數據安全踏入“發展暖春”,數據治理遇規模發展“瓶頸”
隨著數字經濟發展,數據成為核心生產要素。數字經濟的活力需要通過數據的廣泛使用和交換來釋放,前提是做到安全合規。數據資產成分非常復雜,與千行百業緊密關聯,因此首先要進行梳理、識別,結合業務進行分類分級,制定相關的制度、規范、流程,開展管理、技術和運營體系設計,做好管控和防護,開展持續運營。由此可見數據治理是貫穿數據安全體系的主線,同時也是打開數據資產價值寶庫的鑰匙。
數據安全治理作為做好數據安全的前提和基礎,近年來受到越來越多的關注和重視。相應的政策法規不斷出臺,技術創新成為熱點。從實際成效和結果看,數據治理領域尚未呈現人氣與市場交替上升局面,存在一定叫好不叫座問題,其產業化相對滯后,與數字化產業規模難以匹配。
本研究報告在產業層面對數據治理的發展現狀與趨勢進行分析,探討其產業化過程中存在的障礙,結合數據安全治理賽道的現狀,提出對數據安全治理技術及市場的展望,以及數據安全治理建設的總體思路,并對如何推動數據治理產業化、規模化發展提出建議。
1. 數字化時代網絡安全產業轉型,數據治理首當其沖
受政策牽引和事件驅動的雙重影響,數據安全和數據安全治理已經成為網絡安全領域的最熱門方向之一。隨著四十五規劃建設的推進和落地,加快數字化發展,建設數字中國成為國家戰略,中央網絡安全和信息化委員會日前印發《“十四五”國家信息化規劃》,提出要建立健全規范有序的數字化發展治理體系。這意味著更多關乎國計民生甚至國家安全的數字化系統將陸續上線投入使用,數據作為新型生產要素對社會發展,技術進步有重大推動作用,但同時由于大量數字化技術的應用和普及,數字化產生了海量數據,這些數據的使用和管理不當,就會引發安全事故。
數字經濟時代,數據正在成為網絡安全防護的核心。數據成為重要資產,具有經濟屬性,其非競爭性、低復制成本等特點,其防護方法需要轉變,防護技術需要革新,產業模式也正在發生改變,由此帶來網絡安全產業的轉型。
(1)數據資產具有特殊性,是數字化時代的核心生產要素
作為新的生產要素,數據顯著的非競爭和低復制成本的特性賦予了它與其他生產要素截然不同的經濟特性,并對其實現價值最大化產生了正負相反的影響。
一方面,數字技術的迅猛發展使得數據作為信息的載體極大地優化了傳統經濟下的生產效率,實現了對土地、勞動力、資產、技術等原主要生產要素的倍增效應,并逐漸成為當代社會中最核心的生產要素,為經濟發展注入了變革性的生產力。具體來看,數據的非競爭性體現在單個個體對數據的使用不會影響其他個體的使用,例如,在數字經濟中,社交平臺不會因某一用戶的使用,而減少或者封閉對其他用戶的開放,換言之,所有用戶可以在同一時間,不用地點,同時使用相同的社交App,而其他生產要素則具有很強的競爭和排他性,如土地,一人占有的土地資源越多勢必會減少其他人可用的土地資源。事實上,封建王朝末期的土地兼并問題正是該要素競爭和排他性的顯現。因此從這一點來看,數據作為新生產要素可以在最大程度上減少資源在物理、時間和空間的競爭性。
另一方面,隨著it技術的廣泛使用,數據復制的成本越來越低,進而使得數據的復制和傳播具有趨近于零的邊際成本,從而造就了一個空前巨大的規模效應,例如開發一個app的過程有著極高的時間和物質成本,但是用戶下載和安裝是簡單和沒有成本的,而傳統經濟受限于無法消除的邊際成本,只能形成有限的規模經濟,并且在生產擴大到一定程度時反而會導致規模不經濟效應。此外,數據的價值隨著數據量的增加而邊際遞增,產生網絡效應,即商品或服務的價值與使用人數成正比,在平臺經濟中,流量是各大平臺取勝的關鍵,流量越多,平臺價值越大。同時,從根本上來說,數據是信息的有效載體,海量的數據帶來了多維度的信息,進而催生了數據的范圍經濟,即只生產一種商品或提供一種服務的邊際價值少于同時生產多種商品或提供多種服務,如微信除了基本的通信服務,還嵌入了包含支付在內等金融服務。
(2)數據安全帶來網絡防護體系的變革,數據治理是第一步
由數據非競爭、低成本屬性形成的規模經濟、網絡效應和范圍經濟的特性,使得在網絡安全防護方面傳統的安全體系架構不再適用。傳統網絡安全圍繞著信息基礎設施的網絡攻防展開,其中漏洞是核心,黑客利用漏洞進行滲透,安全人員封堵漏洞和利用漏洞的行為。即使設置了層次化的縱深防御,網絡被打穿,又被恢復是常態,只要能夠保證信息基礎設施正常運轉就是成功的。數據安全則不然,數據一旦被竊取,就基本不可能再追回,甚至可能被復制出許多份從而擴散出去;數據一旦被勒索軟件加密,如果事先沒有備份也幾乎不可能破解,只好交贖金或者承受損失。與此同時,數據擁有者希望通過數據的流通交換獲益,但不清楚哪些數據中包含了敏感信息,于是只能把海量數據束之高閣。因此必須建立新的安全架構,以應對數字化時代新的數據安全形勢。而第一步就是數據治理,只有首先對數據進行梳理、識別,結合業務進行分類分級,才能進一步制定相關的制度、規范、流程,開展管理、技術和運營體系設計,并最終做好管控和防護,開展持續運營。
2. 數據治理需求旺盛但落地不足,成為數據安全規模化發展的瓶頸
從安全角度看,數據與網絡相比邊界相對模糊、交互對象復雜、確權審計復雜、業務場景相關性強,帶來數據權屬不明確、數據濫用、隱私和安全等問題。解決這些問題需要明確而清晰的框架不能只憑經驗,同時前期投入較大難以快速規模化復制到其他行業和領域,因此起步較為困難。
(1)全球主要國家或經濟體都在加快完善數據治理的體系框架建設
國家宏觀治理層面,在ABCD(AI人工智能,區塊鏈,云計算和大數據)等數字技術全方位加速與實體
經濟深度融合的過程,數據的國家安全屬性、生產要素的經濟催化特性以及在政府公共事務治理中參與的程度愈來愈來高(數字政府、智慧城市),使得數字經濟在國民經濟中引擎推理作用愈發不可替代,而數據治理是數字經濟穩定發展的基礎,因此充分發揮數據的生產要素價值和保障數據流動的安全是政府自上而下進行數據治理體系建設的重要驅動因素。
在立法層面,2016年歐盟發布了《通用數據保護條例》以取代了在上世紀90年《數據保護指令》,近一步強化了數據隱私和安全。在2022年,歐盟理事會批準通過了《數據治理法案》,重點突出了數據在共享流通過程的安全以及效率。在美國,地方層面的立法快于聯邦政府,2018年加州頒布了《加州消費者隱私法案》(CCPA),并且《加州隱私權法案》也將于 2023 年1月1日正式生效的。同時,今年美國眾議院和參議院也發布了《美國數據隱私和保護法案》(下稱《法案》)討論稿。中國方面則在2021年發布了《數據安全法》、《個人信息保護法》。為了強化落實數據戰略的實施和政策執行,世界各國也建立了專門的數據機構,根據《數據治理法案》,歐盟將成立歐洲數據創新委員會促進數據治理質量和效果,美國白宮行政管理和預算辦公室下設的數據委員會,協調聯邦數據戰略的實施,同時也商務部也成立了聯邦數據服務的咨詢委員會,以加強聯邦數據的隱私保護,中國地方政府已經開始嘗試數據治理機構,如省級的大數據局。
在實踐層面,近年來全球主要國家或經濟體都在加快完善數據治理的體系框架的建設,重點解決數據的隱私、安全、共享和流動問題,為加速釋放數據潛能,實現數據在數字經濟中價值最大化提供堅實的基礎和頂層指引。
美國方面,從奧巴馬政府頒布的《大數據研發倡議》、《數字政府:構建一個 21 世紀平臺以更好地服務美國人民》、《聯邦大數據研發戰略計劃》,到特朗普時代發布的《聯邦數據戰略 2020 行動計劃》,再到如今拜登政府頒布的《聯邦數據戰略 2021 行動計劃》,美國在數據治理問題上保持了戰略規劃的持續性。
歐盟方面,基于構建單一數據市場,促進數據要素在歐盟境內自由流動,充分發揮數據要素對社會經濟賦能作用的構想。歐盟于2020年發布了《歐洲數據戰略》,并且在同年發布《歐洲數據保護監管局戰略計劃(2020-2024)》繼續強化數據安全和個人隱私保護。
中國雖然尚未形成完善的數據治理體系,但是可以明顯感受到數據治理戰略規劃節奏在2020年以后明顯加快。2020年我國發布了《關于構建更加完善的要素市場化配置體制機制的意見》將數據列為繼土地、勞動力、資本、技術之后的“第五大生產要素”,開始探索建立數據管理制度,并將培育數據要素市場納入《第十四個五年規劃和2035年遠景目標綱要》、《關于印發要素市場化配置綜合改革試點總體方案的通知》等多個文件。
(2)合規驅動強勁,但難以形成產業效益
推動數據安全治理技術和市場發展的第一驅動力來自合規要求,即“三法一條例”,是指《網絡安全法》、《數據安全法》、《個人信息保護法》、《關鍵信息基礎設施安全保護條例》。從宏觀層面可以看到,國家對數據安全越來越重視,密集推出相關法案和條例,對數據安全合規給出了詳細定義,為政府單位、企業、個人和監管單位指明了規劃、建設和執法的依據,對數據安全、數據安全治理給出了綱領性指導。同時也要看到,由于多個法案頒發的時間、內容、執法及監管單位都不盡相同,在建設內容、側重點、能力要求、責任主體、主管單位及執法單位均存在差別,總體而言是在之前推廣的網絡安全等級保護2.0關于數據安全的法理補充。
在具體落地層面,數據治理存在針對應用和場景時描述不一致或覆蓋不完整的情況。且數據相對網絡而言,邊界相對模糊、交互對象復雜、確權審計復雜、業務場景相關性強等特點。這些都是信息化、數字化發展到新時期遇到的新問題,需要有新的數據安全企業提供專業的產品及能力,對數據安全產品及市場的蓬勃發展有極大促進作用,對我國從事數據安全產品及技術研發的企業是重大利好。
數據的負外部特性所造成的數據權屬不明確、數據濫用、隱私和安全等問題則阻礙了數據價值的最大化,因此作為釋放數據價值枷鎖的數據治理在數字經濟時代的重要性將逐步顯現。數據的準公共品特性、規模效應、網絡效應和范圍經濟顛覆了蒸汽和電力時代下傳統的生產效率,是第三次信息技術革命成果的重要體現,重塑了人們對于原有社會生產關系和客觀世界的理解。而作為新生產要素,除了參與社會產品和勞動的生產,其本身就具有極高的交易價值,隨著數字經濟對傳統社會改造的加速,數據的交易價值愈發被人們關注,資產化進入探索階段,并成為數字經濟的重要組成部分。
事實上,國家和企業的數據治理需求一直存在,但是因為早期的投入成本和產出效益不明顯,進而導致需求被壓制,治理節奏零碎緩慢,但是在數據量急劇增長以及新數字技術加持的背景下,國家宏觀治理和企業內部微觀側的需求將不止于重新激活。
(3)數據安全治理體系落地預計周期較長,目前整體處于早期
在企業內部,現階段企業的數據治理以提高數據質量和安全為主要目標,重點解決數據孤島問題,并使得數據治理可以有效解決業務實際場景問題,但是傳統的數據治理策略與業務場景實際結合的效果不佳,再加上以數據質量為導向的數據治理是成本端顯收益,即通過優化數據管理成本來進行減負實現間接收益,導致企業在數據治理的收益成效被顯著弱化,因此除了受到較強的行業監管驅動的數據治理要求的金融行業,其他行業的大多數企業對于數據治理的投入熱情不高,造成數據治理市場遠遠小于同期大數據市場規模。不過這并不意味著,企業數據治理的需求不高,恰恰相反,隨著數字化轉型浪潮的刺激下,企業不再以單一的數據質量管理為目標,而是更加關注發掘數據的資產價值,除了解決企業內部的數據孤島問題,數據資產化是數據交易流通重要環節,因此以資產價值發掘為導向數據生命周期的數據治理將從成本優化,和直接收益兩個方向直接釋放數據治理的需求。
從目前數據安全治理體系的落地情況看,可以把數據安全治理分為數據“安全”和“治理”兩部分,因此治理是一個長期持續的過程,只要系統還在運行,數據安全治理的工作就需要持續進行,也就是從治理的角度使用相關的產品和技術保障數據在產生、收集、交換、傳輸和使用的安全性,因此組織、業務、管理等主觀因素在治理過程中將起主導性作用,從而影響和推動為數據安全治理的產品和技術演進和發展,從廣義上看,凡是數據安全治理的前提是數據的基本安全,所以與數據安全有關的產品和技術如DLP、數據庫安全、隱私計算、權限管理等都可以納入數據安全治理體系中,狹義而言,數據安全治理的產品和技術通常只包含數據安全治理咨詢服務、數據資產盤點、數據分級分類和數據安全態勢感知平臺幾大組件。
海外廠商投入的重點集中在數據分類、數據存取治理、多云數據庫活動監控、格式保護加密(FPE)、安全多方計算(SMPC)、多云密鑰管理即服務(KMaaS)、企業密鑰管理、云數據保護網關、數據安全平臺等細分賽道;數據安全治理、數據風險評估、隱私設計、財務數據風險評估、數據操作(DataOps)等領域與業務高度耦合,通常需要最終用戶或IT服務提供商自身深度參與,產品化和技術落地可復制性不高,多數數據安全廠商并未進入該領域。
目前國內市場上的數據安全服務主要涵蓋數據安全合規評估、數據安全規劃咨詢、數據安全治理(分類分級)三大類,數據安全托管、數據安全運維、數據安全測評、數據安全防護能力評定等服務開展較少,國內大部分數安廠商數據安全服務在總銷售額中的占比,大概為20%左右,占比水平較低。
數據安全治理體現的是一種綜合能力,由于近三年國家對數據安全的重視,大量具備點狀能力的廠商、集成商、服務商都對外宣稱具備數據安全治理能力,而實際上不論是全球視野還是國內,具備完整實施數據安全治理能力且具有實際標桿案例的組織和廠商還較少,能夠形成產業化路徑的更是寥寥無幾。數據安全治理體系在全球視野下的落地情況都處于早期階段。
3. 數據治理技術創新趨勢分析,技術革新帶來產業變革
(1)數據治理技術創新熱度高,多處于初級階段
從Gartner 2022年發布的數據和分析治理技術成熟度曲線來看,數據和分析治理是持續創新的賽道,在創新萌芽階段、炒作高峰階段、滑入低谷階段、穩步發展階段和市場成熟階段均有較多的技術方向,保持了持續的高熱度。其各階段的技術方向主要包括:
· 創新萌芽階段:互聯治理、數據分析治理平臺、數據可觀測性、數據安全治理、自適應數據分析治理、增強主數據管理、數字孿生治理;
· 炒作高峰階段:AI治理、負責任的AI、分析治理、數據素養、基于信任模型的治理、增強數據質量、云主數據管理、數據總線策略、
· 滑入低谷階段:企業間主數據管理、數據分析治理、數字倫理、信息管理應用、應用數據管理、增強數據資產目錄和元數據管理解決方案、數據分析管理、主數據管理
· 穩步發展階段:多域主數據管理解決方案、客戶數據的主數據管理
· 市場成熟階段:產品數據的主數據管理
Gartner認為數據分析和治理根本上是要解決業務需求的問題,但是體制僵化、復雜性加劇和業務成本上升卻增加了數據治理決策的難度。此外,數據的安全和隱私問題也激發了新的治理需求,涵蓋了從因理解數據一致性而愈發受重視的倫理、定義基礎和模型,到被持續關注的數據質量。事實上,目前絕大部分部分企業在數字技術和實際業務上融合的效果并不理想,只有18%數據治理經驗豐富的企業達到了治理目標,而數字化轉型背景下,企業對數據治理的業務預期越來越高,根據Gartner的客戶調查,過去一年因無法實現數據治理目標而向Gartner問詢的企業增加了40%以上,并且關于數據和分析治理工具、解決方案和平臺的問詢數量平均增長了31%。
在提高業務價值方面,Gartner表示多域元數據管理是當前元數據管理領域中最常見和有效的部署方案。增強數據編目和元數據管理解決方案正在為企業組織內部數據治理和分析的協作活動提供支持,而不再僅僅被視為一種IT工具結合Gartner優先級矩陣,建議關注AI治理、數據安全治理、云主數據管理:
· AI治理(高收益,2-5年成熟):創建政策、分配決策權并確保組織對人工智能技術在風險和投資決策中應用和使用負責的過程。(代表廠商:Arthur、Chatterbox Labs、DarwinAI、DreamQuark、FICO、Google、IBM、Prodago、SAS、Weights & Biases)。
· 數據安全治理(變革性,2-5年成熟):支持對業務風險進行評估和確定優先級,并允許組織建立支持業務成果的數據安全策略。
· 云主數據管理(高收益,小于2年):可確保企業官方共享主數據資產的統一性、準確性、管理、治理、語義一致性和責任。(代表廠商:Ataccama、IBM、Informatica、Profisee、Reltio、Semarchy)
RSAC創新沙盒的比賽也體現出數據治理產業創新趨勢。每年一度的RSAC大會是網絡安全業界的創新標桿,創新沙盒是RSAC最受矚目的活動。數據治理在2020年以后逐漸在舞臺顯現,并和數據安全高度關聯。數據治理成為數據安全的熱點,同時也是瓶頸,做好數據安全首先要做好數據治理。近幾年來數據治理賽道在一直在持續演進,細分領域、技術方向不斷演化,由傳統關注提升數據質量的數據治理方案,到關注安全和隱私問題的數據治理,隨著數字化轉型的深入,數據治理領域正在得到越來越多的關注。
(2)數據安全治理技術體系隨著數字化業務發展不斷演進
隨著數字化產品和技術的演進,數據安全治理的產品和技術形態也在同步演化。早期的數據安全及數據安全治理基本是圍繞數據庫的防護開展的,以數據庫審計、數據庫防火墻、DLP、數據庫漏洞掃描等產品為主,這一時期數據以靜態為主,滿足部門及系統自用。隨著數據大集中,系統上云以及云大物移等新應用新場景的誕生,數據開始越來越多的流動起來,對數據安全及數據安全治理開始走向體系化,不再是早期的單品和割裂的數據安全防護,數據分級分類、數據庫安全、IAM、PAM、數據安全管理平臺等一眾數據安全產品組合開始出現,且相互配合,形成了體系化數據安全治理的雛形,在這個階段數據安全治理類產品及技術發展的推動力是業務保障,確保數據在業務全生命周期的安全性,比較典型是金融、電力等對信息化和安全性要求高的行業。
數據治理發展到現在已經發展到了新的階段,推動力已經從純粹的業務安全保障延展到了法律法規推動,如果說之前的數據治理是以企業自身業務為主,量力而行的可選項,隨著國家法律法規的推出,現在的數據治理已經從業務自驅動演變成合規強制驅動了,尤其是滴滴、字節海外上市引發的數據安全事件,已經讓數據治理擺到不得不重新審視的重要地位。
企業在開展數據安全治理體系建設時,應根據自身信息化系統的建設的實際情況開展相應的規劃、建設和運營工作。大體來說,可以分為已有系統的建設和新建系統的建設來看,兩類系統的數據安全體系的建設重點應區別對待。
4. 國內外數據治理產業現狀與發展趨勢
數據治理是一個體系化的工作過程。Gartner對數據安全治理的解釋是:數據安全治理不僅是一套用工具組合而成的產品級解決方案,而是從決策層到技術層,從管理制度到工具支撐,自上而下、貫穿整個組織架構的完整鏈條。組織內的各個層級需要對數據安全治理的目標和宗旨達成共識,確保采取合理和適當的措施,以最有效的方式保護信息資源。可以認為一個完整的數據安全治理體系應該由法律法規、產品技術、管理制度、人員組織高效融合的綜合體。
(1)數據治理產業初現,規模顯著較小
全球數據治理市場規模顯著小于同期大數據市場規模。據海外the business research company統計,2021年全球數據治理市場規模約為26.2億美元,預計2022年將增長至魚32.8億美元,年復合增長率為24.9%,而IDC數據顯示,2021年全球大數據市場的IT總投資規模為2176.1億美元,是同期數據治理市場規模的83倍。
中國數據治理市場遠小于同期大數據市場,IDC發布《中國數據治理市場份額,2021:廣泛落地,持續增長》報告顯示,2021年數據治理平臺市場規模達23.9億元人民幣,數據治理解決方案市場規模達26.6億元,合計約為50.5億,僅為同期中國大數據市場規模的5.85%。分行業來看,金融業、互聯網行業和部分電力企業的數據治理建設較為領先。在市場份額方面,金融、政府方面的數據治理市場占比最高,其次是能源(電力相關)和零售業,而其他如制造業、醫療行業、建筑工程業的數據治理成熟度當前不高,但是在數字化轉型的推動下,潛力巨大。
當前,數據治理市場主要由專業數據治理公司、綜合軟件廠商、咨詢公司構成。基于國際理論(如DAMA-DMBOK,也包括近兩三年推廣的國標DCMM)以及自身實踐經驗,咨詢公司在咨詢上有較強優勢,但是在產品建設上較弱,而專業數據治理公司、綜合軟件廠商在產品側較強,并且相對于國內廠商,海外廠商在數據治理上有明顯的云轉型的趨勢。
在國際市場,IBM通過云和AI技術為企業提供整體的數據治理結局方案,同時也重視隱私和安全,主要包括IBM Cloud Pak for Data和IBM Watson Knowledge Catalog。Informatica (數據管理軟件提供商)的數據治理方案也在朝著云和運用ai和機器學習智能化及自動化方向遷移,同樣對隱私和安全問題也非常重視,主要通過Intelligent Data Management Cloud提供數據治理服務。
在國內市場,主要數據治理廠商通過智能化數據中臺提供數據治理解決方案,包括主數據管理平臺、元數據管理平臺、數據資產管理軟件、數據目錄資源軟件、數據共享服務平臺等;并以咨詢服務加產品的商業模式向企業提供數據治理整體解決方案。
(2)各方積極參與,數據治理市場呈現多元化趨勢
數據安全治理代表了數據安全的綜合能力,在數據安全類產品逐漸成熟后,數據安全治理在工具和產品的技術支撐有基本保障后,更多創新企業將研發和創新方面轉向了數據安全治理能力培養方向。投入數據安全治理體系的研發和市場拓展的企業大致可分為如下幾類:
· 數據安全類廠商。如DLP、隱私計算、數據庫安全、權限管理、密碼應用等,依托自身核心能力向外跨界,擴張能力,但整體而言國內數據安全領域沒有出現龍頭企業,數據安全能力相對分散,產品相對單一,單一企業能力盲點較多,產品和技術很難在短期內形成體系化能力。另外由于傳統廠商普遍離用戶較遠,數據安全類廠商,甚至是綜合性網安大廠對業務和場景認知尚存在天然屏障,無法簡單逾越,對其他中小數據安全廠商而言,雖然在數據安全細分領域有局部深度優勢,但要轉型成為數據安全治理廠商普遍還需更長期的投入和沉淀;
· 數據安全服務商。如數據安全治理咨詢服務、數據分級分類服務、行業場景咨詢服務、軟件開發商等。其中行業場景咨詢服務商如四大綜合能力強,服務的企業規模大,在合規建設、部分行業業務場景有明顯優勢,但在產品及技術落地方面,普遍能力不足,需要廠商集成商協同;
· 甲方用戶(深度行業集成商)。甲方用戶的IT、CT和OT部門或者封閉行業如電力、能源的業務支撐系統服務商和業務專家,對業務流程、自身需求、落地可行性都有充分理解和認識,是數據安全治理體系中不可或缺的的角色;
· 監管單位。根據合規及法規的要求不同,有不同的監管單位和執法部門,三法一例中規定的監管及執法單位有,網信、電信、公安、工信、當地政府、行業協會/統籌組織、上級單位等,是數據安全治理體系中的監管執法環節;
· 中小企業及個體。中小企業和個體在數據安全治理環節中也是重要環節,尤其是在數據安全治理體系中生成的管理治理制度和流程,單位中的個體是否在主觀和客觀上予以充分配合,在數據安全治理體系中同樣扮演著重要角色。
5. 數據治理產業發展建議
數據治理是開啟數據安全體系化建設的第一步,需要從產業層面做大做強,支撐數據安全整體框架,為數據流通提供安全保障,推動促進數字化產業進一步發展。
(1) 數據治理產業上規模需要做到“三化”
規模化發展是數據治理產業的瓶頸,行業數字化業務的復雜性和過多的定制化需求使其技術產品難以快速復制推廣。因此需要通過 “三化”,即建設體系化、產品標準化、工具自動化,來推動。
1) 建設體系化。數據治理是數據安全整體框架中的一環,需要先理后治、體系規劃、有序建設。因此應把數據治理融入到數據安全體系中,通過體系化建設實現規模效益。因此,從事數據治理的企業應當在數據安全體系中體現自身的數據治理能力,并將其與后續的建設和運營結合起來。對于大型網絡安全企業和綜合型企業來說,其數據治理能力應覆蓋數據安全的全周期、全流程,對于創新型企業來說,其數據治理能力應融入到面向行業業務的整體數據安全框架,通過協同合作的形式提升規模效益。
2) 產品標準化。數據治理需要緊密結合甲方業務應用,因此產品標準化難度較大。但過多的定制化將導致過高的研發和交付成本,產業規模上不去,進入死循環。因此應在可操作的范圍之類進來實現標準化,擺脫做項目式的業務模式,進入到做產品的業務模式。首先可在一些大的行業內進行復制,并通過政府和標準化組織的力量推動相關標準的制定和執行,從而將特定行業標準化的業務模式進一步推廣到全行業,逐步提高產品的標準化水平。
3) 工具自動化。在數據治理的初期,由于行業數據體系的復雜性和需求的特殊性,大量使用人工服務不可避免。但可以通過開發一系列自動化工具,從而提升人工服務的效能。通過工具與人相結合的方式,逐步完善工具的效能,通過自動化的技術逐步替代需要大量人工的重復性的工作。從而提高工具使用的比例,減少過高的人力資源消耗。
通過建設體系化、產品標準化、工具自動化,推動數據治理盡快走上規模化發展之路,從而做大做強。
(2)加強存量系統數據安全治理體系建設是當務之急
現實情況看,絕大多數企業已經有大量信息化、數字化業務系統在網運行,部分系統還存在架構老舊,改造難度大等實際問題,針對已有系統的數據安全治理體系建設,在能力和資源受限的情況下,應該采取守護底線、遷就業務、科學統籌、迭代更新的總體原則,即在滿足合規底線的前提下,盡可能少的影響現有業務系統,保障業務連續性,對現有系統業務情況及安全風險科學評估,合理規劃,采取逐步迭代,逐步完善的方式進行。
針對已有系統的數據安全治理體系建設可以分幾步進行,工作重點放在數據資產靜態防護,可以簡單理解成在之前已有等保體系之上,針對數據安全的加強版,提高攻擊門檻,圍繞數據載體開展安全防護,建立數據治理體系。
· 業務梳理,針對已有系統運行的情況,業務梳理需要從幾個抓手同時進行,梳理完成的交付件一般為資產臺賬、數據臺賬、業務關系總圖、訪問策略臺賬。企業資產進行盤點,建立臺賬信息,將系統、人、設備關聯,清理無主及狀態異常的賬號、設備、系統,是進行數據臺賬梳理的前提,資產是數據的載體,資產盤點可以為數據臺賬梳理劃定范圍和優先級,厘清各業務系統間的依賴關系和訪問邏輯,從全局維度掌握企業信息化和數字化的能力現狀。業務梳理是企業開展數據安全治理的最早期準備工作,很多企業尤其是部分有大量分支機構和復雜系統的央國企,在第一步資產臺賬的梳理時就深陷其中,大量設備無人認領,無人管理或所有人與使用人不匹配,部分系統雖然在線,到底有沒有運行,誰在維護,里面的數據有沒有用,有多大價值,在很多企業中都是老大難的問題,通常需要成立專項,由企業高層牽頭帶隊梳理,工具、制度、人力同時作用,才能看見成效。
· 數據分級分類,數據安全治理的前提條件開展系統性的數據分類分級工作,對部分行業如銀行、運營商、醫療等信息化和數字化開展較早,且業務依賴性和安全性要求較高的行業,均有相關的標準發布,對數據制定了統一的模板和格式,企業按照標準要求定義和使用數據,業務系統按照標準要求生成和采集數據即可,數據分級分類的大部分具體工作可由自動化或半自動化的工具協助完成,這些行業的數據分類分級只需要遵循行業標準的綱領性指導,按標準要求定義和生成數據,根據行業場景定義數據資產的存儲位置和共享方式,分類展示和劃分敏感等級,按需生成數據資產報告,按照標準定義要求導入導出數據資產,從而實現閉環的動態數據管理。而對于那些尚無明確標準的企業來說,數據分級分類的工作的開展就要困難的多,對多數企業來說數據分級分類是數據安全治理建設中一次性投入工作量最大的部分,除去大量的只能人工統計的資產盤點、數據盤點、業務邏輯盤點外,對已有系統而言,數據分類分級將不可避免的需要對原業務系統進行升級改造,而一旦升級改造過程出現業務中斷或其他事故的風險也是最大的,此外,一旦有行業有相關標準落地與之前的設計與理解有偏差時,企業又不得不進行二次改造,耗費巨大的人力、物力和財力。對尚無標準出臺的企業,我們仍建議企業進行相關的數據分類分級工作,把握最小風險、最小改動的保守原則,原則上只滿足企業對數據安全治理的最小合規要求,聘請有經驗的數據安全治理咨詢服務類團隊輔導,企業根據自身情況,針對關鍵系統和敏感數據做分級分類,滿足國家法律法規的底線要求。數據分級分類的重點工作放在合規遵從方面,較少考慮業務效能提升方面。
· 部署數據安全類防護工具,由于已有系統運行的企業占據絕大多數,而已發布數據安全治理標準的行業覆蓋不全的現狀,我們將接受和容忍未來一段時間內,企業數據安全治理體系不夠完備,一邊建設一邊完善的局面。這并不意味著不需要做數據安全治理體系化的頂層設計,相反,越是數據安全治理體系薄弱的企業和組織越需要做好頂層設計,一方面新業務新場景需要更清晰的數據邏輯和數據管理來提高業務效能,另一方面,與數據安全相關的法律法規的推出和落地,政企單位必須滿足合規要求,突擊型數據安全建設、單純的產品堆砌、盲目的照搬照抄,不僅無法應對隨時可能發生的數據安全事件,也無法有效保護業務數據。或者業務驅動,或者法律法規驅動,比較合理的解決方案是新系統在建設規劃階段就遵從和考慮數據安全治理的頂層設計,老系統一方面在后續的升級改造中盡可能向頂層設計靠齊,另一方面政企機構通過“盤清資產、精準防護、全局管控”構建三道防線,也可以在一定程度來破解數據安全防護難題,守好數據安全紅線。在進行數據資產盤點和數據分類分級的過程中,使用一些隱私計算、數據庫安全類產品及工具,可在元數據側形成第一道數據安全防線;同時使用類似特權賬號管理和API管理網關類產品及工具,實現對數據資產處置行為的審查、告警和攔截,發現API異常行為,提防外部攻擊,構筑第二道數據安全防線;以“零信任”策略為核心,實現“權限最小化”,降低被攻擊的風險,通過數據安全態勢感知,對各類安全日志進行研判,快速響應處置,構筑數據安全治理的第三道防線。數據安全治理的本質是以業務數據流動治理的視角指導和牽引企業的數據安全防護手段及策略,產品和工具的使用可以極大提升數據安全治理的效率。
· 動態運營,數據安全治理體系是一個長期的系統化工程,其終極目的是從治理的角度來優化業務,提升效能,從治理的角度來滿足法律法規的合規要求,實現長治久安。而信息化和數字化自身就是一個快速迭代技術快速更新的行業,在技術迭代和應用更新的過程中,將不斷出現新的數據形式和數據需求,需要在宏觀層面關注和更新,動態運營。在企業生產過程中,業務也是動態變化的,支撐業務的數字化體系也在發生變化,數字化體系中設備、人、業務流和數據流都會隨著業務邏輯和生產邏輯發生變化,那么數據的采集、交換、傳輸、共享的所有相關策略都應該發生相應變化,動態更新。同時,對已運行系統,數據安全治理體系的建設大概率是分批分級分層進行的,應秉承數據治理建設一批,納管一批,運營體系及策略更新一次的原則。
