国有企业数据安全治理体系建设研究.pdf

文章分析了数据安全治理核心技术，介绍了数据全生命周期安全防护

体系建设内容，并对体系建设的预期效果及效益进行了研判。

关键词：数据资产；数据治理；数据安全

引言

数据安全防护能力不足是国有企业普遍存在的问题，这个不足体现在数据资

产存储管理混乱、数据共享和使用缺乏规范、数据传输缺少审计管理，总结起来

就是既缺乏制度也缺乏手段。因此，国有企业需要以数据治理核心技术为前提，

建设一套完备的数据安全管理体系，制定一套可行的数据安全管理制度，编制一

套有效的工作管理标准，确保自建信息系统、信息内外网、个人终端等数据安全

稳定运行。

1.数据安全治理关键点

1.1核心数据难以梳理

数据存放在电脑、手机、笔记本、业务系统、数据库中，大量的结构化、半

结构化、非结构化数据难于辨识，难以判断哪些数据是重要的，保护难以下手；

难以对数据标准定义，无法有效对数据分类分级；难以明确核心级别的数据在国

有企业的整体分布情况；缺乏对核心数据生命周期的风险评估，数据生命周期安

全现状不明确。

1.2数据治理影响业务

数据安全防护与工作效率相悖，需要考量安全和效率的平衡使得安全防护价

值最大化；日常办公文件与重要文件同时保存于办公终端，缺乏对数据的分类和

分级；保护措施难以和数据重要级别挂钩，保护效能和效率较低；难以有效区分

性无法保障，容易防护失效。

1.3内部泄密难以管控

虽然网络、业务系统、终端、存储多个维度都在管理，但是防护难以实现数

据安全管理紧耦合；各单位间存在文件交换的需要，外发的文件存在一次性复制、

终身拥有、无限泄密风险；数据以刻录光盘和内网邮件等方式传输，文件接收人

可以在任意环境使用文件，存在文件失控扩散风险；在日常工作中，不可避免地

要通过打印、刻录、IM传输、网络发送、邮件等方式发送敏感数据，无法有效的

管理和控制这些行为，很难防止重要文件的非受控扩散。

1.4泄密事件难以溯源

重要的核心数据缺乏整个流通通路的监控审计，难以追责到人；数据可以通

过移动存储介质轻易地从国有企业电脑拿走，内部专用介质无法有效限制使用范

围，介质滥用无法追溯审计；安全事件发生后，如果没有一套完善的行为审计系

统，仍然无法进行及时告警响应、准确定位事件源头，给企业带来极大的困扰和

严重的信息安全隐患。

2.数据安全治理核心技术研究

2.1海量数据风险智能识别技术

海量数据风险识别系统可用于HTTP/HTTPS协议检查，可审计或禁止含有机

密数据的传送，主动防止丢失机密数据。涵盖范围包括WEB邮件传送(例如163

或QQ)、网站POST、博客或BBS文章等通信。系统会根据关键字、正则表达式等

规则来检查数据，以判定数据是否违反数据丢失策略。系统会扫描所有通过WEB

界面离开大数据中心的数据，以查看是否含有敏感信息。系统将会对于通过HTTP

或HTTPS加密协议向外发送的数据进行敏感信息检测，并根据配置的策略进行审

计或阻断等处理。系统采用多线程高并发设计，充分发挥CPU的计算能力，并在

程序设计时应用了动态的资源分配算法，使得系统的资源利用更高效，计算能力

显著提升。

敏感数据审计与溯源技术

敏感数据审计与溯源技术对数据库网络流量采集，基于数据库协议解析与还

原技术实现对数据库所有访问行为的监控和审计，对其中的危险操作进行多种方

式的告警，对数据库访问行为进行多维度的统计分析。支持多种国内外主流数据

库类型，采用旁路镜像或者软探针方式采集数据，经过通信协议解析和SQL语法

分析，获取数据库会话和操作行为相关信息形成记录，保存信息日志。系统详细

记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、

目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回

状态值。关联应用层的访问和数据库层的访问操作请求，可以追溯到应用层的最

初访问数据及请求信息；突破传统非精确关联的时间关联匹配层的最初访问数据

及请求信息；突破传统非精确关联的时间关联匹配模式，实现精确关联匹配。能

精确审计到业务端相关信息，包括应用用户和终端IP等，支持集中授权、单点

登录场景下的应用用户关联审计。实现泄密风险追责到人。

2.3数据安全事件关联分析技术

数据安全态势感知技术是集中对数据安全策略的配置及统一管理中心。采用

大数据技术架构，通过人工智能算法，以全场景数据和人员行为分析为主线，探

测发