《数据安全能力成熟度模型》实践指南：终端数据安全-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

国家网信办发布《国家网络安全事件报告管理办法》

2025-09-16

数字医学与健康大会DMHC——美创与您相约古都金陵

2025-08-12

美创科技打造县域医疗灾备新标杆｜神木市医院 HIS 系统数据库分钟级切换演练实录

2025-07-02

百万罚单警示！DCAS助力金融机构筑牢数据安全防线，实现监管合规

2025-06-20

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

每周安全速递³⁵⁸ | 南卡罗来纳州第五学区确认数据泄露

2025-09-16

每周安全速递³⁵⁷ | 研究人员披露DireWolf勒索组织

2025-09-08

每周安全速递³⁵⁶ | Anthropic阻止AI驱动勒索攻击

2025-09-01

每周安全速递³⁵⁵ | Crypto24勒索软件研发定制EDR规避工具

2025-08-25

每周安全速递³⁵⁴ | Charon勒索软件攻击中东公共与航空部门

2025-08-25

《数据安全能力成熟度模型》实践指南：终端数据安全

发布时间：2021-03-03 阅读次数： 259 次

2019年8月30日，《信息安全技术数据安全能力成熟度模型》（GB/T 37988-2019）简称DSMM（Data Security Maturity Model）正式成为国标对外发布，并已于2020年3月起正式实施。

DSMM将数据按照其生命周期分阶段采用不同的能力评估等级，分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级，形成一个三维立体模型，全方面对数据安全进行能力建设。

在此基础上，DSMM将上述6个生命周期进一步细分，划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段，部分过程域贯穿于整个数据生命周期。

随着《中华人民共和国数据安全法(草案)》的公布，后续DSMM很可能会成为该法案的具体落地标准和衡量指标，对于中国企业而言，以DSMM为数据安全治理思路方案选型，可以更好的实现数据安全治理的制度合规。

"本系列文将以DSMM数据安全治理思路为依托，针对上述各过程域，基于充分定义级视角（3级），提供数据安全建设实践建议，本文作为本系列第二十六篇文章，本文将介绍通用安全过程域的终端数据安全过程域（PA26）。"

01、定义

终端数据安全，DSMM官方描述定义为基于组织对终端设备层面的数据保护要求，针对组织内部的工作终端采取相应的技术和管理方案。

DSMM标准在充分定义级对终端数据安全要求如下：

组织建设

组织内应设立统一的终端设备或办公数据安全管理岗位和人员。

制度流程

组织应明确面向终端设备的数据安全管理规范，明确终端设备的安全配置管理、使用终端数据的注意事项和数据防泄漏管理要求等。

技术工具

1）打印输出设备应采用身份鉴别、访问控制等手段进行安全管控，并对用户账户在此终端设备上的数据操作进行日志记录；

2）组织内入网的终端设备均应按统一的要求部署防护丁具，如防病毒、硬盘加密、终端入侵检测等软件，并定期进行软件的更新，并将终端设备纳入组织整体的访问控制体系中；

3）组织应部署终端数据防泄漏方案，通过技术工具对终端设备上数据以及数据的操作进行风险监控；

4）应提供整体的终端安全解决方案,实现终端设备与组织内部员工的有效绑定，按统一的部署标准在终端设备系统上安装各类防控软件（如防病毒、硬盘加密、终端入侵检测等软件）。

02、实践指南

组织建设

组织机构应该在条件允许的情况下设立终端数据安全管理部门并招募相关的管理人员和技术人员，负责为公司提供必要的技术支持，负责为组织结构内部制定整体的终端设备的数据安全管理规范、制定终端设备的安全配置管理策略。除此之外，还需要为业务团队提供对不同终端数据安全管理场景的风险评估支持，制定针对性的终端数据安全方案，为执行终端数据安全管理的人员（技术人员）进行专门的安全意识培训，加强对技术人员的监管，确保其可以按照国家相关法律法规和标准管理终端数据安全。

人员能力

针对终端数据安全管理部门的管理人员来说，必须具备良好的数据安全风险意识，熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求，在进行终端数据安全管理以及制定终端设备的数据安全管理规范的时候，严格按照《网络安全法》、《数据安全法》、《个人信息保护法》等国家相关法律法规和行业规范执行，同时还需要相关的管理人员具备一定的终端数据安全管理经验，拥有良好的终端数据安全专业知识基础且通过了岗位能力测试，熟悉主流的终端数据安全策略、管理流程、技术工具，能够根据不同的终端数据安全场景进行相应的风险评估，能够根据终端数据安全管理需求明确应该使用的数据管理工具或平台，能够主动根据行业及政策变化更新相关的知识和技能，具备能够结合业界标准、合规准则、业务场景制定标准化终端数据安全管理的能力。

针对终端数据安全管理部门的技术人员来说，同样也必须具备良好的终端数据安全风险意识，熟悉相关的法律法规以及政策要求，熟悉主流厂商的终端数据安全管理案例，熟悉主流的终端数据安全管理工具或管理平台及其使用方法，拥有至少一年以上的终端数据安全管理执行经验，充分理解并执行由管理人员制定的终端数据安全管理规范，具备能够主动根据政策变化和技术发展更新自身相关知识和技能的能力，具备按照统一的部署标准在终端设备系统上安装各类防控软件的能力。

落地执行性确认

针对终端数据安全管理岗位人员能力的实际落地执行性确认，可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。

制度流程

1）终端数据安全管理目的

终端是组织存储、处理、交换大量敏感数据的环境，一方面终端环境的复杂、多变、使用体验等都给终端数据安全管控的实践带来更多的挑战，另一方面在不同人员角色、复杂使用场景以及跨国、组织和系统的数据流动下，给组织数据安全带来更多的威胁。通过建立相关管理和技术的终端保护措施，可保证数据可用性和安全性的平衡。

2）终端数据安全管理规范

组织需设定终端数据安全管理部门，负责终端数据管控、员工终端行为管理、防数据泄露平台管理以及终端数据的日常维护与应急工作。

①建立终端安全管控规范

终端数据安全管理部门需建立终端安全管控规范，通过覆盖网络准入、补丁管理、安全基线、入侵防御、防病毒、数据防泄漏、软件管理、行为审计等的多维度管控，保证终端数据的安全性。

a. 终端防护对象需根据组织实际资产展开，包括但不限于：各类办公终端、业务终端、移动终端等。

b. 通过桌面管理系统实现终端网络准入控制，实现终端使用者身份验证、终端设备安全合规检查、使用者访问权限控制；

c. 通过桌面管理系统实现终端安全运维管理及审计,包括并不限于终端软、硬件信息搜集、设备拓扑发现、设备定位、本地安全管理、终端流量控制、补丁管理、软件分发、远程协助、非法外联、移动介质管理和操作审计等；

d. 通过主机入侵防御系统，实时监控系统异常操作行为，第一时间发现和阻断入侵行为；

e. 通过统一管理的杀毒软件系统，实现覆盖全网的、可快速应急的防病毒体系；

f. 通过桌面虚拟化环境，对驻场的开发、测试、业务等外包场景进行集中管理、统一配置，杜绝私自的数据交换场景，避免数据外泄的风险。

②建立员工终端行为管理规范

终端数据安全管理部门需建立员工终端行为管理规范，对用户在终端上的数据访问、处理、存储和交换行为进行明确要求、检测和管控，并明确责任和义务，例如：

a. 终端应使用固定IP地址，员工不得自信变更；

b. 员工在接收来自外部的软件或资料时，应首先进行病毒检测和清除；

c. 任何人不得制造、传播各种计算机病毒或恶意软件。一旦发现病毒，员工应及时进行病毒的清理，并采取必要措施，隔离病毒感染的计算机终端，防止病毒进一步传播；

d. 员工的个人账号和密码未得到其本人授权的，任何人不得私自使用或者破解；

e. 禁止在没有采用安全保护机制的终端上存储重要数据，在存储重要数据的终端上至少应该有开机口令、登录口令、数据库口令、屏幕保护等防护措施；

f. 员工不得私自设立WWW、FTP、TELNET、BBS、NEWS等应用服务；不得设立网上游戏服务，不得设立拨号接入服务等；

③部署数据防泄露平台

通过部署数据防泄漏平台，以统一策略为基础，以敏感数据为保护对象，根据数据内容主动防护，对所有敏感数据的输入和输出通道如邮件、U盘拷贝、打印、共享等多渠道进行监管，根据策略管控要求进行预警、提示、拦截、阻断、管控及告警等。并通过强化敏感数据审核与管控机制以降低敏感数据外泄的发生几率及提升可追溯性。

④安全监督与检查

终端数据安全管理部门应当定期或不定期对各个部门的计算机终端使用情况进行审计。对于违反管理规定的情况要通报批评并及时指正，同时给予违反本规定的直接责任人响应的处罚；对于严重违反规定，可能或者己经造成重大损失的情况要立即向上级领导汇报，并根据相关法律进行处理，同时追求其直接上级领导的相应责任。

⑤建立审计机制与应急处置流程

终端数据安全管理部门需建立应急预案与处置流程，强化安全管理，最大限度地减少突发事件对终端数据的危害。在终端数据访问和使用的各个阶段都需加入安全审计机制，严格、详细记录终端数据访问和使用过程中的相关信息，形成完整的终端数据审计记录，用于后续问题排查分析和安全事件取证溯源。同时，终端数据安全管理部门需设置专人定期对终端数据相关的日志记录进行安全审计，发布审计报告，并跟进审计中发现的异常。

技术工具简述

在组织内，需要进行数据安全保护的终端不单指笔记本电脑、台式PC、平板电脑、手机等，同时还应该包括所有产生和使用组织数据的终端设备，包括但不限于打印机、投影仪、工控设备等等。所以相关的技术工具需要能够覆盖到所有的联网数据终端设备。对于终端安全技术工具来说，主要的是准入、访问控制、防病毒以及数据防泄漏的工具技术。组织应整体考虑终端安全解决方案，包括终端环境的安全性和数据流动的安全管控。

技术工具的方法和原理

1）终端安全管理

在市面上的终端安全管理工具，一般都会包含准入控制、桌面管理、行为管控、安全审计四大方面的功能。

准入控制：用于识别和确认终端用户的身份信息，完成对终端用户的身份鉴别，确保只有合法的终端用户才能使用终端计算机；同时结合事先制定的安全策略，强制将不符合安全策略的终端计算机跳转到访客隔离区，使其完成终端安全管理软件的下载和安装，并符合既定安全策略要求后才准许接入内部网络，避免非授权用户和非安全终端随意接入网络而引起的安全风险。

桌面管理：用于终端资产管理、终端使用管理和终端安全性检查等，实现操作系统和应用软件补丁下发，防病毒软件检测等终端加固措施，并能够通过提供软硬件资源登记、终端设备变化报警、软件进程保护、终端流量监测以及非法外联监控等功能，防止通过其他途径而造成的安全隐患，保证终端系统的安全稳定运行。

行为管控：对用户浏览网页、使用游戏软件、即时通信软件等各种应用软件的网络行为进行管理和控制，从而解决网络访问控制不规范、网络带宽资源滥用等问题。

安全审计：对终端用户的主机操作、网络访问、数据库访问、网站浏览、邮件外发以及文件的输出和打印等行为进行统一监控和综合审计。

2）数据防泄漏

终端会使用和产生数据，如办公PC会产生文档，打印机会使用文档数据进行使用。所以需要使用数据防泄漏技术保护终端产生和使用的数据。

DLP，Data leakage prevention，数据泄密（泄露）防护，也被称为数据丢失防护。DLP是通过一定的技术手段，防止组织的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。在传统的敏感数据防泄漏保护手段中，使用的往往是加密、授权等控制，进行加密和授权的是一整个文件，而不是根据文件内容的敏感程度进行数据防泄漏保护。加密、授权的措施虽然很大程度上保护了组织数据的泄露，但是也失去了数据在组织内部生产、使用、传输的灵活性。而DLP技术则解决了这一问题。DLP技术的核心在于内容识别，通过正则表达式、数据内容特征指纹等技术识别敏感数据并进行防泄漏控制。DLP是一个综合性的数据防泄漏技术，从敏感数据发现、敏感数据标记（加密、水印等）、敏感数据管控、敏感数据审计的数据防泄漏的全生命周期保护数据。

3）移动安全管理

移动终端的安全管理相对于固定终端如台式PC、打印机等来说具备更大的难度。这是由于移动终端无论是从地理位置还是网络位置来说，其都是“移动”的，也就是不固定的，无法使用组织内部统一的访问控制进行管控。

目前使用最多的移动终端为手机、PAD、笔记本电脑，它们都具备接入无线网络和移动网络的功能。所以，移动终端的安全管理需要从网络和终端本身进行，网络需要分为移动网络接入安全管理和无线网络接入安全管理，终端本身需要从硬件、软件和数据三个层面来进行安全管控。同时使用相应的移动终端安全管理平台进行全生命周期的安全管理。现有技术包括MDM（移动设备管理）、MAM（移动应用管理）、MCM（移动内容管理）、EMM（企业移动化管理）等。

技术工具工作流程和目标

终端数据安全技术工具应能实现如下的目标：

终端安全管理：具备终端管理功能，实现终端准入、资产管理、补丁管理、安全基线、入侵检测、防病毒、行为审计等方面的管控。

数据防泄漏：具备数据防泄漏（DLP）功能，可根据组织业务场景需要构建基于加密或边界管控的思路来实现，辅助以水印、标记、协议管控、打印管控等手段，实现发现、加密/边界管控、审计的数据泄露闭环防护体系。

移动安全管理：具备移动安全管理功能，对移动端的数据存储、数据传输、数据分发、数据访问等行为进行管控。

下图为终端数据安全的技术工具进行作业的基本流程图：