本博客地址：https://security.blog.csdn.net/article/details/131317315

一、基础管理篇概述

数据安全在广义上讲是一个很大的概念，依据《数据安全法》第三条，数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。也就是说，一切保卫数据的安全措施，都可以看做是和数据安全有关的。

从管理层面讲，例如教育培训，它有效提高了员工的信息安全意识，进而降低了人本身存在的安全风险，当员工安全意识提升后，在某种程度上也避免了数据的泄露，因此教育培训也可以看做是保卫数据的一种安全措施。类似的，很多传统的安全防护措施从某种意义上来说都和数据安全有关系，因此，建设数据安全也自然要考虑到它们。

本文我们主要从管理层面介绍一些常见的传统意义上的安全防护能力，它们和数据安全都有着千丝万缕的关系。

二、组织、制度和流程

数据安全组织的成立主要是为了落实企业的数据安全管理，规范数据安全工作，明确各部门管理职责，提高企业数据安全意识，预防安全事件发生，为数据安全工作提供指导和支持。因此这个组织的重要性不言而喻，成立数据安全组织必要性也不言而喻。

数据安全组织一般分为四层，为领导层、管理层、执行层、监督层，职责大致如下：

● 决策层：负责企业数据安全的整体工作，决定任务优先级，安排项目资源，统筹数据安全工作的开展，一般是指高管团队；
● 管理层：根据决策层的要求制定数据安全制度和规范，协调各部门开展数据安全相关工作，一般是指安全或合规团队；
● 执行层：根据制度和规范进行相应的数据处理活动，并依据相关要求对不符合项进行整改，一般是指IT基础支撑团队或业务团队；
● 监督层：负责定期监督审核领导小组、管理小组、执行小组、员工和合作伙伴对数据安全要求的执行情况，一般是指内部审计团队或第三方审计团队。

除此外，数据安全组织中还应当设置负责具体事务的成员，例如制度保障员、数据资产员、管理审计员、合作方管理员、应急响应员、投诉举报员、教育培训员、安全合规评估员等，不同职务有不同的责任。

在数据安全组织建设完好之后，下一步是建设完善的数据安全制度。

数据安全制度主要是为了为确保企业的数据安全管理体系建设符合各项法律法规和标准的要求而需要编写的一系列管理办法或技术方案，这些数据安全制度可以为落实数据安全管理工作、规范数据安全管理、预防数据安全事件发生提供参考依据，以及对企业的数据安全管理工作提供指导与支持。

有了数据安全制度，下一步就是建设完善的数据安全流程了。

数据安全流程可以依据不同的数据等级和使用场景建立严格的数据审批流程，数据等级可以依据数据分类分级中的等级，使用场景一般有数据采集、数据共享、数据导出、数据接口对接、数据外发、数据删除等。不同等级、不同使用场景应当有不同的审批流程，从而保证数据始终在可控状态中流动使用。

三、CI/CD安全链

CI/CD安全链和安全中常说的SDL安全有些类似，都是在一个应用生命周期的各个环节采取相应的安全措施，来保障这个应用自始至终的安全。由于越早期发现安全问题整改的成本越小，因此这个方法论非常注重生命周期中前期的安全。

● CI阶段主要的安全措施是：安全评审、代码审计、SCA软件成分分析等，除此外，还有测试阶段进行的自动化安全测试与人工渗透测试。最后，应当对高危漏洞做上线卡点，在整改完所有的高危漏洞后才能上线。

● CD阶段主要的安全措施是：要求部署时使用安全基础镜像，以及镜像安全扫描、配置文件检测等，除此外，还有上线后的持续运营，通过安全运营平台进行安全度量、安全告警、以及部分审批流程的安全卡点。最后，还应当通过周期性的漏洞扫描发现存在的安全漏洞等。

四、日志监控

在当下，不管是哪种监控都是以分析日志为基础的，而面对海量的日志数据，自动化的采集、分析、告警就显得尤为必要了，这里我们主要介绍日志的监控。

在日志收集阶段，可以通过在装机时安装日志采集agent来保证日志采集的覆盖，将所有日志全部采集到日志审计平台，由日志审计平台进行集中审计。这里主要做数据安全攻击事件的审计、数据流动安全的审计、敏感操作行为的审计等。日志的存储时间不少于6个月。

在规则配置阶段，可以根据不同的业务场景或业务日志，制定不同的分析规则，满足业务分析需要。

在告警通知阶段，可以根据业务要求，定制化告警规则、告警渠道、告警内容等，并及时将告警推送给相关的运维负责人，做到及时发现问题，及时处理问题。

在数据可视阶段，可以将不同业务系统关注的指标数据用图表进行展示，同时，可以定期发送统计信息报表给对应的负责人。

五、信息泄露监控

信息泄露监控主要是通过特定规则对特定网站的数据泄露进行监测，自动化执行该操作的平台即被称为信息泄露监控平台。

信息泄露监控平台可以通过不间断的对各数据源平台进行监测，自动化扫描发现相关的异常数据信息和安全事件，评估事件的风险程度，并通过技术手段进行精准匹配后形成告警，此外还可以随时查询互联网上是否存在本企业的敏感内容文档，并了解泄漏的时间和上传账号。

信息泄露监控的规则一般是基于关键字、正则表达式和文档指纹来编写的。监测的目标平台通常有：GitHub、Gitee、百度文库、豆丁文库、CSDN、金锄头、IT168文库、博客园等等。监测的主要目的一般是：源代码泄露监控、文档文件泄露监控、暗网信息情报监控等。

六、应急响应

如果要规范化开展应急响应工作，首先需要制定应急响应管理制度，明确应急响应工作的负责部门，并结合数据安全事件的影响对象、影响范围、影响程度与公司实际情况，对不同的数据安全事件进行分类分级。

应急响应从流程上讲，分为日常预防、事前预警、事中处置、事后总结四个阶段。

● 在日常预防阶段，主要是制定数据安全应急响应总体规划，编制数据安全应急响应相关制度，完善公司数据安全应急响应流程。并定期组织开展数据安全应急相关基本知识、应急预案的宣传教育和培训，同时，还应当定期组织开展数据安全突发事件应急演练，并编写应急演练报告，提高企业数据安全突发事件应对能力。

● 在事前预警阶段，系统运维人员或安全监控人员需要对网络、系统、数据库、电脑终端等系统和设备的情况进行密切监控，通过多种途径监测、收集已经发生的数据安全事件信息并上报，上报数据安全事件时，应当说明事件的发现时间、初步判定影响范围、影响程度，初步的实践定级，已采取的应急处置和有关建议等。

同时，系统运维人员或安全监控人员还应当通过多种途径监测和收集漏洞、病毒、网络攻击的最新动向等相关预警信息，对数据安全事件发生的可能性及其造成的影响进行分析评估，认为可能发生数据安全事件的，也应当进行上报。

在将事件上报后，应急响应进入事中处置阶段。

● 在事中处置阶段，首先需要对发生的应急响应事件进行评估，对于可控范围内的数据安全事件，由安全部门负责指挥和协调事件的调查即可。对于涉及全公司的重大数据安全事件，应立即报告高管层，由高管层接手并进行宏观决策和应急指挥，同时由高管层协调事件的调查。

另外，数据安全事件发生后，安全部门应立即组织相关人员采取应急处置措施，尽最大努力减少数据安全事件对用户和社会的影响，同时注意保存相关日志和证据。之后需要对应急事件进行溯源取证，对于应急溯源取证过程中遇到的困难，应当向上汇报，由上层领导做好协调支持，尽最快速度扫清在应急事件溯源过程中的阻碍。

最后，安全部门应当持续加强安全排查，避免存在未被安全处置的风险点被攻击者持续利用，一旦排查到相关风险应立即上报。

在将数据安全事件消除或控制后，应急响应进入事后总结阶段。

● 在事后总结阶段，安全部门首先需要编制数据安全应急响应报告，报告就应急事件的起因、经过、责任、突发事件造成的损失进行阐述，并总结数据安全事件防范和应急处置的经验教训，提出处理意见和改进措施，避免再次发生类似情况。并将报告上报给高管，由高管就应急事件造成的损失和影响进行是否报警的决策。

此外，还应当对事件进行持续的监测、跟踪、以及处置情况跟进，例如事件是否引发舆论、数据是否流入黑市等。一旦监测到有相关信息，应立即报告高管层。

最后，安全部门需要组织开展该次数据安全事件等级的评定，对于重大事件要上报当地监管部门，如涉及个人信息或个人隐私信息泄露，则需要将情况通过用户已有的联系方式通知数据主体。同时，还应当对该次数据安全事件的责任人进行问责。

七、投诉举报

投诉举报主要是为了保护用户的合法权益，履行企业的责任。对于投诉举报，企业应当畅通举报受理渠道，及时高效的处理举报信息，加强投诉举报的管理工作。

一般企业的投诉举报渠道有：官网的客服电话或举报电话、官网或APP的用户反馈渠道、企业公开的举报邮箱、监管方公开的举报通道、媒体投诉举报通道等。

对于投诉举报事件，应该将其列为应急响应事件，若投诉举报涉及数据安全泄露，需要将投诉举报事件进行升级，并启动投诉举报应急响应流程。应急响应团队在核实投诉举报内容属实后，需要快速在对应系统中检查相关情况，如收集路径、存储情况、传输情况等，并制定应急响应处理及补救措施，将处理结果反馈至投诉人，处理过程应一般是在接收到投诉举报后的15个工作日内完成。

除了接收来自外部的投诉外，企业还应该设置内部的匿名投诉举报渠道，通过内部的匿名投诉举报，可以很好的发现企业内部的内鬼，更好的防范数据泄漏事件的发生。

八、教育培训

教育培训主要是为了提升人的安全意识，同时，它也是信息安全中投入产出比最可观的手段之一，一个良好的教育培训方案落地，可以极大的提升企业的信息安全能力。

对于数据安全的培训，首先需要制定年度的数据安全培训计划，培训计划包括合规培训课程、负责人、培训时长、培训学习形式、试题数量、面向学员等信息。数据安全相关的培训内容包括安全意识、法律法规、技术要点等内容，培训的学习形式主要是线上学习、直播、线下课程等方式。

不论是哪种培训模式，管理者都应该落实所有员工参加必修课程，并监督员工完成培训考核，对于部分敏感岗位，考核结果最好是能与绩效或晋升挂钩，将其作为绩效或晋升的参考条件之一。培训考核落实是很关键的一步，这一步不落实，培训所起到的效果就大打折扣了。

九、总结

本文主要介绍了常见的传统意义上的安全管理措施，包括组织、制度和流程，CI/CD安全链，日志监控，信息泄露监控，应急响应，投诉举报，教育培训等。由于本文的主旨在于数据安全管理，因此对这些安全管理措施没有展开很详细的讲解，只进行了简单的介绍。

除了本文介绍的这些安全管理措施外，其他的安全管理措施还有很多很多，它们其实也都和数据安全脱不了关系，广义上的数据安全其实就是信息安全，信息就等于数据，每一个安全防护产品基本上都能适用这个概念中。