数据安全态势感知 运营中心建设桔皮书.pdf

《数据安全态势感知 运营中心建设桔皮书.pdf》由会员分享，可在线阅读，更多相关《数据安全态势感知 运营中心建设桔皮书.pdf（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 数据安全态势感知 运营中心建设桔皮书 奇安信科技集团股份有限公司 2022 年 1 月 版权声明版权声明 本文中出现的任何文字叙述、文档格式、插图、图片、方法、过程等内容，除另有特别注明，版权均为奇安信集团奇安信集团（指包括但不限于奇安信科技集团股份有限公司、网神信息（指包括但不限于奇安信科技集团股份有限公司、网神信息技术（北京）股份有限公司、北京网康科技有限公司）技术（北京）股份有限公司、北京网康科技有限公司）所有，受到有关产权及版权法保护。任何个人、机构未经奇安信集奇安信集团团的书面授权许可，不得以任何方式复制或引用本文的任何片段。前言前言 进入 21 世纪以来，全球科技创新进入空前活跃

2、时期，新一代技术的不断涌现驱动着数字经济的高速发展。2020 年我国数字经济规模已达到 39.2 万亿元，占 GDP 比重达 38.6%。受新冠疫情的影响，个性化医疗、在线教育、远程办公等全面融入人们的日常工作与生活，数字经济发展进一步加速，并成为我国经济高质量发展的强大动力。数据作为数字经济最核心生产要素，规模也呈爆发式增加。据著名咨询机构 IDC 预测，2025 年全球数据量将高达 175ZB。其中，中国数据量增速最为迅猛，预计2025年将增至48.6ZB，占全球数据圈的27.8，平均每年的增长速度比全球快 3。这标志着我国社会正在从 IT 时代迈进 DT 时代。数据在推动数字经济高速发展

3、的同时，数据滥用、数据泄漏等安全事件频繁发生，数据安全风险日益凸显，数据安全问题受到国家和社会的高度重视。近年来，我国陆续发布了一系列数据安全相关的法律法规和标准规范，明确了企业和组织在数据开发利用活动中的责任与义务，强调了数据安全建设的重要性与必要性。DT 时代的数据环境是随着业务发展而动态变化的，数据安全建设不是一蹴而就、一成不变的，更不是靠单一的技术就能达成的，因此数据安全领域提出了数据安全运营的理念，将技术、流程和人有机的结合，体系化的进行数据安全建设。目 录 一、一、DTDT 时代要以安全运营理念建设数据安全时代要以安全运营理念建设数据安全.1(一)数据安全上升到国家战略高度.1(二

4、)数据安全监管力度持续扩大.2(三)以数据安全运营理念持续保障数据安全.2 二、二、DTDT 时代下数据安全运营面临的主要挑战时代下数据安全运营面临的主要挑战.4(一)数据资产难梳理，分类分级难落地.4(二)数据流动难监测，联防联控难实施.4(三)数据风险难发现，安全评估难进行.5 三、三、数据安全态势感知是安全运营的前提数据安全态势感知是安全运营的前提.6 四、四、数据安全态势感知运营中心的关键举措数据安全态势感知运营中心的关键举措.7(一)盘清家底：以数据资源为核心的资产管理中心.7(二)联防联控：以分类分级为核心的策略协同中心.9(三)流动监测：以业务流程为核心的动态监测中心.10(四)

5、风险分析：以行为分析为核心的风险管理中心.11(五)安全评估：以安全合规为核心的安全评估中心.12(六)持续运营：以态势感知为核心的安全运营中心.14 五、五、结语结语.15 数据安全态势感知运营中心建设桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561第 1 页，共 16 页 一、一、DT 时代要以安全运营理念建设数据安全 (一一)数据安全上升到国家战略高度数据安全上升到国家战略高度 数据规模的不断扩大，对经济和社会的发展产生了深刻的影响，数据安全已经与国家安全紧密相连。2021 年 9 月 1 日，数据安全法正式颁布实施，由国家统筹数据要素发展和安全，推动数据安全建设。安全法的颁

6、布将“数据安全”上升到了我国国家安全战略高度，该法明确了国家层面建立数据分类分级、数据风险评估、数据安全应急处置和数据安全审查制度，全面加强重要数据保护，降低数据安全风险，并要求数据处理者建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取数据安全技术研发、数据安全风险检测、定期数据安全风险评估等措施，保障数据安全。同年 11 月 1 日，个人信息保护法 正式颁布实施，将合法、正当、必要与最小必要、透明公开、安全保障作为个人信息活动的基本原则，明确个人信息跨境处理要求，充分保障用户对个人信息处理的知情权和控制权，赋予用户删除、查询、更正、补充个人信息等权利，明确个人信息处理者应当遵循

7、告知、个人信息分类、个人信息安全加密、敏感个人信息事前影响评估等义务，保障用户个人信息安全。接连发布的数据安全法律法规，凸显了数据安全的重要性，数据安全俨然上升到国家战略高度。数据安全态势感知运营中心建设桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561第 2 页，共 16 页 (二二)数据安全监管力度持续扩大数据安全监管力度持续扩大 数据的加速流转促进各行各业的信息互通，数据安全问题也变得越来越复杂，行业监管部门密集开展数据安全和个人信息保护专项工作。2019 年 1 月，中央网信办、工业和信息化部、公安部、国家市场监督总局联合在全国范围组织开展 App 违法违规收集使用个人信息专

8、项治理活动，对 App 运营者收集使用用户信息行为进行监督管理，严格查处违法违规收集使用个人信息行为。2021 年 7 月，国家网信办连续发布了对多家互联网公司实施网络安全审查的公告，审查期间，所有 APP 停止新用户注册。被进行网络安全审查的几家企业都掌握大量用户隐私数据，并且业务与关键信息基础设施有关。针对运营商行业，工信部根据 国务院国有资产监督管理委员会关于开展基础电信企业网络与信息安全责任考核有关工作的指导意见，自 2019 年起连续三年制定省级基础电信企业网络与信息安全工作考核要点与评分标准和基础电信企业专业公司网络与信息安全工作考核要点与评分标准，对基础电信企业及其专业公司的数据

9、安全工作进行考核评估。(三三)以数据安全以数据安全运营运营理念持续保障数据安全理念持续保障数据安全 DT 时代下，数据在创造巨大经济价值的同时，国家高度重视数据安全，行业的监管力度也不断加码，企业和组织落实数据安全建设已 数据安全态势感知运营中心建设桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561第 3 页，共 16 页 经迫在眉睫，但如何下手，从哪儿开始成为了最大的问题。由于数据环境是随着业务发展动态变化的，数据在流动过程中各环节都可能面临不同的安全风险，依赖单一的安全根本无法解决。比如数据共享环节中，数据访问控制技术能解决单一组织范围内的授权管理问题，却无法解决跨组织的数据流向

10、追踪问题，导致无法实现对数据接收方的数据处理活动进行实时监控和审计，极易造成数据滥用的风险。同时，由于数据本身结构的多样性，使得在特定场景下数据安全风险难以被检测。比如在数据外发的场景中，通过内容检测可以轻松的发现外发的文本文件中是否存在敏感信息，但如果将文件进行压缩或者拍照外发，则可能轻易绕过内容检测，导致敏感数据泄漏。而且数据关联关系复杂、敏感程度不一，单一的数据项可能无法形成敏感内容，但是多个数据项进行组合就可能推导出敏感信息。“人”往往是安全体系中最薄弱的一环，因为“人”是技术的建设者，更是流程的执行者，一旦“人”的安全意识不到位，再好的技术和流程都是空谈。恶意的内部人员利用自身的合法

11、访问权限进行数据违规操作的事件比比皆是，例如影响恶劣的微盟“删库”事件；浙江某农商银行由于内部员工违规泄漏客户信息被银保监会罚款 30 万。面对复杂多变的数据安全威胁，应以安全运营的理念落实，将技术、流程、人进行有机结合，根据数据安全态势、技术发展和业务流程等的不断变化演进式地完善数据安全体系建设。数据安全态势感知运营中心建设桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561第 4 页，共 16 页 二、二、DT 时代下数据安全运营面临的主要挑战 (一一)数据资产难梳理，分类分级难落地数据资产难梳理，分类分级难落地 随着数字化的持续推进，各行业对数据感知、存储、传输、处理等能力提出了

12、更高要求。随着企业对大数据技术的大规模采用，数据量呈 PB 级迅速激增，且业务的持续扩大与数据应用的不断裂变，往往存在这样的现象大量的老数据存储在不同的、分散的中小型结构化数据库中，同时持续在建的数据仓库或数据中台则承担了大量新业务的数据存储职能，这就造成了数据的分布广泛且规模庞大的特点。同时，企业不断推出的新业务也推动着数据形态特点不断演进海量、多元和非结构化成为数据发展新常态，数据环境呈现多样化、复杂化特征，使得大量文本、图片、视频等非结构化数据被产生、存储和使用。例如，在智慧城市场景中，各类传感设备采集的数据从单一内部小数据形态向多元动态大数据形态发展。海量、分布广泛、结构各异的数据给企

13、业对自身数据资产的梳理造成了困难，而建立在数据资产梳理基础之上的分类分级工作的实施则更无从谈起。(二二)数据流动难监测，联防联控难实施数据流动难监测，联防联控难实施 新一代信息技术的快速发展，企业的运行效率不断被优化和提升，企业新生业务对数据流动性要求日益增加，由此带来的是微服务架构的盛行，对数据变化则是调用链变得更长了。单体应用架构下数据只经过单个服务的处理就流向了终端（人），而在微服务架构下，数据安全态势感知运营中心建设桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561第 5 页，共 16 页 服务的职能被切分的更加细致，数据可能需要经过几个甚至十几个服务的处理才会流向终端（人）

14、；而云和容器技术的广泛采用，南北向与东西向交叉的数据的调用链甚至能织成一张数据流动“网”。同时，中大型企业的数据业务变得更加开放，数据的访问可能来源于企业内部，也可能来自于分支结构，甚至是外部的第三方合作伙伴；访问的客户端也从 PC 更多的转向各种手持设备，因此数据的访问来源也变得更加复杂。面对数据调用链长，访问来源多的场景，进行全面的业务梳理往往需要投入大量人力，而且安全部门与业务部门之间往往存在配合难问题，企业想建立清晰的数据流动监测视图非常困难。由于企业对数据流动视图处于“失明”状态，导致数据安全建设时只能采取传统的堆砌式的数据安全单品防护，实现“头痛医头脚痛医脚”，而体系化的联防联控只

15、能沦为纸上谈兵。(三三)数据风险难发现，安全评估难进行数据风险难发现，安全评估难进行 数据安全与网络安全最大的不同在于，数据安全的违规行为往往隐藏在正常的办公行为中，甚至很多事件是已授权的用户、应用、API等对象非法操作导致的。例如水滴泄密企业内部员工利用自身合法权限每天进行少量敏感数据下载，积累到一定程度后加密压缩外发到个人网盘；数据 API 滥用数据 API 按业务需求开放后，可能有具备权限的第三方服务没有按约定场景使用，或长时间没有使用形成暴露在外的幽灵 API 等。由于从业务视角短期来看这些行为都属于正常行为，但实际上已成为潜在的数据安全风险。数据安全态势感知运营中心建设桔皮书 奇安信

16、集团 股票简称：奇安信 股票代码：688561第 6 页，共 16 页 同时，对数据泄漏事件的检测与识别也变得更加困难，据 IBM 发布的2021 年数据泄漏成本报告显示，2021 年识别一起数据泄漏事件平均需要 212 天，遏制一起数据泄漏事件平均需要 75 天，总生命周期为 287 天。由此可见，恶劣数据泄漏往往是由一系列“微小”的可疑操作组成的，混淆在正常行为中，导致企业难以及时发现其中的数据安全风险，而有效的风险检测能力的缺少注定其定期开展的数据风险评估是“失真”的，不可靠的。三、三、数据安全态势感知是安全运营的前提 DT 时代下，数据资产的分布是广泛的，数据流动的路径是复杂的，数据违

17、规的风险是隐蔽的，这导致数据泄漏事件成因复杂交织，既有外部攻击，也有内部威胁；既有技术漏洞，也有管理缺陷；既有新技术新模式触发的新风险，也有传统安全问题的持续触发，因此单纯依靠传统的被动式的防御措施根本无法抵御蓄谋已久的数据安全攻击行为，任何基于“单点”防御的体系都难以避免被欺骗或绕过。因此，Gartner 提出的自适应安全架构（Adaptive Security Architecture）强调了“防御、检测、响应、预测”的重要性。“防御”是指一系列策略集、产品和服务可以用于防御攻击，关键目标是通过减少被攻击面来提升攻击门槛，并在受影响前拦截攻击动作；“检测”是用于发现那些逃过“防御”措施的攻

18、击，关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失；“响应”是用于高效调查和补救被检测分析功能 数据安全态势感知运营中心建设桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561第 7 页，共 16 页 (或外部服务)查出的事务，以提供风险来源分析，并产生新的“防御”措施来避免未来事故；“预测”使系安全体系可从持续监测的风险中学习，以主动锁定对现有系统和信息具有威胁的新行为，该行为被将反馈到“防御”和“检测”功能，从而构成整个处理流程的闭环。面对日益增长的数据安全威胁，DT 时代的数据安全体系建设需要不断演进，基于自适应安全架构（ASA）的思想内核，数据安全态势感知显得尤为重要，

19、只有切切实实地对数据安全风险做到“可感知”，才能实现数据安全的“可运营”，因此建立一套全局的数据安全态势感知运营中心来指导数据安全体系建设，是解决问题之道。四、四、数据安全态势感知运营中心的关键举措 基于自适应安全架构（ASA）思想内核的数据安全态势感知运营中心是用于指导整个数据安全体系建设的，应该具备六大安全能力。(一一)盘清家底：以数据资源为核心的资产管理中心盘清家底：以数据资源为核心的资产管理中心 建立以数据资源为核心的资产管理中心，是数据安全运营的前提。通过技术手段对企业自身拥有的数据资产进行全面的盘点，掌握数据资产分布、数据资产类型、数据内容结构、数据资产归属、数据资产使用状态等信息

20、，最终的目标是构建“一棵既有业务属性也有安全属性的数据资产目录树”。数据资产发现数据资产发现是解决数据资产分布广泛问题的有效手段，通常是 数据安全态势感知运营中心建设桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561第 8 页，共 16 页 以主动发现与被动探测相结合的方式进行。数据资产主动发现是在安全策略的配合下，通过主动嗅探的方式扫描全网地址，对潜在的数据源建立连接并构造请求内容，解析响应内容从而收集数据源基本信息；数据资产被动探测是通过镜像核心交换的流量来进行协议解析，根据协议类型确定数据源类型，从而达到收集数据源基本信息的目的。通过数据资产发现实现全网数据源的初步收集，从而建

21、立数据资产顶层目录。数据资产扫描数据资产扫描可丰富数据资产目录的“叶子”节点。在安全部门的配合下，使用数据源的认证信息（通常只需可读权限）主动连接数据源，对数据内容和数据结构进行扫描，进一步收集数据资产的结构、内容等元信息，从而细化数据资产目录。为应对数据规模庞大且持续增加的特点，数据扫描应具备定期增量式扫描的能力，减少扫描的时间。最后，在安全部门和业务部门的配合下，对数据资产的使用目的、方式、范围以及管理归属等信息进行补充，最终形成完整的数据资产目录树。基于构建出来的数据资产目录，开展数据分类分级数据分类分级。结合相关行业的分类分级标准和业务现状，数据安全专家、企业安全部门与业务部门相互配合

22、，定制化输出符合业务发展的数据分类分级模板，依据模板落实分类分级工作。分类分级以数据识别技术数据识别技术为基础在数据扫描的过程中，通过关键字、正则表达式等匹配技术，结合上下文信 数据安全态势感知运营中心建设桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561第 9 页，共 16 页 息对结构化数据进行识别；以机器学习、自然语言处理、光学字符识别等智能化技术对非结构化或半结构化数据进行识别，辅助安全人员落实数据资产分类分级。(二二)联防联控：以分类分级为核心的策略协同中心联防联控：以分类分级为核心的策略协同中心 数据的开发利用和数据安全防护往往是一对矛盾体，数据在没有任务防护措施的情况下

23、“裸奔”对数据的开发利用是最高效的；同样的，通过物理手段、技术手段将数据层层“包围”起来不做任务开发利用，则数据是最安全的，但两者均不利于组织整体业务健康地、可持续的发展。数据安全建设应围绕分类分级的结果进行开展，对不同类别、不同级别的数据资产进行差异化的防护能力建设和安全策略配置，实现数据业务发展和安全管控的平衡。将分类分级结果转化为业务知识，为数据资产提供安全防护建议，并结合具体的数据安全防护组件，统一地下发安全策略，实现以分类分级为核心的策略协同能力。例如针对核心级别的数据资产，采用加密技术对数据进行保护；针对重要级别的数据资产，采取脱敏技术对数据进行保护；而对普通数据，则采取审计技术对

24、数据访问进行留痕。同时，联动数据链路上数据安全措施，主要包括打通其策略配置通道联动数据链路上数据安全措施，主要包括打通其策略配置通道和日志、和日志、告警上报通道，告警上报通道，及时感知防护能力的薄弱环节并自动调整策略，实时监测数据的防护能力状态，从而构建一幅关系到“数据资产、业务、安全策略”的安全业务视图。数据安全态势感知运营中心建设桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561第 10 页，共 16 页 (三三)流动监测：以业务流程为核心的动态监测中心流动监测：以业务流程为核心的动态监测中心 通过数据资产梳理可以掌握数据资产的“静”态状况，而数据流动监测则是为了掌握数据的“动”

25、态状况。以“什么人”“什么时间”对“什么数据”执行“什么操作”为基本监测原则，从时间、频率、数量、类型、源信息、目的信息等多个维度进行统计分析，建立行为基线和行为趋势图，将数据流动的情况进行动态测绘。涉敏对象梳理涉敏对象梳理。以数据为粒度，通过解析数据访问协议，对应用、API、用户等涉敏对象进行梳理，形成应用清单、API 清单和用户清单，为全局的数据业务视图提供“节点”信息。敏感数据使用监测敏感数据使用监测。基于梳理出来的涉敏对象，对应用、API、用户的数据操作行为进行细粒度的审计，结合数据资产分类分级的知识对操作行为打上不同的标签，并根据访问、归属等维度自动组织涉敏对象之间的关联关系，为全局

26、的数据业务视图提供“连线”信息。构建数据流动地图。构建数据流动地图。通过涉敏对象梳理提供的“节点”信息与敏感数据监测提供的“连线”信息，结合数据资产目录，对数据源、应用、API、用户之间的数据流动关系（流动方向、数据类型、数据量）进行动态测绘；同时，在业务人员的配置下，根据实际业务场景细化数据的使用目的、使用方式和管理组织等信息，实现数据流动视化。通过数据流动监测，全局掌握企业数据的“动”态状况，从而构建一幅关系到“数据资产、业务、主体”的全局数据业务视图。数据安全态势感知运营中心建设桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561第 11 页，共 16 页 (四四)风险分析：以行

27、为分析为核心的风险管理中心风险分析：以行为分析为核心的风险管理中心 数据安全违规行为是隐蔽的，数据泄漏事件的发现是滞后的，因此及时发现数据风险并预警是数据安全运营的重要目标建立以行为分析为核心的风险管理中心，对数据的行为信息进行全面收集、审计，结合数据资产分布状态、数据流动状态和分类分级结果进行智能化分析，识别其中潜在的安全风险并及时告警与处置，遏制数据泄漏事件的发生，防范于未然。全面的行为日志采集与处理全面的行为日志采集与处理是数据安全风险检测的基础。行为日志包括操作日志和告警日志，日志内容须细化到具体的数据粒度。对部署在数据链路上的数据探针和安全产品的日志进行全面收集，按照统一的日志标准进

28、行格式化，从不同的维度对日志进行富化，从而构建一个多源行为日志库，为数据安全风险分析提供基础素材。集离线分析、实时分析、告警归并能力于一身的联合分集离线分析、实时分析、告警归并能力于一身的联合分析引擎析引擎是检测隐蔽的数据违规行为、识别潜在的数据泄漏事件的利器。离线分析能力强调的是准确性，通过对海量的行为日志进行大数据挖掘，在海量的业务行为中准确地识别出数据违规行为；实时分析能力强调的是时效性，通过对在时间和数量无限分布的一系列动态日志进行流式计算，实现秒级响应，及时识别潜在的数据泄漏事件；告警归并是强调告警的价值性，通过对大量的告警日志从不同维度进行聚合与统计，并设置相应的穿透规则，将真正有

29、价值的告警信息从大量的噪音中过滤出来。数据安全态势感知运营中心建设桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561第 12 页，共 16 页 通过行为日志的采集、处理，以强大的联合分析引擎为技术基础，辅以丰富的分析策略如传统的规则匹配、统计分析和基于智能学习方法的多源关联挖掘、行为链分析、动态基线分析等模型，灵活的应对不同场景下的数据安全风险检测，结合丰富的处置流程进行跟踪响应，确保数据风险得到解决，真正实现可控的风险管理。(五五)安全评估：以安全合规为核心的安全评估中心安全评估：以安全合规为核心的安全评估中心 数据安全法 中明确提出要求“重要数据的处理者应当按照规定对其数据处理活

30、动定期开展风险评估”，同时出于对自身数据保护的需求，企业必须要开展的数据安全活动是定期开展数据安全评估。以法律法规和行业监管部门的考核要求为基础，结合企业自身的业务场景，定制化输出安全评估模板，以半自动化的方式开展数据安全风险评估工作，形成电子化的风险评估报告。安全评估模板应至少包含以下评价要素：数据管理组织架构数据管理组织架构。应成立专门的数据管理组织，并以“一把手”挂帅，结合业务场景设置不同的管理角色；同时将不同的数据资产归属到该组织中的具体人，确保数据认责。数据管理规章制度数据管理规章制度。数据管理制度是开展数据处理活动和落实数据安全建设的指导思想，应由数据管理组织牵头将数据管理制度成文

31、并公告，明确数据管理责任与义务。数据分类分级数据分类分级。分类分级既是合规要求，也是安全建设的基础。基于资产管理中心提供的资产目录与分类分级结果，自 数据安全态势感知运营中心建设桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561第 13 页，共 16 页 动生成分类分级明细清单、统计分类分级完成度、并结合分类分级有效期、分类分级管理制度等指标进行合理评价。数据资产风险数据资产风险。基于风险管理中心提供的安全告警，结合数据资产分类分级情况，对不同类别、不同级别的数据资产的不同风险形成明细清单与统计图表，结合数据处理活动、联防联控措施等指标进行合理评价。数据权限管理数据权限管理。基于策略

32、协同中心提供的安全业务视图和动态监测中心提供的数据业务视图，自动生成数据权限现状图，加上人工补充缺失的（如线下执行）权限明细，结合数据处理活动进行合理评价。数据操作审计数据操作审计。基于风险管理中心提供的多源行为日志库，按操作时间等不同维度自动生成数据操作审计明细表与操作热度统计表，结合分类分级结果和数据处理活动进行合理评价。应急响应应急响应。基于风险管理中心提供的风险告警与事件处置数据，自动生成告警-事件-处置明细表，按分类分级、响应时长等不同维度生成统计图表，结合数据处理活动进行合理评价。通过定期开展数据安全评估，帮助企业从宏观角度发现数据安全薄弱环节，提出整改建议，从而有的放矢地进行安全

33、能力建设。数据安全态势感知运营中心建设桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561第 14 页，共 16 页 (六六)持续运营：以态势感知持续运营：以态势感知为核心的安全运营中心为核心的安全运营中心 安全以“检测”为始，以“响应”为终，整个过程可称之为“持续运营”。在数据违规行为对数据资产造成损害之前，及时制止损害或降低损失是安全体系的最终防线，也是持续运营的目标。全面的数据安全态势感知全面的数据安全态势感知是安全运营的抓手。基于资产管理中心提供的数据资产目录，通过对指定时间段内的数据资产分布、敏感数据量、敏感数据类型等指标进行统计分析与趋势预测，自动生成敏感数据分布态势图；基

34、于策略协同中心提供的安全业务视图和动态监测中心提供的数据业务视图，通过对安全策略变更和数据库、应用、API 等涉敏对象的敏感数据量、敏感数据类型等指标进行统计分析与趋势预测，自动生成敏感数据流动态势图；基于风险管理中心提供的数据，对分布在不同位置、不同时间、不同类别、不同级别的数据资产的安全告警、事件处置等指标进行统计分析与趋势预测，自动生成数据安全风险态势图。三大安全态势围绕数据从分布、流动、风险三个维度为运营人员构建了清晰的宏观视图。灵活的风险溯源灵活的风险溯源是提高安全运营效率的重要手段，是事件响应处置必不可少的支撑工具。灵活的风险溯源工具应具备 2 个能力，即“以数追人”和“以人追数”

35、。“以数追人”强调的是在已知受到损害的数据资产时，通过相应的数据资产片段进行溯源，按相关度的从高到低列出可疑的“人”（账号、应用、API 等）及其相关日志证据；“以人追数”强调的是在已知可能涉事的“人”（账号、应用、API 数据安全态势感知运营中心建设桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561第 15 页，共 16 页 等）时，通过输入“人”的信息进行溯源，按相关度的从高到低列出可能受到损害的数据资产及其相关日志证据。进一步可将将可疑的“人”、“数”、证据等信息按时间顺序组织成为事件链，为运营人员构建细致的微观视图。便捷的响应处置工具便捷的响应处置工具是风险闭环的最后一步，也

36、是必须的一步。一旦发现了数据安全风险，可根据企业的安全管理办法设置相应的风险处置流程并实时跟踪，确保风险得到妥善的处理。同时，处理的结果可以及时反馈到策略协同中心，更新数据链路上数据安全措施，实现立即止损的同时，确保同样的风险不会再发生。通过掌握数据资产的宏观态势视图和微观风险视图，运营人员可以及时处置相关风险，自适应地优化安全策略，高效开展持续运营工作。五、五、结语 从组织开展数据安全运营工作的现状来看，当前多数组织已形成对数据安全运营必要性和重要性的充分认识，但面向海量、多源、流转关系复杂的数据处理场景，并且由于数据本身又具有多样性、敏感程度不一、关联关系复杂等特征，仍存在较大的安全挑战。

37、下一阶段，可以围绕以下几个方向为数据安全运营工作提供保障。第一、战略层面明确数据安全工作的战略地位。第一、战略层面明确数据安全工作的战略地位。组织需要明确 数据安全态势感知运营中心建设桔皮书 奇安信集团 股票简称：奇安信 股票代码：688561第 16 页，共 16 页 数据安全对于组织生存发展的重要意义，从战略高度明确数据安全运营的重要价值，对数据安全运营进行清晰规划与指导，在管理层面达成一致共识，为数据安全运营工作提供资源保障。第二、动态掌控全局数据安全。第二、动态掌控全局数据安全。数据交互的复杂性和多样性对数据安全运营工作提出了更大挑战，掌握数据流转关系是动态掌控全局数据安全的重要前提，需要充分考虑数据资源的使用目的、方式和范围，包括组织的部门架构关系，精准刻画的数据流转关系，才能够全面发现数据处理活动中的潜在风险，实现对数据安全风险及时预警和处置，支撑数据安全运营工作。第三、建立内部监督评价机制。第三、建立内部监督评价机制。组织需要充分考量安全形势、合规要求、业务需要等变化，对组织的数据安全工作开展情况进行审核与监督，结合相关行业法律法规和监管部门的考核要求，数据安全成熟度或者场景风险等，进行技术性比对评估或佐证。并根据评估结果提供可落地的安全整改建议，从而帮助组织及时发现安全薄弱环节，指导组织针对性的进行安全能力建设。