安全管理是数据治理的重要内容之一，要对数据安全进行统一管理，从数据安全管理、数据系统安全、运行环境安全、数据应用安全、数据传输环境保护、数据备份及恢复、入侵检测和安全审计等不同方面，全面加强数据安全保护工作。

数据安全是安全治理的一部分，也要遵循风险管理的思路进行治理体系的设计。数据安全治理机制的设计和完善思路如图8-15所示。

图8-15 基于风险的数据安全治理模型

1.发现&分类：寻找、分类和保护重要信息

数据安全保护的重点是核心、敏感数据，所以保护的前提是要找到这些敏感数据。随着数据量的不断扩增，寻找和分类这些敏感信息的难度也越来越大。确定重要数据要从业务价值角度入手，从数据的重要性、机密性等指标进行判断，最终确定哪些数据是需要重点保护的核心数据，并对数据进行分类，便于分类表保护。

2.评估&加固：风险评估和保障措施设计

在确定了核心数据之后，就要对数据进行风险评估，风险评估分为两大类：漏洞和配置测试可以检查各种漏洞，如缺少的补丁、权限配置错误和默认账户问题；行为测试通过实时监控所有数据库流量，根据数据库的访问和操作方式识别漏洞，如登录失败次数过多，或在非规定时间登录等。风险评估后要根据数据面临的漏洞、脆弱性等设置相应的保护策略和措施。针对数据的安全管控措施，一般包含用户管理、访问控制、监视和数据保护等几个维度，具体如图8-16所示。(www.daowen.com)

3.监控&执行：监控和执行各项策略，主动实时安全

采用自动化工具来固化数据安全防护策略与措施，实现核心重要数据的实时监控和防护，并能够记录用户的所有操作，便于审计和跟踪。监控既要防止内部用户的非法或可疑的行为，又要抵挡欺诈用户或外来者的攻击，实现内外部一体化的安全防护。

图8-16 数据安全管控的内容体系

4.审计&报表：细粒度审计追踪，制作安全保护报表

自动化工具要能覆盖所有数据库活动的连续、详细的追踪记录，并进行实时的语境分析和过滤，从而实现主动控制，生成审计员需要的具体信息。要能定期生成报表，并能够将报表自动推送给管理员，便于管理员进行管控和调整安全措施。