以数据为中心的安全模式

一种将信息安全技术与战略商业目标相结合的方法，用于确定数据的商业价值，帮助公司选择最合适的 IT 安全等级。

Perimetrix 方法的核心是 DCSM（以数据为中心的安全模式），该模式也被称为以信息为中心的安全模式。该模式可追溯到 2007 年¹，并提出应根据对相关业务流程的重要性分类数据这一理念。在具体实践中，这意味着分配给数据的安全等级必须与其商业价值相匹配。

通过这种方法，就能有机联系信息安全专家的技术能力和数据所有者关于信息在实现商业目标中的作用的知识。

要实施 DCSM 方法，首先请建立一套企业数据处理准则。然后，根据这些准则定义安全策略，并用来确定哪些信息安全服务是执行这些策略所必需的。

在确定了组织的信息资产和业务数据的分类之后，就可以定义面向业务的数据管理规则。为每一类信息定义规则，描述应该如何使用数据，以及应该通过什么方式来保护数据。

这些面向业务的数据管理规则随后被转化为应用于用户工作站上的应用和服务的具体安全设置。它在业务和 IT 之间建立了一种非常强大的联系，可以有针对性地在所需的环境中应用。

通过采用 DCSM 的核心概念并在实践中实施，Perimetrix 的解决方案确保遵守既定的数据处理策略，并限制任何偏离此等策略的行为。Perimetrix 保持数据价值的方法关键在于业务流程中使用的数据有其特定的生命周期。

因此，我们需要罗列一个可以对数据进行的操作的清单，涵盖从数据创建起，一直到其报废的整个周期。在这个生命周期中，数据的价值以及其保密性水平可能会发生变化，因此我们也需要适时地对其保护等级进行调整。换句话说，要及时调整安全防护等级以避免机密数据被不当使用。

• 1 “Elevating the Discussion on Security Management — The Data Centric Paradigm” by IBM Research, IBM Security & Privacy Services, Zurich Financial Services; “Enterprise Security: A data — centric approach to securing the enterprise” by Aaron Woody.