《数据治理实战指南》【第三部分 实施篇】第12章 数据安全管理

1.1. 概述与关键概念
1.1.1. 数据安全的定义
根据国家标准《GB/T 36073-2018 数据管理能力成熟度评估模型》中的定义，数据安全指数据的机密性、完整性和可用性。数据安全包括安全制度和程序的规划、建设与执行，可以在文化和监管考虑范围内为数据和信息资产提供正确的身份验证、授权、访问和审计。

1.1.2. 数据安全管理的目标
数据安全的目标是保护数据资产，并确保其符合隐私和保密法律法规要求、合同协议约定及业务需求。 其核心是在保障数据安全与促进数据利用之间寻求动态平衡，最终目的并非“锁死”数据，而是为了“让数据使用更安全”。它通过体系化的治理手段，在满足日益严格的合规监管要求、有效管控数据安全风险的同时，为数据的有序流通和价值释放提供可信保障，从而确保数据资产在支撑业务增长的全过程中既可用又可控。
因此，降低风险和促进业务增长是数据安全活动的主要驱动因素。脱离了使用，数据安全就没有了意义；脱离了业务目标，数据资产就没有了价值；脱离了安全，业务将处于风险之中。
具体而言，数据安全管理的目标主要包括以下几个方面：
(1) 确保对组织数据资产的访问是适当且受控的，防止任何不当访问与滥用。同时，严格符合隐私、保密及相关法律法规与合同协议的要求，满足利益相关方的保密需求，筑牢业务稳定运行的合规根基。
(2) 确保满足利益相关方对数据隐私和数据机密性的需求。通过有效治理数据在全生命周期中面临的各类安全威胁与风险，降低因数据泄露、篡改或破坏而对业务连续性造成的冲击，为业务的数字化转型与高质量发展构建一个安全、可靠的数据环境。
(3) 建立并完善与业务目标协同的数据安全治理框架，通过提供规范、可信的数据安全能力，消除数据开发利用过程中的安全顾虑，在安全可控的前提下充分促进数据的流动与创新应用。
 

1.1.3. 关键概念
1.1.3.1. 加密
加密是将纯文本转换为复杂代码，以隐藏特权信息、验证传送完整性或验证发送者身份的过程。加密数据不能在没有解密密钥或算法的情况下读取。解密密钥或算法通常单独存储，不能基于同一数据集中的其他数据元素来进行计算。加密方法主要有3种类型，即哈希、对称加密、非对称加密，其复杂程度和密钥结构各不相同。
(1) 哈希
哈希将任意长度数据转换为固定长度数据表示。即使知道所使用的确切算法和应用顺序，也无法解密出原始数据。通常哈希用于对传送完整性或身份的验证。常见的哈希算法有MD5、SHA、SM3等。
(2) 对称加密
对称加密使用一个密钥来加解密数据。发送方和接收方都必须具有读取原始数据的密钥。可以逐个字符加密数据（如在传送中），也可对数据块加密。常见的私钥算法包括DES、3DES、AES、IDEA、SM4等。
(3) 非对称加密
在非对称加密中，发送方和接收方使用不同的密钥。发送方使用公开提供的公钥进行加密，接收方使用私钥解密显示原始数据。当许多数据源只需将受保护的信息发送给少数接收方（如将数据提交到清算交易所）时，这种加密方法非常有用。非对称加密算法包括RSA、SM2等。
1.1.3.2. 脱敏
或脱敏是解决数据使用过程中的一种安全手段。数据脱敏分为两种类型：静态脱敏和动态脱敏。静态脱敏按执行方式又可以分为不落地脱敏和落地脱敏。
(1) 静态数据脱敏
静态数据脱敏永久且不可逆转地更改数据。这种类型的脱敏通常不会在生产环境中使用，而是在生产环境和开发（或测试）环境之间运用。静态脱敏虽然会更改数据，但数据仍可用于测试、应用程序、报表等。
- 不落地脱敏。当在数据源（通常是生产环境）和目标（通常是非生产）环境之间移动需要脱敏或混淆处理时，会采用不落地脱敏。由于不会留下中间文件或带有未脱敏数据的数据库，不落地脱敏方式非常安全。另外，如果部分数据在脱敏过程中遇到问题，则可重新运行脱敏过程。
-落地脱敏。当数据源和目标相同时，可使用落地脱敏。从数据源中读取未脱敏数据，进行脱敏操作后直接覆盖原始数据。假定当前位置不应该保留敏感数据，需要降低风险，或者在安全位置中另有数据副本，在移动至不安全位置之前就应当进行脱敏处理。这个过程存在一定的风险，如果在脱敏过程中进程失败，那么很难将数据还原为可用格式。该技术在一些细分领域中还有一些用途，但一般来说，不落地脱敏能更安全地满足项目需求。
(2) 动态数据脱敏
动态数据脱敏是在不更改基础数据的情况下，在最终用户或系统中改变数据的外观。当用户需要访问某些敏感的生产数据（但不是全部数据）时，这就相当有用。例如，在数据库中，假设身份证号码存储为123456789，那么采用此方法后，呼叫中心人员需要验证通话对象时，看到的该数据显示的是12****6789。

1.1.4. 与其他模块的关系
1.1.4.1. 数据安全与数据模型
数据模型是数据安全策略落地的蓝图。数据模型通过定义表结构、字段和业务含义，明确了哪些数据是核心实体，为后续的数据分类分级提供了直接依据。数据安全工作则必须基于此蓝图，将安全要求转化为模型中的具体规范，确保安全从数据结构设计之初就被嵌入。
1.1.4.2. 数据安全与数据集成
数据集成过程是数据安全监控和加固的关键环节。数据集成任务负责将源系统数据转换并加载到目标平台，在此过程中，将实施数据安全管控。如安全策略要求集成流程必须对敏感数据进行脱敏或加密处理，并验证数据来源的真实性与完整性，从而确保进入数据仓库/湖的数据不仅是可用的，更是安全的。
1.1.4.3. 数据安全与元数据
元数据是自动化实施数据安全策略的“上下文”。元数据管理记录了数据的业务含义、血缘关系和安全级别标签。数据安全管控则通过调用这些元数据，动态地执行访问控制决策，实现了安全策略与业务语义的联动，提升了管理的智能化与精细化水平。

1.2. 数据安全管理实施指南
1.2.1. 落地思路
数据安全管理遵循“识别－防护－运营”的闭环逻辑，以数据分类分级为基础、安全策略为核心，并通过持续运营进行动态优化，来构建一个与业务深度融合、可度量和可演进的数据安全管理体系。

图 1 数据安全管理落地思路图

(1) 数据分类分级
数据分类分级作为数据安全工作的基石，以元数据为底本，制定一套贴合业务特性的分类规则与科学的分级标准，最终依据此标准对具体数据进行分类并划定安全等级，形成分类分级清单，并将分类分级标记作为关键元数据嵌入数据资源目录，为后续精细化的安全管控提供清晰、一致的依据。
(2) 策略制定与管控
在明确数据分类分级的基础上，将数据安全要求转化为具体的管控策略和措施，包括访问控制和数据全生命周期安全防护。
访问控制活动主要是根据数据分级和用户角色，在身份认证和授权上执行最小权限原则，确保用户仅能访问其职责所需的数据。
数据全生命周期安全防护活动则贯穿数据的采集、传输、存储、处理、交换及销毁的每一个环节，针对不同级别的数据制定并执行相应的加密、脱敏等技术策略，确保安全防护覆盖数据流动的全过程。
(3) 数据安全运营
数据安全并非一劳永逸，需要通过持续的运营来维持和优化其有效性。分类分级运营持续开展对数据分类和分级的动态管理，确保反映业务的真实变化；安全审计分析访问日志，监控异常行为并提供追溯证据；同时，定期评估管控效果，驱动数据安全策略和管控措施优化，形成改进闭环。

1.2.2. 实施策略
- 构建围绕数据生命周期的内生安全
传统安全体系常以网络或系统边界为核心，构建“城墙式”防御。然而，在数据驱动业务的时代，数据在云、网、端之间动态流转，固有的边界已然模糊。因此，必须转向以数据为中心的治理模式，将保护的焦点从“围墙”转移到“资产本身”，即数据。这意味着安全措施不再依赖于数据所处的位置，而是围绕数据本身的价值和敏感性来构建，无论数据存储在何处、流转到哪里，保护策略都能如影随形。
这需要深入理解数据在其全生命周期（从收集、传输、存储、使用、共享到销毁）中的运动轨迹和状态变化。针对不同业务场景下各环节的特性与风险，部署差异化的安全控制措施。例如，在存储阶段实施加密保护；在使用阶段推行脱敏和访问审计；在共享阶段应用水印与权限控制。通过这种方式，安全能力得以嵌入数据的每一次流动与变化之中，实现对核心资产的精准、动态防护。
- 实现从可见、可控到可运营的闭环
若要构建以数据为中心的安全体系，必须实现对其保护对象的全面掌控，这可以概括为让数据达到可见、可控、可管的递进状态。
可见是这一切的基础，其核心是识别“保护哪些数据”。它要求组织不仅要知道拥有哪些数据资产，更要能自动识别和定位其中的敏感数据与核心数据，让曾经“隐身”于各类系统之中的数据暴露在管理视野之下。
在“可见”的基础上，可控是关键的执行环节。它要求在全生命周期的各个风险点上部署有效的控制手段。这意味着，安全策略（如加密、脱敏、访问阻断）不再是孤立的方案，而是能够与数据资产地图中的分类分级标签智能联动，确保对不同级别、不同场景的数据实施精细化的、适用的安全控制。
最终，可管代表了持续的运营能力。数据和业务环境是不断变化的，新的风险也随之动态产生。仅仅部署控制工具远远不够，必须建立持续性的数据安全运营机制，将数据安全从一个静态的“项目”转变为一个动态的、不断自我完善的“运营”过程。

1.2.3. 常见挑战与解决方法
- 安全防护与业务效率难以平衡
在快速迭代的业务环境中，严格的数据安全审批流程和控制措施常被视为业务敏捷性的“绊脚石”。例如，一个紧急的数据分析需求，可能因为漫长的数据申请、审批和脱敏流程而错失商机。业务团队为追求效率，可能会寻求非正规渠道（如私下导出数据、使用未经授权的云服务）来绕过安全管控，从而制造出更大的数据泄漏风险。如何在保障安全的同时，不阻碍甚至赋能业务高效发展，是管理者面临的核心矛盾。
可通过构建“安全即服务”的赋能模式来进行平衡。首先，推动安全能力平台化、自动化，将数据访问申请、审批和交付流程集成到统一的线上服务平台中，大幅缩短等待时间，实现“数据自助服务”。其次，实施差异化安全管控，根据数据敏感级别和访问场景采取不同强度的控制。例如，对核心生产数据保持严格审批，同时对已脱敏的研发测试数据开放快速通道。最终目标是让安全成为内嵌于业务流程的便捷服务，而非事后设置的关卡。

1.3. 数据安全管理实施流程
1.3.1. 实施概述
 

1.3.2. 数据分类分级
1.3.2.1. 实施概述
 

1.3.2.2. 活动
1.3.2.2.1. 明确分类分级方法
(1) 数据分类方法
分类应遵循MECE原则（相互独立，完全穷尽），确保每个数据只能属于一个类别，且所有数据都能被覆盖。同时，分类应兼顾业务可理解性和管理便利性。
常用的数据分类方法有线分类法、面分类法和综合分类法。
- 线分类法：按单一的、层级式的维度进行分类。例如，按“业务领域”维度，可将数据分为“人力资源类”“财务管理类”“研发类”“市场营销类”等，每个大类下可再分小类，如“人力资源类”下再分“员工基本信息”“薪酬福利信息”“绩效考核信息”。
- 面分类法：按多个相互独立的维度（面）进行分类，一个数据可同时拥有多个面的属性。例如，一份《产品销售合同》数据，可以同时具有“文档类型：合同”“业务部门：销售部”“客户群体：企业客户”等多个面的标签。
- 混合分类法：结合线分类和面分类法，通常以线分类法作为主干，再辅以面分类法进行多维度描述。这是目前大多数企业采用的灵活且全面的方式。
建议采用混合分类法，根据数据资源清单总结出数据大类，即以“业务线”或“数据来源系统”作为主线分类维度，便于业务部门理解和认责；同时，引入“数据主体”（如客户、员工、供应商）、“数据类型”（如基本信息、交易信息、行为信息）等作为面分类维度，进行子类细化，以满足精细化管理需求。或在参考行业标准的基础上，进行适用性调整。
(2) 明确数据分级方法
数据安全等级是根据数据在遭受泄露、篡改、破坏或非法使用后对国家安全、公共利益、组织利益和个人权益可能造成的危害程度，将其划分为不同的安全级别。
数据安全定级的原则有：
 

数据安全定级要素主要有：影响对象（如国家安全、公众利益、企业权益、个人权益等）、影响范围（如跨行业、本行业、本组织等）和影响程度（如严重损害、一般损害、轻微损害或无损害等）。需要综合这3个要素来确定数据的最终级别。
1.3.2.2.2. 数据分类
根据已确认的数据分类方法，以及数据梳理成果（即数据资源清单），构建多层级的数据分类架构，并对清单中的每一项数据资源进行分类。
为了提升效率，建议采用自动化发现和分类工具，这些工具能够连接业务系统和大数据平台，通过预定义的规则或机器学习模型，自动识别数据内容并建议分类，大幅减少人工工作量。
以金融行业数据分类为例，如下图，详细分类可参考《JR/T 0197-2020 金融数据安全 数据安全分级指南》。

图 2 金融行业数据分类举例

1.3.2.2.3. 数据分级
基于组织的数据安全保护需求，明确分级对象，根据确定的数据级别，评估数据的安全等级。
(1) 明确分级对象：即明确数据定级的颗粒度，如库文件、表、字段等。
(2) 数据分级：根据分级关键要素，评估数据一旦泄露、篡改或滥用可能对组织、个人等造成的影响，对数据进行等级判定。
实施过程中，建议结合自动化数据分级工具，利用内置的行业规则进行初步定级，再通过人工审批流程进行复核和确认，确保分级的准确性。
以下为金融行业的数据安全等级示例。
表 2 《JR/T 0197-2020 金融数据安全 数据安全分级指南》数据安全等级划分示例
 

 

在数据分类分级过程中，如果元数据不完善或不标准（如缺失字段业务名称、字段名称混乱等），分类分级工作的难度将会非常大，结果的准确性也难以保证。可以借助AI 工具，来提升效率和准确性：
- 智能解析数据内容，识别业务关键词、数据主体（客户、员工、财务）等特征，匹配预设分类规则库，智能推荐数据类别（如“人力资源类”“财务类”）；
- 基于数据分类结果，结合预设的分级规则（如影响对象、影响程度），自动评估数据安全等级，发现隐形敏感数据（如通过关联分析发现 “客户地址 + 电话”组合属于高风险数据），形成分级建议清单；
- 支持增量学习，通过人工审核反馈，持续优化分类模型，大幅降低人工工作量，提升分类分级一致性。
 

1.3.3. 管控策略制定与落地
1.3.3.1. 实施概述
 

表 3 步骤2 管控策略制定与落地的实施概述
 

 

1.3.3.2. 活动
1.3.3.2.1. 访问控制防护
访问控制防护是确保“谁能够访问什么数据”的核心安全机制，在授权用户合法使用数据的同时，严防未授权和越权的数据访问行为。访问控制防护活动基于数据分级和用户角色，构建一套动态的、最小化的权限控制。
(1) 身份认证
身份认证是访问控制的第一道关口，核心任务是验证访问者身份的真实性，确保系统知道“你是谁”。一个强健的身份认证体系是防止身份冒用和非法访问的基础。其实施需要为不同安全级别的数据和系统场景定义差异化的认证强度。建议的策略和实现方法举例如下：
- 统一身份管理：建立组织统一的身份账号库，确保员工在全组织范围内拥有唯一、权威的数字身份。
- 差异化认证强度：根据所访问数据的安全等级，制定差异化的认证策略。例如，访问公开数据可采用简单的“用户名+密码”；访问内部数据要求强密码策略并定期更换；而访问敏感及以上级别的数据，则必须启用多因素认证，结合密码与手机验证码、生物识别等第二种及以上因素进行验证。
- 技术实现：通过部署单点登录系统或统一的身份认证网关，集成各业务系统，实现集中认证。对于内部系统，可强制要求接入统一认证源；对于外部或老旧系统，可通过API网关作为代理，实施统一的认证策略。
(2) 授权和访问控制
授权是在成功认证的基础上，依据预设策略决定“你被允许执行哪些操作”的过程。其目标是严格执行最小权限原则，确保用户仅能访问其职责所必需的数据，防止数据越权访问。实现方法举例如下：
- 基于角色与属性的模型：采用基于角色的访问控制与基于属性的访问控制 相结合的模型。首先，根据岗位职责定义角色（如“财务人员”“HR专员”），并为角色分配数据访问权限。更进一步，在授权时不仅考虑用户角色，还综合评估数据的安全等级、访问环境（如时间、IP地址）、操作行为等多个属性进行动态、细粒度的决策。
- 权限生命周期管理：制定明确的权限申请、审批、复核和回收流程。权限的授予必须经过数据Owner或业务主管的审批。同时，建立定期权限复核机制（如每季度或半年一次），及时清理离职、转岗人员的冗余权限。此过程应与HR系统联动，实现入职自动分配基础角色、离岗自动禁用账户的自动化管理。
- 技术实现：建立统一的权限管理系统或策略决策点。将数据资产目录中的数据分级信息同步至权限管理系统。在数据访问的入口（如API网关）部署策略执行点，对所有访问请求进行拦截，并向策略决策点发起查询，根据返回的授权结果允许或拒绝访问。例如，即使同为“数据分析师”角色，在非办公网络环境下尝试访问敏感数据时，系统也会动态拒绝该请求。
1.3.3.2.2. 数据全生命周期安全防护
数据全生命周期安全防护要求根据数据在不同阶段的特点和风险，采取针对性的安全措施，将安全能力嵌入数据的流动过程，构建一个无缝的、持续的保护链条，确保数据从产生到消亡的每一个环节都处于受控状态。在实施过程中，需要根据组织的实际情况，在数据采集、传输、存储、处理、交换和销毁的各个阶段设置具体控制点。
各阶段的数据安全策略参考要点如下：
(1) 数据采集，应确保数据来源的合法合规，通过设计清晰、可控的采集流程，确保采集行为的权责清晰、过程可知。
(2) 数据传输：需规定不同级别数据在网络传输中的加密要求，如敏感及以上数据必须使用加密协议进行传输。
(3) 数据存储：应明确数据的加密存储要求，特别是对敏感数据和核心数据，必须进行强加密。同时，对存储介质的逻辑安全、备份恢复做出规定。
(4) 数据处理：核心是数据脱敏和正当使用。需定义脱敏的场景、规则和方法（如静态脱敏用于测试开发，动态脱敏用于数据分析场景），并确保数据不用于未声明的目的。
(5) 数据交换：需规范数据共享、发布的流程，明确外部数据接收方的安全能力要求，并采取数据水印等技术手段进行泄露溯源。
(6) 数据销毁：应规定数据及存储介质的彻底销毁方法和验证机制，确保数据不可恢复。
在具体管控过程中，需要将上述策略要求技术化、流程化。例如，通过部署数据管理平台，实现数据库存储加密、自动化静态和动态脱敏、集成安全检查和水印注入等。最终，通过技术工具将策略固化为标准操作流程，确保防护措施的一致性和有效性。常见的数据安全管控方式如下：
 

 

1.3.4. 数据安全运营
1.3.4.1. 实施概述
 

表 4 步骤3 数据安全运营的实施概述
 

1.3.4.2. 活动
1.3.4.2.1. 分类分级运营
为了应对数据动态变化带来的挑战，还需要持续开展数据分类分级运营活动，包括增量数据的分类分级和对数据分类分级的动态更新管理。
当出现新业务上线、新数据源接入、业务逻辑变更、组织管理变化或法律法规更新时，一些数据的重要性及可能的风险影响可能也随之变化。因此，需要触发对相关数据分类分级的重新评估。
通常建立一套轻量化的流程：由数据Owner或业务部门提出变更申请、数据安全管理团队进行审核，批准后由数据团队进行变更并通知。
同时，组织应建立动态更新机制，定期审查和修订数据分类分级规则、清单，确保分类分级工作与业务现状和管理需求匹配。
1.3.4.2.2. 安全审计
安全审计通过记录和分析数据访问与操作行为，为事后追溯、实时告警和合规证明提供依据，是数据安全运营的“眼睛”。安全审计活动让所有的数据活动可视化、可追溯，从而威慑违规行为并快速发现安全事件。
审计的核心内容是所有敏感和核心数据的访问、操作、流转和导出等行为日志，关键元素包括“谁、在何时、从何处、对哪些数据、执行了什么操作、结果如何”。
安全审计的内容，如策略与制度合规性、数据生命周期合规、权限治理与特权操作、第三方数据安全、数据分类分级落地等审计，参考示例如下。
 

1.3.4.2.3. 风险预警
风险预警是数据安全运营的神经中枢，它通过对数据访问、操作和流转行为的持续监控与分析，实时发现偏离正常基线的异常行为和安全威胁，并第一时间发出告警，实现从“事后审查”到“事前预防、事中阻断”的转变。
(1) 监测点部署：在数据生命周期的关键路径上部署监测探针或开启日志功能。
(2) 风险规则制定：定义哪些是“风险”，并通过平台工具配置规则，让平台自动识别风险项。规则如“用户在非工作时间（如23:00-6:00）发起‘批量数据导出’操作”等。
(3) 告警规则设置：设置告警规则，确保风险告警信息及时通过多种渠道（如邮件、短信、微信等）送达给相关责任人。可以根据风险的严重性和紧迫性，为告警划分不同等级，如紧急、高危、中危。
- 紧急：确凿的数据批量泄露行为、特权账号被暴力破解等。
- 高危：高频敏感数据访问、越权操作等严重异常等。
- 中危：策略违规的尝试性行为、非核心数据的异常访问等。
告警处理：风险责任人对告警进行快速有效地处理，确保事事有回应，件件有着落。可通过风险预警报表/报告等，展示风险趋势与处置效率。同时持续优化规则准确性，减少误报与漏报。

 

（或访问：https://xcnoejbrkx3v.feishu.cn/drive/folder/HCXufFf6ilq0ejdF5Hmc3CJhnYf）

 

本书采用了开放式共创的编撰模式。我们坚信，内容的可靠性与实践性来自持续的交流与共创。因此，我们诚挚邀请您——每一位关注数据治理的同行者、实践者与思考者——加入本书的共创计划。

如果您在阅读过程中，提出关键修正、贡献具有借鉴价值的优质案例，或补充了不可或缺的核心内容，我们将诚挚邀请您成为本书的共同署名共创者，并参与后续的专题研讨与行业交流，共同推动数据治理领域的实践进步与生态发展。

 

愿这本书不仅是一本指南，更是一次连接行业、凝聚共识、共创未来的行动。

 

 

• 《数据治理实战指南》——致正在阅读本书的你
• 《数据治理实战指南》——导读
• 【第一部分 框架篇】第1章 数据治理行业概述
• 【第一部分 框架篇】第2章 数据治理方法论
• 【第二部分 规划篇】第3章 定战略
• 【第二部分 规划篇】第4章 建体系
• 【第二部分 规划篇】第5章 摸家底
• 【第三部分 实施篇】第6章 数据集成
• 【第三部分 实施篇】第7章 数据仓库及数据模型管理
• 【第三部分 实施篇】第8章 元数据管理
• 【第三部分 实施篇】第9章 数据标准管理
• 【第三部分 实施篇】第10章 数据质量管理
• 【第三部分 实施篇】第11章 主数据管理
• 【第三部分 实施篇】第12章 数据安全管理
• 【第三部分 实施篇】第13章 数据价值应用
• 【第四部分 实战篇】第14章 数据治理实战演练