数据要素场景化下的数据安全治理体系实践
发布时间 2022-09-15编者按:
在全力推进数字中国建设的大背景下,数字化场景不断丰富,数据已成为新时代重要生产要素,数据安全与数字化发展密不可分。启明星辰集团始终以业务为本、以数据安全保业务为出发点和落脚点,持之以恒提高数据安全治理的科学化、精细化、智能化水平,探索数据安全的治理新路,全方位助力数字中国建设。新一轮科技革命和产业变革方兴未艾,数字化转型是技术发展的必然趋势,数据要素化是数字化转型的驱动力,数据价值的发挥依赖于多元数据的融合碰撞和数据的共享流通。
现状分析
1.数据要素化背景
党的十八大以来,以习近平同志为核心的党中央高度重视数字化发展,明确提出建设数字中国。党的十九届五中全会《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》(以下简称《建议》)中明确提出,加快数字化发展。发展数字经济,推进数字产业化和产业数字化,推动数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群。加强数字社会、数字政府建设,提升公共服务、社会治理等数字化智能化水平。建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,推动数据资源开发利用。
习近平总书记在主持召开中央全面深化改革委员会第二十六次会议时强调,数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。会议还审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》,意见将数据作为与土地、劳动力、资本、技术并列的生产要素。
2.数据要素场景化现状
数据作为新型生产要素,是数字化、网络化、智能化的基础,在智慧城市、智慧政务、工业互联网、金融数字化转型、国企数字化转型等场景下发挥了巨大的作用。与此同时风险也与日俱增。同时个人信息泄露安全事件频发,个人信息安全风险增加,给个人甚至是国家安全带来了严重的数据安全隐患。在《数字政府行业趋势洞察报告(2022年)》报告中提到“十四五”时期,我国数字政府建设将进入快车道,预计整体将呈现出以下八大发展趋势。
3.数据要素场景化实践面临的问题
数据要素的特性犹如水,极具流动性。在流动的过程中面临多方面的安全风险挑战,例如在数据全生命周期过程涉及数据泄露、数据滥用以及个人隐私数据泄露等风险。造成数据风险的原因,既有黑客的攻击,更有内部工作人员的信息贩卖、离职员工的信息泄露、第三方外包人员的交易行为、数据共享第三方的数据泄露、开发测试人员的违规等。究其原因既有安全意识的薄弱,也有由于安全体系的老旧或安全策略的过时而导致的数据泄露。
主要包含以下几方面:
(1)数据资产不清
由于业务系统逐步建设,业务中涉及敏感数据越来越多,当前工作中对数据资产家底缺乏有效的梳理,如数据库中敏感数据的内容、数据类型、数据的位置等,由于数据业务系统众多,人工梳理无法满足当前管理的需求,缺乏自动化梳理手段,对数据进行有效的梳理。
(2)安全防护能力不足
数据安全事件20%来自于外部,而80%的来自于内部。各种外部攻击的防护非常受重视,但内部人员造成的数据泄露往往更加隐蔽、更难发现和管控,针对内部人员的安全管控是更加不足,这对数据安全的防护造成了新的挑战。
(3)安全策略管理缺失
虽然很多单位都有安全管理制度,但安全策略往往过于抽象,从安全管理制度到具体的数据安全产品策略,这之间有巨大的真空,虽然部署了多种数据安全产品,但各种产品各种为政,无法获知整体安全风险,安全管理制度也无法真正落地。
(4)缺乏有效溯源能力
在数据共享或者传输过程中发生的泄露,目前缺乏有效的数据标识能力,一旦发生数据泄露,无法有效进行溯源,定位相关责任人,也无法对数据泄露形成有效的威慑。
(5)数据安全风险未知
有审计无分析,针对运维操作、应用操作、接口访问行为只是记录,甚至还未记录,同时缺乏有效的数据安全风险分析识别能力,无法对用户历史行为变化和同类型用户的行为进行有效分析,数据风险不能有效防范。
数据安全治理实践
1. 数据安全治理方法论
《数据安全治理能力评估方法》BDC 91-2022
中国信通院牵头编写《数据安全治理能力评估方法》BDC 91-2022团体标准,标准的框架以数据全生命周期为切入点,包括数据安全战略、数据全生命周期安全、基础安全三部分内容,一共涉及15个能力项。每个能力项都包含组织建设、制度流程、技术工具、人员能力四个评估维度。同时,给出可操作的评估方法,依据标准可以直接开展评估工作,并根据能力要求,确定最终等级。
Gartner 数据安全治理(DSG, Data Security Governance)概念
2017年,Gartner提出了数据安全治理(DSG, Data Security Governance)概念,并从方法论的角度阐述了数据安全治理的框架,Gartner的DSG框架也是从宏观层面和方法论的角度阐述了数据安全治理的思路和基本框架。Gartner对数据安全治理形成了一个从上而下的整体框架(实施步骤),包括从治理前提、具体目标到技术支撑的完整体系。
数据安全治理绝不仅仅是一套用工具组合的产品级解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标和宗旨取得共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。
2. 数据安全治理体系中关键的一环
在数据安全治理系统建设过程中,数据安全管理平台是尤为关键的一环。Gartner将数据安全平台(DSP)定义为以数据安全为中心的产品和服务,旨在跨数据类型、存储孤岛和生态系统集成数据的独特保护需求。数据安全是核心,而不是数据或产品集成,促成以数据安全为中心的框架与大型产品平台融合,这种数据治理模式成本低、见效快、好落地,实现了持续的数据安全运营。DSP涵盖了各种场景下的数据安全保护需求,DSP是以数据安全为核心的保护方案,以数据发现和数据分类分级为基础,混合了多种技术来实现数据安全防护。
数据安全管理平台作为整个数据安全治理体系的中枢,在体系中起到承上启下的关键作用,上承管理流程和制度,向下驱动各类数据安全产品实现数据识别、防护、检测和响应,同时作为安全运营的载体,为安全运营提供更好的技术支撑能力。
3.数据安全管理平台落地实践
天榕数据安全管理平台以数据为中心基于场景化的设计思路,构筑起以数据发现和分类分级为基础,以数据风险防控为目标,以识别、管控、监控、运营为手段的综合能力平台,实现数据标准化、常态化、规范化的管理,为数据安全管理、管控、监控提供能力保障,为数据安全运营提供技术能力支撑。
具体体系架构如下图:
4. 数据安全治理场景化
数据治理以场景思维推进政务协同,做到实战“管用”。场景思维以人民需求为中心适配资源,为打通区域间、部门间和层级间协同的信息壁垒提供了思路和可能,要求以数字化转型理顺区域间、部门间、层级间治理逻辑、减少职能交叉,进而精确适配政务服务资源,集众智众力“高效办成一件事”。协同过程安全可控,政府部门在推动数据共享的同时,需要牢守数据安全安全底线,确保政务数据可用不可见,严格防范数据安全、隐私保护等风险。
与此同时解决数据安全治理过程中的问题,场景思维是 “破题”关键,始终以业务为本、以数据安全保业务为出发点和落脚点,持之以恒提高数据安全治理的科学化、精细化、智能化水平,探索超数据安全的治理新路。
依托场景化的解决思路,从数据采集、数据传输、数据存储、数据处理、数据共享、数据销毁等阶段对数据资产进行全生命周期管理,对各个阶段的数据、事件、防护能力、合规进行全方位监测和管理,为全生命周期管理能力提供支撑。并且可以根据实际业务场景需求,自由定制全生命周期管控能力。
随着数据安全法律法规不断完善,数字化场景不断丰富,数据安全与数字化发展密不可分,以数据为中心基于场景化的数据安全治理在实践中得到了广泛的落地,以数据分类分级为基础,以数据风险防控和合规为目标,按照数据使用场景、生命周期进行集中化调配诸如数据脱敏、数据加密、数据水印、数据访问治理等技术手段实现数据安全需求。
未来随着数字转型的不断深入,在数据识别上逐步采用人工智能(机器学习、深度学习等)技术以提升数据的识别率以及知识图谱在数据安全风险分析上的应用,以更精准地识别与防范数据安全风险。
小贴士:
关于数据安全推进计划(DSI)
DSI是一个公益性项目,依托大数据协同安全技术国家工程实验室、中国通信标准化协会大数据技术标准推进委员会、中国互联网协会数据治理工作委员会开展具体工作,启明星辰集团作为主要发起单位之一,致力于与DSI共同打造健康规范的数据安全生态体系,帮助企业了解监管要求,全方位提升企业数据安全能力。|文章引自于公众号: 数据安全推进计划|
京公网安备11010802024551号