企業數據安全治理中的數據資產梳理工作分析

丁城峰，汪永遠，祝玉帥

（國家管網集團西部管道有限責任公司，烏魯木齊 830013）

0 引言

隨著企業數字化程度加深，數據成為企業重要的信息資產，是推動業務發展的重要原生動力［1］。國家層面強調要切實保障國家數據安全，加大關鍵信息基礎設施保護力度，強化國家關鍵數據資源保護能力。以能源行業為例，大型企業在網絡安全方面已采用多種安全控制措施，如身份認證系統、網絡防火墻等多種安全軟硬件設施，但在數據管理及安全方面還面臨著諸多問題及挑戰。

1 企業數據安全治理面臨的挑戰

為能系統解決企業的數據安全問題，有規劃地實踐數據管理理論，企業開始逐步從根本上開展數據安全治理工作，其首要工作是依據相關數據管理制度梳理數據，明確需要保護的數據對象。

1.1 數據合規性安全管理措施勢在必行

《數據安全法（草案）》中明確提出相關部門需執行數據分類分級工作，將數據“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用”所產生的危害程度作為分類分級的原則性標準。在法律法規的要求下，企業在擴展各項業務的同時，對數據安全的管理也日趨嚴格和規范，石油石化、電力和金融等行業都建立了相應的商密分類分級保護目錄，為數據安全保護提供了制度保障。

1.2 海量數據梳理需要管理與技術手段齊下

各企業尤其是大型央企的數據業務類別多、數據量大，業務人員無法快速根據標準鑒別哪些是敏感數據。因此，企業需要根據業務數據情況建立更為細致的分類、分級流程規范和實施指南，并以技術手段和信息管理平臺為支撐，從管理及技術層面強化數據分類分級制度的實施。

1.3 數據從靜態管理到動態管理逐步深化

對數據的梳理和管理不僅需要依據標準，明確產生、存儲的產生位置和涉密等級，形成數據資產目錄，還需要對數據訪問狀況、風險情況進行分析，通過實施監控方式，掌握數據資產的動態變化，及時評估數據安全風險，執行數據安全保護措施。

2 數據安全治理與數據治理

企業的信息化、數字化程度越深，積累的數據越多，數據資源就越豐富。為了將不斷增長的數據轉化為更有價值的數字化資產，進而成為企業的戰略資產，有效的數據治理是必經之路。

2.1 數據治理與數據安全治理的關系

數據治理包含數據安全治理工作，兩者存在較大區別。提高數據的質量是數據治理工作的關鍵，對企業數據進行分級分類管理，執行對數據的合規安全訪問策略和安全措施是數據安全治理工作的重點，其主要任務則是完成對企業數據訪問的安全策略的分級分類［2］。數據治理則圍繞元數據展開。因此，數據的梳理、數據分級分類目錄的建立和數據資產分布情況的確認是數據治理的重要工作環節。

2.2 數據安全治理組織與技術支撐

對數據安全的管理和保護離不開人員的組織與實施，組織體系是數據安全保護工作最重要的部分［3］，相關工作人員可利用技術手段輔助各階段工作。例如，在安全策略制定前，相關工作人員在進行數據梳理時，應實現對數據的動態及靜態梳理；在數據使用管控過程中，相關工作人員可對業務、運維、測試的訪問安全進行管控；在后期對數據安全治理工作進行審核時，相關工作人員可對操作行為、權限變化進行監控、審計與分析。

3 數據資產梳理

企業為實現數據安全策略和流程的制定，形成數據安全管理規范，需經歷數據安全治理的過程，數據資產的梳理是該過程的第一步，梳理的流程如下：①收集匯總企業所需遵循的內部合規性政策、標準及法律法規等信息，分析其中和數據安全管理相關聯的內容；②根據企業的業務特性，制定數據分類分級標準，分析數據價值，梳理數據資產；③根據數據全生命周期的關鍵節點（收集、存儲、使用、流轉），梳理核心數據資產的安全狀況；④掌握數據資產的基本情況，并對信息進行集中采集管理，進一步分析數據資產可能面臨的威脅和使用風險；⑤對核心數據資產制定安全管控策略，設定訪問控制的目標，升級安全管控手段。

3.1 天然氣管道企業數據的分級分類

相關工作人員應依據相關數據分級分類標準對數據進行梳理分類，對不同類別、不同敏感級別的數據采取不同的保護策略，實現資源最優化，在數據的安全管理上實施更加精細的措施，使數據在共享使用和安全使用之間保持平衡。

3.1.1 建立數據分級分類標準

數據分類：相關工作人員應結合實際業務，了解數據的來源，識別其內容，分析其產生及使用的位置及目的，對數據進行分類。

數據分級：相關工作人員可按照安全保密的要求，在數據分類的基礎上，區分不同數據的保護目標，從保密性、完整性、可用性及驗證的角度分析內容敏感程度［4］、具備的價值和發生外泄后產生的影響，并對數據敏感級別進行劃分。

3.1.2 數據分級分類的感知及管理手段

相關部門應對數據資產做統計備案，由業務部門確認分類后的數據，然后由保密部門對分類的數據按照商密、內部、公開及敏感等級別區分，同時分級分類標記敏感數據，將敏感數據的相關基礎信息，如歸屬組織、產生事件、保密期限等信息統一數字化管理。

以天然氣管道企業為例，企業內相關工作人員可根據業務領域不同，將綜合辦公、規劃計劃、財務、人事、法律事務、科技管理、招標采購、油氣管道、工程建設及生產運行等數據分類，分為商業秘密、內部資料。其中，商業秘密包含普通商密、核心商密。此外，每一個分類里的事項要經過業務調研細化，并明確事項產生的部門、知悉范圍等。

3.2 數據資產及使用狀況的梳理

數據資產的梳理應覆蓋數據全生命周期，以掌握數據的所有者、使用者、存儲分布的位置等信息。

3.2.1 使用數據的組織和角色梳理

相關工作人員應保障數據在使用過程中的合規性、安全性，明確數據的存儲方式，掌握數據使用方的情況，并對數據的訪問客體、行為進行審核，還要配套相關的管理文件作為約束。

3.2.2 數據的存儲與分布梳理

對敏感數據的定位是管控敏感數據的關鍵。相關部門應掌握敏感數據的存儲位置，對文件服務器及數據庫采取不同的管控手段，尤其對數據庫應采用細顆粒度的管控方式，可具體到某張數據表、某個字段。如此，相關工作人員對數據的訪問、運維才能做到精細化、有針對性地管控；關于數據的導出，相關工作人員要考慮數據的敏感性，平衡使用和保密之間的關系，適當對存儲的數據采取加密手段。

3.2.3 數據的使用狀況監測

相關工作人員在掌握了數據的存儲分布情況后，還要監控數據的流動情況，掌握業務系統訪問數據情況，目的是制定適合的訪問控制權限及管控措施，規范業務系統的使用，記錄并審核數據訪問行為。

4 數據資產梳理的輔助技術工具

企業數據資產梳理工作是一項長期、煩瑣的工作，如果僅依靠人工梳理，則有很強的不確定性。因此，需要結合輔助工具，使數據資產梳理工作有序開展，降低工作的盲目性，增強數據梳理的準確性，提高數據管理的效率，高效應對安全事件，及時想出應對策略。輔助工具如下文所述。

4.1 掃描類工具

相關工作人員可通過掃描類工具對目標環境中的數據資產分布情況進行梳理，基于協議類型、端口的掃描手段梳理目標環境中數據存儲信息，并通過對數據的敏感特征進行匹配技術，梳理數據庫或文件服務器中存在的數據資產分布情況及數量。

4.2 流量分析工具

根據數據資產分布地圖，相關工作人員可使用基于流量、協議、日志解析技術的分析工具，對資產使用情況進行梳理，審計記錄數據訪問行為，包括數據訪問主體、訪問對象、訪問工具及過程和訪問結果等信息，對數據訪問審計記錄進行綜合分析［5］。

4.3 管理類工具

相關工作人員可使用管理類工具對數據分級分類標準作統一管理及下發，對使用掃描或流量分析工具獲得的數據基礎屬性信息作統一管理、統計分析和展示，形成清晰的數據資產清單。

5 結語

數據的安全治理是企業數據精細化安全管理的趨勢?；趪覕祿Ｗo相關標準和要求，企業在實施數據資產管理工作時應從數據安全治理的視角梳理企業的信息系統應用、數據、基礎設施等資產，掌握數據使用情況，明確數據梳理的工作流程，并考慮輔助掃描、流量分析等手段獲取數據資產信息，對信息進行分級、分類及標注，實現數據資產的整合、識別及管理，形成企業自己的數據資產目錄、數據資產地圖，幫助企業合理評估、規范及治理數據資產，并及時發現數據安全風險，采用有效管控手段。