企业本身会产生什么数据？本章将对企业自身组织状况和业务状况进行比较清晰的梳理，

了解企业内部相关人员会对内输出哪些数据等等。例如，下面列出了一些敏感信息的例子：

用户资料类别：身份证、手机号、银行卡号、社会保障号等等，业务资料类别：市场资料

类别：商业资料类别：公司资料类别：财务资料类别：人资料类别。输出为“数据分类分级

管理体系”、“数据安全体系”和“数据应用体系”。

 

 

 

任何资产输入(重点)安全工作都要从一开始就进行，其中最重要的一项工作就是首先对资产

信息进行梳理，这些资产信息主要由业务和数据管理团队提供，例如通过内部数据库的cm

db获取；数据虽然主要由干系部门提供，但作为安全，我们必须拥有数据源的判断和验证

能力，以确定现有资产覆盖范围是否全面，并在此基础上进行安全建设和防护才能切实有

效。

 

 

我个人认为：组织在业务上做了安全防范防范措施不可怕，这个可以引导我们安全防范措施

建设的方向，查漏补缺，制定下一阶段的计划和目标；可怕的是资产上有盲点，本来可以防

范的资产，没有建立防范措施，导致出现安全问题，这是非常可悲的。所以摸清家底很重要

！非常重要！非常重要！界定资产范围，确保充分有效使用资产。

 

 

对于静态数据治理，我们主要需要两种类型的信息，即业务信息、主机信息(生产数据库)，

具体概述如下：业务信息：企业名称、企业负责人、安全接口人，主机信息：集群信息、

主机地址、主机状态、数据库账号密码等。资料验证，基于日常安全的资产扫描，包括但

不限于主机存取、端口开启、协议识别等，结果与三方提供的资产相比较，互为双重验证。

 

 

资料识别，以商业资料资产清单为基础，并具有全局性的审核权限，以技术扫描的方式主

动发现资料，在生产机器上建立资料图谱，如资料库、表格、栏位、记事、样本等。根据

数据分类分级中对敏感数据的定义，制定全面、有效的分析策略，以数据图为基础，对敏

感数据进行筛选，确定其当前状态。

 

 

过滤掉敏感字段的列表，并确定敏感字段的内容是加密的还是脱敏的。示例：下面是一个

分析策略的例子：分析策略主要是一个正则表达式，可以基于以下三个方面来设置：
 

FieldContents：识别分析FieldContents以识别敏感信息字段。
 

FieldNotes：识别分析字段注释，以识别敏感信息字段。
 

字段名：识别分析字段注释，以识别敏感信息字段。