄密风险。这种风险在企业数据备份意识薄弱、备份架构和软件技术落后的情况下进一步加剧。与此同时,随着生成式人工智能(Artificial Intelligence Generated Content,AIGC)、K8S容器等新技术的广泛应用，非结构化数据的规模呈
　　
　　现爆炸性增长[16]。这些数据不仅形式多样、处理难度大，而且对数据保护措施提出了更高的性能要求。
　　
　　(2)数据监控与防泄露措施不足
　　
　　A集团目前的数据监控手段未能全面覆盖安全威胁、风险处置以及操作审计等关键机制。对于存储在数据库、文件和对象中的敏感数据,监控能力存在不足,无法有效识别并实时告警异常访问行为。例如,数据库管理员等拥有高权限的人员若实施非法访问或高危指令,可能会引发严重的数据安全事件,并影响集团数字业务的稳定运行。同样,系统管理员在操作过程中如果缺乏细粒度的权限管控,也可能引起数据泄露、违规使用或数据篡改等安全问题。
　　
　　(3)异常行为主动监测能力单一
　　
　　数据动态流转过程中对数据收集、存储、使用、加工、传输、提供、公开的监测能力单一。在数据流转的过程中针对采集数据未授权、未按要求脱敏、敏感数据未按要求进行加密存储、流转过程中存在的高频访问、越权访问等异常行为缺少主动的监测手段,无法及时针对异常行为进行追溯。
　　
　　(4)数据交换与共享的安全防护不足
　　
　　数据在流转和共享时,若未适当加密或管理不善,可能引发数据泄露风险。现有数据接口权限管理不足,易受爬虫盗取和越权访问。而直接返回未经脱敏处理的数据可能导致隐私泄露,且外发数据泄露后难以追溯和定责。
　　
　　2.2.3“事后”数据安全风险分析
　　
　　“事后”数据安全分析、审计与事件溯源,以及数据泄露应急管理,在当前数据驱动的社会中显得尤为关键。然而,这些环节在实际操作中仍存在不少问题。首先,事后数据分析往往缺乏及时性和深度,难以快速准确地识别出安全风险。同时,审计机制不完善,可能导致关键信息遗漏或篡改,影响溯源的准确性。此外,数据泄露应急响应不迅速,缺乏标准化的处理流程,可能导致泄露影响扩大。
　　
　　三、构建数据安全管控体系
　　
　　基于这些分析,A集团制定了一套全面的策略和措施,构建了数据安全管控体系,以系统性地解决这些问题。在A集团的数据安全实践中,基于前述的数据安全监测体系,也即在“二表”和九大风险源分析的基础上,接下来需要构建一个完善的数据安全管控体系,包含一系列策略、措施和流程。
　　
　　3.1数据安全管控体系模型
　　
　　在建立A集团的数据安全战略时,融合了美国国家标准与技术研究院(NationalInstitute of Standards and Technology,NIST)、舍伍德商业应用安全架构(Sherwood Applied Business Security Architecture,SABSA)、ISO/IEC27000和Gartner等国际安全框架[17],形成一个覆盖数据全生命周期的综合安全防护体系。此体系标志着从传统单一防御向多维、动态的安全生态系统的转变,实现了综合监控、精确控制、深入审计和即时漏洞补救的全面安全管理闭环。本文引入的IPDRR模型是NIST提出的一个网络安全框架,包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复及增强(Recovery)五大能力。IPDRR模型增强了策略的主动性和时效性,融合了先进的数据识别、分类和身份验证技术,构建了全面的防御机制。此模型覆盖预防、检测、响应、恢复和反制各关键环节,建立了高效的数据安全防护网。重点应放在事前防护上,通过采用加密、脱敏等技术提前构建防御能力,达到一体化的安全防控目的。
　　
　　基于IPDRR框架,构建的数据安全体系转向以检测为核心,围绕数据安全全生命周期各个环节,整合多个安全子系统,实施资产分级、访问控制、透明加解密、脱敏和违规监测等措施,并通过审计与数据水印溯源实现数据安全的闭环管理,确保数据在命周期内的安全,具体如图1所示。
　　
　　3.2“事前”:数据分类分级
　　
　　基于3.1的体系模型,通过整合集团内部各业务系统的数据资源,建立一个统一的数据管理模块,实现数据资产清点、数据分类分级、数据权限控制等功能,实现对集团内部所有数据的集中管理和监控。
　　
　　(1)数据资产梳理
　　
　　进行全面的数据资产梳理,形成完整的数据资产目录,包括数据库基础信息、数据类型及数据项、敏感数据情况、业务访问规则和安全性识别等,为数据安全防护奠定基础。数据资产梳理的范围参考如表3所示:
　　
　　(2)制定集团分类分级数据安全标准
　　
　　基于A集团的合规要求和业务需求,本研究制定了一套数据安全分类分级标准。该标准借鉴了国家级的分类分级方法和规范,如《信息技术—大数据—数据分类指南》(GB/T38667-2020)和《网络安全标准实践指南—网络数据分类分级指引》(TC260-PG-20212A)。通过开展咨询调研、标准设计及评审流程,本研究确立了一套数据分类分级规范,目的是为实施精细化的安全防护提供科学的基础。具体分类分级服务流程如图2所示。
　　
　　数据安全管控是以数据分类分级为基础,有效的分类分级能够发现敏感数据、重要数据、个人信息等,确定安全级别。这样才能实施更合理和精细的数据安全防护措施,实现动态、开放、可视的数据全生命周期安全治理,具体如图3所示。
　　
　　(3)制定集团细粒度的安全策略与权限机制
　　
　　在数据安全管理领域,A集团的安全控制策略和权限管理机制,实施科学管控至关重要。这包括建立基于角色的访问控制(RBAC)[18],明确权限层次结构,确保数据在从提供者到使用者的传递过程中安全。对于特权用户的管理,需要进行深入的系统关系分析和潜在风险评估,从而制定出相应的特权账户管理策略,并强化账户的安全使用规范。此外,制定数据安全策略基线,对数据操作进行指导和规范,并通过监控工具确保策略的有效执行。数据加密和签名技术被用于保障数据在静态存储和动态传输过程中的安全,而数据脱敏处理则确保了数据在传输、导出、测试和分析等公开场景中的隐私保护。通过敏感数据识别、脱敏及数据传输一体化能力,实现从库到库传输过程中的“不落地脱敏”,确保数据传输安全,综合运用这些细粒度管控机制,可构建全面、有效的数据安全技术防御框架,确保数据资产的安全和合规使用。
　　
　　3.3“事中”:数据防护
　　
　　事前的数据分类分级为数据防护提供了坚实的基础。在此基础上,A集团进一步实施了“事中”阶段的数据防护措施。在数据全生命周期的“事中”阶段,各环节的数据安全防护能力建设至关重要,包括以下几个关键环节:
　　
　　(1)数据产生和采集:在此阶段,需要明确A集团数据的生产者、管理者和消费者,同时考虑到设备漏洞、操作失误、恶意攻击等安全风险可能导致数据泄露或篡改。建立和完善数据安全管理制度,实施数据源标识、设备系统检查与更新,明确数据采集的范围、目的和用途,确保数据源的真实性、有效性和最小可用原则。并明确数据采集渠道、规范数据格式以及相关的流程和方式,从而保证数据采集的合规性、正当性和一致性,并强化员工信息安全意识培训[19]。
　　
　　(2)数据传输:为确保数据传输安全,结合A集团数据安全能力成熟度模型及国家密码算法要求,采用身份验证、国产密码算法加密技术或专线传输来保护数据的机密性和完整性。
　　
　　(3)数据处理:在数据处理环节,根据A集团不同的应用场景细化安全防护措施。部署脱敏系统以满足静态和动态脱敏的需求,为测试提供非真实、去标识化的数据,以防止数据外泄。
　　
　　(4)数据存储:安全存储采集到的数据,利用自动识别工具和数据泄露防护系统扫描发现A集团敏感数据,利用数据安全管控平台对敏感数据进行加密,实现敏感数据加密存储。
　　
　　(5)数据交换:为确保A集团数据交换的安全性,实施加密传输、操作审计、内容安全控制和主体要素控制,结合自动化和权限管理,对数据的访问过程进行精细化的管控,明确不同权限的用户可访问的数据范围,并进行实时数据访问管控和处置,确保交换过程的高效与安全。
　　
　　(6)数据共享:分析A集团数据共享过程中的风险,并采取审查审批、数据血缘、数据水印、加密等措施,结合API安全、隐私计算、非结构化文档安全管控等手段,保护数据共享环境的安全。
　　
　　(7)数据备份与恢复:制定A集团数据备份策略,根据业务特点和系统重要性实施实时或定时备份。建设本地与异地同步备份,确保数据安全以及在数据丢失、数据被不明删除或电脑设备宕机的情况下,实现数据的快速恢复。
　　
　　(8)数据销毁:通过敏感数据扫描和状态登记,确保数据销毁的彻底性。制定数据销毁的操作规程,明确数据销毁场景、销毁技术措施以及销毁过程的安全管理等要求,对销毁活动进行记录和留痕。重要数据被销毁后,不得以任何理由、任何方式对销毁数据进行恢复。
　　
　　通过上述措施,可以在数据全生命周期的“事中”阶段构建起强大的数据安全防护能力,有效降低安全风险。
　　
　　3.4“事后”:数据安全审计与事件溯源
　　
　　随着A集团数据安全全方位运营管理的有效实施,组织已经建立了一个强大的安全基础。然而,为了进一步提升数据安全管理的成熟度,并确保持续的改进和适应性。
　　
　　(1)安全系统日志审计
　　
　　通过A集团数据分类分级、数据脱敏、数据加密等数据安全系统处理敏感数据,能有效地保护数据的隐私和安全。各安全系统具备审计功能,可记录敏感数据的操作过程和执行结果,并提供实时监控和告警功能,及时发现任何异常行为,从而保障数据的安全性。(未完待续)

      作者简介：

　 董鹏.上海卓圣企业管理咨询公司咨询部,中国上海,201700
　　
　       刘英汉.重庆彦伸科技有限公司总经办中国上海,200439
　　
　       李家贵.西安交通大学大数字经济研究院数字服务中心,中国西安,710048
　　
　　编辑：Harris