《数据安全法》第三条对数据安全给出了明确的定义：“数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。” 

数据随着业务时刻动态变化的，要想保证数据处理的全过程安全，数据安全就需要深入业务场景来开展。如何深入业务场景确保数据使用的全过程安全？

近日，在“FCS 2023中国银行CIO峰会”上，极盾科技产品负责人李方方分享了她的实战经验-「深入业务场景的数据使用安全管控实践」。

Why：为什么要进行数据使用安全管控？

​

《数据安全法》、《个人信息保护法》两大基础法律陆续颁发之后，各行各业数据安全政策法规接踵而至。多方强调，数据安全建设需要围绕数据分类分级，对数据全生命周期的不同阶段进行分级管控。

方向明确，只有深挖问题根源，方能找到破解之钥！数据安全建设的根源在哪里？

数据全生命周期安全防护中，数据采集、传输、储存阶段基本都具备较为完善的工具和技术防护能力，例如数据加密、数据库脱敏、数据库审计等。数据使用阶段的安全建设普遍比较薄弱。

众所周知，数据本身没有价值，有了足够好的流动性，它才具有了价值。数据一旦开始使用、流动，就会通过不同的业务场景暴露给不同部门不同的人，敏感数据暴露面增加，数据安全风险随之增大。因此，数据使用阶段是风险最高且安全建设最为薄弱的环节，是数据安全建设的重中之重。

How：如何进行数据使用安全管控？

要深挖病根，更要对症下药。数据使用安全该如何管控?

一、数据使用安全体系建设方法论

结合多年的数据安全实践经验，数据使用安全需要抓住“谁在用、用的什么、怎么用”三大核心，我们提出了数据使用安全方法论：以“人”为主体，围绕业务场景，以数据分类分级为基础，以用户及实体行为分析（UEBA）为抓手，面向数据使用全流程构建主动安全防控体系。

其中包含以下四个要点：

1、信息采集

以“人”为主体的信息采集不只是账号，而是各种属性的扩张。除了部门、岗位、职责、账号、角色、权限、设备等静态信息，还需采集环境（IP、操作系统、浏览器）和行为的动态信息，全面构建动态人员画像。

从员工登录系统开始，对员工在系统中所有的关键操作行为进行全程实时监控。比如，查看了哪些页面？有没有复制、下载、导出？停留了多久？是否涉及敏感数据？涉及的敏感数据具体有哪些？

2、数据分类分级：分级管控的必经之路就是数据分类分级。通过引入数据安全网关，从数据访问使用过程中基于敏感识别和分类分级规则，识别当前访问数据的重要程度和敏感程度，从而进行针对性防护。

3、风险监测：基于零信任框架和人工智能模型的行为分析技术，高效识别数据使用的行为风险，并进行实时响应告警，必要时联动相关业务系统对风险行为进行有效阻断和拦截。

4、分级管控：结合访问主体的属性信息（部门、岗位、职责等）、访问数据的属性信息（数据类型、安全等级、量级等）和访问环境信息（业务场景、行为状态、所处环境等）等因素，通过精细化数据动态脱敏防护手段，动态管控敏感数据，灵活适应多种复杂场景下的数据使用安全管控。

二、平台功能架构

这一切的实现，需要一套完善的平台功能架构来支撑。我们把这个平台分成了四个阶段、分别是数据采集阶段、事前阶段、事中阶段和事后阶段。

第一阶段：数据采集

通过网关流量和应用行为埋点来实现以“人”为主体的多维度信息采集，同时通过接口、数据库读取、导入等多种方式接入组织架构中身份、岗位、权限信息。

第二阶段：事前阶段

信息采集之后，事前进行重要操作标记（复制、下载、导出等)、敏感数据识别并分类分级、自定义水印、特权账号标记、黑白名单等。

第三阶段：事中阶段

事中通过账号监测（账号盗用、账号爆破等）、权限合规筛查、数据泄露监测实现全方位风险监测，并采用数据动态脱敏的防护手段，再结合告警、阻断的有效措施进行风险管控。

第四阶段：事后阶段

事后阶段主要进行日志审计、泄露溯源、权限梳理以及数据暴露面分析等。若数据发生泄漏，平台导入一批泄露的数据内容进行追踪溯源，即可进行快速定位到人、时间、场景、泄露方式等。

三、数据使用安全管控方案特点

在这套平台功能架构支撑下，数据使用安全管控方案应运而生，必须敲黑板划重点的便是下面几个方案特点。

1、无需应用改造，采集统一、标准、完备、符合监管要求的信息

应用系统一般会自动采集用户操作日志，但达不到监管要求“2级及以上的数据访问过程应留存相关操作日志，操作日志应至少包含明确的主体、客体、操作时间、具体操作类型、操作结果等”。应用系统需要改造才能符合监管要求，耗时耗力。轻量级的数据使用管控方案就可以实现无需应用改造即可采集统一、标准、完备、符合监管要求的信息。

2、深入业务场景的数据采集和业务标记

信息采集时，给数据打上业务标签并归类归级。基于业务标签、分类标签，结合业务场景，接入组织架构（部门、岗位、在职状态）和账号权限（账号、角色、权限）等进行数据使用安全的细颗粒度管控。

3、强大灵活的风险监测系统

风险监测系统除了账号盗用、暴力破解、账号共享、权限合规、接口风险监测、行为基线、数据复制截屏等标准模板，还有一套由实时流计算、批计算、决策引擎、模型平台和工作流引擎组成的智能决策系统，可以根据不同的业务场景不同的业务需求做定制化策略和定制化模型，并可以实现快速上下线。

4、动态脱敏运营体系

 这不是简单的动态脱敏工具，而是一整套完整的动态脱敏运营体系。脱敏前，为了平衡业务与安全的双重需求，通过伪脱敏的方式来确定哪些数据需要脱敏。脱敏实施时，基于访问主体（部门、岗位、职位、角色、账号等）、访问数据（数据种类、数据级别等）、访问环境（IP、操作系统、设备等）多重维度进行精细化动态脱敏。脱敏之后，根据敏感数据使用情况、账号权限使用情况进行持续分析并动态调优。

5、运营分析、安全评估

目前一般会通过访谈、问卷、文档核验、系统查看等方式进行数据安全评估工作，了解系统敏感数据量、接口数量、账号情况、权限情况等。数据使用安全管控方案可以从数据分析的角度生成数据安全评估的衡量指标，阶段性生成评估报告，更直观、快速、高效的进行数据安全评估。

What：落地实践中解决什么实际问题？

理论指导实践，实践检验真理！数据使用安全管控方案可以解决什么实际问题？

目前企业普遍存在的问题有：分类分级之后数据安全建设如何开展？分级管控怎么做？为了响应合规要求，信息采集、动态脱敏、权限管控都要进行系统改造，影响业务的正常运行且成本高，怎么办？系统种类较多，有一些通用的数据安全要求，但每个系统的业务场景和需求也有所不同，该如何个性化管控？

这套低成本、轻量级的数据使用安全管控方案已经覆盖众多场景，接入30+系统，在无需进行系统改造下，实现敏感数据识别、数据分类分级、水印保护、访问控制、权限梳理、动态脱敏、安全审计、追踪溯源以及安全评估等“硬管控”。

下面列举实践中的部分典型风险案例以供大家参考：

案例1（业务场景风险）：某信贷审批人员定期在已审批查询页面查询已审批未通过的人员信息，偏离基线，调查发现将审批未通过的客户信息泄漏给小贷公司。

案例2（特权账号风险）：一个设备上有多个账号操作，有异常行为，权限管理员利用自己的权限开通了具有业务权限的小号，进行操作后又删除小号。

案例3（数据拼接导出）：某员工先导出“用户编号+姓名”，过两天又导出“用户编号+手机”，过几天又导出“用户编号+身份证”，用户编号为同一批人员，通过编号拼接用户的三要素信息。

案例4（异常行为风险）：发现某个员工在单一业务系统使用爬虫导出大量数据，且该员工账号每天请求大量报表系统。按照正常业务基线，账号活跃小时数基本在8小时左右，且不会发生长时间匀速访问的情况。该员工活跃时间已经达到了正常的2倍，并长时间匀速访问，都比较符合恶意爬取的行为特征。

案例5（特权账号监管）：通过IP、设备等进行多维度限定，对特权账号进行场景梳理，使用规则设定，符合监管要求“明确特权账号的使用场景和使用规则”。通过“一个账号关联了多个设备”、“账号短时间操作过于密集”等还可以识别一些隐形特权账号风险。

案例6（黑白名单设定）：可以通过设定各种黑白名单，面对某些特定事件（查询他人工资、领导人信息、明星信息等），可以将敏感信息加入名单当中，或者加入敏感数据的识别规则当中，识别后对这类数据进行动态脱敏甚至直接限制访问，直接快速覆盖所有接入的系统。

数据使用安全管控方案，可以快速构建多场景下的数据安全基线能力，建立起实时检测预警、响应处置、风险审计、泄漏溯源的运营管理体系，面向内部重点的数据安全风险场景，结合日志数据、埋点行为构建细颗粒度的防控能力，提供基于应用系统及场景风险的数据安全运营服务，解放企业安全运营人员，持续提升企业数据安全水位，响应并符合监管要求。