数据安全如何实现政策高要求与能力短板的差距跨越?
2023年1月16日,工信部、国家网信办、国家发展改革委等十六部门联合发布《关于促进数据安全产业发展的指导意见》(简称:《指导意见》)。3月7日,十四届全国人大一次会议,根据国务院关于提请审议国务院机构改革方案的议案,组建国家数据局。
《指导意见》的发布、国家数据局正式成立,分别从顶层政策设计、基础制度建设层面,统筹数字经济的“发展与安全”问题,为我国数据安全产业的发展提供指导和推动力。
未来,我国数字经济将进入专业化的发展推进阶段,数据产业将会迎来更加严格的数据安全标准和监管要求,推动数据安全在创新能力提升、标准体系建设、技术产品推广应用、产业生态构建等方面实现明显进展。
数据安全与合规成为数字经济持续增长的关键,一些政企机构依然存在重要数据管理水平不足、数据安全防范能力不够、数据泄露风险隐患突出的问题。
数字经济发展的更高安全能力需求,数据防护能力的现实短板,其间的差距如何弥补和跨越?政企数据安全如何分阶段实施,如何从管理和人才方面消除短板?
数据要素化需强化四项安全能力
在数据要素化的3个阶段的转变和4种形态中,数据安全贯穿整个价值链。其中3个阶段就是原始数据资源化,到数据资源要素化,再到数据要素产品化;4种形态就是原始数据,数据资源,数据要素,以及数据产品和服务。
在这个过程中,有几项能力需要突出和强化。
首先,需要加强核心技术的攻关。在数据要素化的整个过程中,从数据变成数据资源的时候,需要对数据进行采集、归集、存储、加工、使用等一系列的处理。我们过去的一些技术,要进一步提升。比如说,数据识别能力能够做的更加精准,对数据能做很好的分类分级;再比如说哪些数据能开放,哪些数据不能开放,哪些数据能够更加合理的去加工使用;这就需要在大数据的场景下,能够很好地做好适配,实现更多的智能化。同时,要是想让数据更有价值地流通起来,一定会是在我们不同的业务载体之间进行流转。如何让它合法合规且安全地流转,就非常关键了。
其次,需要完善的防护产品体系。数据安全不同于过去的网络安全,因为数据的载体会在终端里面,网络里面,云里面,也会在应用和服务之间流转。要想保护好它,就需要很多品类的产品对其进行安全的防护。产品体系的完善和全面是十分重要的。
第三,需要全新的体系化设计。《指导意见》谈到了两个很重要的点,一是产品能否适用不同规模的企业。第二是特定场景的解决方案,能否做到很好的匹配。尤其企业在数字化转型过程中,数据的环境发生变化。过去是在简单的数据库,今天它可能是大数据平台,或者是数据的中台,这里面就会需要一些新的体系化设计。
最后,需要与不同的新业态或新领域实现安全上的融合。比如5G、工业互联网、车联网等新场景,安全产品和方案能否适应这些新的场景,能否与新的数据的通信方式做到很好协同工作,能否把数据安全能力内置到这些业务的系统。
数据安全需要能力体系、内生安全、全流程防护
数据安全产品主要是为了满足数据安全的需求。市场上数据安全产品五花八门,原因是因为它的载体会在终端里、网络里,云里,并在这些应用和服务之间流转。数据在这些不同的载体之间流转,要想保护好它,就需要很多个品类的产品对其进行安全的防护。
因此,确保数据安全需要能力体系、内生安全、全流程防护。
1、数据安全产品并非单点技术,而是能力体系。数据本身的价值性、跨平台性和流动性促使数据安全体系建设必须抛弃传统的单点防御模式,而要采用全局治理的体系化建设思路。
2、数据安全产品需要实现安全内生。数据安全建设需要与应用数字化改造同步开展,通过三同步,将安全能力和举措植入到应用架构及数据平台中,与系统、应用和业务的每个层级深度融合。与传统端、网、云的安全防护不同,数据安全与业务逻辑有更多的交互,甚至将安全策略、安全控制融入业务逻辑,更能深刻体现内生安全的理念。
3、双视角的数据安全产品全流程防护。结合“业务流转”与“数据生命周期”,做到在数据生命周期的关键环节进行防护,如采集过滤、存储加密脱敏,使用精准控制;同时基于应用场景、业务逻辑和数据流转,梳理数据脉络,对数据使用进行动态细粒度权限精准管控,并对数据使用进行行为审计,加强数据访问行为与防护状态的监测、预警、响应处置。
数据安全需要构建产业生态圈。各行各业的数据和形态差别非常大,前期需要大量的人力物力来进行数据分级分类,只靠一个厂商显然是无法实现的。另外,当前仍处于探索期和高速成长期,细分领域的一些方案和一些产品,单一厂商也很难在这个时期实现完全覆盖。
对于政企客户而言,选择适合自身的专业数据安全公司,无疑至关重要。现在市场上数据安全厂商大概有几类:一大类是像奇安信这样的网络安全的综合厂商;第二大类是新兴的一些专注于数据安全细分领域的厂商;第三大类是原来做大数据相关的一些厂商。
数据安全防护需要全面的能力体系,哪家厂商的能力体系构建的更全,拥有的竞争优势越大。因此,相比而言,核心技术能力强的综合性厂商会拥有拥有更多优势,未来可能会把门槛就拉得越来越高。
总的来说,政企客户选择数据安全厂商,可以参考以下标准,第一是数据运行的技术环境本身,大数据平台和数据中台,对它的保护的能否做好;第二个是数据流转过程,整个访问控制层面防护的能力比较强;第三个就是对于数据的实体,像数据库文件,保护技术掌握的比较好;另外,对于隐私合规相关的工作,对风险的监测做的比较好。只有这几个方面都做的比较好,才能做出更加贴合于客户未来,实现支撑新场景的能力覆盖,厂商的安全能力与体系才能做到更全面。因此,总体来看,综合性的厂商优势会更明显一些。
三步走:企业数据安全实施之路
企业数据始终在不断的动态变化,在这个过程中,相关的软硬件就需要与之匹配,持续调整数据安全的治理和实施。
在治理层面,企业数据安全工作可从“管理、技术、运营”三方面来开展数据安全的治理与防护工作,基于数据应用场景、业务逻辑与数据的流转,以数据安全治理为前提,在进行数据安全组织建设、制度建设与数据资产梳理及分级分类的前提下,进行数据安全防护设计,并通过数据安全态势感知进行数据安全运营,从数据资产管理、数据流动态势、数据风险分析、用户行为分析等维度,促进数据安全治理的闭环形成,让数据安全能力与日俱增。
在实施层面,根据政企机构数字化程度、安全建设的不同阶段,数据安全的重点会有不同,可以分为三个阶段,每一个阶段需要有相应的产品技术为支撑。
(1)第一步:先理后治、补短固底,是当务之急
先理后治,梳理业务,识别重要资产。包括梳理业务系统,梳理、识别重要的数据资产,梳理关键的业务场景,梳理业务访问关系,梳理安全现状等。
补短固底,做好基础安全防护。围绕全国一体化政务大数据体系的环境和关键场景做风险分析以及能力设计,缓解风险措施,包括不限于:数据资产隔离保护,特权账号、特权会话管理(PAM、堡垒机)防止内部高权限人员数据泄密,数据审计,终端DLP,API安全监测,数据安全态势感知等。
(2)第二步:系统治理、体系规划,是重中之重
系统治理,分类分级。结合业务系统,对数据资产分类分级,识别高敏数据资产;识别数据主客体访问关系,梳理数据访问权限,绘制数据流转;制定相关制度、规范、流程等。
体系规划。包括战略目标制定,体系架构制定:管理体系设计、技术体系设计、运营体系设计,数据安全专项设计等。
(3)第三步:有序建设、持续运营,是长期保障
有序建设,主要指根据数据分类分级、数据流转,做分级管控和安全防护,包括不限于:数据流转的细粒度访问控制,API安全监测与防护,高敏数据的加密、脱敏、防泄漏等、数据审计等,态势感知,以及场景化方案(如个人信息保护,办公安全、运维安全、数据跨境安全,数据开放安全等)。
持续运营,核心是建设专家+流程+平台的运营体系,根据业务数据及风险情况调整安全策略,实现多源数据汇聚、数据流动监测、监测与分析、安全事件及时发现、审计溯源等做整体态势感知。
中国电信上海公司网络和信息安全部副总经理孙锦泉也持同样观点。他在接受媒体采访时曾表示,网络安全更侧重于终端主机、网络设备、云端等,看得见、摸得到,相对静态,而数据安全则有较强的流动性、交互性和传播性,因此更需要全生命周期的管控,以及实时动态的监管,对安全的体系化能力提出更高、更全面的要求。
孙锦泉强调,企业开展数据安全需要多管齐下,分别从技术、管理、运营这三个维度来稳步推进。技术产品再先进,没有与之匹配的运营团队,这些设备就很容易成为摆设。风险告警需要人来监控判断,威胁报告需要人来研判分析,因此,技术、管理、运营一个不能少。
未来:把握云上数据热点,弥补管理与人才短板
目前,数据安全新的创新和应用层出不穷。从技术创新上看,数据水印、数据溯源等产品处于萌芽期。根据信通院的报告,仅有15%的安全厂商推出了数据水印、溯源产品;相比之下,56%的安全厂商提供数据脱敏产品。由此可见,数据水印、溯源等产品仍处于研究探索阶段。
隐私计算产品商用化处于起步阶段,安全隐患不容小觑。目前隐私计算产品的商业化应用主要集中于金融行业,其他行业应用较少。市面上多数隐私计算产品存在安全问题。根据信通院的报告,主流的20余款隐私计算产品的安全检测结果,80%的产品在算法与交换协议方面存在安全隐患,可能导致数据泄露。
从新技术的应用落地来看,云上数据安全成为热点。欧美等发达国家云业务开展较为广泛,数据安全依托云平台得以快速部署与复制。安全产品覆盖云存储安全、跨平台数据安全、数据安全虚拟化防护等方面。同时,人工智能、大数据等技术赋能数据安全。IBM、谷歌等厂商开始尝试利用人工智能技术在数据处理方面的优势,开发面向物联网、智能驾驶等复杂应用,以期更加高效的解决特定场景下的数据安全风险。
除了技术之外,数据安全产业还应该在管理、人才等方面发力,消除组织与人才短板。
从管理角度,可以在组织制度和流程上进行优化。由于数据在各业务系统之间流转,需要设立高级管理层参与决策的数据安全管理部门,统筹和规划多部门之间的工作;需要设立跨组织的数据管理协调部门,以确保制度、流程、技术等方面的落地。结合法律法规、合规监管,制定基础结构安全管理办法及配置管理指南,身份与权限管理办法,数据安全管理办法及数据分类分级原则和方法,个人信息保护管理办法及流程,事件应急响应管理及流程,审计管理业务连续性保障管理及流程。
从人才方面,数据安全领域还属于新兴领域,人才缺口较大。推动数据安全相关学科专业建设,强化课程体系、师资队伍和实习实训等。推进通过职业资格评价、职业技能等级认定、专项职业能力考核等,建立健全数据安全人才选拔、培养和激励机制,遴选推广一批产业发展急需、行业特色鲜明的数据安全优质培训项目。