随着大数据、云计算、物联网、移动互联网、人工智能等新一代信息技术的发展和与国民经济的融合,数字化时代已经到来并加速推动我国数字经济迈上新台阶。数字技术和人类生活交互融合,促使数据业务量呈现指数级爆发式增长,数据海量聚集,其安全性和隐私保护等问题正面临严峻的挑战。同时,敏感数据的泄露造成了巨大的经济损失和负面影响,甚至影响国家战略安全。
一、数字化时代数据安全面临新挑战
数字化新形势下,数据安全面临新挑战:
1、数据安全合规要求趋严趋紧:国家及地方监管机构共同监督数据应用合法合规,对数据安全合规建设提出诸多新要求。
2、大数据广泛应用,与民生紧密相关:大数据应用涉及经济民生、社会治安、国家安全等多个部门,广泛化和智能化的数据利用趋势使其面临越来越多的数据安全风险。
3、敏感数据存在大量开放、共享、交易、利用的需求:随着政府、公安、医疗、金融、运营商、能源、教育等基础设施行业的业务开展,涉及到敏感数据大量的应用需求,对数据安全提出更高要求。
4、数据深入参与实时调度指挥,影响深远:多源异构的数据在实时加工运算过程中发挥重要作用,对生产生活的决策优化调度影响深远,数据安全作为基础底座,更为重要。
5、更多新技术,对数据安全的风险和漏洞防护要求更高:5G、AI、云、中台、容器等技术大量应用,数据应用场景越来越复杂,数据安全风险识别和防护要求更高。
由于数据的可变性、流动性、应用场景的复杂性以及威胁的持续性,决定了数据安全治理的复杂性、艰巨性、长期性,近年来很多数据安全风险事件与缺乏完善的数据安全治理体系紧密相关。传统的安全建设理念难以应对数字化时代的数据安全风险,为了应对数据安全新挑战,应采用全新的运营理念进行数据安全建设。
二、数字化时代数据安全运营体系建设的理念和架构
传统网络安全建设理念是以网络边界安全为基础,构建安全可靠的网络环境;而数据安全,是以数据为中心,围绕数据全生命周期,实现数据安全的纵深防御。数据是流动的,所面临的风险也具有动态变化、持续发生等特性,在构建数据安全运营体系时,需要新的理念来应对新形势、新威胁、新挑战。
数字化时代数据安全运营体系建设的理念:以持续有效进行数据安全防护为核心,既要把握好与业务之前的紧密联系,又要兼顾效率与稳定可靠之间的平衡。主要由:2个基本原则、3个全面覆盖、2个平衡、2个引擎、2个坚持、2种能力组成。
1. 数字化时代数据安全运营体系建设理念的6个维度
(1)2个基本原则:对数据资产、风险的精准可视原则;对数据安全风险可控、安全措施可控原则;
(2)3个全面覆盖:数据安全治理要全面覆盖全数据形态、全生命周期、全流通环节;
(3)2个平衡:安全与可靠、安全与效率之间的平衡;
(4)2个引擎:利用大数据技术、人工智能技术作为数据安全运营的引擎;
(5)2个坚持:坚持对数据资产的动态测绘、坚持对风险的持续管控;
(6)2种能力:建立全息态势感知能力,进而形成联动联防的控制能力。
2. 数字化时代数据安全运营体系架构的4个关键组件
数据安全运营体系架构围绕数据安全运营目标,以数据安全组织体系为组织保障,以数据安全管理体系为规范指导,以数据安全技术体系为技术支撑,打造数据安全运营驾驶舱,构建数据安全闭环管控的体系架构。
(1)数据安全运营驾驶舱
通过提炼出相应的运营指标,落实到日常运营动作中,如持续监测、风险识别、安全防护、应急响应,再通过风险评估、定期审计、意识培训等考核监督手段,不断总结、完善、优化运营指标、日常运营动作,实现数据安全运营的PDCA循环。
(2)数据安全管理组织
当前无论是传统网络安全部门还是应用部门,都难以独立履行数据安全治理职责,在数据安全治理过程中,需要建立跨领域、懂数据、懂安全、懂业务,能为数据安全治理端到端负责的新组织。数据安全组织需要获得高层支撑指导,构建包括决策层、管理层、执行层、监督层的体系结构。
(3)数据安全管理体系
应围绕业务数据安全需求、法律法规合规要求等方面进行梳理,设置数据安全管理方针、管理办法、管理流程、详细表单,实现可度量、可预防、可管控、可测评的管理目标,同时,也要明确相应的保障机制,包括培训宣贯、优化完善、考核评价等。
(4)数据安全技术体系
应围绕数据生命周期中的安全问题,采用相应的安全技术能力、统一平台,建立全网进不来、拿不走、看不懂、改不了、走不脱的数据安全防护体系,实现全网数据安全态势感知、风险监测、持续保护。
三、数据安全运营体系建设的7项关键举措
为使数据安全运营体系真正落地,我们提出需要7项关键举措:
1. 数据安全运营指标设计
结合业界数据安全运营指标体系和业务场景制定个性化的数据安全运营指标,将数据安全事件驱动的效果演变成细粒度指标驱动的安全能力评估,落实数据安全运营指标评审,有效量化和指导数据安全运营体系建设和落地,提供决策依据,指导数据安全运营工作有序开展。
2. 数据资产动态测绘及持续分级
在数据安全治理过程中,第一步往往是了解数据资产本身,梳理数据分布情况及数据关联性。开展数据分类分级服务,持续完善和细化重要数据识别和数据分类分级规则,自动化的输出分类分级清单。同时,分类分级输出的结果也要落实到运营驾驶舱中,成为运营驾驶舱中重要的数据安全治理元数据,形成统一的、全网的数据安全控制策略。数据分类分级也应持续开展,动态测绘,保障数据分类分级结果的有效性。
3. 数据全流通环节安全防护
数据流通包括诸多环节,数据采集、数据存储、数据处理、数据应用、数据共享、数据交易、开发运维等,也会存在不同的流通场景,基于数据业务不断扩大,从单一业务、数据演变成跨系统、跨部门、跨业务等数据流动。每个流通环节和应用、场景的复杂度密切相关,需要区别对待,具体分析,详细设计数据安全防护方案,促进数据全流通环节安全防护。
4. 供应链环节中运维开发场景的安全管控
开发运维场景是供应链中重要的一环,由于第三方开发运维人员的操作权限较高,可以直接接触到敏感数据,无论是主动还是被动都有可能产生数据泄露风险,需要重点考虑此场景下敏感数据的安全。利用数据访问权限管控、数据去标识化、特权账号权限管理等技术手段,建立此场景下敏感数据安全防护机制。
5. 数据全生命周期安全防护
数据全生命周期包括数据采集、传输、存储、处理、交换、销毁等多个环节,各环节都面临着一些安全风险。利用接入控制、数据访问权限控制、敏感数据脱敏处理、数据水印溯源、监控审计等数据安全技术能力单元,辅助强化数据安全防护能力建设,实现贯穿数据全生命周期的安全防护。
6. 数据安全态势感知,联防联控
数据资产庞大,数据流动方向复杂且多样性,直接或间接导致数据泄露事件的频频发生,既有内外部攻击威胁,也有技术、管理层面的漏洞和缺陷。因此依靠仅靠单一的措施或功能难以全面防护。昂楷数据安全综合治理平台,利用大数据、人工智能的挖掘分析,形成数据资产分布地图、研判预防复杂的数据攻击、快速处理风险、优化安全策略,达成数据安全态势感知、合成作战、联防联通效果。
7. 数据安全持续稽核,巩固运营效果
数据所面临的威胁和风险是持续变化的,数据安全防护标准、数据攻击行为和方式均随时间不断演变,数据安全防护体系也不能一成不变。在数据安全运营过程中,要依据国家和行业的法律法规、组织制定的数据安全目标,通过数据安全能力稽核、风险评估、渗透测试、合规审计等措施,持续对数据安全防护效果进行稽核、优化,以保障数据安全防护效果。
四、数据安全运营体系的建设过程与成效
1. 开展数据安全运营体系建设的3个阶段
数据安全运营体系的建设是一个长期且复杂的过程,一次性建设会存在投入高、周期长、见效慢等问题,宜采用阶段式、逐步完善的方式,围绕组织、管理、技术、运营四个维度循序渐进地开展数据安全体系建设,逐步实现数据安全闭环管控。
(1)基础建设阶段
抓牢数据安全基础技术能力建设,建立数据安全管理、组织体系,开展数据分类分级工作,构建数据安全的基础体系。
(2)优化提升阶段
完善数据安全技术能力,迭代优化管理、组织,人员数据安全能力提升,数据安全风险评估,数据安全运营平台建设来进行优化提升。
(3)持续运营阶段
主要进行数据安全态势监测、数据安全应急演练、数据安全事件管理、数据安全运营指标考核、数据安全防护策略优化等。
数据安全运营体系的构建,具有统一管控、不重复建设、持续防护等特点,形成数据资产地图、数据权责相符、安全风险实时监测、安全事件快速处理、安全态势全局掌握,保障业务在安全的环境稳定运行、持续发挥数据价值。
2. 数据安全运营体系建设案例与成效
服务某省政务部门大数据平台建设,应对复杂数据安全挑战,保障业务可靠运行。
(1)用户现状
该部门大数据平台有几千个节点,涉密数据和高敏数据量庞大,需要进行分类分级管理;业务系统开发单位有上百家,开发、运维人员有上千人,均可接触到高敏数据,且流动性大,需要规范与审计这些人员的操作行为;特权账号人员众多,也可接触高敏数据,如果发生安全事件,无从查起。
(2)解决方案
从制度体系、技术体系、运营体系三方面开展数据安全体系化建设。
1)制度体系建设:协助进行数据安全运维体系和制度建设,从制度管理层面作出相应的规范要求。
2)技术体系建设:采用数据库防火墙对涉密数据、高敏数据进行权限管控,非授权人员不能访问;大数据库审计系统,对敏感业务大数据平台组件进行操作过程监管,建立访问模型分析及监控;数据脱敏系统,敏感数据自动扫描,分类管控,数据共享时进行去隐私化处理;数据安全综合治理平台,所有数据安全能力单元统一管理,二次分析,形成整体数据安全态势感知能力;
3)运营体系建设:定期组织对开发运维人员的数据安全培训,提升数据安全防范意识;派驻驻场人员对风险及时处置、策略优化、定期演练,以保证持续防护效果。
(3)方案效果
通过数据安全体系化建设,帮助该用户在全国率先解决了大数据平台下数据敏感程度高、涉敏应用多、运维人员复杂等安全挑战,达到数据安全风险可视、可控,有利保证关键数字化业务的可靠运行。
本报告作者
刘永波:昂楷科技董事长、全国工商联大数据运维(网络安全)委员、智慧城市数据安全专委会特聘专家
昂楷科技:深圳昂楷科技有限公司成立于2009年,总部位于深圳,是业内领先的数据安全治理产品及解决方案专业研发企业。已为医疗、政府、公检法司、电信运营商、电力、石化、互联网、先进制造等多个行业的4000多家客户提供了数据安全解决方案。构建了数据资产运营、行为模型运营、安全风险运营和安全策略运营四维形成运营度量“五位一体”的数据安全运营体系和数据安全综合治理平台、数据资产梳理系统、数据分类分级、数据库审计、数据库防火墙、数据脱敏、数据库漏扫、数据库状态监控、数据水印、集中管理平台和数据安全风险评估、数据库渗透测试服务等产品与解决方案,为客户提供全方位的数据安全治理服务。
声明:本文来自奇安信产业发展研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
