2.2　數據安全管控（DSC）框架

Forrester提出的數據安全管控（Data Security Control，簡稱DSC）框架把安全管控數據分解成三大領域：定義數據、分解和分析數據、防御風險和保護數據（圖2-5）。

1.定義好數據可以簡化數據管控

我們不太可能完完全全地把數據保護起來，比如把所有的數據都加密從運維的角度來說太復雜了，而且效率比較低。為了更好地了解所要保護的數據，進行數據發現和數據分類非常關鍵。

①數據發現。

為了保護數據，我們必須首先知道數據都存儲在哪里。

②數據分類。

數據分類是數據保護的基石，首先需要制定相應的標準。當然，數據分類的標準會隨著業務和數據的變化而有所變化。

2.分解和分析數據幫助更好地制定安全策略

剖析數據的商業價值及其在業務中的重要性，然后決定相應的安全策略和技術。比如對于經常與外部交換的敏感數據，安全團隊可以部署能夠實現安全協作的方案；對于內部業務部門希望用于數據分析的敏感數據，可以對使用中的數據進行保護或進行匿名去標識化處理。同時，了解數據的狀態很重要：數據是如何流動的？誰在使用這些數據？使用頻率如何？使用的目的是什么？這些數據是如何收集的？如果數據完整性受到破壞，會產生什么樣的后果？

3.防御風險和保護數據免受威脅

隨著數據風險的加大，以及攻擊的數量和復雜程度的增加，DSC框架建議了四種方法。

①控制訪問。

確保正確的用戶能夠在正確的時間訪問正確的數據。要在整個生命周期中保護數據，并嚴格限制可以訪問重要數據的人數，持續監控用戶的訪問行為。

②監控數據使用行為。

幫助安全團隊預先提示潛在的濫用行為。可以通過部署用戶實體行為分析（User and Entity Behavior Analytics，簡稱UEBA）等工具，并將其與安全分析集成，來實現主動保護敏感數據所需的可見性。

③刪除不再需要的數據。

通過適當的數據發現和分類，可以防御性地處置不再需要的敏感數據。安全、防御性地處理數據是一種強大的防御策略，可以降低法律風險，降低存儲成本，并降低數據泄露的風險。

④混淆數據。

不法分子利用互聯網上的“地下黑市”買賣敏感數據。我們可以通過使用數據抽象和模糊技術（如加密、去標識化和掩蔽）生成“混淆數據”，來降低數據的價值。