Gartner数据安全治理框架（DSG）

要从

这里

开始

风险

容忍度

IT战略

1.ꢀ平衡业务需求与风险

业务战略

治理

合规

2.ꢀ标识、优先级排序和管理

数据集的生命周期

数据集优先级

人

访问使用

数据

3.ꢀ定义数据安全策略

不要从

这里

开始

身份与

访问控制

分类分级数据保护数据监控事件报警

应用处理

4.ꢀ部署数据安全产品

数据流

数据库

大数据

文件

云

终端

5.ꢀ为所有产品编排统一策略

数据安全治理的重点

为什么

有什么

在哪里

谁在用

怎么用

怎么办

体系建设

制度流程

分类分级

技术工具

合规要求

资产保护

事件驱动

核心资产

敏感数据

数据存储

数据分布

创建

使用

数据流转

需求分析

核心机密数据保护

原始数据无损保护

流转数据使用审计

不改变用户使用习惯

不影响应用系统交互

满足当前兼容性要求

风险分析

通过移动存储，U盘大量拷贝敏感文

通过文件共享下载上传敏感信息

通过云盘，网盘客户端，云文档上传敏感

过微信，QQ，钉钉，飞书外发敏感数据

通过HTTP，HTTPS，FTP上传敏感数据

通过打印机打印敏感文件

通过邮件客户端外发敏感数据

通过网页版邮箱发送敏感信息

数据防泄露解决方案技术保障

数据识别

数据泄露监控

防护措施

⚫ 客户信息，订单信息

⚫ 合同模板，供应商信息

⚫ 个人隐私信息，花名册

⚫ 财务报表，项目文档

⚫ 代码，图纸，工艺流程

⚫ 绝密，机密，内部使用

⚫ 谁跟谁，事件事件

⚫ 什么数据，数量级

⚫ 通过网络途径

⚫ 通过终端途径

⚫ 通过邮件方式

⚫ 审计：留痕，事后

⚫ 阻止：事前，事中

⚫ 隔离：事中

⚫ 审批：事中

⚫ 通知告警

⚫ 其他处理方式

统一内容安全平台，统一管理，统一策略，事件记录+证据文件

数据防泄露场景一：数据发现

解决的问题：

⚫

扫描任务

梳理出企业的核心

数据

⚫

找到企业的核心数

据存储在哪里

机密信息分布视图

分布服务器

Exchangeꢀ/SharePoint/数据库

发现事件

UCSS

网络发现

终端发现

扫描任务

删除

隔离

复制

保护

共享目录

文件服务器

SMB/NFS

隔离服务器

本机磁盘目录

扫描任务

终端

Windows/Mac

解决了企业有什么和在哪儿的问题，为数据资产保护提供第一手资料和数据安全治理基础

数据防泄露场景二：终端数据保护

审计

文档（敏感数据）存储

文档（敏感数据）传输

文档（敏感数据）外发

通

知

告

警

阻止

办公终端

文档（敏感数据）打印

审批

WEB

邮件

网络共享

FTP

IM

SD

移动存储

打印

截图

网盘

应用程序

红外

蓝牙

刻录

场景：员工办公终端，存储和使用大量敏感数据，通过多种通道传输和外发数据

解决方法：通过终端DLP解决方案，终端传输通道的审计和管控，包括网络，共享，即时聊天工具，U盘，打印等方式

数据防泄露场景三：出差/离线策略

①

在线用户

操作实时更新同步

①在线用户：

终端客户端与UCSS实时通讯，及时接

收策略更新，实时对终端数据操作进行

管控

策略实时更新同步

内网终端

Windows/Mac

③

传输方式：

文档上传云盘

文档U盘拷贝

文档IM传输

文档打印

文档截屏

文档刻录

文档蓝牙传输

文档FTP传输

······

②离线用户：

出差用户

员工出差时，或者离线状态，即使没有

与UCSS实时保持通讯，但是客户端也

可以通过离线策略实时对终端数据操作

进行管控，一旦终端与UCSS平台通讯

建立时，将同步终端操作日志

实时同步 UCSS-Lite

UCSS

③出差/外网用户：

离线策略，异步接收

终端客户端与UCSS-Lite（云端版）实

时通讯，及时接收策略更新，实时对终

端数据操作进行管控

②

离线用户

操作异步传输

出差/离线终端

Windows/Mac

场景：员工携带公司笔记本电脑回家办公，或者出差，在终端上产生的数据或传输的数据无法得到安全可控

解决方法：通过云端分级管控平台进行出差人员终端实时管控，即使在终端不接入网络的情况下可以通过离线策略同样

对企业核心资产进行保护

数据防泄露场景四：打印网关

打印

用户

ASWG

管理，策略

日志，事件

VIP

UCSS

打印服务器

场景：员工将敏感数据通过打印的方式进行使用或泄露

解决方法：通过ASWG作为打印网关，员工打印通过ASWG打印网关，牵涉到敏感数据能够追溯审计，水印或阻断

数据防泄露场景五：WEB/VDI代理安全网关

远程办公

互联网

应用服务器

ASWG

管理，策略

日志，事件

VIP

UCSS

VDI集群

局域网用户

场景：应用服务器对外发布，VDI办公环境

解决方法：通过ASWG作为WEB安全网关，提供WEB通道数据保护，SSL卸载，VDI用户识别及上网保护

数据防泄露场景六：IM应用API对接

研发网络

数据传输检测

RESTfulꢀAPI

UCSS

UCWI

内容分析反馈钉钉协同办公

OA网络

场景：OA协同办公或企业级IM协同办公工具私有化部署

解决方法：通过对IM私有化进行实时阻断或审计，对内容进行深度检测分析，从应用本身进行数据保护，不改变用户习惯

数据防泄露场景七：邮件安全网关

①邮件外发：正常放行，并记录

②外发阻断：策略触发，禁止外发，并记录

UCSS

③外发审批：确有外发需求，审批外发，并记录

ASEG

内

容

分

析

防防

垃病

圾毒

④外发加密：邮件加密后外发，并记录

⑤附件删除：禁止发送附件，并记录

O365

邮件服务器

场景：企业邮件系统经常遭到垃圾邮件，钓鱼邮件等攻击，内部人员在与客户，供应商进行邮件交互时将企业核心数据

外泄，或者发送至个人非公司邮箱的行为也时有发生

解决方法：入向防垃圾防病毒网关，出向内容分析检测，灵活策略，过ASEG邮件全记录审计

以人为中心的持续性数据安全模型

Discover

Prevent

策略

数据分类分级

数据保护基线

数据保护范围

合规需求

Web安全+DLP防护

邮件安全+DLP防护

终端安全+DLP防护

移动端DLP防护

用户行为采集

策略下发

内容

威胁情报

持续性用户行为分析

内部威胁防护

上下文

策略优化

日志传递

Respond

策略优化

Detect

异常行为发现

行为判定优化

态势分析

DLP事件分析

报表生成

威胁情报分析

可信度分值反馈

用户可信度分值计算

合规

CARTA:ꢀContinuousꢀAdaptiveꢀRiskꢀandꢀTrustꢀAssessmentꢀ持续自适应的风险和信任评估