首頁 > 關于我們 > 安恒動態(tài) > 2023 > 正文

安恒觀察｜數(shù)字化轉(zhuǎn)型背景下數(shù)據(jù)安全治理難點與破局

閱讀量：次 文章來源：安恒信息

前言

隨著數(shù)字化轉(zhuǎn)型在各行業(yè)的持續(xù)推進，數(shù)字經(jīng)濟業(yè)務模式探索與創(chuàng)新不斷深入，如何保障“數(shù)據(jù)”這一生產(chǎn)要素的安全，如何在數(shù)據(jù)安全各項法律法規(guī)強監(jiān)管之下，確保企業(yè)業(yè)務合法、數(shù)據(jù)使用合規(guī)、業(yè)務有序發(fā)展成為當前全行業(yè)關注的焦點。

本文通過對當前國內(nèi)數(shù)字化轉(zhuǎn)型的數(shù)據(jù)安全現(xiàn)狀的分析，梳理當前數(shù)據(jù)安全治理在實踐過程中存在的難點，基于存在的難點簡述安恒信息數(shù)據(jù)安全的最佳實踐與思路。

一、數(shù)字化轉(zhuǎn)型趨勢下，數(shù)據(jù)安全治理是保駕護航的重要措施

早在2020年3月，《關于構(gòu)建更加完善的要素市場化配置體制機制的意見》提出，數(shù)據(jù)對于個人、社會以及國家來說，其重要程度越來越高。2021年我國相繼發(fā)布《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》以及《要素市場化配置綜合改革試點總體方案》等文件中，數(shù)據(jù)已經(jīng)作為第五大要素，成為經(jīng)濟發(fā)展新的增長點。經(jīng)濟數(shù)字化、數(shù)字經(jīng)濟化已成為各地政府、各行各業(yè)投建的熱點。由此可見，數(shù)據(jù)開放利用是數(shù)字化轉(zhuǎn)型的核心關鍵。

而數(shù)據(jù)的開放和利用離不開數(shù)據(jù)安全的保駕護航，數(shù)據(jù)的多元、流通和復雜性也為數(shù)據(jù)要素的流通帶來了更多的威脅和挑戰(zhàn)。

二、當前數(shù)據(jù)安全治理建設難點

數(shù)據(jù)動態(tài)流通為數(shù)據(jù)安全建設提出更高的要求

隨著數(shù)字化業(yè)務的建設，數(shù)據(jù)量大、數(shù)據(jù)調(diào)用常態(tài)化、數(shù)據(jù)處理活動復雜，數(shù)據(jù)流轉(zhuǎn)在終端、應用、組件等，數(shù)據(jù)安全場景發(fā)生巨大改變，數(shù)據(jù)安全打破傳統(tǒng)的網(wǎng)絡安全區(qū)域劃分，傳統(tǒng)的邊界、主機、系統(tǒng)、終端、數(shù)據(jù)庫的單點防護已無法滿足數(shù)據(jù)安全防護的需求。

數(shù)據(jù)安全相關法律法規(guī)仍在持續(xù)完善、健全過程中

近年來，我國數(shù)據(jù)安全相關法律制度已取得很大進展，《中華人民共和國數(shù)據(jù)安全法》以及《中華人民共和國個人信息保護法》的頒布以及《網(wǎng)絡數(shù)據(jù)安全管理條例》《網(wǎng)絡數(shù)據(jù)分類分級指引》等條例的發(fā)布，已構(gòu)成基本的數(shù)據(jù)安全保障網(wǎng)，是基本的數(shù)據(jù)安全法律框架。

但目前數(shù)據(jù)安全法律制度仍不完善，存在邊界覆蓋不全、操作性不強等問題。特別是數(shù)字化轉(zhuǎn)型背景下，各類數(shù)據(jù)跨行業(yè)、跨機構(gòu)的交換傳輸越來越多，數(shù)據(jù)之間的邊界越來越模糊，導致監(jiān)管依據(jù)不足，不知如何落實數(shù)據(jù)安全工作等問題。

敏感數(shù)據(jù)識別及數(shù)據(jù)分類分級落地效果差

數(shù)據(jù)的分類分級是全行業(yè)關注的焦點，數(shù)據(jù)分類分級離不開數(shù)據(jù)資產(chǎn)的識別和敏感數(shù)據(jù)的發(fā)現(xiàn)。首先，在數(shù)據(jù)分類分級方面，從國家到各地均出臺了相關的規(guī)范和指南，但是不同行業(yè)的業(yè)務數(shù)據(jù)差異化明顯，很難依據(jù)規(guī)范開展落地實踐的分類分級；其次數(shù)字化轉(zhuǎn)型過程中數(shù)據(jù)量極大，要做到批量的字段級的分類分級，難上加難；而且數(shù)據(jù)分類分級現(xiàn)有的技術手段有限，針對同一字段不同敏感度的數(shù)據(jù)難以標識。

數(shù)據(jù)安全共享流通的權屬和權限不明確

數(shù)據(jù)安全治理的難點和重點在于明確數(shù)據(jù)的權屬關系，沒有明確的數(shù)據(jù)權屬關系就無法實現(xiàn)“最小權限”的權限劃分，那在數(shù)據(jù)處理活動的各個環(huán)節(jié)，過度采集個人隱私數(shù)據(jù)、數(shù)據(jù)權限過度放大等情況會常態(tài)化和普遍性，數(shù)據(jù)安全的控制范圍和責任就難以確定。

三、數(shù)據(jù)安全治理體系化建設路徑探索和實踐

在面臨數(shù)字化轉(zhuǎn)型帶給數(shù)據(jù)安全治理的未知和難點，數(shù)據(jù)安全咨詢服務是理清數(shù)據(jù)流轉(zhuǎn)，以數(shù)據(jù)為核心的業(yè)務視角，開展數(shù)據(jù)安全治理工作的必由之路。那從數(shù)據(jù)安全咨詢的視角出發(fā)，基于當前的數(shù)據(jù)安全治理存在的難點以及安恒信息在數(shù)據(jù)安全治理方面的實踐經(jīng)驗，針對數(shù)據(jù)安全的體系化建設給出以下實踐方案：

責任到人，建立共建共治的協(xié)同管理能力

明確數(shù)據(jù)安全建設職責，安全不是一個部門的事情，明確好數(shù)據(jù)提供者、數(shù)據(jù)平臺提供者、數(shù)據(jù)使用者、數(shù)據(jù)安全管理者等多角色，充分調(diào)用各個角色參與到數(shù)據(jù)安全的建設工作中，建立共建共治的協(xié)同管理能力。

引自：GB/T 35274-2022 信息安全技術大數(shù)據(jù)服務安全能力要求

借助識別工具以及元數(shù)據(jù)管理平臺

開展數(shù)據(jù)分類分級工作

分類分級是數(shù)據(jù)全流程動態(tài)保護的基本前提，多視角開展數(shù)據(jù)定級工作，從數(shù)據(jù)共享的視角以及安全視角相結(jié)合開展數(shù)據(jù)定級，例如“公開、有條件申請、審批通過可看……”同時結(jié)合安全防護的角度定級，不同級別的數(shù)據(jù)在存儲、傳輸、共享等流程中需要采取加密、脫敏等措施。

需要注意的是，分類分級的工作需要與數(shù)據(jù)治理相結(jié)合，借助大數(shù)據(jù)平臺的元數(shù)據(jù)管理以及業(yè)務功能完善識別工具無法實現(xiàn)定級的特殊情況，補齊數(shù)據(jù)分類分級的能力，針對數(shù)據(jù)量大的問題，需要在數(shù)據(jù)量大的時候選取前一百行數(shù)據(jù)等抽樣的方式或者借助大數(shù)據(jù)平臺的元數(shù)據(jù)管理進行標記實現(xiàn)。

開展常態(tài)化的數(shù)據(jù)安全風險評估

基于數(shù)字化業(yè)務的數(shù)據(jù)體量大，且數(shù)據(jù)敏感程度較高，風險不可知等特點，所以開展數(shù)據(jù)安全建設的首要工作是讓風險可知。從合規(guī)視角和風險視角開展數(shù)據(jù)安全風險評估，以“數(shù)據(jù)”為核心梳理數(shù)據(jù)業(yè)務流和數(shù)據(jù)流，基于數(shù)據(jù)流通的業(yè)務場景，識別關鍵節(jié)點的數(shù)據(jù)安全風險，基于風險評估的結(jié)果進行數(shù)據(jù)安全體系化規(guī)劃，此路徑經(jīng)實踐較為科學，可操作性強。

落實數(shù)據(jù)安全體系化規(guī)劃和建設

根據(jù)分類分級的結(jié)果，不同級別的數(shù)據(jù)，采取不同的防護手段，通過全面了解數(shù)據(jù)安全威脅，建立數(shù)據(jù)安全解決方案，數(shù)據(jù)安全運營能力建設，實現(xiàn)數(shù)據(jù)安全運營流程化、集中化。同時，數(shù)據(jù)安全治理需要數(shù)據(jù)安全管理方建立管理能力和運營監(jiān)管能力，數(shù)據(jù)安全運營方建立日常運營(監(jiān)測和管理)能力，數(shù)據(jù)作業(yè)方建立監(jiān)測和防護能力，從而構(gòu)建運營體系、管理體系、技術體系階段相輔相成的行之有效的數(shù)據(jù)安全治理體系。

在管理制度建設層面，在考慮建設數(shù)據(jù)安全制度的同時，需要考慮客戶已有的網(wǎng)絡安全制度，充分考慮與現(xiàn)有的網(wǎng)絡安全管理制度的融合。

在數(shù)據(jù)安全技術管控層面，基于數(shù)據(jù)業(yè)務流程與具體應用場景對不同級別的數(shù)據(jù)進行針對性技術防護。采取數(shù)據(jù)傳輸加密、存儲加密、脫敏、水印、訪問控制、審計、API接口鑒權及監(jiān)控等技術措施，全面覆蓋數(shù)據(jù)全生命周期過程。

在數(shù)據(jù)安全運營建設層面，建立數(shù)據(jù)安全運營“團隊+機制+工具+服務”的數(shù)據(jù)安全運營體系，運營是數(shù)據(jù)安全建設最重要的一步，管理體系和技術體系是否能更好的落地依托于運營體系的建設，通過數(shù)據(jù)安全運營實現(xiàn)持續(xù)化的運營落地，形成閉環(huán)優(yōu)化的機制。

?四、總結(jié)?

數(shù)據(jù)驅(qū)動業(yè)務發(fā)展已是數(shù)字化轉(zhuǎn)型趨勢下的顯著特點。在探索和落實數(shù)據(jù)安全建設的路上，安全與業(yè)務的平衡是個永恒的課題，有規(guī)劃地逐步建設數(shù)據(jù)安全能力，使得數(shù)據(jù)安全治理與數(shù)字經(jīng)濟的發(fā)展相輔相成，才是正確的數(shù)據(jù)安全治理之道。

關閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎設施>

態(tài)勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>

網(wǎng)絡空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>