AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
安恒觀察|數字化轉型背景下數據安全治理難點與破局
前言
隨著數字化轉型在各行業的持續推進,數字經濟業務模式探索與創新不斷深入,如何保障“數據”這一生產要素的安全,如何在數據安全各項法律法規強監管之下,確保企業業務合法、數據使用合規、業務有序發展成為當前全行業關注的焦點。
本文通過對當前國內數字化轉型的數據安全現狀的分析,梳理當前數據安全治理在實踐過程中存在的難點,基于存在的難點簡述安恒信息數據安全的最佳實踐與思路。
一、數字化轉型趨勢下,數據安全治理是保駕護航的重要措施
早在2020年3月,《關于構建更加完善的要素市場化配置體制機制的意見》提出,數據對于個人、社會以及國家來說,其重要程度越來越高。2021年我國相繼發布《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》以及《要素市場化配置綜合改革試點總體方案》等文件中,數據已經作為第五大要素,成為經濟發展新的增長點。經濟數字化、數字經濟化已成為各地政府、各行各業投建的熱點。由此可見,數據開放利用是數字化轉型的核心關鍵。
而數據的開放和利用離不開數據安全的保駕護航,數據的多元、流通和復雜性也為數據要素的流通帶來了更多的威脅和挑戰。
二、當前數據安全治理建設難點
數據動態流通為數據安全建設提出更高的要求
隨著數字化業務的建設,數據量大、數據調用常態化、數據處理活動復雜,數據流轉在終端、應用、組件等,數據安全場景發生巨大改變,數據安全打破傳統的網絡安全區域劃分,傳統的邊界、主機、系統、終端、數據庫的單點防護已無法滿足數據安全防護的需求。
數據安全相關法律法規仍在持續完善、健全過程中
近年來,我國數據安全相關法律制度已取得很大進展,《中華人民共和國數據安全法》以及《中華人民共和國個人信息保護法》的頒布以及《網絡數據安全管理條例》《網絡數據分類分級指引》等條例的發布,已構成基本的數據安全保障網,是基本的數據安全法律框架。
但目前數據安全法律制度仍不完善,存在邊界覆蓋不全、操作性不強等問題。特別是數字化轉型背景下,各類數據跨行業、跨機構的交換傳輸越來越多,數據之間的邊界越來越模糊,導致監管依據不足,不知如何落實數據安全工作等問題。
敏感數據識別及數據分類分級落地效果差
數據的分類分級是全行業關注的焦點,數據分類分級離不開數據資產的識別和敏感數據的發現。首先,在數據分類分級方面,從國家到各地均出臺了相關的規范和指南,但是不同行業的業務數據差異化明顯,很難依據規范開展落地實踐的分類分級;其次數字化轉型過程中數據量極大,要做到批量的字段級的分類分級,難上加難;而且數據分類分級現有的技術手段有限,針對同一字段不同敏感度的數據難以標識。
數據安全共享流通的權屬和權限不明確
數據安全治理的難點和重點在于明確數據的權屬關系,沒有明確的數據權屬關系就無法實現“最小權限”的權限劃分,那在數據處理活動的各個環節,過度采集個人隱私數據、數據權限過度放大等情況會常態化和普遍性,數據安全的控制范圍和責任就難以確定。
三、數據安全治理體系化建設路徑探索和實踐
在面臨數字化轉型帶給數據安全治理的未知和難點,數據安全咨詢服務是理清數據流轉,以數據為核心的業務視角,開展數據安全治理工作的必由之路。那從數據安全咨詢的視角出發,基于當前的數據安全治理存在的難點以及安恒信息在數據安全治理方面的實踐經驗,針對數據安全的體系化建設給出以下實踐方案:
1
責任到人,建立共建共治的協同管理能力
明確數據安全建設職責,安全不是一個部門的事情,明確好數據提供者、數據平臺提供者、數據使用者、數據安全管理者等多角色,充分調用各個角色參與到數據安全的建設工作中,建立共建共治的協同管理能力。
引自:GB/T 35274-2022 信息安全技術 大數據服務安全能力要求
2
借助識別工具以及元數據管理平臺
開展數據分類分級工作
分類分級是數據全流程動態保護的基本前提,多視角開展數據定級工作,從數據共享的視角以及安全視角相結合開展數據定級,例如“公開、有條件申請、審批通過可看……”同時結合安全防護的角度定級,不同級別的數據在存儲、傳輸、共享等流程中需要采取加密、脫敏等措施。
需要注意的是,分類分級的工作需要與數據治理相結合,借助大數據平臺的元數據管理以及業務功能完善識別工具無法實現定級的特殊情況,補齊數據分類分級的能力,針對數據量大的問題,需要在數據量大的時候選取前一百行數據等抽樣的方式或者借助大數據平臺的元數據管理進行標記實現。
3
開展常態化的數據安全風險評估
基于數字化業務的數據體量大,且數據敏感程度較高,風險不可知等特點,所以開展數據安全建設的首要工作是讓風險可知。從合規視角和風險視角開展數據安全風險評估,以“數據”為核心梳理數據業務流和數據流,基于數據流通的業務場景,識別關鍵節點的數據安全風險,基于風險評估的結果進行數據安全體系化規劃,此路徑經實踐較為科學,可操作性強。
4
落實數據安全體系化規劃和建設
根據分類分級的結果,不同級別的數據,采取不同的防護手段,通過全面了解數據安全威脅,建立數據安全解決方案,數據安全運營能力建設,實現數據安全運營流程化、集中化。同時,數據安全治理需要數據安全管理方建立管理能力和運營監管能力,數據安全運營方建立日常運營(監測和管理)能力,數據作業方建立監測和防護能力,從而構建運營體系、管理體系、技術體系階段相輔相成的行之有效的數據安全治理體系。
在管理制度建設層面,在考慮建設數據安全制度的同時,需要考慮客戶已有的網絡安全制度,充分考慮與現有的網絡安全管理制度的融合。
在數據安全技術管控層面,基于數據業務流程與具體應用場景對不同級別的數據進行針對性技術防護。采取數據傳輸加密、存儲加密、脫敏、水印、訪問控制、審計、API接口鑒權及監控等技術措施,全面覆蓋數據全生命周期過程。
在數據安全運營建設層面,建立數據安全運營“團隊+機制+工具+服務”的數據安全運營體系,運營是數據安全建設最重要的一步,管理體系和技術體系是否能更好的落地依托于運營體系的建設,通過數據安全運營實現持續化的運營落地,形成閉環優化的機制。
?四、總結?
數據驅動業務發展已是數字化轉型趨勢下的顯著特點。在探索和落實數據安全建設的路上,安全與業務的平衡是個永恒的課題,有規劃地逐步建設數據安全能力,使得數據安全治理與數字經濟的發展相輔相成,才是正確的數據安全治理之道。
