如何建设数据安全体系？

本文笔记全部来自《极客新闻》

成长是条孤独的路，如果是一个人，会走得更快；如果有志同道合者同行，会走得更远。

数据安全是实现隐私保护的最重要手段之一。数据安全并不是一个独立的要素，而是需要连同网络安全、系统安全、业务安全等多种因素，只有全部都做好了，才能最终达到数据安全的效果。

极客新闻分享了奇点云平台架构专家北玄构建数据安全体系的痛点，以及大数据风险管理方案。

随着AI、DT时代的来临，传统企业越来越重视数据，并逐步开始对内部数据进行互联，其核心是通过数据的集成、同步，来连接各个业务系统的流程以及通过对数据的二次加工，创造更大的价值。

数据作为一种生产资料，加入到企业的生产过程中，并成为企业的重要能源。但数据本身，在生产过程中可能因人为管理的不善、生产过程控制不善带来各类风险，还可能会随着产品和服务输出风险。如内部人员导致的大规模数据泄露、数据质量引起的业务系统故障风险、产品暴露个人隐私等。

因此企业迫切需要建立针对数据流动和使用的风险控制体系，需要一整套规范、数据分类管理体系、场景控制流程、可追溯体系、数据风险识别和度量体系、检测体系。用来防范内部各种涉及数据的生产系统及人员不规范行为导致的各类数据风险。

目前，构建数据安全体系，需要解决的三个痛点：

一、数据访问风险。包含缺乏统一账号管理、缺乏身份认证管理、数据授权能力弱这三个问题；

二、数据流动风险。包含缺乏审计溯源能力和数据保护能力弱两个问题；

三、数据运维风险。包括数据管理成本大、运维行为缺乏监督、高危操作缺乏管控等；

针对以上痛点，给出了一整套大数据风险管理方案，其分为以下五个步骤：

一、规范发数据访问人员，统一规范访问控制

需要建立大数据统一用户管理系统，打通原有企业账号体系，还要建立大数据统一认证管理体系，多隐私控制访问入口，防止数据裸奔。

二、建立大数据的资源管理能力和规范数据授权流程和手段

需要建立数据资产统一管理查询平台，开展数据分级分类管理。数据访问需要统一授权的工作流审批，快速完成数据业务化过程。

三、对敏感数据访问进行控制保护

设置细粒度权限，控制敏感库表、字段、文件被低权限用户获取；
提供精细化运营管控手段，基于数据等级、数据标签、数据分类进行保护；
提供透明化的动态脱敏能力；
控制用户访问数据频率和数据体量；
控制用户的高危操作

四、控制数据导出风险

基于敏感数据级别和权限，对导出场景进行审批。并限制开发导出数据落地，审批后通过统一的平台进行数据导出。

五、对内部人员内审、异常行为分析和事件溯源

对大数据管理员的操作行为进行审计、UBA分析和溯源；
对大数据开发、分析的操作行为进行审计、UBA分析和溯源；
对数据导出的操作行为进行审计、UBA分析和溯源

以上方案可以帮助企业解决数据的“有什么、在哪里、怎么管、如何控”的问题，最终完成对大数据安全使用全流程的可视可监可控可管能力建设。