數據要素場景化下的數據安全治理體系實踐
作者:啟明星辰
2022-09-16
編者按:
在全力推進數字中國建設的大背景下�����,數字化場景不斷豐富�����,數據已成為新時代重要生產要素�,數據安全與數字化發展密不可分���。啟明星辰集團始終以業務為本�、以數據安全保業務為出發點和落腳點���,持之以恒提高數據安全治理的科學化���、精細化�����、智能化水平�,探索數據安全的治理新路�,全方位助力數字中國建設�。
新一輪科技革命和產業變革方興未艾�����,數字化轉型是技術發展的必然趨勢��,數據要素化是數字化轉型的驅動力��,數據價值的發揮依賴于多元數據的融合碰撞和數據的共享流通���。
現狀分析
1.數據要素化背景
黨的十八大以來��,以習近平同志為核心的黨中央高度重視數字化發展���,明確提出建設數字中國�。黨的十九屆五中全會《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》(以下簡稱《建議》)中明確提出��,加快數字化發展�����。發展數字經濟�,推進數字產業化和產業數字化�����,推動數字經濟和實體經濟深度融合����,打造具有國際競爭力的數字產業集群��。加強數字社會�、數字政府建設���,提升公共服務��、社會治理等數字化智能化水平�。建立數據資源產權���、交易流通���、跨境傳輸和安全保護等基礎制度和標準規范�,推動數據資源開發利用���。
習近平總書記在主持召開中央全面深化改革委員會第二十六次會議時強調�,數據基礎制度建設事關國家發展和安全大局�,要維護國家數據安全����,保護個人信息和商業秘密����,促進數據高效流通使用�、賦能實體經濟����,統籌推進數據產權����、流通交易�、收益分配�、安全治理����,加快構建數據基礎制度體系�����。會議還審議通過了《關于構建數據基礎制度更好發揮數據要素作用的意見》�,意見將數據作為與土地���、勞動力�、資本���、技術并列的生產要素��。
2.數據要素場景化現狀
數據作為新型生產要素�,是數字化��、網絡化�����、智能化的基礎�,在智慧城市���、智慧政務���、工業互聯網����、金融數字化轉型���、國企數字化轉型等場景下發揮了巨大的作用�����。與此同時風險也與日俱增��。同時個人信息泄露安全事件頻發����,個人信息安全風險增加�����,給個人甚至是國家安全帶來了嚴重的數據安全隱患����。在《數字政府行業趨勢洞察報告(2022年)》報告中提到“十四五”時期���,我國數字政府建設將進入快車道���,預計整體將呈現出以下八大發展趨勢���。
3.數據要素場景化實踐面臨的問題
數據要素的特性猶如水����,極具流動性����。在流動的過程中面臨多方面的安全風險挑戰�,例如在數據全生命周期過程涉及數據泄露��、數據濫用以及個人隱私數據泄露等風險�����。造成數據風險的原因�����,既有黑客的攻擊��,更有內部工作人員的信息販賣��、離職員工的信息泄露�、第三方外包人員的交易行為�、數據共享第三方的數據泄露�、開發測試人員的違規等����。究其原因既有安全意識的薄弱����,也有由于安全體系的老舊或安全策略的過時而導致的數據泄露���。
主要包含以下幾方面:
(1)數據資產不清
由于業務系統逐步建設�,業務中涉及敏感數據越來越多���,當前工作中對數據資產家底缺乏有效的梳理����,如數據庫中敏感數據的內容�����、數據類型����、數據的位置等���,由于數據業務系統眾多�����,人工梳理無法滿足當前管理的需求�,缺乏自動化梳理手段����,對數據進行有效的梳理�����。
(2)安全防護能力不足
數據安全事件20%來自于外部�,而80%的來自于內部�。各種外部攻擊的防護非常受重視���,但內部人員造成的數據泄露往往更加隱蔽��、更難發現和管控�,針對內部人員的安全管控是更加不足�����,這對數據安全的防護造成了新的挑戰����。
(3)安全策略管理缺失
雖然很多單位都有安全管理制度����,但安全策略往往過于抽象��,從安全管理制度到具體的數據安全產品策略�,這之間有巨大的真空�,雖然部署了多種數據安全產品��,但各種產品各種為政���,無法獲知整體安全風險���,安全管理制度也無法真正落地����。
(4)缺乏有效溯源能力
在數據共享或者傳輸過程中發生的泄露���,目前缺乏有效的數據標識能力����,一旦發生數據泄露���,無法有效進行溯源�,定位相關責任人�����,也無法對數據泄露形成有效的威懾��。
(5)數據安全風險未知
有審計無分析���,針對運維操作���、應用操作���、接口訪問行為只是記錄���,甚至還未記錄�����,同時缺乏有效的數據安全風險分析識別能力�����,無法對用戶歷史行為變化和同類型用戶的行為進行有效分析����,數據風險不能有效防范�����。
數據安全治理實踐
1. 數據安全治理方法論
·《數據安全治理能力評估方法》BDC 91-2022
中國信通院牽頭編寫《數據安全治理能力評估方法》BDC 91-2022團體標準��,標準的框架以數據全生命周期為切入點�,包括數據安全戰略���、數據全生命周期安全�����、基礎安全三部分內容��,一共涉及15個能力項�。每個能力項都包含組織建設����、制度流程�、技術工具����、人員能力四個評估維度���。同時����,給出可操作的評估方法�����,依據標準可以直接開展評估工作����,并根據能力要求����,確定最終等級�。
·Gartner 數據安全治理(DSG, Data Security Governance)概念
2017年��,Gartner提出了數據安全治理(DSG, Data Security Governance)概念�����,并從方法論的角度闡述了數據安全治理的框架��,Gartner的DSG框架也是從宏觀層面和方法論的角度闡述了數據安全治理的思路和基本框架�。Gartner對數據安全治理形成了一個從上而下的整體框架(實施步驟)���,包括從治理前提���、具體目標到技術支撐的完整體系����。
數據安全治理絕不僅僅是一套用工具組合的產品級解決方案�����,而是從決策層到技術層�,從管理制度到工具支撐���,自上而下貫穿整個組織架構的完整鏈條����。組織內的各個層級之間需要對數據安全治理的目標和宗旨取得共識���,確保采取合理和適當的措施����,以最有效的方式保護信息資源���。
2. 數據安全治理體系中關鍵的一環
在數據安全治理系統建設過程中��,數據安全管理平臺是尤為關鍵的一環���。Gartner將數據安全平臺(DSP)定義為以數據安全為中心的產品和服務�,旨在跨數據類型�、存儲孤島和生態系統集成數據的獨特保護需求�����。數據安全是核心���,而不是數據或產品集成�����,促成以數據安全為中心的框架與大型產品平臺融合����,這種數據治理模式成本低��、見效快����、好落地�����,實現了持續的數據安全運營�����。DSP涵蓋了各種場景下的數據安全保護需求����,DSP是以數據安全為核心的保護方案�,以數據發現和數據分類分級為基礎�����,混合了多種技術來實現數據安全防護��。
數據安全管理平臺作為整個數據安全治理體系的中樞����,在體系中起到承上啟下的關鍵作用����,上承管理流程和制度����,向下驅動各類數據安全產品實現數據識別���、防護���、檢測和響應��,同時作為安全運營的載體�����,為安全運營提供更好的技術支撐能力��。
3.數據安全管理平臺落地實踐
天榕數據安全管理平臺以數據為中心基于場景化的設計思路�����,構筑起以數據發現和分類分級為基礎���,以數據風險防控為目標�����,以識別���、管控�����、監控����、運營為手段的綜合能力平臺����,實現數據標準化�����、常態化����、規范化的管理����,為數據安全管理�����、管控���、監控提供能力保障���,為數據安全運營提供技術能力支撐�。
具體體系架構如下圖:
4. 數據安全治理場景化
數據治理以場景思維推進政務協同�,做到實戰“管用”�。場景思維以人民需求為中心適配資源��,為打通區域間��、部門間和層級間協同的信息壁壘提供了思路和可能���,要求以數字化轉型理順區域間�����、部門間����、層級間治理邏輯���、減少職能交叉��,進而精確適配政務服務資源����,集眾智眾力“高效辦成一件事”����。協同過程安全可控����,政府部門在推動數據共享的同時���,需要牢守數據安全安全底線���,確保政務數據可用不可見��,嚴格防范數據安全��、隱私保護等風險���。
與此同時解決數據安全治理過程中的問題��,場景思維是 “破題”關鍵�,始終以業務為本�����、以數據安全保業務為出發點和落腳點��,持之以恒提高數據安全治理的科學化�����、精細化�����、智能化水平���,探索超數據安全的治理新路�。
依托場景化的解決思路�,從數據采集�����、數據傳輸�、數據存儲�����、數據處理�、數據共享����、數據銷毀等階段對數據資產進行全生命周期管理����,對各個階段的數據�����、事件�、防護能力���、合規進行全方位監測和管理�����,為全生命周期管理能力提供支撐����。并且可以根據實際業務場景需求��,自由定制全生命周期管控能力��。
隨著數據安全法律法規不斷完善�����,數字化場景不斷豐富��,數據安全與數字化發展密不可分�����,以數據為中心基于場景化的數據安全治理在實踐中得到了廣泛的落地���,以數據分類分級為基礎����,以數據風險防控和合規為目標��,按照數據使用場景��、生命周期進行集中化調配諸如數據脫敏��、數據加密�、數據水印��、數據訪問治理等技術手段實現數據安全需求�����。
未來隨著數字轉型的不斷深入��,在數據識別上逐步采用人工智能(機器學習�、深度學習等)技術以提升數據的識別率以及知識圖譜在數據安全風險分析上的應用��,以更精準地識別與防范數據安全風險����。
小貼士:
關于數據安全推進計劃(DSI)
DSI是一個公益性項目����,依托大數據協同安全技術國家工程實驗室���、中國通信標準化協會大數據技術標準推進委員會��、中國互聯網協會數據治理工作委員會開展具體工作�,啟明星辰集團作為主要發起單位之一��,致力于與DSI共同打造健康規范的數據安全生態體系���,幫助企業了解監管要求�,全方位提升企業數據安全能力����。
|文章引自于公眾號: 數據安全推進計劃|
京公網安備11010802024551號