普及企业级数据安全管理

      江湖传言：数据玩的溜，牢饭吃的久？众看官是不是闻风丧胆？

       每个数据开发者都应该非常深刻的明白数据安全意味着什么。简直就是一根红线，丝毫不能越过。

       近几年，国家对个人隐私数据保护越来越强，企业在使用数据的时候也非常注重数据安全，那么，我们应该怎么做，才能保护好自己，保护好公司的数据资产呢？

       数据安全管理是计划，制定，执行相关安全策略和规程，确保数据和信息资产在使用过程中有恰当的认证，授权等措施，最终目标是保护信息资产符合隐私及保密法规要求，并与业务要求相一致。

       使用简单密级分类模式，对企业数据和信息产品进行分类，一般根据公司业务实际情况来进行划分。

       任务责任人或者产品负责人需要对其涉及到的数据进行适当的密级评估，并打上相应的标签。可以为后续的权限管理及元数据管理打下坚实的基础。

       数据脱敏是保证数据安全的最基本的手段，脱敏方法有很多，最常用的就是使用可逆加密算法，对数仓每一个敏感字段都需要加密。

       需要开发一套完善的数据权限控制体系，最好是能做到字段级别，有些表无关人员是不需要查询的，所以不需要任何权限，有些表部分人需要查询，除数据工程师外，其他人均需要通过OA流程进行权限审批，需要查看哪些表的哪些字段，为什么需要这个权限等信息都需要审批存档。

      有些字段明显是敏感数据，比如身份证号，手机号等信息，但是业务库并没有加密，而且从字段名来看，也很难看出是敏感信息，所以抽取到数据仓库后需要使用程序去统一检测是否有敏感数据，然后根据检测结果让对应负责人去确认是否真的是敏感字段，是否需要加密等。

      流程化主要是体现在公司内部取数或者外部项目数据同步，取数的时候如果数据量很大或者包含了敏感信息，是需要提OA  审批流程的，让领导及对应数据负责人知道谁要取这些数据，取这些数据的意义在哪，出了问题可以回溯，快速定位到责任人。

        开发外部项目的时候，不同公司之间的数据同步，是需要由甲方出具同意书的，并且需要签署责任条款，需要不定期出示数据安全报告，否则的话风险太大。

      及时发现敏感sql的执行并询问责任人，事后分析操作日志，查出有问题的操作。

      数据部门需要把数据安全当做一项KPI去考核，让大家积极的参与到数据安全管理当中去。

      企业安全部门需要整理数据安全规范文档，然后发给大家让大家系统的了解数据安全以及应该如何操作。

       组织内部安全部门或者外部审计人员来执行数据安全审计，其目标是为管理层和数据治理委员会提供客观中肯的评价，合理可行的建议

•          审计范围大体上包含

•          安全策略声明

•          标准文档
  

•          实施指南

•          变更请求

•          访问监控日志
  

•          报表输出

•          其他电子和书面记录等

       不要为了一时的利益，泄露公司数据资产，轻则行业名声败坏，重则要负法律责任，一定要三思而后行！