“无危则安，无缺则全”，在中国传统观念中，“安全”往往意味着没有危险且尽善尽美。然而，在当今风险社会（risk society）中，这种绝对的安全观念已经不合时宜。正如德国社会学巨擘卢曼所洞见的：我们生活在一个除了冒险别无选择的社会。

1 数据安全面临的挑战

数字化时代，新技术带来新的安全风险

           大数据成为网络攻击的显著目标。大数据意味着海量，以及更复杂、更敏感，成为更具吸引力的目标。另一方面，数据的大量聚集，无形中降低了提高了黑客攻击的“收益”，降低了进攻成本。

           新技术的引入加大隐私泄露风险。数据来源涵盖更广阔的范围，大量数据的聚集加大了用户隐私泄露的风险。

           大数据技术被应用到攻击手段中。大数据技术获取商业价值的同时，黑客也正在利用技术向企业发起攻击。黑客可以利用大数据发起网络攻击，可能会同时控制上百万台傀儡机并发起攻击，这个数量级是传统单点攻击不具备的。

          对现有的存储和安防措施提出挑战。数据大集中的后果是复杂多样的数据存储在一起，对于海量数据，常规的安全扫描手段需要耗费过多地时间，已经无法满足安全需求。安全防护手段的更新升级速度无法跟上数据量非线性增长的步伐，数据安全防护存在漏洞。

对数据安全法规与标准要求的认知不足

          国家对数据安全的日益关注，从政策层面陆续出台法律、行政法规，以及国家标准，大多数企业的信息安全、合规管理层面的人员，对于这些信息的收集或解读能力有限，对企业数据安全保护建设的方针策略规划、造成一定影响，在这样情况下，存在较大的法律合规方面的安全风险，尤其针对一些特定的业务，如涉及个人民事事务处理，电子交易支付，以及跨国数据处理的领域。

数据资产的独特性给安全管控带来困难

          数据资产有别于常见的IT设备，它不是有形的，并且是“流动”的，因此解决数据资产管理需要首先攻克三个方面的难关：

识别：数据资产的存在形式多样，所有权界定模糊等原因，导致较难采用集中的、一致化的自动工具进行数据资产的检索和发现，需要有具备一定安全专业知识的人员参与。

重要程度标识：数据安全分类分级是安全管控的基础，这是众所周知的理论，但是在实际操作环节中，数据资产无法像实体的硬件设备那样贴资产标签，也不像软件资产一样可以用版本、许可证来标记，对于被分类、分级的数据资产，需要采用数字标签/标注、数字水印等多种技术，结合管理策略，进行有效的标识。

活动跟踪：对于数据资产的活动跟踪，不应仅“看管”数据本身所处的位置和变动，还应结合对数据进行操作的账户，并关联到人员，以及保存数据的实体IT资产，通常是指运行数据的服务器主机或办公终端，这些数据之外的因素同样会对数据资产安全造成重大影响。

图：数据安全治理的重点

“共享”与“安全”的矛盾

           数据的价值在于被使用，然而使用的场景越复杂，时效性需求越高，必然会导致数据被篡改、窃取、泄露的管道和途径更多，安全管控的难度也越大，安全风险自然也就越高。

2 数据安全治理的建设思路

基于当前数据安全所面临的挑战和难题，鼎赛科技提出了数据安全治理体系的建设思路，包括两个主要方面：

A．以安全合规为出发点，融合多种安全合规要求，融合技术和管理，形成策略统一的数据安全治理体系

B.建设集人员、流程、技术于一体的数据安全治理体系。

人员/团队：成立专门的安全治理团队，保证数据安全治理工作能够长期持续的得以执行。

政策与流程：明确企业内部的敏感数据有哪些，数据进行分类和分级，不同类别和级别的管控原则，不同角色所具有的权限，数据使用的不同环节所要遵循的控制流程。

技术支撑：明确在管理控制过程中，采用什么样的技术手段帮助实现数据的安全管理过程;这些技术手段可以包括： 数据的梳理、数据的访问控制、数据的保护、数据的脱敏和分发、数据的审计、数据访问的风险分析

3 鼎赛科技提供的数据安全风险治理服务

法律法规、安全标准要求解读

             帮助企业梳理数据安全相关法律法规信息，解读安全管控要求，进行数据安全保护现状进行合规符合性分析，保护措施有效性评估，为后续形成数据安全治理的具体建设目标，建设项目实施路线图提供支撑。

建设基于大数据技术的数据安全治理平台

           利用基于大数据分析技术建设数据安全风险合规治理平台，通过日常运营实现各项安全管控措施的合规符合性、执行有效性检查，及时发现并处置高风险的数据安全事件，违规的数据活动等，实现数据安全治理的闭环管理。

安全运营服务

          基于大数据技术的数据安全治理的咨询顾问服务以及平台建设成果，鼎赛科技还为客户提供安全运营服务，服务的内容包括：

(1)  数据安全保护支撑服务：技术方案的集成实施，安全防护策略部署，优化与持续改进

(2)  数据安全事件分析服务：结合安全合规要求与企业数据安全保护需求，设计数据安全场景和分析规则，利用大数据技术分析潜在数据安全风险

(3)  安全监控、响应与处置：基于数据安全治理平台，对数据安全事件进行实时监控、事件分析，进行风险分析，提供合理的处置建议和方案

(4)  数据安全事件闭环管理：根据已经建立的团队组织、工作流程和技术平台，执行数据安全管理工作，形成“运维+响应+处理+绩效评价”的闭环管

尾言

          基于以上三点鼎赛科技的数据安全风险治理解决方案已经为当下企业数字化业务运营提供了数据安全治理的闭环管理，根据建立高效的“虚拟”人员组织、工作流程和技术手段，执行数据安全治理管理工作，形成“运维+响应+处理+绩效评价”的闭环管理，并且已经在部分国际知名企业得到了有效的实践和运行。