基于“管理 + 技术 + 运营”数据安全治理防护体系的设计与实现

1 绪论

1.1 研究背景

国家政策方面，2024 年 1 月，国家数据局等 17 部门联合印发《“数据要素 × ”三年行动计划（2024—2026 年）》；2024 年 4 月，国家发改委引发《数字经济 2024 年工作要点》指出，全面筑牢数字安全屏障，健全数字安全治理体系；2024 年 7 月，习近平在二十届三中全会上讲话：“提升数据安全治理监管能力，建立高效便利安全的数据跨境流动机制”。

1.2 问题挑战

对于在一些贴近用户、业务、生产数据的企业部门，需倍加重视数据安全防护。但当前安全工作繁杂，体系欠缺，存在事后整改为主、事前预防不足等问题；因数据安全具有数据的业务依赖性、多样性等特性，导致部门内各单元出现数据业务差异性大、数据安全分级结果不同等问题，致使各类型数据的防范水平存在较大差异；目前在安全管理落实、安全运营执行、安全防护能力等方面仍存在诸多问题或短板。

1.3 建设方案

为应对上述问题，实现企业内各部门数据安全 0 事件，进一步管控企业各部门基础安全、审计安全、过程安全、重点安全等全部安全类工作，通过可视化、线上化及通用化能力透视企业安全现状及安全治理防护体系，助力攻克各部门防控短板，夯实企业内部安全防护矩阵。梳理企业、各部门内现有安全类工作调度、数据治理等平台、能力及规范要求，与当前部门内自有数据安全审计、识别、透视看全等平台能力进行共享对接，实现该部门内、外双重数据管控，持续全面提升多维数据安全防护效能。

2 体系架构

为进一步夯实数据安全基础管理水平，提升数据安全防护实战能力，本体系将“管理”、“技术”、“运营”相结合，构建企业数据安全治理防护体系。其中，“管理”涉及对国资委、企业单位和各部门等下发的管理规范进行研读，将责任落实到各部门、各单元、每个人；“运营”涉及对日常、生产工作的划分定义和安全规范要求的落实，动态覆盖全层级、全类型、全生命周期的工作任务；“技术”作为安全规范要求的执行载体，支撑各项管理要求在运营工作中落地实施。

3 核心模块介绍

3.1 安全工作全景透视

依据国家、行业内颁布下发的安全规范、检查要求等，将企业安全类工作分为风险问题整改、基础安全、过程安全、审计安全和重点安全 5 大项。整合各类平台工单、通报、审计等安全类数据，以总览看全、单元或类型下钻、工单动态联动等形式展现。

3.2 多维数据安全防护效能提升

整体分两种情况：部门外相关平台接口能力已上线能力接口平台，直接通过能力接口平台申请数据对接；未上线能力接口平台的，通过线下导入导出方式进行数据共享。如果数据为 API 异常调用、告警超时、不合规变更等通报类数据，构建线上化审批流程，以工单驱动形式进行申诉或整改，使部门内、外监测数据形成看全、下发、申诉或整改、审核的全流程闭环。

3.3 共筑重点数据安全防护屏障

首先，研读《数据分类分级安全管理规范》等规范要求，明确核心、重要数据需重点监测环节，如用户权限、访问、出口、审批等；调研各部门内各单元所涉及数据，对已有监测、管控措施进行初步了解，并进行数据脆弱性评估。

其次，以最需管控、涉及客户信息的部门数据为试点，探讨数据接入类型及方式，构建接入管控模型。整体分总览数据、明细数据、评价指标和监测流程 4 部分。

4 建设成效

在企业安全工作全景透视方面，已梳理、细化各部门基础安全、审计安全、过程安全、重点安全等工作成效，通过前端页面看全企业安全治理成果及防护体系，实现各部门安全工作 100% 体系化、规范化；页面分全景透视-总览、全景透视-单元 2 个维度展示，已实现企业安全通知、通报、工作成效等 100% 可视。

在过程安全方面，实现从事中阶段保障安全要求全层级、全流程落地，已实现 122 项检查点嵌入各流程中，数据安全常态化运营覆盖率 100% 。

（1）需求设计：对接需求平台需求流程，共计 7 项检查点，覆盖企业全部门、全单元；

（2）研发测试：对接研发平台研发流程，共计 64 项检查点，覆盖试点部门 9 个（全部）研发单元；

（3）生产运维：对接运维平台运维流程，共计 51 项检查点、79 个运维流程，覆盖试点部门 13 个（全部）运维单元。

5 总结与展望

5.1 总结

企业已初步构建完成“管理+技术+运营”的数据安全治理防护体系，安全管理防护矩阵也初具规模，实现了安全工作能透视、可监测、全管控；同时聚焦企业核心数据、重要数据及用户敏感数据，持续夯实数据安全管理基础水平，强化数据安全技术应用能力，提升多维数据安全运营效能，使企业整体数据安全防控水平进一步提升。

5.2 展望

企业数据安全治理防护应继续向智能化、多维化、全员化等方向优化发展。

（1）随着人工智能、大模型技术的进步，数据安全治理将在智能化与自动化方面有所突破。通过 AI 大模型对数据安全威胁进行实时识别与反应，可以极大提升数据防护效率，减少人为操作疏漏。

（2）在未来，数据的全生命周期管控将成为数据安全的关键，其中包括从数据源、数据传输、数据存储到数据使用等各环节进行全面、细节化的安全防护。企业和三方需更加重视多维度防护体系建立，包括但不限于端到端加密、传输隐私保护等。

（3）数据安全不仅仅是领导、安全员或是安全小组成员的责任，而是需要企业全体员工共同坚守的职责。随着数据泄露、社工钓鱼事件频发，未来数据安全治理将更加注重全员安全风气及文化建设，从而减少人为失误带来的安全隐患，确保每一位员工都能成为数据安全的建设者、守护者和受益者。

参考文献

[1]商轩.中国联通：助力千行百业数字化转型[J].商业文化,2024,(22):48-50.

[2]崔浩.筑牢数据安全防线[N].经济日报,2025-02-05(011).

[3]张文茜,殷文浩,呼晓瑶,等.基于数据全生命周期的安全防护体系探究[J].软件,2024,45(08):169-171.

[4]钟志琛,尚方,刘生.新一代信息安全防护体系架构研究[J].中国电力,2016,49(S1):16-20.

[5]冷晓彦.大数据时代的信息安全策略研究[J].情报科学,2019,37(12): 105-109.DOI:10.13833/j.issn.1007-7634.2019.12.016.

[6]张维娜,徐仲,姬少培,等.基于密码的 5G 数据安全防护体系研究[J].信息安全与通信保密,2024,(08):84-89.

[7]余旺科.大数据时代信息安全面临的挑战和对策信息安全[J].电脑迷,2018,(09):39.