数据安全治理自动化简介

企业利用数字化转型带来技术价值的方式已经从单体服务向微服务、瀑布式开发向敏捷开发、IT 向 DevOps、硬件向基础设施即服务、以及数据中心向公有 云发生了一系列的转变，这些构成了数字化转型颠覆传 统技术革命的基础。 随着 IT 技术的演变，企业的安全决策者必须重新规 划在“新的世界”中的数据安全治理方式。原先企业采用 的防火墙、IPS 和端点控制这类老旧的控制措施已经无法 在快速发展的云世界中发挥作用。如今云提供商负责基 础架构，对于企业而言新的数据控制点已经变成了以身 份、数据和业务本身为中心，围绕着数据流转使用的每一 个环节。 围绕着企业在数据安全的现状及痛点，天空卫士推 出新的“数据安全治理自动化系统”支持“数据安全治理 体系”的落实，协助企业在建立数据安全治理的制度后， 将制度更有效地实施。系统通过自动化的工作流，将不同的数据安全技术工具实践结合在一起，为数据安全治理提供了一个完整、并可落地的解决方案。

数据安全治理自动化系统（DSAG）充分考虑到了企 业数据安全治理技术落地的每一个环节，结合 Gartner 的 数据安全治理框架，从企业内数据资源发现，到对数据进 行分类分级，并以数据分类分级对象为核心、用户行为分 析为增强手段，进行数据安全策略的配置和执行，全方位 地覆盖数据安全治理周期的每一个环节。数据安全治理自动化流程有以下几点：

资源扫描

基于不同 IP 段、不同端口、不同文件传输协议（SMB、 NFS、FTP 等）、数据库协议（Oracle、SQL Server、 Mysql、PostgreSQL、DB2 等）的扫描分析技术，发 现企业内部存在的数据源，并对发现的数据源进行 标识，协助企业了解内部的数据资源分布情况。

资源认领

使用资源扫描模块可以发现企业内部的数据资源都 有哪些，而资源认领模块可以对扫描到的资源进行 认领，这样可以明确企业内的各种服务器资源并确 认归属人、资所有者；协助企业流程化从数据资源 发现、到数据资源认领、数据资源确认从而实现数 据资源可视化的能力，从而实现对已认领的资源按 照企业安全策略进行管控，对未认领的资源实行更 严格的管控手段。

数据资产发现

基于资源发现、资源认领后已经明确了企业数据资源的可视化及确认归属者，那么数据资产发现模块 可以对这些资源内存储的数据进行更进一步的数据资产发现识别。利用现有的自动化数据分类分级 描能力，自动化分类分级，生成分类分级标准、分类分级统计分析、分类分级目录清单。形成结构化 （数据库）、非结构化（文件）敏感数据资产清单、 敏感数据元数据清单、数据资产分布统计发现、不 同分类分级数据的统计发现。

数据智能聚类

对企业的数据资源使用智能学习的分类技术，将大量混合文件按照内容相似度自动进行聚类，大大降低安全分析师人工分析文件内容的时间。智能聚类的结果可自动进行文档的分类，也可以对聚类后的文件自动进行指纹、智能学习等，利用智能学习的正向、反向样本可以更精确的生成数据模型，辅助更有效的数据分类分级策略制定。 文件指纹使用爬虫工具去扫描文件内容，根据相关技术做成指纹信息，进行数据内容相似度匹配，如：一个 10 页的文件取其中的 2 页同样可以识别，在这2页里 加入一些其它的混淆的文字也可以识别。指纹本身 无法逆向恢复到原始数据，可安全地应用于网关、 终端或云端的数据安全策略，从而保护企业的敏感 文件。

数据库指纹

使用爬虫工具去扫描数据库表里的每个单元格信息，对数据库里的敏感信息生成数据库指纹，数据库指纹本身可用于分类分级保护策略和 DLP 数据安全策略，对企业内外部传输的数据内容进行数据库指纹匹配，从而保护企业的数据库里的敏感数据。

智能学习

将一批类型相似的文件交给设备进行学习，设备学 习以后会提炼出这些文件的共同点生成数据模型， 该数据模型可被用于数据分类分级的定义，也可直 接用于策略执行，如果发现有类似的数据内容与模 型匹配度较高则会被策略命中。能够有效保护企业 同类型的核心数据资产而又不需要频繁的策略变更。

分类分级定义及保护

根据企业的数字化战略规划，整体需要覆盖的数据安全保护范围，并根据业务相关的重要性，使用多种技术手段（包括行业数据模板、文件指纹、数据 库指纹、机器学习模型、数据标签、文件类型、权 重字典、关键字 / 正则等技术）对企业数据进行分 类分级的定义。分类分级保护策略聚焦于数据分类 分级对象，定义了针对不同数据类型的访问应该交 由哪一种数据安全子系统（DLP 检测、脱敏）进行进一步的安全检查，从而根据保证客户安全的访问 业务数据。

DLP 检测

为企业核心数据资产提供全方位的安全保障，对传递至企业外部的内容进行 DLP 检查。DLP 对企业网络通道、终端、云端的数据实现全方位的防护，主 要针对 Web、Email、USB、打印、LAN、IM 通讯工 具等协议的内容进行识别和检查，DLP 可以通过自 然语言（NLP）、文件指纹、数据库指纹、机器学习、 图像识别（OCR）、文件类型、字典、正则、关键 等技术对传输的内容进行分析。

脱敏操作

通过脱敏规则、脱敏算法对企业的敏感数据进行变形处理，变形后的敏感数据既可以保证企业的业务正常开展，也能保障业务敏感数据不被泄露。 脱敏操作根据对象不同，通常包括两种形式，一种是结构化数据脱敏，比如数据库、数据库文件等进 行静态和动态脱敏；另一种是非结构化文档脱敏， 比如日常常见的 Word、Excel、PowerPoint、PDF、 TXT 等文件进行脱敏。

持续的监控发现

采用先进的大数据分析、统计学异常分析、贝叶斯、 深度学习（双向循环神经网络）等技术对用户行为 特征进行深度建模，发现内部风险行为和异常行为， 将用户风险评分结果与统一内容安全（UCS）策略 集成，实现对风险用户的智能化实时监督和控制。

数据安全治理自动化系统（DSAG）最大的特点在于使用了分类分级保护服务，同时让不同角色参与至不同的数据安全治理环节，让企业的高级管理人员（CXO）可以 简单、清晰地了解数据安全治理的工作过程。通过使用自动化工作流，为数据安全治理提供了一个从规划、设计乃至技术落地的完整的数据安全治理解决方案。当企业进行数据安全治理自动化时，协助安全分析师采取的预防、 检测和补救数据安全威胁行动以机器主导的方式处理。

性能导向的分层架构

DSAG 在服务企业内部应用时，增加了分类分级保护服务，可直接将大部分应用请求放行或阻断，只 需根据分类分级保护策略将很小一部分数据送到 DLP 或脱敏服务进行处理。由于分类分级策略针对对象，数量上相比复杂的 DLP 和脱敏策略要少很多， 因此 DSAG 系统处理能力要远高于单纯的 DLP 或脱 敏服务。

人员角色的分离

数据安全治理是一个系统工程，会有不同角色的人员参与不同的环节，这些人员的全局视野、技术能力、 专业特长都不相同。DSAG 架构将不同角色的人员 有机结合起来。

数据安全分析师

通过 DSAG 提供的各种自动化工 具和导引，对企业内的数据进行分析总结，并生成数据分类分级的描述文件。

技术型安全管理员

根据分类分级描述文件。将技 术要求较高的正则、指纹等组合成易于理解的抽象 分类分级对象和 DLP 策略。 高级管理人员（CXO）或管理型数据安全管理人员： 只需要根据分类分级对象来制定相关的数据分类分级保护策略。 分类分级保护服务更像一个“面向CXO的DLP 产品”。

AWP 自动化理念（Automate Where Possible）

数据安全治理的过程涉及大量标准化、一致性及 重复性工作，为企业带来了人力资源压力，容易产生人为错误。数据安全治理自动化系统充分考虑 到数据安全治理技术落地每一环节，帮助企业缓 解这两大问题。尽可能使用最大化的合理自动化， 令人工干预降至最少，在必要的人工介入环节使 用智能辅助，减少人为错误，有效地提高了工作的 安全性协助实现数据安全治理的技术落地 DSAG 缓解了由于人力缺乏和安全运营效率低下等问题带来的风险，极大地提高了安全操作的效率和时效性。它打破了原来数据安全治理与数据安全技术落地之间存在理论和实践差距的障碍，并允许安 全专业人员通过有效且开放的安全自动化框架连接整个企业的不同系统，设计、构建并执行新的流程 来减少人力因素所带来的错误安全策略，更快地跨越不同安全产品和解决方案执行数据安全防护操作。

节省人工成本

自动化为数据安全治理提供了有效的数据分类参考； 自动化非常适合解决企业安全管理员的重复性任务，可以大量节省安全分析师的时间，并使安全团队能够专注于更高价值的活动，例如威胁搜寻和深 度分析。

提升安全事件准确性

安全团队每天收到的大部分事件告警都是误报，再加上与已知不良活动相关的真正警报，因此分析师没有足够的时间来调查和响应对组织的真正威胁。 在没有安全自动化的情况下，安全分析师必须调查每一个警报，以确定它是已知的好、已知的坏还是未知的。安全自动化可以将数据与行为进行结合， 自动识别已知的不良活动，而无需分析师干预。

简化报告

使用自动化，企业安全团队可以实时获得汇总安全事件数据，并轻松创建量身定制的报告。DSAG 可以按设定的时间获得相关策略的事件数据，而无需企业安全管理员人工干预。

实现企业数据安全治理的自动化，不是一蹴而就的项目，而是企业数字战略规划整体考虑进行统一规划、长期的、分步实施的计划及执行。至少需要以下几个步骤：

整体考虑

结合企业的业务特点和 IT 架构，根据企业数据分布的范围，涉及整体需要覆盖的数据安全保护范围， 并根据业务相关的重要性，对敏感数据进行分类分级的定义，找出其中的重点位置和次要位置，把企业的 IT 架构作为一个整体进行考虑；统一规划对于大多数企业而言，一旦定义了敏感数据的类型和级别，这些数据无论是在企业的任何位置都是敏感数据，而与存放的地点和位置无关。因此，企业数据安全治理需要进行统一规划，根据数据的存储位置和流向，规划数据安全的策略和选择相应的安全工具，并准备统一的策略编排平台，只有通过同一的策略编排平台，才有可能实现数据安全治理的自动化体系建设；

分步实施

在统一的平台框架下，按照企业的 IT 架构，以及重要部分和风险点的分布，挑选其中风险最高的位置 开始实施。对于大多数企业而言，数据安全的首要风险是数据的存储、使用和流动情况不清晰，需要通过工具去发现和了解在企业数据流动的重要位置上数据流动的情况。

北京天空卫士网络安全技术有限公司(以下简称天空卫士)成 立于2015年，是一家总部设立在北京经济技术开发区的数据安 全技术企业。天空卫士作为国内数据安全治理的倡导者和引领 者，致力于发展以人和数据为核心的新一代数据安全技术，融合统一内容安全技术(UCS) 和内部威胁管理技术(ITM) 为基础，创立了内部威胁防护技术体系(ITP) 。天空卫士是目前为 止，亚太地区唯一入选Gartner E- DLP全球企业级数据防泄露指 南、ESG邮件安全网关市场指南和CASB观察者名单的中国网络 安全企业。 公司自成立以来，一直保持高速发展的势头，不断强化新技术和 新产品研发，完善数据安全体系。现如今，拥有七大品类，近二 +种数据安全产品，并在全球率先推出数据安全治理自动化体系 (DSAG)。产品已在政府、金融、高科技、制造业、大型企业 以及互联网等部和行业广泛部署并使用。 天空卫士依托于现有的数据安全技术优势和人才优势，为企业的 数据安全治理的全流程提供强大的技术支持、方案支持和咨询服 务。天空卫士网络安全技术有限公司有4家子公司，分别在北京、成都和.上海设有研发创新中心，在大连设有技术中心，并在 ，上海、广州、深圳、成都、济南、南京、沈阳、杭州、苏州、郑 州、重庆，福州、合肥等多个重点城市设立办事处。