【“ZiDongHua”科技觀察：《數(shù)據(jù)安全治理自動化技術(shù)框架》白皮書】北京天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司創(chuàng)始人、CEO劉霖，對數(shù)據(jù)安全治理自動化體系（DSAG）進(jìn)行了詳細(xì)的解讀。DSAG的亮點(diǎn)可以概況為“六化一管”，分別是數(shù)據(jù)分類分級自動化、數(shù)據(jù)安全處理自動化、行為分析智能化、數(shù)據(jù)脫敏全面化、API數(shù)據(jù)內(nèi)容分析細(xì)?；?、DSAG編程管理可視化、一把手?jǐn)?shù)據(jù)安全管理“一支筆”。

《數(shù)據(jù)安全治理自動化技術(shù)框架》白皮書正式發(fā)布

?  9月6日，2022數(shù)據(jù)安全技術(shù)大會隆重舉辦，由中國信息協(xié)會信息安全專委會數(shù)據(jù)安全技術(shù)工作部指導(dǎo)，組長單位北京天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司主編，成員單位深圳昂楷科技有限公司、神州數(shù)碼（中國）有限公司、北京芯盾時代科技有限公司、廣州市溢信科技股份有限公司、上海安言信息技術(shù)有限公司、上海鴻翼軟件技術(shù)股份有限公司、上海市大數(shù)據(jù)股份有限公司、深圳永安在線科技有限公司共同參與的數(shù)據(jù)安全治理自動化技術(shù)框架（DSAG）白皮書在大會上正式發(fā)布。( 文末下載《數(shù)據(jù)安全治理自動化技術(shù)框架》白皮書)

《數(shù)據(jù)安全治理自動化技術(shù)框架》白皮書正式發(fā)布

2022.09.06
 

隨著《數(shù)據(jù)安全法》的發(fā)布，數(shù)據(jù)安全重新站到了聚光燈下，成為了整個信息安全行業(yè)關(guān)注的焦點(diǎn)。

特別是在疫情期間，數(shù)字化政府的建設(shè)進(jìn)入到加速模式。比如，我們熟悉的 “健康碼”、“行程碼”等數(shù)字化應(yīng)用就是數(shù)字化建設(shè)的典型。但是，在數(shù)字化加速發(fā)展的進(jìn)程中，也帶來了數(shù)據(jù)大規(guī)模泄露的隱患。無論是國內(nèi)，還是國際，對數(shù)據(jù)安全的重視都到了空前的程度。

因此做好數(shù)據(jù)安全，進(jìn)行數(shù)據(jù)安全治理，將成為數(shù)字經(jīng)濟(jì)發(fā)展的首要工作。

在本次會議上，北京天空衛(wèi)士網(wǎng)絡(luò)安全技術(shù)有限公司創(chuàng)始人、CEO劉霖，對數(shù)據(jù)安全治理自動化體系（DSAG）進(jìn)行了詳細(xì)的解讀。

《數(shù)據(jù)安全治理自動化技術(shù)框架》白皮書

研發(fā)數(shù)據(jù)安全治理自動化體系（DSAG）的初衷

數(shù)據(jù)安全在中國起步比較晚，數(shù)據(jù)安全的技術(shù)工具和標(biāo)準(zhǔn)成熟度也較晚。關(guān)于數(shù)據(jù)安全的技術(shù)標(biāo)準(zhǔn)和措施我們可以參考一下國外的做法，比如美國的持續(xù)診斷和緩解計(jì)劃（CDM）。

美國持續(xù)診斷與緩解 (CDM)項(xiàng)目，是國土安全部（DHS）國家網(wǎng)絡(luò)空間安全保護(hù)系統(tǒng)（NCPS）計(jì)劃三大項(xiàng)目之一，早在2012年美國國土安全局就提出了這個概念。CDM提供了一套一致的、政府范圍的連續(xù)診斷解決方案，以增強(qiáng)政府識別和緩解新出現(xiàn)的網(wǎng)絡(luò)威脅影響的能力。CDM系統(tǒng)有兩個特點(diǎn)，一是系統(tǒng)本質(zhì)上是美國國家的數(shù)據(jù)安全防護(hù)能力提升的一套系統(tǒng)；二是不再強(qiáng)調(diào)某一種安全標(biāo)準(zhǔn)或者某一種規(guī)范，更多強(qiáng)調(diào)的是數(shù)據(jù)安全防護(hù)系統(tǒng)的能力，能力的核心是數(shù)據(jù)安全防護(hù)。

CDM能夠提升識別和減輕新興網(wǎng)絡(luò)威脅影響的能力，以減少網(wǎng)絡(luò)威脅面，提高對安全態(tài)勢的可見性，提升安全響應(yīng)能力等。

CDM跟我們的數(shù)據(jù)安全治理自動化體系（DSAG）的理念非常類似。我們在中國接觸到的美國網(wǎng)絡(luò)安全公司，主要是數(shù)據(jù)安全公司，都參與了CDM這個系統(tǒng)的建設(shè)，包括美國很多咨詢機(jī)構(gòu)。因此，我們希望借鑒CDM項(xiàng)目的先進(jìn)做法，參考其中標(biāo)準(zhǔn)，建立我國的“CDM項(xiàng)目”-數(shù)據(jù)安全治理自動化（DSAG）。

數(shù)據(jù)安全治理自動化（DSAG）與數(shù)據(jù)安全治理（DSG）的區(qū)別

Gartner在2018年的下半年，發(fā)布了數(shù)據(jù)安全治理框架（DSG）。DSG的理念是數(shù)據(jù)安全治理是從決策層到技術(shù)層，從管理制度到工具支撐，自上而下貫穿整個組織架構(gòu)的完整鏈條。組織內(nèi)的各個層級之間需要對數(shù)據(jù)安全治理的目標(biāo)和宗旨取得共識，確保采取合理和適當(dāng)?shù)拇胧宰钣行У姆绞奖Ｗo(hù)信息資源。CDM和DSG這兩個系統(tǒng)都強(qiáng)調(diào)圍繞業(yè)務(wù)做數(shù)據(jù)安全能力的提升，這兩個框架之間有很強(qiáng)的關(guān)聯(lián)性，可以簡單的認(rèn)為DSG是CDM系統(tǒng)的精簡版。DSG的最大亮點(diǎn)是提出了“數(shù)據(jù)安全的建設(shè)要和業(yè)務(wù)緊密結(jié)合，而不是用某一個標(biāo)準(zhǔn)”。但是DSG的弱點(diǎn)也顯而易見，比如效率偏低、周期長，成本高。最主要的是DSG的智能化能力偏弱，其中強(qiáng)調(diào)的技術(shù)，UEBA、CASB，以及一些針對結(jié)構(gòu)化數(shù)據(jù)和非機(jī)構(gòu)化數(shù)據(jù)識別的技術(shù)，并沒有提供給中國，以致于在中國只有體系，沒有技術(shù)，數(shù)據(jù)安全治理根本無法落地，也不能給企業(yè)帶來價值。

最近幾年，國際上在數(shù)據(jù)安全方面的自動化和智能化新技術(shù)層出不窮，但是這些技術(shù)在中國并沒有被使用，甚至沒有被了解，因?yàn)闅W美企業(yè)不提供這樣的技術(shù)給中國用戶。

因此，近幾年，在中國信息協(xié)會信息安全專業(yè)委員會的領(lǐng)導(dǎo)下，天空衛(wèi)士在數(shù)據(jù)安全治理技術(shù)上加大了投入力度，針對DSG的缺陷進(jìn)行了提升，彌補(bǔ)了技術(shù)的缺失，要真正解決數(shù)據(jù)安全核心技術(shù)受制于人的局面。

數(shù)據(jù)安全治理自動化體系（DSAG）的特點(diǎn)

     數(shù)據(jù)安全治理自動化（DSAG）通過自動化技術(shù)，識別結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)，從企業(yè)內(nèi)數(shù)據(jù)資源發(fā)現(xiàn)，到對數(shù)據(jù)進(jìn)行分類分級，并以數(shù)據(jù)分類分級對象為核心，用戶行為分析為增強(qiáng)手段，進(jìn)行數(shù)據(jù)安全策略的配置和執(zhí)行，全方位地覆蓋數(shù)據(jù)安全治理周期的每一個環(huán)節(jié)。DSAG最大化的實(shí)現(xiàn)自動化，令人工干預(yù)降至最少，在必要的人工環(huán)節(jié)使用智能輔助，減少人為錯誤，更有效率及有效性地提高了數(shù)據(jù)工作的安全性。

DSAG的亮點(diǎn)可以概況為“六化一管”，分別是數(shù)據(jù)分類分級自動化、數(shù)據(jù)安全處理自動化、行為分析智能化、數(shù)據(jù)脫敏全面化、API數(shù)據(jù)內(nèi)容分析細(xì)粒化、DSAG編程管理可視化、一把手?jǐn)?shù)據(jù)安全管理“一支筆”。

1 ? 數(shù)據(jù)分類分級自動化

DSAG通過自然語言處理、自動聚類技術(shù)、以及深度學(xué)習(xí)等技術(shù)對海量的數(shù)據(jù)進(jìn)行自動的分類分級。DSAG對海量數(shù)據(jù)經(jīng)過初步的分類分級后，再根據(jù)用戶所在的行業(yè)和業(yè)務(wù)進(jìn)行模板配置和處理。目前的DSAG體系里涉及到的數(shù)據(jù)模板有上千種，未來我們會把數(shù)據(jù)模板擴(kuò)充到上萬種，可以針對各個行業(yè)、不同規(guī)模的用戶做模板配置，進(jìn)一步的分解、緩解壓力，降低人工成本。

DSAG通過聚類分類技術(shù)以及模板技術(shù)對數(shù)據(jù)進(jìn)行初步的處理后，還可以進(jìn)一步根據(jù)數(shù)據(jù)不同的類型和級別對數(shù)據(jù)做進(jìn)一步操作管控，比如加密、脫敏、打標(biāo)簽、添加水印等，這些技術(shù)由我們的合作伙伴提供，昂楷、鴻翼、IPGuard、永安在線、芯盾時代等廠商都可以接入DSAG平臺進(jìn)行業(yè)務(wù)聯(lián)動。

2 ?數(shù)據(jù)安全處理自動化

DSAG對數(shù)據(jù)安全的處理最大化使用自動化，包括對數(shù)據(jù)分類分級、對數(shù)據(jù)的使用行為進(jìn)行管控、對于人的行為進(jìn)行分析，對于API里傳輸?shù)膬?nèi)容進(jìn)行管理，對于數(shù)據(jù)輸出進(jìn)行管理等。DSAG將人工干預(yù)降到最少，并在需要人工介入的環(huán)節(jié)通過工具和界面做到智能輔助。同時在數(shù)據(jù)安全治理自動化系統(tǒng)中，還針對數(shù)據(jù)安全治理步驟的不同環(huán)節(jié)，根據(jù)參與人員的全局視野、技術(shù)能力、專業(yè)特長的區(qū)別，為企業(yè)設(shè)計(jì)了不同的數(shù)據(jù)安全參與角色。

3 ?數(shù)據(jù)脫敏全面化

我們現(xiàn)在在市場上接觸到的數(shù)據(jù)脫敏技術(shù)，絕大多數(shù)是結(jié)構(gòu)化數(shù)據(jù)脫敏。實(shí)際上業(yè)務(wù)系統(tǒng)里的數(shù)據(jù)，90%以上都是非結(jié)構(gòu)化數(shù)據(jù)，比如Word文檔、電子表格、圖片等等。而基于數(shù)據(jù)庫的脫敏技術(shù)無法覆蓋這些非結(jié)構(gòu)化數(shù)據(jù)。數(shù)據(jù)是流通的，當(dāng)這些結(jié)構(gòu)化數(shù)據(jù)離開了數(shù)據(jù)庫以后，就失去了保護(hù)。DSAG的脫敏可以針對所有類型的數(shù)據(jù)進(jìn)行脫敏，無論是結(jié)構(gòu)化數(shù)據(jù)還是非結(jié)構(gòu)化數(shù)據(jù)。

4 ?API數(shù)據(jù)內(nèi)容分析細(xì)?；?/p>

傳統(tǒng)的API防護(hù)，更多強(qiáng)調(diào)API里的病毒防護(hù)、漏洞、補(bǔ)丁，但是并不檢測其中的數(shù)據(jù)內(nèi)容。如果通過API傳輸了違規(guī)內(nèi)容和機(jī)密信息，傳統(tǒng)的API防護(hù)根本無法察覺。

DSAG是國內(nèi)首個可以提供API內(nèi)容分析細(xì)?；漠a(chǎn)品。我們可以把API的檢測原理理解為機(jī)場安檢儀，在不影響旅行的前提下，快速把有害數(shù)據(jù)攔截住，保障有用的數(shù)據(jù)正常的流通。

5 ? 行為分析智能化

傳統(tǒng)的數(shù)據(jù)防泄露技術(shù)，可能會產(chǎn)生大量的事件，給信息安全部門的人員帶來很大的壓力。如果檢測的顆粒度太細(xì)，會產(chǎn)生大量誤報(bào)，如果檢查的顆粒度太粗，會有大量的漏報(bào)，這是一個很難平衡的問題。而DSAG使用人工智能分析技術(shù)，把使用數(shù)據(jù)人的行為和使用數(shù)據(jù)的種類及內(nèi)容進(jìn)行更精準(zhǔn)的比對，降低了人力成本，提高了效能。

6 ?DSAG編程管理可視化

傳統(tǒng)的可視化系統(tǒng)都是固定表格固定使用，用戶很難根據(jù)自己的需要定制頁面。在DSAG系統(tǒng)里，有一個非常靈活的模塊，叫“天空之眼”，是可編程化可模塊化的大屏，可以實(shí)現(xiàn)“千人千面”，用戶可以根據(jù)需要靈活搭建自己的可視化系統(tǒng)，全面滿足用戶差異化需求。

7 ?一把手?jǐn)?shù)據(jù)安全管理“一支筆”

管理層或者一把手非常了解業(yè)務(wù)，了解企業(yè)最核心數(shù)據(jù)是什么，哪些數(shù)據(jù)不能出去，哪些數(shù)據(jù)需要加強(qiáng)保護(hù)。但是并不了解數(shù)據(jù)安全技術(shù)，所以很難下“命令”。DSAG跟傳統(tǒng)的數(shù)據(jù)安全平臺有很大區(qū)別的地方是將業(yè)務(wù)和數(shù)據(jù)安全相結(jié)合，管理層可以隨時的下命令，一支筆直接批示，直接處理，哪些數(shù)據(jù)需要他親自抓，哪些數(shù)據(jù)需要他親自要過問，甚至沒有他的批準(zhǔn)，哪些數(shù)據(jù)是不能被使用的，簡單明了。

數(shù)據(jù)安全治理自動化體需要多廠商參與

數(shù)據(jù)安全治理能力建設(shè)并非單一產(chǎn)品或平臺的構(gòu)建，而是需要從數(shù)據(jù)全生命周期入手，從決策到技術(shù)，從制度到工具，從組織架構(gòu)到安全技術(shù)通盤考慮，構(gòu)建全場景的數(shù)據(jù)安全體系。

數(shù)據(jù)安全治理，需要以人為中心，自上而下的建立數(shù)據(jù)安全治理體系。數(shù)據(jù)安全治理的落地涉及到多種技術(shù)，比如加解密、DCAP、DLP、CASB、IAM、UEBA等。每個技術(shù)賽道都需要術(shù)業(yè)有專攻，在不同的技術(shù)領(lǐng)域，會有不同的優(yōu)秀代表廠商為大家服務(wù)，不同廠商提供的安全技術(shù)如下：

作為中國數(shù)據(jù)安全技術(shù)的引領(lǐng)者，天空衛(wèi)士致力于發(fā)展以人為中心的新一代數(shù)據(jù)安全技術(shù)。通過《數(shù)據(jù)安全治理自動化技術(shù)框架（DSAG）》的編寫與發(fā)布，旨在為企業(yè)提供全面的數(shù)據(jù)安全治理平臺化產(chǎn)品。DSAG通過加入自動化數(shù)據(jù)分類分級流程和數(shù)據(jù)分類分級保護(hù)API模塊，幫助企業(yè)降低數(shù)據(jù)安全治理的成本，提高企業(yè)數(shù)據(jù)安全防護(hù)能力。

     未來，我們希望攜手國內(nèi)數(shù)據(jù)安全領(lǐng)域優(yōu)秀廠商實(shí)現(xiàn)對國際先進(jìn)數(shù)據(jù)安全技術(shù)的趕超，縮短中國數(shù)據(jù)安全技術(shù)與歐美國家之間的差距。打造中國本土的數(shù)據(jù)安全治理體系，共同推動中國數(shù)據(jù)安全技術(shù)的發(fā)展，將關(guān)鍵技術(shù)牢牢掌握在自己手里。