【正文】 （4）數(shù)據(jù)銷毀環(huán)節(jié)實現(xiàn)無用數(shù)據(jù)及時處理該公司的數(shù)據(jù)銷毀環(huán)節(jié)中，比較典型的處理辦法是系統(tǒng)退運后，將不使用的數(shù)據(jù)轉(zhuǎn)移到低端和廉價存儲設(shè)備上保存。（3）數(shù)據(jù)使用環(huán)節(jié)安全加強數(shù)據(jù)脫敏和終端管理在數(shù)據(jù)使用階段，數(shù)據(jù)導(dǎo)出時需要在相關(guān)系統(tǒng)中下單申請，審批通過后，由 DBA 執(zhí)行數(shù)據(jù)導(dǎo)出。（2）數(shù)據(jù)傳輸存儲環(huán)節(jié)采取堡壘機防護在數(shù)據(jù)存儲階段，數(shù)據(jù)庫管理員（DBA）接受和處理數(shù)據(jù)庫安裝工單、數(shù)據(jù)庫狀態(tài)巡檢、數(shù)據(jù)庫賬號管理、數(shù)據(jù)庫擴容以及數(shù)據(jù)導(dǎo)出等工作。其中，用戶檔案是數(shù)據(jù)量最為龐大的一類數(shù)據(jù)。審批流程的設(shè)置綜合了相關(guān)業(yè)務(wù)部門和信息部門的意見，力求流程的合理與精簡。（3）以宣傳培訓(xùn)強化數(shù)據(jù)安全人員管理對于人員管理，該公司會進行數(shù)據(jù)安全相關(guān)的培訓(xùn)、宣傳， 以網(wǎng)絡(luò)培訓(xùn)系統(tǒng)做協(xié)助支持。同時成立了專門負責數(shù)據(jù)庫管理的團隊，負責處理數(shù)據(jù)庫安裝工單，執(zhí)行數(shù)據(jù)庫狀態(tài)巡檢，維護數(shù)據(jù)庫賬號等工作，實現(xiàn)控制層的職責。（二）案例二：南方某供電公司最佳案例該供電公司主要從事特大城市電網(wǎng)投資、建設(shè)與運營，負責管轄區(qū)域內(nèi)的電力供應(yīng)與服務(wù)。在安全運營與應(yīng)急響應(yīng)階段，安全工程師通過 SOC 安全運營平臺實現(xiàn)安全事件分析、處置、跟蹤和復(fù)盤，保障應(yīng)用安全穩(wěn)定運行。在前端應(yīng)用層面，涉敏頁面全部數(shù)字水印處理，敏感信息已默認打點隱藏；在服務(wù)端應(yīng)用層面，統(tǒng)一接入權(quán)限管理系統(tǒng)，獲得的訪問權(quán)限定期復(fù)核，離職轉(zhuǎn)崗后權(quán)限自動關(guān)閉；在數(shù)據(jù)庫操作層面，增刪改查的操作命令全程監(jiān)控，操作日志集中存儲，操作流量實時分析，一旦發(fā)現(xiàn)高危 sql 語句、批量違規(guī)操作、危險時段異常操作等違背安全管理要求的行為，及時告警并可實時在線攔截。（1）數(shù)據(jù)產(chǎn)生／采集環(huán)節(jié)實現(xiàn)數(shù)據(jù)分類分級在實際應(yīng)用中，該公司在數(shù)據(jù)產(chǎn)生/采集環(huán)節(jié)對數(shù)據(jù)安全等級進行分類管控，分級授權(quán)，應(yīng)用元數(shù)據(jù)安全管理將相應(yīng)的功能需要內(nèi)嵌入后臺運維管理系統(tǒng)，從而在實際業(yè)務(wù)過程中落實安全責任制、數(shù)據(jù)分級分類管理等管理制度。l 賬號權(quán)限管理及審批規(guī)程在服務(wù)端應(yīng)用層面，必須統(tǒng)一接入權(quán)限管理系統(tǒng)，訪問主體必須根據(jù)權(quán)限、角色和風險級別按需申請，并詳細說明訪問內(nèi)容、訪問理由、訪問時長等相關(guān)信息，獲得的訪問權(quán)限定期復(fù)核，離職轉(zhuǎn)崗后權(quán)限自動關(guān)閉。日常工作中，員工定期接受組織的的強制安全意識培訓(xùn)和考試。除數(shù)據(jù)安全管理部門外，為了快速響應(yīng)業(yè)務(wù)，該公司事業(yè)部建立了靈活的 Scrum 小組，按需與集團安全部進行無縫對接，快速復(fù)用集團全鏈路的動態(tài)防御體系，保障業(yè)務(wù)安全穩(wěn)定運行。在管理層面，安全產(chǎn)品團隊承擔主要職責，以策略層確定的管理目標、方針和策略為指導(dǎo)，落實相關(guān)業(yè)務(wù)部門的數(shù)據(jù)安全管理責任。六、數(shù)據(jù)安全防護典型案例（一）案例一：釘釘移動智能辦公平臺釘釘智能移動辦公平臺在數(shù)據(jù)安全方面依照上述數(shù)據(jù)安全防護方法展開了相關(guān)工作，全面推行集團安全策略要求，通過技術(shù)創(chuàng)新和大數(shù)據(jù)運營，持續(xù)改進各項安全控制措施，探索研究前沿技術(shù)，有效地對平臺運營過程中數(shù)據(jù)安全進行防護，提升數(shù)據(jù)安全威脅防范能力，其實踐情況大致如下。圖 9 終端數(shù)據(jù)防泄漏工具功能示意圖（四）數(shù)據(jù)共享環(huán)節(jié)的安全技術(shù)措施數(shù)據(jù)共享環(huán)節(jié)涉及向第三方提供數(shù)據(jù)、對外披露數(shù)據(jù)等不同業(yè)務(wù)場景，在執(zhí)行數(shù)據(jù)共享安全相關(guān)管理制度規(guī)定的同時，可以建設(shè)統(tǒng)一數(shù)據(jù)分發(fā)平臺，與數(shù)據(jù)安全域技術(shù)結(jié)合，作為數(shù)據(jù)離開數(shù)據(jù)安全域的唯一出口，進而在滿足業(yè)務(wù)需求的同時，有效管理數(shù)據(jù)共享行為，防范數(shù)據(jù)遭竊取、泄漏等安全風險。異常行為監(jiān)控系統(tǒng)應(yīng)當能夠?qū)?shù)據(jù)的非授權(quán)訪問、數(shù)據(jù)文件的敏感操作等危險行為進行實時監(jiān)測。圖 8 是一個數(shù)據(jù)脫敏工具的示例，展示了預(yù)先設(shè)置的脫敏策略，可以實現(xiàn)對數(shù)值和文本類型的數(shù)據(jù)脫敏，支持多種脫敏方式，包括不可逆加密、區(qū)間隨機、掩碼替換等。圖 7 是數(shù)據(jù)安全域的拓撲結(jié)構(gòu)示例，數(shù)據(jù)安全域由一個虛擬機集群組成，與數(shù)據(jù)庫服務(wù)器通過網(wǎng)關(guān)連接，組織內(nèi)部用戶安裝相應(yīng)的終端軟件， 可以通過中轉(zhuǎn)機實現(xiàn)對原始數(shù)據(jù)的訪問和操作。二是對權(quán)限的授予設(shè)置有效期，到期自動回收權(quán)限。在數(shù)據(jù)存儲環(huán)節(jié)，可以采取數(shù)據(jù)加密、硬盤加密等多種技術(shù) 完美WORD格式編輯 方式保障數(shù)據(jù)存儲安全。圖 5 顯示了一個數(shù)據(jù)表每個字段的數(shù)據(jù)類型和安全等級，在這個示例中，“C”表示該字段的數(shù)據(jù)類型，“C”后面的數(shù)字表示該字段的安全等級。圖 4 是一個元數(shù)據(jù)安全管理功能示例，在后臺系統(tǒng)界面上顯示了一個數(shù)據(jù)表基本情況，包括每個字段的類型、具體描述、數(shù)據(jù)類型、安全等級等，同時顯示這個數(shù)據(jù)表的開發(fā)人、負責人、安全接口人、所屬部門等信息，并且可以通過這個界面申請對該表訪問操作權(quán)限。最后，還需特別說明的是，上述內(nèi)容不是數(shù)據(jù)安全管理制度應(yīng)當規(guī)范的全部內(nèi)容，數(shù)據(jù)傳輸安全、存儲安全、數(shù)據(jù)脫敏、數(shù)據(jù)防泄漏等措施，在管理制度中同樣應(yīng)當明確規(guī)則，但是因為這些措施與技術(shù)手段及工具結(jié)合緊密， 為避免重復(fù)，將在下一章進行重點介紹。數(shù)據(jù)備份與恢復(fù)數(shù)據(jù)備份是關(guān)系到系統(tǒng)災(zāi)難恢復(fù)、業(yè)務(wù)連續(xù)性的重要工作。日志管理和安全審計對各類賬號訪問、操作行為進行日志記錄并定期審計，是發(fā)現(xiàn)違規(guī)行為的必要手段，也是安全事件事后調(diào)查的必要手段。外包服務(wù)數(shù)據(jù)安全管理外包服務(wù)人員及其使用設(shè)備應(yīng)當納入組織內(nèi)部整體網(wǎng)絡(luò)安全管理體系中，至少在人員管理、設(shè)備管理、網(wǎng)絡(luò)接入管理等方面明確管理要求和限制措施。四是對于測試賬號等高危賬號類型，明確管理責任人，在系統(tǒng)開發(fā)測試完畢后立即清除。賬號管理要與人員管理緊密結(jié)合，在員工入職、轉(zhuǎn)崗、離職等關(guān)鍵節(jié)點同步管理賬號及權(quán)限；定期對所有賬號的權(quán)限分配情況進行復(fù)核，對于不再有合理需求的賬號權(quán)限及時關(guān)閉。賬號權(quán)限管理同樣是保障數(shù)據(jù)安全的基礎(chǔ)制度，完善的授權(quán)規(guī)則能夠有效防范內(nèi)部人員惡意竊取、泄漏數(shù)據(jù)的風險。管理制度在數(shù)據(jù)分級分類管理方面要明確如下內(nèi)容：一是數(shù)據(jù)類型，可以根據(jù)數(shù)據(jù)屬性、來源、內(nèi)容進行分類，例如按照數(shù)據(jù)來源分為業(yè)務(wù)數(shù)據(jù)、企業(yè)數(shù)據(jù)、用戶數(shù)據(jù)。（四）管理制度及規(guī)程管理制度不僅是落實在紙面上的規(guī)定，更是要落實在組織內(nèi)部的實際工作中，在各個業(yè)務(wù)環(huán)節(jié)、工作流程中切實按照管理制度的規(guī)定要求開展工作，才是在真正意義上實現(xiàn)安全管理。（三）人員管理人員管理除建立完善的人力資源管理體系和制度外， 從數(shù)據(jù)安全管理角度還需要考慮專業(yè)技能、獎懲機制、教育培訓(xùn)等方面工作。執(zhí)行層由普通員工組成，需要按照數(shù)據(jù)安全管理制度規(guī)范開展日常工作。建議成立或指定數(shù)據(jù)安全管理部門，負責上述管理層工作職 責。組織架構(gòu)可以自上而下分為策略層、管理層、控制層和執(zhí)行層。圖 1 企業(yè)或組織的數(shù)據(jù)安全防護體系此外，數(shù)據(jù)安全防護建設(shè)的總體思路是以“數(shù)據(jù)為中心”建設(shè)安全防護體系，聚焦數(shù)據(jù)，聚焦數(shù)據(jù)生態(tài)。數(shù)據(jù)安全制度規(guī)程是數(shù)據(jù)安全實踐工作的制度保障。（二）防護體系企業(yè)或組織層面的數(shù)據(jù)安全防護體系由數(shù)據(jù)安全組織管理、制度規(guī)程、技術(shù)手段“三架馬車”構(gòu)成，形成數(shù)據(jù)安全防護的閉環(huán)管理鏈條， 以實現(xiàn)數(shù)據(jù)安全防護總體目標，防范批量數(shù)據(jù)泄漏以及敏感信息非授權(quán)訪問等風險。企業(yè)或組織層面的數(shù)據(jù)安全防護目標可以劃分為兩個層次：一是保護數(shù)據(jù)本身安全，即為保護商業(yè)秘密和業(yè)務(wù)正常運行而必須保障數(shù)據(jù)機密性、完整性、可用性；二是滿足國家相關(guān)法律法規(guī)提出的合規(guī)性要求，包括對個人信息和國家重要數(shù)據(jù)的保護要求。對國家而言，需要從保障國家安全的高度建設(shè)完善數(shù)據(jù)安全保障體系；對企業(yè)或組織而言，需要從保護商業(yè)秘密、業(yè)務(wù)正常運行、客戶合法權(quán)益等方面開展數(shù)據(jù)安全防護工作。一是如何在多樣化的應(yīng)用場景之下，采取全新的應(yīng)對模式， 靈活而有效地保護數(shù)據(jù)處理過程中每一環(huán)節(jié)的客觀安全， 確保大數(shù)據(jù)技術(shù)在多渠道