数据安全治理维度——技术工具

数据安全治理体系的技术并非单一产品或平台的构建，而是结合组织自身使用场景，围绕数据全生命周期各阶段的安全要求，建立起来的与制度流程相配套的技术和工具。一种典型的数据安全治理技术体系如图所示，由基础通用类技术、生命周期类技术、平台类技术构成。

基础通用类技术工具为数据全生命周期的安全提供支撑：

• 身份鉴权包括口令密码、双因素认证和生物识别等技术，用于验证用户身份，确保只有授权用户能够访问系统或数据，从而保护数据的安全性和隐私。

• 访问控制技术是指权限管控相关技术或平台，用于在身份鉴权之后，根据用户的权限和角色等，限制其对特定数据资源的访问及操作，以确保数据资源的安全性和合规使用。

• 日志管理平台通过依据统一的日志规范收集业务系统和相关管理平台的日志，以支持后续的风险分析和审计等工作。

• 云数据安全技术是指保护存储在云端的数据免受未授权访问、泄露、篡改或丢失的一系列技术措施。

• 大数据安全技术是指基于大数据平台的，保护大规模数据集在收集、存储、处理和共享过程中的保密性、完整性和可用性的一系列技术。

数据全生命周期安全类技术为生命周期中特定环节面临的风险提供管控技术保障。整个数据全生命周期可以通过组合或复用以下多种技术实现数据安全：

• 敏感数据识别通过对数据进行识别和梳理，发现其中的敏感数据，以便进行安全管理。

• 数据分类分级相关工具平台主要实现数据资产扫描梳理、数据分类分级打标和数据分类分级管理等功能。

• 数据标记技术是指在数据上附加标签或元数据，以便于追踪、管理和应用安全策略，以帮助安全工具更好地理解和处理数据。

• 数据加密技术是指通过密码技术保护数据不被未授权访问或泄露，从而保障数据机密性。

• 数据完整性校验技术是指通过校验技术、密码技术等确保数据在存储、处理和传输等过程中不被未授权修改或破坏。

• 数据库安全涵盖数据库审计、数据库防火墙等技术工具，帮助组织保护其数据库免受各种安全威胁。

• 电子文档权限管理相关工具平台对电子文档进行统一管理、监控和审计，防止电子文档被非授权访问。

• 数据安全网关通过建立统一的数据访问、分发的出入口，基于协议访问数据源，发现敏感数据，对访问数据的行为进行分析、处理，提供持续的数据安全保障及监测能力。

• 备份与恢复/存储灾备技术是防止数据破坏、丢失的的有效手段，用于保证数据可用性和完整性。

• 数据安全沙箱用于构建安全可控的可信安全空间，使得用户可以在隔离的环境中处理敏感数据，以防止数据泄露和滥用。

• 隐私计算通过实现数据的可用不可见，从而满足隐私安全保护、价值转化及释放。

• 数据脱敏通过数据脱敏策略对敏感数据进行脱敏处理，以满足相关法律法规、标准要求以及业务需求，并实现数据可用性和安全性的平衡。

•数据溯源包括数字水印技术、血缘技术等，用于对数据的来源、流向、使用等进行追踪和查询。

• API管控相关工具平台提供内部接口和外部接口的安全管控和监控审计能力，保障数据传输接口安全。

• 数据防泄露通过终端防泄露技术、邮件防泄露技术、网络防泄露技术等，防止敏感数据在违反安全策略规定的情况下被有意或无意的泄露。

• 数据流转监测预警是指通过实时监控和分析数据在组织内部和内外部流转的多种场景中的流动情况，及时发现异常数据访问、敏感数据外发和数据流量异常等潜在风险，并向相关人员发出警报，以便采取相应的应对措施。

• 数据销毁包括软销毁、硬销毁等技术，通过数据销毁使得被销毁的数据不能再恢复。

• 个人信息删除是在符合法律规定或者当事人约定的情形下，通过相关技术手段删除相关个人信息，使得个人信息不可检索或访问。

• 介质销毁是指通过消磁机或者物理捣毁等方式对数据所在的介质进行物理销毁。

平台类技术通过接入各技术工具的能力点，打破其之间的协作壁垒，实现对不同技术工具的能力编排与调度，进而提供统一的管理入口与操作方式，为组织的各项安全决策提供全局视角：

• 数据安全运营管理平台通过数据资产梳理、数据合规管理、安全能力管理、数据安全运营、数据安全态势感知等核心功能，建立“协同管理”的能力，规避产品在实际应用过程中的粗防护、弱联动、单视角等问题。