筑牢数字安全屏障

2023年伊始印发的《数字中国建设整体布局规划》（以下简称“规划”），将数字安全屏障和数字技术创新体系并列为强化数字中国的“两大能力”，要求“筑牢可信可控的数字安全屏障，切实维护网络安全，完善网络安全法律法规和政策体系。增强数据安全保障能力，建立数据分类分级保护基础制度，健全网络数据监测预警和应急处置工作体系。”

数据是一切数字化发展的基石，与数字产业发展相辅相成。安全和发展的辩证关系更是相伴相随、相互促进的。只有数据的安全得到保障，数据的流通才能顺畅，才能充分发挥数据价值，促进数字经济发展。

政务数据安全治理、公共数据授权运营、行业数据深化应用、数据要素价值释放等，都在考验政企对数据的应用和安全保障能力。数据安全需要贴近数字化痛点和业务场景，真正让业务放心大胆地把数据使用起来，才能推动实现数字化转型及数字经济发展。

就数据业务应用场景而言，各行各业均有不同的特点。《关于加强数字政府建设的指导意见》明确指出，以数字化改革动力政府职能转变，构建开放共享的数据资源体系。随着数字化手段的深入应用，政府治理正朝着更加科学、高效的方向发展，数据流通、共享和开放成为数字政府的刚性业务需求。这其中伴随数据资源归集共享和数据开发利用过程中的数据安全监管问题、数据流通共享的安全风险、数据安全管理和运营不完善等问题。

安恒信息董事长范渊提出，在数字中国建设的时代背景下，要建立“高远、平远、深远”的三维立体数字安全观，从单一模块的网络安全进化到系统化、一体化、协同化、场景化、数智化的数字安全模式。

这一数字安全模式采用数据安全治理体系路线。首先，是构建数据安全管理体系。制定总体战略目标、构建组织体系、建立健全数据安全制度规范，为数据安全管理提供主要依据，实现跨领域、跨部门协同配合。其次，是构建技术能力体系。采用CAPE模型，即“风险核查Check-数据梳理Assort-数据保护Protect-监控预警Examine”，从风险核查出发，先确定数据载体运行环境的安全风险，再梳理存储的数据资产，完成数据分类分级，依据数据分级结果，协同各项数据安全能力，对数据资源合理使用提供全场景、全链路、全生命周期保护，通过全方位监控数据的使用和流动，形成数据安全态势感知。最后，是构建数据安全运营体系。按照IPDRO模式来自适应各项安全组件支撑能力，持续改进优化，直至达到整体数据安全智治的目标。

数据安全治理的“263”框架，即2个视角（数据内循环的安全，数据外循环的安全）、6个问题（数据资产的底数、人的问题、告警有效性、数据泄露的结果导向等）和3个需要（可视、可控、可溯源）。从行业数据安全治理的落地场景中，则设计了“三维一体”（三体系、三协同、三服务）的架构，以协同促体系，以体系落服务，让数据安全真正融入到业务和数据处理活动当中，推动大型数据安全体系建设运营从0到1落地，实现数据安全风险治理的可视化和可度量。

数据与业务天然强绑定，数据安全建设需要从业务场景出发，从咨询规划到安全运营的数据安全建设可以概括为“六部曲”。

第一，咨询规划。参考Gartner建议，优先对重要数据进行安全治理工作，比如将“数据分类分级”作为整体计划的第一环，将大大提高数据安全合规治理的效率和投入产出比。通过专项咨询服务，对当前现状及业务场景梳理，明确数据安全建设目标及策略等。

第二，风险评估。采用人工访谈调研和自动技术检测工具结合方式。结合数据安全检查工具箱、API风险监测、数据暴露面风险监测等工具，可快速评估速、全面检测梳理各项数据安全风险，如弱口令、API未授权访问、数据库暴露面风险。

第三，管控加固。对于不同的风险场景，有针对性地部署相应数据安全工具进行管控加固，落实数据安全策略。如通过自动化的数据分类分级工具，基于行业模板进行敏感数据识别和分类分级打标，通过静态脱敏工具对敏感数据进行自动化脱敏，在降低数据敏感程度的同时，最大程度上保留原始数据内在关联性等可挖掘价值。

第四，监测预警。前期进行管控加固的各类数据安全工具，作为数据安全原子能力/探针，既能解决具体场景化的安全风险，同时也可以互相联动形成合力；以统一的数据安全管控平台对各探针进行统一纳管、策略打通和态势感知，实现敏感数据安全防护的生命周期过程全覆盖。从云网数用端全链路地对当前环境进行实时威胁检测，第一时间洞察异常和风险，实现数据安全风险监测预警。

第五，审计溯源。数据安全审计可以检查数据处理活动是否符合组织的安全性和合规性政策，一旦出现数据安全事件，通过审计溯源能够快速确认问题出现在哪个环节，有利于有针对性地采取更正措施和追究相应责任，從而提高整个数据管理体系的安全性和可信度。

第六，安全运营。通过风险识别、安全防护、持续检测、响应处置、安全运营，IPDRO持续改进闭环管理的常态化安全运营。

数据安全是促进数字经济高质量发展的基础，只有筑牢数字安全屏障，才能助力数据要素产业发展。构建充满信任的数字世界是以安恒信息为代表的网安从业者的使命，也是未来社会与经济发展的必要基础。随着数据要素产业的快速发展，数据安全将上升到一个前所未有的新高度。

刘博：安恒信息CTO，正高级工程师、浙江省特聘专家。长期从事智能网络安全、数据安全领域研究。获得包括工信部示范项目、世界互联网大会领先科技成果、中央网信办颁发“携手构建网络空间命运共同体”最佳实践案例、CCF科技进步奖等荣誉。