AI智能體專區(qū)
立即體驗恒腦安全智能體 
立即解鎖AI安服數(shù)字員工 
行業(yè)解決方案
技術(shù)解決方案
安恒觀察|數(shù)字化轉(zhuǎn)型背景下數(shù)據(jù)安全治理難點與破局
前言
隨著數(shù)字化轉(zhuǎn)型在各行業(yè)的持續(xù)推進,數(shù)字經(jīng)濟業(yè)務(wù)模式探索與創(chuàng)新不斷深入,如何保障“數(shù)據(jù)”這一生產(chǎn)要素的安全,如何在數(shù)據(jù)安全各項法律法規(guī)強監(jiān)管之下,確保企業(yè)業(yè)務(wù)合法、數(shù)據(jù)使用合規(guī)、業(yè)務(wù)有序發(fā)展成為當前全行業(yè)關(guān)注的焦點。
本文通過對當前國內(nèi)數(shù)字化轉(zhuǎn)型的數(shù)據(jù)安全現(xiàn)狀的分析,梳理當前數(shù)據(jù)安全治理在實踐過程中存在的難點,基于存在的難點簡述安恒信息數(shù)據(jù)安全的最佳實踐與思路。
一、數(shù)字化轉(zhuǎn)型趨勢下,數(shù)據(jù)安全治理是保駕護航的重要措施
早在2020年3月,《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》提出,數(shù)據(jù)對于個人、社會以及國家來說,其重要程度越來越高。2021年我國相繼發(fā)布《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》以及《要素市場化配置綜合改革試點總體方案》等文件中,數(shù)據(jù)已經(jīng)作為第五大要素,成為經(jīng)濟發(fā)展新的增長點。經(jīng)濟數(shù)字化、數(shù)字經(jīng)濟化已成為各地政府、各行各業(yè)投建的熱點。由此可見,數(shù)據(jù)開放利用是數(shù)字化轉(zhuǎn)型的核心關(guān)鍵。
而數(shù)據(jù)的開放和利用離不開數(shù)據(jù)安全的保駕護航,數(shù)據(jù)的多元、流通和復雜性也為數(shù)據(jù)要素的流通帶來了更多的威脅和挑戰(zhàn)。
二、當前數(shù)據(jù)安全治理建設(shè)難點
數(shù)據(jù)動態(tài)流通為數(shù)據(jù)安全建設(shè)提出更高的要求
隨著數(shù)字化業(yè)務(wù)的建設(shè),數(shù)據(jù)量大、數(shù)據(jù)調(diào)用常態(tài)化、數(shù)據(jù)處理活動復雜,數(shù)據(jù)流轉(zhuǎn)在終端、應(yīng)用、組件等,數(shù)據(jù)安全場景發(fā)生巨大改變,數(shù)據(jù)安全打破傳統(tǒng)的網(wǎng)絡(luò)安全區(qū)域劃分,傳統(tǒng)的邊界、主機、系統(tǒng)、終端、數(shù)據(jù)庫的單點防護已無法滿足數(shù)據(jù)安全防護的需求。
數(shù)據(jù)安全相關(guān)法律法規(guī)仍在持續(xù)完善、健全過程中
近年來,我國數(shù)據(jù)安全相關(guān)法律制度已取得很大進展,《中華人民共和國數(shù)據(jù)安全法》以及《中華人民共和國個人信息保護法》的頒布以及《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》《網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》等條例的發(fā)布,已構(gòu)成基本的數(shù)據(jù)安全保障網(wǎng),是基本的數(shù)據(jù)安全法律框架。
但目前數(shù)據(jù)安全法律制度仍不完善,存在邊界覆蓋不全、操作性不強等問題。特別是數(shù)字化轉(zhuǎn)型背景下,各類數(shù)據(jù)跨行業(yè)、跨機構(gòu)的交換傳輸越來越多,數(shù)據(jù)之間的邊界越來越模糊,導致監(jiān)管依據(jù)不足,不知如何落實數(shù)據(jù)安全工作等問題。
敏感數(shù)據(jù)識別及數(shù)據(jù)分類分級落地效果差
數(shù)據(jù)的分類分級是全行業(yè)關(guān)注的焦點,數(shù)據(jù)分類分級離不開數(shù)據(jù)資產(chǎn)的識別和敏感數(shù)據(jù)的發(fā)現(xiàn)。首先,在數(shù)據(jù)分類分級方面,從國家到各地均出臺了相關(guān)的規(guī)范和指南,但是不同行業(yè)的業(yè)務(wù)數(shù)據(jù)差異化明顯,很難依據(jù)規(guī)范開展落地實踐的分類分級;其次數(shù)字化轉(zhuǎn)型過程中數(shù)據(jù)量極大,要做到批量的字段級的分類分級,難上加難;而且數(shù)據(jù)分類分級現(xiàn)有的技術(shù)手段有限,針對同一字段不同敏感度的數(shù)據(jù)難以標識。
數(shù)據(jù)安全共享流通的權(quán)屬和權(quán)限不明確
數(shù)據(jù)安全治理的難點和重點在于明確數(shù)據(jù)的權(quán)屬關(guān)系,沒有明確的數(shù)據(jù)權(quán)屬關(guān)系就無法實現(xiàn)“最小權(quán)限”的權(quán)限劃分,那在數(shù)據(jù)處理活動的各個環(huán)節(jié),過度采集個人隱私數(shù)據(jù)、數(shù)據(jù)權(quán)限過度放大等情況會常態(tài)化和普遍性,數(shù)據(jù)安全的控制范圍和責任就難以確定。
三、數(shù)據(jù)安全治理體系化建設(shè)路徑探索和實踐
在面臨數(shù)字化轉(zhuǎn)型帶給數(shù)據(jù)安全治理的未知和難點,數(shù)據(jù)安全咨詢服務(wù)是理清數(shù)據(jù)流轉(zhuǎn),以數(shù)據(jù)為核心的業(yè)務(wù)視角,開展數(shù)據(jù)安全治理工作的必由之路。那從數(shù)據(jù)安全咨詢的視角出發(fā),基于當前的數(shù)據(jù)安全治理存在的難點以及安恒信息在數(shù)據(jù)安全治理方面的實踐經(jīng)驗,針對數(shù)據(jù)安全的體系化建設(shè)給出以下實踐方案:
1
責任到人,建立共建共治的協(xié)同管理能力
明確數(shù)據(jù)安全建設(shè)職責,安全不是一個部門的事情,明確好數(shù)據(jù)提供者、數(shù)據(jù)平臺提供者、數(shù)據(jù)使用者、數(shù)據(jù)安全管理者等多角色,充分調(diào)用各個角色參與到數(shù)據(jù)安全的建設(shè)工作中,建立共建共治的協(xié)同管理能力。
引自:GB/T 35274-2022 信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求
2
借助識別工具以及元數(shù)據(jù)管理平臺
開展數(shù)據(jù)分類分級工作
分類分級是數(shù)據(jù)全流程動態(tài)保護的基本前提,多視角開展數(shù)據(jù)定級工作,從數(shù)據(jù)共享的視角以及安全視角相結(jié)合開展數(shù)據(jù)定級,例如“公開、有條件申請、審批通過可看……”同時結(jié)合安全防護的角度定級,不同級別的數(shù)據(jù)在存儲、傳輸、共享等流程中需要采取加密、脫敏等措施。
需要注意的是,分類分級的工作需要與數(shù)據(jù)治理相結(jié)合,借助大數(shù)據(jù)平臺的元數(shù)據(jù)管理以及業(yè)務(wù)功能完善識別工具無法實現(xiàn)定級的特殊情況,補齊數(shù)據(jù)分類分級的能力,針對數(shù)據(jù)量大的問題,需要在數(shù)據(jù)量大的時候選取前一百行數(shù)據(jù)等抽樣的方式或者借助大數(shù)據(jù)平臺的元數(shù)據(jù)管理進行標記實現(xiàn)。
3
開展常態(tài)化的數(shù)據(jù)安全風險評估
基于數(shù)字化業(yè)務(wù)的數(shù)據(jù)體量大,且數(shù)據(jù)敏感程度較高,風險不可知等特點,所以開展數(shù)據(jù)安全建設(shè)的首要工作是讓風險可知。從合規(guī)視角和風險視角開展數(shù)據(jù)安全風險評估,以“數(shù)據(jù)”為核心梳理數(shù)據(jù)業(yè)務(wù)流和數(shù)據(jù)流,基于數(shù)據(jù)流通的業(yè)務(wù)場景,識別關(guān)鍵節(jié)點的數(shù)據(jù)安全風險,基于風險評估的結(jié)果進行數(shù)據(jù)安全體系化規(guī)劃,此路徑經(jīng)實踐較為科學,可操作性強。
4
落實數(shù)據(jù)安全體系化規(guī)劃和建設(shè)
根據(jù)分類分級的結(jié)果,不同級別的數(shù)據(jù),采取不同的防護手段,通過全面了解數(shù)據(jù)安全威脅,建立數(shù)據(jù)安全解決方案,數(shù)據(jù)安全運營能力建設(shè),實現(xiàn)數(shù)據(jù)安全運營流程化、集中化。同時,數(shù)據(jù)安全治理需要數(shù)據(jù)安全管理方建立管理能力和運營監(jiān)管能力,數(shù)據(jù)安全運營方建立日常運營(監(jiān)測和管理)能力,數(shù)據(jù)作業(yè)方建立監(jiān)測和防護能力,從而構(gòu)建運營體系、管理體系、技術(shù)體系階段相輔相成的行之有效的數(shù)據(jù)安全治理體系。
在管理制度建設(shè)層面,在考慮建設(shè)數(shù)據(jù)安全制度的同時,需要考慮客戶已有的網(wǎng)絡(luò)安全制度,充分考慮與現(xiàn)有的網(wǎng)絡(luò)安全管理制度的融合。
在數(shù)據(jù)安全技術(shù)管控層面,基于數(shù)據(jù)業(yè)務(wù)流程與具體應(yīng)用場景對不同級別的數(shù)據(jù)進行針對性技術(shù)防護。采取數(shù)據(jù)傳輸加密、存儲加密、脫敏、水印、訪問控制、審計、API接口鑒權(quán)及監(jiān)控等技術(shù)措施,全面覆蓋數(shù)據(jù)全生命周期過程。
在數(shù)據(jù)安全運營建設(shè)層面,建立數(shù)據(jù)安全運營“團隊+機制+工具+服務(wù)”的數(shù)據(jù)安全運營體系,運營是數(shù)據(jù)安全建設(shè)最重要的一步,管理體系和技術(shù)體系是否能更好的落地依托于運營體系的建設(shè),通過數(shù)據(jù)安全運營實現(xiàn)持續(xù)化的運營落地,形成閉環(huán)優(yōu)化的機制。
?四、總結(jié)?
數(shù)據(jù)驅(qū)動業(yè)務(wù)發(fā)展已是數(shù)字化轉(zhuǎn)型趨勢下的顯著特點。在探索和落實數(shù)據(jù)安全建設(shè)的路上,安全與業(yè)務(wù)的平衡是個永恒的課題,有規(guī)劃地逐步建設(shè)數(shù)據(jù)安全能力,使得數(shù)據(jù)安全治理與數(shù)字經(jīng)濟的發(fā)展相輔相成,才是正確的數(shù)據(jù)安全治理之道。
