2023年1月16日,工信部、國家網信辦、國家發展改革委等十六部門聯合發布《關于促進數據安全產業發展的指導意見》(簡稱:《指導意見》)。3月7日,十四屆全國人大一次會議,根據國務院關于提請審議國務院機構改革方案的議案,組建國家數據局。
《指導意見》的發布、國家數據局正式成立,分別從頂層政策設計、基礎制度建設層面,統籌數字經濟的“發展與安全”問題,為我國數據安全產業的發展提供指導和推動力。
未來,我國數字經濟將進入專業化的發展推進階段,數據產業將會迎來更加嚴格的數據安全標準和監管要求,推動數據安全在創新能力提升、標準體系建設、技術產品推廣應用、產業生態構建等方面實現明顯進展。
數據安全與合規成為數字經濟持續增長的關鍵,一些政企機構依然存在重要數據管理水平不足、數據安全防范能力不夠、數據泄露風險隱患突出的問題。
數字經濟發展的更高安全能力需求,數據防護能力的現實短板,其間的差距如何彌補和跨越?政企數據安全如何分階段實施,如何從管理和人才方面消除短板?
數據要素化需強化四項安全能力
在數據要素化的3個階段的轉變和4種形態中,數據安全貫穿整個價值鏈。其中3個階段就是原始數據資源化,到數據資源要素化,再到數據要素產品化;4種形態就是原始數據,數據資源,數據要素,以及數據產品和服務。
在這個過程中,有幾項能力需要突出和強化。
首先,需要加強核心技術的攻關。在數據要素化的整個過程中,從數據變成數據資源的時候,需要對數據進行采集、歸集、存儲、加工、使用等一系列的處理。我們過去的一些技術,要進一步提升。比如說,數據識別能力能夠做的更加精準,對數據能做很好的分類分級;再比如說哪些數據能開放,哪些數據不能開放,哪些數據能夠更加合理的去加工使用;這就需要在大數據的場景下,能夠很好地做好適配,實現更多的智能化。同時,要是想讓數據更有價值地流通起來,一定會是在我們不同的業務載體之間進行流轉。如何讓它合法合規且安全地流轉,就非常關鍵了。
其次,需要完善的防護產品體系。數據安全不同于過去的網絡安全,因為數據的載體會在終端里面,網絡里面,云里面,也會在應用和服務之間流轉。要想保護好它,就需要很多品類的產品對其進行安全的防護。產品體系的完善和全面是十分重要的。
第三,需要全新的體系化設計。《指導意見》談到了兩個很重要的點,一是產品能否適用不同規模的企業。第二是特定場景的解決方案,能否做到很好的匹配。尤其企業在數字化轉型過程中,數據的環境發生變化。過去是在簡單的數據庫,今天它可能是大數據平臺,或者是數據的中臺,這里面就會需要一些新的體系化設計。
最后,需要與不同的新業態或新領域實現安全上的融合。比如5G、工業互聯網、車聯網等新場景,安全產品和方案能否適應這些新的場景,能否與新的數據的通信方式做到很好協同工作,能否把數據安全能力內置到這些業務的系統。
數據安全需要能力體系、內生安全、全流程防護
數據安全產品主要是為了滿足數據安全的需求。市場上數據安全產品五花八門,原因是因為它的載體會在終端里、網絡里,云里,并在這些應用和服務之間流轉。數據在這些不同的載體之間流轉,要想保護好它,就需要很多個品類的產品對其進行安全的防護。
因此,確保數據安全需要能力體系、內生安全、全流程防護。
1、數據安全產品并非單點技術,而是能力體系。數據本身的價值性、跨平臺性和流動性促使數據安全體系建設必須拋棄傳統的單點防御模式,而要采用全局治理的體系化建設思路。
2、數據安全產品需要實現安全內生。數據安全建設需要與應用數字化改造同步開展,通過三同步,將安全能力和舉措植入到應用架構及數據平臺中,與系統、應用和業務的每個層級深度融合。與傳統端、網、云的安全防護不同,數據安全與業務邏輯有更多的交互,甚至將安全策略、安全控制融入業務邏輯,更能深刻體現內生安全的理念。
3、雙視角的數據安全產品全流程防護。結合“業務流轉”與“數據生命周期”,做到在數據生命周期的關鍵環節進行防護,如采集過濾、存儲加密脫敏,使用精準控制;同時基于應用場景、業務邏輯和數據流轉,梳理數據脈絡,對數據使用進行動態細粒度權限精準管控,并對數據使用進行行為審計,加強數據訪問行為與防護狀態的監測、預警、響應處置。
數據安全需要構建產業生態圈。各行各業的數據和形態差別非常大,前期需要大量的人力物力來進行數據分級分類,只靠一個廠商顯然是無法實現的。另外,當前仍處于探索期和高速成長期,細分領域的一些方案和一些產品,單一廠商也很難在這個時期實現完全覆蓋。
對于政企客戶而言,選擇適合自身的專業數據安全公司,無疑至關重要。現在市場上數據安全廠商大概有幾類:一大類是像奇安信這樣的網絡安全的綜合廠商;第二大類是新興的一些專注于數據安全細分領域的廠商;第三大類是原來做大數據相關的一些廠商。
數據安全防護需要全面的能力體系,哪家廠商的能力體系構建的更全,擁有的競爭優勢越大。因此,相比而言,核心技術能力強的綜合性廠商會擁有擁有更多優勢,未來可能會把門檻就拉得越來越高。
總的來說,政企客戶選擇數據安全廠商,可以參考以下標準,第一是數據運行的技術環境本身,大數據平臺和數據中臺,對它的保護的能否做好;第二個是數據流轉過程,整個訪問控制層面防護的能力比較強;第三個就是對于數據的實體,像數據庫文件,保護技術掌握的比較好;另外,對于隱私合規相關的工作,對風險的監測做的比較好。只有這幾個方面都做的比較好,才能做出更加貼合于客戶未來,實現支撐新場景的能力覆蓋,廠商的安全能力與體系才能做到更全面。因此,總體來看,綜合性的廠商優勢會更明顯一些。
三步走:企業數據安全實施之路
企業數據始終在不斷的動態變化,在這個過程中,相關的軟硬件就需要與之匹配,持續調整數據安全的治理和實施。
在治理層面,企業數據安全工作可從“管理、技術、運營”三方面來開展數據安全的治理與防護工作,基于數據應用場景、業務邏輯與數據的流轉,以數據安全治理為前提,在進行數據安全組織建設、制度建設與數據資產梳理及分級分類的前提下,進行數據安全防護設計,并通過數據安全態勢感知進行數據安全運營,從數據資產管理、數據流動態勢、數據風險分析、用戶行為分析等維度,促進數據安全治理的閉環形成,讓數據安全能力與日俱增。
在實施層面,根據政企機構數字化程度、安全建設的不同階段,數據安全的重點會有不同,可以分為三個階段,每一個階段需要有相應的產品技術為支撐。
(1)第一步:先理后治、補短固底,是當務之急
先理后治,梳理業務,識別重要資產。包括梳理業務系統,梳理、識別重要的數據資產,梳理關鍵的業務場景,梳理業務訪問關系,梳理安全現狀等。
補短固底,做好基礎安全防護。圍繞全國一體化政務大數據體系的環境和關鍵場景做風險分析以及能力設計,緩解風險措施,包括不限于:數據資產隔離保護,特權賬號、特權會話管理(PAM、堡壘機)防止內部高權限人員數據泄密,數據審計,終端DLP,API安全監測,數據安全態勢感知等。
(2)第二步:系統治理、體系規劃,是重中之重
系統治理,分類分級。結合業務系統,對數據資產分類分級,識別高敏數據資產;識別數據主客體訪問關系,梳理數據訪問權限,繪制數據流轉;制定相關制度、規范、流程等。
體系規劃。包括戰略目標制定,體系架構制定:管理體系設計、技術體系設計、運營體系設計,數據安全專項設計等。
(3)第三步:有序建設、持續運營,是長期保障
有序建設,主要指根據數據分類分級、數據流轉,做分級管控和安全防護,包括不限于:數據流轉的細粒度訪問控制,API安全監測與防護,高敏數據的加密、脫敏、防泄漏等、數據審計等,態勢感知,以及場景化方案(如個人信息保護,辦公安全、運維安全、數據跨境安全,數據開放安全等)。
持續運營,核心是建設專家+流程+平臺的運營體系,根據業務數據及風險情況調整安全策略,實現多源數據匯聚、數據流動監測、監測與分析、安全事件及時發現、審計溯源等做整體態勢感知。
中國電信上海公司網絡和信息安全部副總經理孫錦泉也持同樣觀點。他在接受媒體采訪時曾表示,網絡安全更側重于終端主機、網絡設備、云端等,看得見、摸得到,相對靜態,而數據安全則有較強的流動性、交互性和傳播性,因此更需要全生命周期的管控,以及實時動態的監管,對安全的體系化能力提出更高、更全面的要求。
孫錦泉強調,企業開展數據安全需要多管齊下,分別從技術、管理、運營這三個維度來穩步推進。技術產品再先進,沒有與之匹配的運營團隊,這些設備就很容易成為擺設。風險告警需要人來監控判斷,威脅報告需要人來研判分析,因此,技術、管理、運營一個不能少。
未來:把握云上數據熱點,彌補管理與人才短板
目前,數據安全新的創新和應用層出不窮。從技術創新上看,數據水印、數據溯源等產品處于萌芽期。根據信通院的報告,僅有15%的安全廠商推出了數據水印、溯源產品;相比之下,56%的安全廠商提供數據脫敏產品。由此可見,數據水印、溯源等產品仍處于研究探索階段。
隱私計算產品商用化處于起步階段,安全隱患不容小覷。目前隱私計算產品的商業化應用主要集中于金融行業,其他行業應用較少。市面上多數隱私計算產品存在安全問題。根據信通院的報告,主流的20余款隱私計算產品的安全檢測結果,80%的產品在算法與交換協議方面存在安全隱患,可能導致數據泄露。
從新技術的應用落地來看,云上數據安全成為熱點。歐美等發達國家云業務開展較為廣泛,數據安全依托云平臺得以快速部署與復制。安全產品覆蓋云存儲安全、跨平臺數據安全、數據安全虛擬化防護等方面。同時,人工智能、大數據等技術賦能數據安全。IBM、谷歌等廠商開始嘗試利用人工智能技術在數據處理方面的優勢,開發面向物聯網、智能駕駛等復雜應用,以期更加高效的解決特定場景下的數據安全風險。
除了技術之外,數據安全產業還應該在管理、人才等方面發力,消除組織與人才短板。
從管理角度,可以在組織制度和流程上進行優化。由于數據在各業務系統之間流轉,需要設立高級管理層參與決策的數據安全管理部門,統籌和規劃多部門之間的工作;需要設立跨組織的數據管理協調部門,以確保制度、流程、技術等方面的落地。結合法律法規、合規監管,制定基礎結構安全管理辦法及配置管理指南,身份與權限管理辦法,數據安全管理辦法及數據分類分級原則和方法,個人信息保護管理辦法及流程,事件應急響應管理及流程,審計管理業務連續性保障管理及流程。
從人才方面,數據安全領域還屬于新興領域,人才缺口較大。推動數據安全相關學科專業建設,強化課程體系、師資隊伍和實習實訓等。推進通過職業資格評價、職業技能等級認定、專項職業能力考核等,建立健全數據安全人才選拔、培養和激勵機制,遴選推廣一批產業發展急需、行業特色鮮明的數據安全優質培訓項目。
中國信息安全
信息安全與通信保密雜志社
黑白之道
CNCERT國家工程研究中心
D1Net
信息安全與通信保密雜志社
一顆小胡椒
D1Net
中國信息安全
D1Net
信息安全與通信保密雜志社
商密君
