关于构建数据安全生态圈的研究与实践

曾令平 李 凯 杨浩淼

1(神州绿盟成都科技有限公司 成都 610213)

2(北京神州绿盟科技有限公司 北京 100089)

3(电子科技大学 成都 611731)

数字经济的发展离不开对数据安全的保障，当前发展过程中显露出来的数据安全问题阻碍着数字经济的发展.此外，一些网络安全问题聚化为数据安全问题，如跨境数据流动、数据泄露等.Risk Based Security公司的数据显示，2020年3个季度数据泄露的总数达到360亿条[1].与此同时，数据垄断、数据滥用、数据权属、数据流通等新型问题也进入研究和管理视野[2].

美国、欧盟、中国等陆续出台的重要政策和执法措施越来越聚焦“数据安全”和“隐私保护”.欧盟发布了《通用数据保护条例》(General Data Protection Regulation, GDPR)[3]；美国加利福尼亚州公布了《加利福尼亚州消费者隐私法案》(California Consumer Privacy Act, CCPA)[4]；中国则颁布了《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)和《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)，这3部法律在立法定位上坚持总体国家安全观，共同构成了我国数据新秩序下的三驾马车.与此同时，截止到2021年8月，全国信息安全标准化技术委员会(TC260)围绕数据安全和个人信息保护发布9项、在研22项国家标准[5].这一系列操作对数据商业化利用与公民个人信息保护之间的关系进行了规则约束，保护了数据和公民个人信息安全，维护了国家安全和公民合法权益，对数字经济发展起到了极大的推动作用.

随着国家政策、法律法规逐渐完善，传统安全企业布局正悄然发生转变，互联网头部企业开始布局网络安全领域，网络安全厂商、电信运营商、设备厂商以及一些新生的独角兽企业都不同程度聚焦在5G安全、数据安全、安全合规等前沿热点领域和方向.在“十四五”规划的征求意见稿中，“数据”一词出现了60余次.随着新基建的不断发展以及数据开放的齿轮不断加快，在合规的前提下，数据业务所带来的价值将是巨大的.智慧城市、智慧医疗、智能配送等都在运用大数据分析技术，数据价值已成为一种新常态.

1 数据安全概述

随着我国《网络安全法》、《数据安全法》和《个人信息保护法》的制定与实施，合规性已成为数据安全治理与建设的重要驱动力.在数据安全合规视角下，数据安全的需求和驱动力发生了根本性的改变.因此，本文以《网络安全法》正式实施为分界线，将数据安全治理与建设分为2个阶段：无合规性需求与有合规性需求，并分别定义为数据安全1.0与数据安全2.0阶段[6].2个阶段的比较如表1所示：

表1 数据安全2个阶段比较

在数据安全2.0阶段，开展数据安全治理与建设主要有3个驱动力：合规驱动、风险驱动和业务驱动，数据安全合规性已成为其中最重要的驱动力.因此，本文将从构建数据安全生态圈基本框架以及各层级的基本内容出发，结合落地实践经验，提出数据安全建设落地执行路径.

2 数据安全生态圈的定义

在网络安全领域，已经提出构建由中央网络安全与信息化委员办公室统一领导、网络安全主管部门协调负责、各相关部门齐抓共管、网络行业组织积极推动、网络公司主动履责、网民及社会各界广泛参与的“六位一体”网络安全生态圈[7].借助网络安全生态圈的构建思路，本文提出的数据安全生态圈是指全民共同守护、全社会共同参与、全世界合作互融，以“1个中心，2个循环，3个体系，5个关键，8大路线”为顶层设计的数据安全生态融合体系，如图1所示.该体系相互影响、相互制约、相互信任、不断演变，并在一定时期内处于相对稳定的动态平衡状态.

图1 数据安全生态圈架构

3 数据安全生态圈的构成

3.1 1个中心

《信息安全技术 数据安全能力成熟度模型》[8](以下简称“DSMM”)以数据为中心，重点围绕数据生命周期，从组织建设、制度流程、技术工具、人员能力4个维度给出了组织数据安全能力的成熟度模型架构.基于DSMM思想，提出以数据安全防护为中心的数据安全生态圈建设目标，围绕数据处理活动展开安全防护，实现组织数据安全治理与能力建设.

3.2 2个循环

在组织数据安全治理与能力建设上要实现“双循环”新格局，“双循环”可解释为“内循环”和“外循环”.“内循环”指组织需选择适合自身的数据安全建设体系，从管理、技术、运营等不同维度出发，不断获得相对安全；“外循环”是指在“内循环”的基础上，随着数字产业化的不断发展和完善，组织的数据业务通过合法合规的流动产生价值，为组织带来数字红利.

3.3 3个体系

管理和技术不分家，两者相辅相成.管理和技术的不断融合需要持续运营和不断优化调整，以实现持续自适应的数据安全防护能力.对于不同数据责任主体，数据安全体系建设的工作目标和侧重点也有所不同.参照《电信和互联网行业数据安全标准体系建设指南》[9]、DSMM等标准，借鉴行业最佳实践，对组织提出建设包含管理体系、技术体系和运营体系的数据安全体系.

3.3.1 管理体系

从组织管理视角出发，通过对政策法规、标准规范及行业主管部门的管理要求进行解读，管理体系设计主要从组织建设、管理策略与制度、管理流程和能力认证4个维度进行横向扩展，再对每个维度进行纵向细分，形成可落地执行的数据安全管理体系，如图2所示.

图2 数据安全管理体系设计

3.3.2 技术体系

数据安全技术体系是数据安全实践工作的保障条件，也是数据安全管理的辅助手段.数据安全技术体系设计从数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁的全生命周期出发，综合组织所有安全域进行整体规划，并考虑需要具备的技术手段和工具，如图3所示.

图3 数据安全技术体系设计

3.3.3 运营体系

数据安全治理与能力建设是一个长期持续的过程，需要在组织内持续落实数据安全管理和技术要求，并基于组织的自身特点、具体业务场景和技术发展不断调整和优化，形成数据安全运营长效机制，为数据安全风险评估、报告、信息共享、监测预警、处置等提供能力支撑.数据安全运营体系设计由浅入深主要分为4个层级：数据监测、常态管控、风险预警、持续改进，如图4所示：

图4数据安全运营体系设计

3.4 5个关键

在进行数据安全体系整体规划和设计时，需根据组织具体业务和应用场景等合理进行.在此过程中，需注意以下5个关键点.

3.4.1 顶层数据安全标准的制定

数据安全标准的制定遵循层级式设计理念.依据政策法规、标准规范和行业要求，结合实际业务需求，制定数据安全管理标准四级框架，形成一套完整的、可操作的管理制度和管理流程，确保数据安全工作有法可依、有规可循.

3.4.2 组织建设与人员能力支撑

进行数据安全管理首先要成立专门的数据安全管理的组织机构，以明确数据安全管理的政策，落实和监督由谁长期负责，确保数据安全管理的有效落实.组织机构可按照决策层、管理层、执行层、监督层这4个层级进行设计，在具体执行过程中，可赋予已有安全团队与其他相关部门数据安全管理的工作职能，或寻求第三方专业团队开展工作.在人员能力支撑方面，已经有关于网络安全行业特殊人才的提案，且近期国家主管部门也在统筹制定人才认定的标准.组织在培养数据安全人员能力时，需要重点关注以下4个能力：数据安全管理能力、数据安全技术能力、数据安全运营能力和数据安全合规能力.

3.4.3 数据安全管理基线标准化

数据安全管理基线(以下简称“数据安全基线”)可以理解为数据安全管理要求，是指组织开展数据处理活动和有关平台系统应遵循的原则和安全保护要求，包括组织保障、制度建设、规范与流程建立等管理性要求，规范执行相关配套技术性要求，以及实行数据安全运营的可持续性要求.国务院2021年度立法工作计划就包括制定数据安全管理条例[10]，2020年TC260发布的《信息安全技术 网络数据处理安全规范》(征求意见稿)[11]也提出了网络运营者利用网络开展数据处理活动应遵循的规范和安全要求.因此，数据安全基线标准化势在必行，如图5所示：

图5 数据安全基线标准化

3.4.4 工具定制开发与自主创新

多年来，国内外大环境的不断变化为信创产业的诞生创造了绝佳时机.信创产业是数据安全、网络安全的基础，也是“新基建”的重要内容.无论是网络基础设施建设主体、设备厂商、安全厂商还是其他各家企业，都需要有自主创新思维和自主研发能力，构建起自己的产业标准和生态，逐渐摆脱西方国家的技术限制[12].

3.4.5 数据安全一体化安全运营

数据流动才能产生价值，数据安全的有效流动需要通过建设数据安全一体化安全运营机制来保障.Gartner发布的2021年10大数据和分析趋势之一便是XOps，其目标是运用DevOps的最佳实践实现效率和规模经济，在保证可靠性、可重用性和可重复性的同时，减少技术和流程的重复并实现自动化.XOps使企业机构能够通过数据和分析的运营化推动业务价值的实现[13].

2021年3月19日，绿盟科技正式发布智慧安全3.0理念体系.该理念体系提出以体系化建设为指引，构建“全场景，可信任，实战化”的安全运营能力，达到“全面防护，智能分析，自动响应”的防护效果.可见，数据安全一体化安全运营已不再遥远，其将逐渐成为一种新趋势、新业态.

3.5 8大路线

数据安全生态圈建设的有效落地需要先做好计划，然后实施，实施中进行复核检测，进而改进，如此反复阶梯式完成，形成一个螺旋式上升的PDCA循环.因此便有了以下8大路线：协调战略 、制定行动计划(P)、多方参与、启动基线控制(D)、策略执行与下发、监测与创新(C)、安全运营、评估和优化(A).这8大路线包含2条逻辑链路，一条是“技管并重，分级防护”，即确定统一的数据安全战略与方针，制定多部门共同参与的机制，采用管理和技术相结合的方式，针对数据资产和数据应用场景采取差异化的管控措施，建立持续自适应的数据安全风险和信任评估机制，合理选择安全控制方式，有效降低数据安全风险.另一条是“集中运营，循序渐进”，即建立层次化的数据安全管理组织和集中的数据安全管控措施，全面覆盖数据安全治理与能力建设各个领域，实现可度量、可管理、可改进的集中运营保障体系，为业务的平稳运行提供可信的数据安全支撑环境.

通过以上8大路线的2条逻辑链路的落地实施，最终形成完善的、有效衔接的、响应及时的和运转高效的数据安全生态运营体系.

4 数据安全KPI指标体系实践

近年来，我国不断出台数据安全和个人信息保护法律、法规和相关政策.例如，《网络安全法》聚焦网络安全方向，维护网络空间良好生态；《数据安全法》是数据领域的基础性法律，强调了保障数据安全与促进数据开发利用并重；《民法典》设立专章规范隐私权和个人信息保护，提出个人信息权益并将其定位为人格属性；《个人信息保护法》是针对个人信息保护的专门法律，兼顾个人信息的安全和利用；《信息安全技术 个人信息安全规范》[14]也是针对个人信息安全，提供了具有可操作性的指引，规范了个人信息处理活动应遵循的原则和安全要求.

本文将根据上述政策法规及标准规范，从数据安全KPI指标体系设计入手，进一步分析数据安全体系建设可落地执行的路径，包括KPI指标体系模型、KPI指标体系总体框架以及数据安全评价指标和评价要素[15]等.

4.1 KPI指标体系模型

目前，无论是国家层面还是行业实践，都暂未形成带有考核性质的数据安全KPI指标体系标准.因此，从保障数据安全持续优化改进的角度出发，参考智慧城市评价模型[15]以及《数据安全治理能力评估方法》[16]，拟在规划数据安全体系建设全景图的基础上，研究设计符合组织管理、技术、运营特点的数据安全KPI指标体系模型.模型主要由能力类指标、成效类指标和运营类指标组成，如图6所示.

图6 数据安全KPI指标体系模型

4.2 KPI指标体系总体框架

根据数据安全KPI指标体系模型，数据安全KPI指标体系总体框架如图7所示.

图7 数据安全KPI指标体系总体框架

在数据安全KPI指标体系总体框架中，能力类、成效类及运营类指标所涉及的各个方面均为一级指标，每个一级指标包含若干二级指标评价要素，每个二级指标评价要素代表对一级指标某个侧重面的考量依据.总体框架共包含13个一级指标、 46个二级指标评价要素.二级指标评价要素的确立可根据当年政策法规及组织自身管理要求动态变化，以适应数据安全与业务的健康发展.

4.3 评价指标和评价要素

根据数据安全KPI指标体系总体框架，这里仅对能力类一级指标下的二级指标评价要素进行部分列举和说明，如表2所示：

表2 能力类一级指标下的二级指标评价要素

5 结束语

2021年是“十四五”开局之年，也是构建数据新次序的开篇之年.国家层面既针对数据安全和个人信息保护领域制定立法依据，也针对安全人才培养和认定、安全意识提升等提供认证渠道，这对数据安全治理与能力建设起到很大的推动作用.在有条不紊地推进数据安全生态圈落地实施的同时，应将数据安全与健康发展、维护用户合法权益等作为组织必不可少的内容，确保数据合法有序地流动、共享、交易，积极推动自身数字化转型升级和业务增长.