數據安全與數據治理

前段時間某站數據庫被脫，海量用戶數據在暗站售賣，關於數據安全與數據治理再次被提高到一個高度，也成了衆安全從業者頭疼的問題，不管是運營商、企業、個體對於數據的管理需對用戶，對社會團體負應盡的責任。與業務無關的數據堅定不採集，對於業務相關的數據也需安全存儲。
如下博主就和你們討論下企業關於數據安全與數據整理的相關問題。
先解釋個某安全廠商所提的「統一安全內容中心」的概念：

一、SWG WEB安全網關
針對高級威脅和數據竊取的最有效防禦
二、SEG 郵件安全網關
針對混合×××和定向×××的最早進郵件防禦
三、DLP 數據防泄漏
採用深層內容分析，對靜態、傳輸中及使用中的數據進行 識別、監控、保護，擁有用戶及目的地感知的特點功能
四、Cloud接入安全雲
對任意地點的 web及 郵件提供最佳防禦，而且擁有最低的整體擁有成本和最輕鬆的部署
五、Mobile移動安全
對移動數據特有的有效防 護，針對竊取、遺失, 惡意 app

上述維度創建統一的安全內容數據中心，分維度保護企業內部數據安全與數據處理。

對於企業信息安全，若想獲得結構性的保障就須要有一個 系統性信息安全支撐體系。不管這個體系採用什麼樣的參考 框架，都須要考慮四個關鍵的構成要素，即人員People過程 Process 、、技術Technology和數據Data (PPTD)，其中:
• 人員是過程執行的資源;
• 過程是組織的系統性能力;
• 技術是過程有效性的支撐;
• 數據是過程執行的驅動。
技術安全措施是知足企業信息 安全需求的三類安全措施之一， 也是其中最重要、最複雜的，因 此須要經過架構的設計來保證技 術控制之間的協同以及與其它安 全控制的協同。

風險的核心是圍繞着業務支撐或業務產生的資產，並取決於資產
自身的脆弱性和已採起的安全措施，所以安全技術有效性評估策略包括:
• 面向業務/業務資產的有效性評估 • 面向威脅方的有效性評估
• 面向脆弱性的有效性評估
• 綜合加權的有效性評估

數據防泄密： 以集中策略爲基礎，採用深層內容分析， 對靜態數據，傳輸中的數據及使用中的數據 進行識別，監控，保護的相關機制
數據防禦所覆蓋的生命週期：

數據防泄密博主認爲須要從如下三個維度治理：組織、制度、技術
因此那些技術蠻力者一心以爲技術能夠解決一切問題的蠻力者，這也是博主把技術放到最後的緣故。
組織保障：
• 自上而下梳理並定義管 理層、業務部門、實施 部門、合規監控及審計 部門等的相關職責;
• 從組織上推進數據防泄 漏管控的實施。
制度保障：
創建或完善數據防泄漏整體策略、數據防泄漏管理辦法、數據防泄漏明細策略(面向數據)
及具體的操做流程;從制度體系上支撐數據防泄漏工做。
技術保障：
採用成熟、專業的數據庫防泄漏技術平臺，落實管理層承認的詳細策略，經過平臺實現數據外泄行爲的記錄、告警及阻斷;從技術上實現數據防泄漏目標

只有三者有效的結合才能造成有效的體系，可持續化的爲公司核心重要數據進行保駕護航。

數據防禦總體機制：