《数据安全能力成熟度模型》实践指南：数据资产管理

作者： 美创科技安全实验室

2019年8月30日，《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）简称DSMM（Data Security Maturity Model）正式成为国标对外发布，并已于2020年3月起正式实施。

DSMM将数据按照其生命周期分阶段采用不同的能力评估等级，分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级，形成一个三维立体模型，全方面对数据安全进行能力建设。

在此基础上，DSMM将上述6个生命周期进一步细分，划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段，部分过程域贯穿于整个数据生命周期。

随着《中华人民共和国数据安全法(草案)》的公布，后续DSMM很可能会成为该法案的具体落地标准和衡量指标，对于中国企业而言，以DSMM为数据安全治理思路方案选型，可以更好的实现数据安全治理的制度合规。

"本系列文将以DSMM数据安全治理思路为依托，针对上述各过程域，基于充分定义级视角（3级），提供数据安全建设实践建议，本文作为本系列第二十三篇文章，本文将介绍通用安全过程域的数据资产管理过程域（PA23）。"

01、定义

数据资产管理，DSMM官方描述定义为通过建立针对组织数据资产的有效管理手段,从资产的类型、管理模式方面实现统一的管理要求。

DSMM标准在充分定义级对数据资产管理要求如下：

组织建设

组织应设置数据资产管理岗位利人员，对组织的数据资产进行统一管理，负责数据资产管理规范的制定和落地推动。

制度流程

1) 应在组织层面建立数据资产安全管理制度，定义数据资产的相关角色定位和职责；

2) 应明确数据资产登记机制，明确数据资产管理范围和属性，确保组织内部重要的数据资产已有明确的管理者或责任部门；

3) 应明确数据资产变更管理要求和变更审批机制，例如数据资产内容、分类、分级、标识、管理者等变更。

技术工具

1) 应通过技术工具执行数据资产的登记，实现对数据资产的自动属性标识；

2) 应建立便于索引和查询的数据资产清单,并能够及时更新数据资产相关信息；

3) 应具有密钥管理系统，实现对密钥的全生存周期(生成、存储、使用、分发、更新、销毁等)的安全管理。

人员能力

负责统一管理组织数据资产的人员应了解组织内部数据资产的管理需求，以及数据资产所涉及的业务范围，能够建立适用于组织业务实际情况的管理制度。

02、实践指南

组织建设

数据资产是指由企业拥有或者控制的，能够为组织带来未来经济利益的，以物理或电子的方式记录的数据资源，如文件资料、电子数据等。在组织中，并非所有的数据都构成数据资产，数据资产是能够为企业产生价值的数据资源。数据安全制度流程中应明确划分数据资产范畴，并根据该范畴规划数据资产管理。

对应的组织建设要求便是设立数据资产管理的专项岗位或团队，明确划分数据资产范畴，并根据范畴进行数据资产管理规范输出，推进相关规范的实施落地，从而实现对组织的数据资产的统一管理。一般而言是需要一个专项团队，由团队中的不同人员负责不同维度的组织业务部门数据资产管理。

总体目标就是设置数据资产管理组织，按照统一的规章制度管理企业数据资源，同时各业务团队配置具体 员负责本级业务范围内的数据资产管理工作。

人员能力

根据上述组织建设思路，对应的数据资产管理团队的人员，应至少具备两个方面的能力：

1、划分数据资产，明确管理需求，如前所述并非所有的数据都构成数据资产，数据资产是能够为企业产生价值的数据资源。数据安全制度流程中应明确划分数据资产范畴，并根据该范畴规划数据资产管理。因此相关人员需具备对数据资产的识别和划分能力，从而明确组织对数据资产的内部管理需求。

2、根据实际建立管理制度，需要相关人员能够根据业务数据资产划分、业务范围界定以及组织对数据资产的管理需求，能够建立适用于组织业务实际情况的管理制度，并推进相关制度的实际落地执行，同时在此期间持续保证管理制度、数据资产划分能够与组织业务变化与时俱进。

落地执行性确认

针对组织数据资产管理能力的实际落地执行性确认，与上述各数据安全生命周期确认方式类似，可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。

制度流程

针对数据资产管理相关制度流程，主要包含数据资产管理制度、数据资产登记机制以及数据资产变更审批。

数据资产管理制度

数据资产管理制度包括组织战略、管理目标、管理域和价值实现。组织战略应参考内外部环境制定，包括业务、技术和数据等方面。

管理目标应依据组织战略制定，需覆盖数据资产管理域的关键活动。管理域明确了管理范围和对象，并在制度、技术和资源等方面的管理措施保障下，通过一系列管理过程活动实现管理目标。价值实现是实现数据资产保值增值的最终目标，从而挖掘并发挥数据资产的经济、社会等价值。

其中，管理域主要包括：

a) 管理对象包括数据资产特征和数据资产管理要素；

b) 管理过程定义了组织实施数据资产管理的一系列关键活动，包括数据资产目录管理，数据资产生存周期的识别、应用、盘点、变更和处置等过程，以及与风控和价值相关的数据资产安全、评估和审计等过程；

c) 管理保障明确了数据资产管理活动的资源条件保障，包括制度、技术和资源等方面。

数据资产登记机制

数据资产登记机制，旨在明确数据资产管理范围和属性，确保组织内部重要的数据资产已有明确的管理者或责任部门。

一般而言，数据资产具备以下特征属性：

a) 可增值属性，数据资产的价值易发生变化，可随着应用场景、用户数量和使用频率的增加，其经济价值和社会价值也会持续增长；

b) 可共享属性，在权限可控的前提下，数据资产可被组织内外部多个主体共享和应用；

c) 可控制属性，为满足风险可控、运营合规的要求，数据资产需具备权限可控制行为可追溯等属性；

d) 可量化属性，数据资产的质量、成本和价值等具备可计量、可评估的特征。

具备上述特征属性的资产，可被登记为数据资产，在此之上可借助数据资产如下特征要素进一步确认其责任归属，将其划分给对应管理者或责任部门：

a) 基本信息， 描述数据资产的基本属性信息， 例如数据来源、 数据类型、 数据结构、数据规模、数据标准和数据质量等；

b) 业务信息，描述数据资产的业务指代信息，例如业务描述、业务指标、 业务规则和关联关系等；

c) 管理信息，描述数据资产的管理描述信息，例如数据权属、敏感性信息、 安全信息、分类分级、数据溯源、职责权限和应用情况等；

d) 价值信息， 描述数据资产的价值评估信息， 例如市场信息、 领域信息、 属地信息、使用价值和金融属性等。

数据资产变更审批

当数据资产管理活动或业务需求触发数据资产变化时，应通过变更管理流程确保变更活动有序实施，并及时更新数据资产目录，确保数据资产目录信息与实际情况的一致性。

数据资产变更的具体实施建议如下：

a) 应建立数据资产变更申请机制，明确数据资产变更申请的触发条件，并有效管控变更申请过程；

b) 应对提交的数据资产变更进行评审，包括信息的完整性、业务的必要性、需求的符合度、影响范围和权属关系等；

c) 应对数据资产变更影响进行分析，并发布变更影响通知；

d) 应依据数据资产变更评审结果实施变更，并更新数据资产目录；

e) 应对变更过程进行记录，并建立数据资产变更的持续跟踪、回顾和改进机制。

技术工具简述

数据资产管理部分的技术，主要涉及到数据资产梳理登记的数据资产自动化梳理技术、登记后持续管理数据资产的数据资产管理技术以及在此过程中涉及各类密钥使用的密钥管理系统（KMS）。

技术工具的方法和原理

数据资产自动化梳理技术

数据资产梳理是数据库安全治理的基础，通过对数据资产的梳理，可以确定敏感性数据在系统内部的分布、确定敏感数据是如何被访问的、确定当前的账号和授权的状况。

目前数据资产自动化梳理技术主要包含静态梳理技术和动态梳理技术。

1、静态梳理技术

静态梳理是完成对敏感数据的存储分布状况的摸底，从而帮助安全管理人员掌握系统的数据资产分布情况。

静态梳理可以分为结构化数据梳理和非结构化数据梳理。

对于结构化数据的梳理，通过静态的扫描技术可以获得数据的以下基本信息：

通过端口扫描和特征发现，可以得到系统网段内存在的数据库列表，以及所分布的IP，从而获得数据库资产清单；

根据所定义的企业内不同敏感数据的特征，以及预先定义的这些数据的类别和级别，通过对表中的数据进行采样匹配，获得不同的列、表和库中的数据所对应的级别和类别；

对于非结构化数据，通过磁盘扫描技术，根据预先定义的数据特征，对于CSV、HTML、XML、PDF、Word、Excel和PPT等文档中的内容进行扫描，获得这些文件中所具有的信息的类别和级别。

无论是结构化还是非结构化，都要建立对应的敏感数据资产清单。

2、动态梳理技术

动态梳理技术是基于对网络流量的扫描，实现对系统中的敏感数据的访问状况的梳理，包括：敏感数据的存储分布、敏感数据的系统访问状况、敏感数据的批量访问状况、敏感数据的访问风险。

通过动态梳理技术可以获得数据的以下基本信息：

哪些IP（数据库主机）是数据的来源；

哪些IP（业务系统或运维工具）是数据的主要访问者；

敏感数据是如何被业务系统访问的（时间、流量、操作类型、语句）；

敏感数据是如何被运维人员访问的（IP、用户、操作）；

动态梳理同样要分为对结构化数据访问网络流量的扫描，以及非结构化数据访问的网络流量的扫描。结构化数据的网络流量，主要是对各种RDBMS、NOSQL、MPP数据库的通讯协议的流量监控；非结构化数据主要是对Mail协议、HTTP、FTP等协议的监控和解析。

数据资产管理技术

目前数据资产管理主要包括以下技术：

1、数据标准管理

数据标准化，指研究、制定和推广应用统一的数据分类分级、记录格式及转换、编码等技术标准的过程。从以上定义可以看出，数据标准指的就是针对数据所定义的各种规则或约束，如数据的类别，数据的口径，数据的安全级别，数据的格式，数据取值范围，数据的类型等。数据标准可以认为也是一种特定类型的元数据，对数据标准的管理，就是指管理所有数据相关的标准和规范，除提供一般的查询展示、修改发布管理功能外，还要能建立数据标准与数据间的关系。同时，数据标准就是数据的业务或技术规则，数据标准管理工具应能够支持数据标准到数据质量规则的自动同步，通过数据质量核查工具能够核对数据是符合数据标准的定义。

2、数据质量核查

数据资产管理战略的一个重要目标是保证数据准确性、一致性和完整性。数据质量核查工具的目的就在于通过制定的数据质量规则，实现软件工具支撑下的数据合法性校验、数据质量问题监控、数据质量分析报告等功能，以实现企业数据质量改进提升。数据质量核查工具的核心是能够快速高效校验数据问题，数据问题一旦出现就及时通知管理人员给予重视和治理。

3、数据模型设计与管理

针对企业在不同业务发展阶段建设的一个个竖井式系统，最大的挑战莫过于系统集成过程中数据模型的不一致，解决这个问题的唯一方法就是从全局入手，设计标准化数据模型，构建统一的数据模型管控体系，这个过程中针对数据模型的管理、比对、分析、展示都离不开工具的支撑，对企业数据模型的管理，直接影响着企业数据资产一致性程度。其中数据模型设计工具不仅应能支持对于新建系统的正向建模能力，还应支持对原有系统的逆向工程能力，通过对数据模型进行标准化设计，能够将数据模型与整个企业架构保持一致，从源头上提高企业数据的一致性。

4、元数据管理

元数据管理的作用是统一管理企业所有元数据，包括业务元数据、技术元数据、流程元数据和数据管理制度元数据，另外还应包括非结构化数据的元数据。元数据的数据地图可以图形化展示各信息系统间数据流转情况，利用血缘分析和影响分析帮助企业快速定位问题数据源头及系统改造影响范围。

5、主数据管理

可通过数据整合工具（如ETL）、数据清洗工具、作为主数据总线的操作型数据存储（ODS），或专门的主数据管理工具来实施主数据管理，目标是通过跨数据源的整合，提供企业“黄金数据” – 主数据的最佳版本，并保证这些主数据在各个信息系统间的准确性、一致性、完整性。

6、数据资产分析

数据资产分析可以帮助数据管理人员快速、可视化发现数据问题，同时增强了企业数据资产的易用性和对外服务能力，一般需要集成开源或商业的数据统计分析工具和分析评估模型。

7、非结构化数据管理

越来越多的企业开始重视非结构化数据（文档、图像、音频、视频等）的管理，需要结合企业自身发展长远考虑，选取对自身发展最有利的支撑手段加以使用。

基于上述技术，数据资产管理涉及的领域众多，目前主要有两种形式的数据资产管理工具产品：一是基于传统数据管理方法，在某个业务领域精耕细作形成的完善产品，比如独立的主数据管理工具、元数据管理工具、数据建模工具、数据质量管理工具等；二是将几个相关数据管理工具功能整合到一起，打通数据连接，形成互相之间有接口的工具平台，比如由元数据、数据标准、数据质量集成起来形成的数据资产管理平台。其中目前以后者，即整合性的数据资产管理平台更为常见。

数据资产管理平台通过资产发现系统对多类型数据的资产数据做识别、分析并集采到资源库。支持数据表技术字段、业务类型、字段业务类型识别，以标准数据格式存储，通过后端服务实现对目录和资源的数据管理，内置流程引擎可以支持目录和资源的审批流程，在自定义节点之后做审批流转。服务内部的保存有资源缓存数据，保证资源可以快速检索。

产品架构图参考如下：

密钥管理系统（KMS）

关于密钥管理系统，我们之前曾在《数据传输加密》进行过简单描述，此处在此基础上进行一些补充。

密钥管理系统（key management system，KMS）也称密码学密钥管理系统（crytographic key management system，CKMS），是用于生成、分发和管理设备和应用程序的密钥的一种集成手段。与术语密钥管理相比，KMS针对特定用例进行了定制，例如安全软件更新、机器对机器通信。在整体来说，它涵盖了安全性的所有方面——从通过密钥安全交换来安全生成密钥，到客户端安全密钥的处理和存储。因此，一个KMS包含用于密钥生成、分发和替换的后端功能，以及用于注入密钥、存储和管理设备上的密钥等客户端功能。随着物联网的发展，密钥管理系统已成为互联设备安全性的关键部分。

基于上述情况，目前的密钥管理系统一般在供加密密钥对的同时，往往会提供对这些密钥对的备份、归档、恢复、更新等相关服务，可参考产品架构如下：

目前常见开源KMS包括Barbican、KeyBox、EPKS等，商业产品则非常繁多，组织可根据自身需求进行技术选型。