杨大力 孙鹏科
随着近年信息经济发展,数据价值的重要性已经得到各界广泛认同,2020年4月9日,中共中央、国务院公布《关于构建更加完善的要素市场化配置体制机制的意见》(简称“意见”),明确要素的范畴为土地、劳动力、资本、技术、数据。数据作为一种新型生产要素被提升至前所未有的高度,数据将充分发挥对其它要素效率的倍增作用,成为推动经济高质量发展的新动能,关系经济增长长期动力,关系国家发展未来。
国家出台了系列政策标准,推动数据治理和安全保护工作。中共中央办公厅、国务院办公厅2016年7月印发《国家信息化发展战略綱要》(简称“《纲要》”),要求将信息化贯穿我国现代化进程始终,加快释放信息化发展的巨大潜能,以信息化驱动现代化,加快建设网络强国。《纲要》是规范和指导未来10年国家信息化发展的纲领性文件,其中明确提出“建立信息资源基本制度体系。探索建立信息资产权益保护制度,实施分级分类管理,形成重点信息资源全过程管理体系”;《信息安全技术网络安全等级保护基本要求》(GB/T 25070-2019)(简称“《等保2.0》”)明确要求网络运营单位“应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理”,提出对重要数据资产进行分类、分级管理;《意见》要求推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。国家最新发布的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(简称“《规范》”)于2020年10月1日实施, 《规范》要求“个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改”。
伴随数据呈现的价值越来越高,数据面临的风险急剧加大,近年来各企事业单位的重要数据被外部人员窃取、内部人员恶意泄漏和无意泄漏的事件层出不穷,数据安全愈发引起管理者的高度重视,对数据安全投入也持续增长。国际调查研究机构ESG在疫情背景下发布了2020年度企业IT投入调查报告,从调查结果看,62%的机构将在2020年增加网络安全投入,来加强网络安全防护与管控措施。网络安全投入的四个重点领域占比:用于检测威胁的人工智能/机器学习(32%);数据安全(31%);网络安全(30%);云应用安全(27%)。可见数据安全的投入超过了网络安全,数据安全管控点正在经历从传统网络安全到内容安全的转变,防止单位内部敏感数据泄露已成为各单位安全防护监管的重点。
终端(指泛终端概念,包括计算机终端、虚拟云桌面、手机移动端、PAD等)是数据之始、交互之所、沉积之地。绝大多数重要文件均在终端上起草、编辑、审阅,也是通过终端与终端、服务器、数据库、应用系统进行数据访问、传递、维护与管理,终端上驻留了大量的历史数据和操作痕迹。数据泄漏事件往往与终端密不可分,业务用户、数据运维分析人员内部泄密的主要方式是将敏感数据下载到客户端,并进行加工处理,最终通过外设接口导出(如USB、光驱等)或软件外发(如交互软件、邮件等);黑客等外部人员窃密的主要方式是以终端为跳板,直接或间接获取终端、文件服务器、数据库和应用系统中的数据。据统计,2018年我国终端安全产品市场规模已达百亿元,相关咨询机构预测到2023年终端安全产品市场规模将达400亿元。数据是终端安全保护的核心内容,企事业单位对终端数据安全防护监管的重视程度不断提高,终端数据治理与安全防护恰逢其时。
如何高效保护终端数据的安全成为当务之急。数据安全风险存在于数据采集、传输、存储、处理、共享交换及销毁的整个数据生命周期。在数据生命周期中,应及时评估潜在的数据安全风险,制定有效、合理的数据安全技术策略、措施,从而降低数据泄露风险,实现数据泄漏保护和数据丢失防护,形成面向用户、面向业务应用的基础文件与数据服务的安全运营平台。结合Gartner数据安全治理总体框架,终端数据治理与安全防护应重视数据分类分级能力、监控审计能力和大数据分析能力;通过数据分类分级管理、在线分类梳理、用户及组织管理、识别规则及策略管理、集中进行事件监控、处理、审计和统计分析,同时配合对异常行为、外部威胁的监管响应控制,实现对终端数据内容扫描发现、分类分级、数据分布、追踪溯源、威胁检测响应等功能。同时随着云技术的应用和发展,本地终端数据将逐步与云端数据同步处理,因此终端数据安全框架体系应涵盖云端处理的数据治理与防护。
终端中存储的数据中包含了个人信息,在开展数据治理与安全防护工作中要充分考虑个人信息保护工作,产品设计开发应满足国家的相关标准规范要求。如《规范》要求“涉及通过界面展示个人信息的(如显示屏幕、纸面),个人信息控制者应对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险”、“在向个人信息主体提供业务功能的过程中使用个性化展示的,应建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力”;《等保2.0》明确运营单位“应仅采集和保存业务必需的用户个人信息”、“应禁止未授权访问和非法使用用户个人信息”。
国家对数据安全的高度重视及企事业单位国有数据安全的内在需求提速发展,终端数据治理与安全防护产业迎来发展机遇期。数据安全相关企业需持续围绕“数据”生产要素这一核心驱动力,结合新时代发展需求,设计出源于用户又高于用户需求的数据安全类产品,形成涵盖终端、网络、应用、数据库、云平台的整体安全解决方案,做好“保镖式”贴身服务。
作者单位:中孚信息(北京)研究院