李雪妮 魏 凯
中国信息通信研究院 北京 100191
数据作为新型生产要素,已成为国家重要资产和我国数字经济发展的基础战略资源。2021年以来,国家、行业、地方相继颁布了大量数据安全政策文件。作为数字经济健康发展的重要基石,数据安全的重要性愈发突出,数据安全治理需求愈加明显。
为了梳理数据安全治理的概念内涵,探讨企业数据安全建设路线,各行业企业、研究机构纷纷针对数据安全治理目标、治理框架、治理实践路径展开论述。当前,围绕组织建设、制度流程、技术工具、人员能力开展的多维度、多元化数据安全治理能力建设正在高速发展、有力推进[1]。与此同时,企业在体系化建设的实践过程也面临新的挑战,比如大部分企业的数据安全管理制度聚焦在原则、管理规定等较粗颗粒度的层面,对数据业务的下沉指导不充分,导致具体业务场景下的技术落地仍然缺乏实践指引,容易与管理要求脱节等。
相较于目前较为完善的自上而下的体系化建设思路,本文依据大量行业调研和企业实践,提出基于业务场景的自下而上的数据安全治理思路。一方面,企业可以从单个业务场景出发,根据实际数据安全需求,小范围快速落地相关数据安全能力点,再由点及面扩展至全部业务场景,缓解体系化建设的长期性对业务开展的影响;另一方面,企业可以基于实际业务场景的技术落地实践,总结输出颗粒度较细、实际指导意义较强的数据安全执行规范作为当前管理制度体系的补充,并进一步用于指导相似场景的安全治理。因此基于场景的建设思路,能够准确捕捉数据安全实际需求,形成细粒度的指导文件,缓解管理要求与技术现状不匹配的脱钩问题。
国家层面,逐渐明晰的监管红线,为企业数据安全建设提供政策引领。2022年7月,网信办公布《数据出境安全评估办法》,为各行业企业规范数据出境活动、保护个人信息权益提出了更加具体的要求和措施,翻开了数据出境安全管理的新篇章。行业方面,工信部于2022年10月再次公开征求对《工业和信息化领域数据安全管理办法(试行)》的意见,明确了重要和核心数据在目录备案及出境等方面的工作要求,是对工业和信息化领域数据安全管理工作的进一步指导。地方层面,河南省、江西省、重庆市等省市纷纷出台数据条例,明确数据安全责任义务和管理监督措施等内容,规范各地方数据安全建设工作。
随着5G、物联网、云计算等数字技术的快速发展,数据形式更加灵活多样,传统数据安全防护边界被颠覆,新技术应运而生。根据IDC发布的《IDC TechScape:中国数据安全发展路线图,2022》,零信任之数据安全、AI赋能数据安全、数据风险管理、数据安全基础设施管理平台等9项变革性数据安全技术将重塑数据安全市场,创造新的市场机会、新的技术公司以及新的用户需求。
随着企业数字化转型的逐渐深入,各行业企业的数据安全意识有效提升,数据安全能力建设不断突破。据中国信息通信研究院调研,企业在开展数据安全培训、参与数据安全评估、部署数据安全技术产品等方面需求旺盛。目前已有联通数科、电信云、中移信息、百度、蚂蚁等40余家企业完成数据安全治理能力评估工作,旨在通过“以评促建”方式对标监管要求,梳理建设现状,推动企业数据安全建设工作的开展。同时,供应侧受市场需求引导,奇安信、卫士通等企业也全面开展了数据安全相关产品及服务的研究布局,根据数据安全推进计划发布的《数据安全产品与服务图谱(2.0)》,目前共有116家企业、488款产品与服务收录其中。
有效的数据安全治理是企业利用数据赋能业务的重要前提,但传统的离散式、补丁式的数据安全策略已不能适应当前敏捷化、动态化的业务创新。企业数据安全能力建设重心,也开始从单点技术部署走向广范围、细粒度、一体化的全面布局,围绕组织架构、制度流程、技术工具、人员能力构建“闭环”数据安全体系。金融、电信、互联网等行业作为数据密集型行业,是产生数据、使用数据最频繁、场景最丰富的领域,其数据安全已成为企业保障业务发展的内生需求[2-3]。这些行业企业基于不断细化的法规政策,已开展较为体系化的数据安全建设。
组织架构方面,金融、电信、互联网等行业的头部企业已经确立了较为成熟的责任体系,一方面向上对接相应委员会,细化工作内容,另一方面向下对接各业务部门,制定管理要求。制度流程方面,基本建立了自上而下的多层级数据安全管理制度体系,通过一级数据安全管理制度明确原则要求,再通过二级、三级等管理规范的逐级细化,形成可落地的实施细则。技术工具方面,围绕数据全生命周期,在数据脱敏、监控预警、安全审计等方面构建了覆盖事前预防、事中监控、事后审计的全流程技术能力底座。人员能力方面,通过建立企业内部数据安全学习专栏,学习国家、行业、企业发布的相关管理要求和工作规程,提高全员数据安全认知水平和建设水平。
随着数据安全与合规要求的逐步完善,数据安全建设的内外驱动力逐渐加码,虽然各行业企业在建设成果上有所突破,但在管理和技术方面仍面临相应挑战:一是数据安全责任体系构建尚不成熟。数据在实时产生及流动过程中涉及的主体很多,导致数据安全的主体责任边界模糊,难以清楚划分,容易影响数据安全建设工作的整体推进。二是数据安全管理与技术易脱钩。当前大部分企业的数据安全管理制度聚焦在原则、管理规定等较粗颗粒度的层面,对数据业务的下沉指导不充分,导致具体业务场景下的技术落地仍然缺乏实践指引,容易与管理要求脱节。三是数据安全产品与服务优势能力构建有待突破。随着新技术新业务的不断发展,传统网络安全防护思路与措施已无法满足当下的数据安全防护需求,供给侧数据安全技术产品与服务的突破创新成为竞争关键点[4]。
考虑到前文所述数据安全体系化的建设现状及建设挑战,本文从场景化角度切入,基于业务场景提出建设思路,企业可以针对各业务场景细化管理制度的各项安全要求,并敏捷落地相关数据安全能力点,以快速满足业务场景的数据安全需求,降低数据安全治理的长期性对业务开展的影响[5],同时缓解数据安全管理与技术的脱钩问题。场景化数据安全治理思路的总体路线如图1 所示[6]。
图1 场景化数据安全治理思路
梳理数据资产和业务场景是企业进行场景化数据安全治理建设的前提,可以帮助企业了解数据安全治理对象全貌,为企业场景化数据安全治理提供行动地图。目前,对业务场景的划分尚未有统一的标准,本文根据对数据安全供应侧及需求侧的调研,梳理了基于数据全生命周期的场景划分方式,如图2所示。
图2 基于数据全生命周期的场景划分
1)数据采集环节主要有个人信息主体数据采集、外部机构数据采集、数据产生等场景。
2)数据传输环节主要有内部系统数据传输、外部机构数据传输等场景。
3)数据存储环节主要有数据加密存储、数据库安全等场景。
4)数据使用环节主要有应用访问、数据运维、测试和开发、网络和终端安全、数据准入、数据分析与挖掘等场景。
5)数据共享环节主要有内部共享和外部共享等场景。
6)数据销毁环节有逻辑删除、物理销毁和数据退役等场景。
7)此外还有一些基础性的工作,如数据分类分级应该作为单独的场景纳入到整体的场景视图中。
基于数据全生命周期的场景划分方式,一方面能更好地契合当前法律法规中关于数据全生命周期的安全要求,一方面更加匹配当前主流的数据安全治理体系框架。
在业务场景梳理完成后,组织需要综合考虑监管要求、数据安全风险和业务发展需要,明确业务场景治理的开展优先级。
以上文提到的基于数据全生命周期的场景划分方式为例,数据分类分级是数据安全的基础性工作基本已经成为行业共识,随着行业数据分类分级指南的不断建立和完善,企业应跟紧行业发展步伐,提高数据分类分级工作的优先级。其次,数据采集环节中个人信息主体数据采集、外部机构数据采集等场景均涉及到个人信息权益保护,是当前数据安全合规出现问题的高危场景,容易影响企业品牌形象,因而需要优先治理。此外,数字经济的繁荣发展离不开数据的流通共享,随之而来的风险也在不断显现,对数据流通的安全保护势在必行,因而也应着重进行相关场景的安全建设。
评估业务场景的数据安全风险是指针对具体场景及其涉及的业务系统和信息系统,综合考虑合规要求、数据资源重要程度、面临的数据安全威胁等因素,将数据流动过程的风险点梳理出来,并明确数据安全风险等级。针对数据安全风险评估,全国信息安全标准化技术委员会秘书处围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护四方面提出了如图3所示的评估框架[7]。
图3 数据安全风险评估内容框架
企业可以根据该评估框架按照评估准备、信息调研、风险评估、综合分析、评估总结五个阶段开展数据安全风险评估工作[7]。
1)评估准备阶段主要工作包括确定评估目标及范围,组建评估队伍,开展评估准备并制定评估方案。
2)信息调研阶段主要工作包括对数据处理者、数据处理活动、业务和信息系统、数据资产以及安全防护措施进行调研。
3)风险评估阶段主要工作是依据图4的评估框架,按照评估方案开展具体评估活动。
4)综合分析阶段主要工作是根据评估情况形成问题清单,提出整改建议等。
5)评估总结阶段主要工作是编制评估报告,企业侧根据实际情况开展整改工作。
结合业务场景的数据安全风险评估结果,业务方需要明确进行整改的风险点,并根据相关政策及标准要求,申请充分的资源保障,制定可落地的解决方案。目前,对于部分场景,业界已经形成了一些公认的典型解决方案,例如在数据加密存储场景中使用加解密系统,并在算法的选择上避开不安全的MD5、AES-ECB、SHA1等算法,本文以数据分类分级为例,阐述该场景下的解决方案。
1)建立组织保障:数据分类分级作为一项复杂的长期工作,涉及的部门较多,这就需要具备明确的组织架构,为此项工作的协同开展提供有力支撑。
2)进行数据资源梳理:借助数据识别或资产盘点等工具,对企业内部的数据资源进行梳理,明确数据基本信息、数据存储位置、数据属主等内容,形成数据资源清单。在实际操作中,可以直接基于全量数据进行梳理,也可以根据数据敏感程度,先进行敏感数据盘点,再逐渐扩展至全量数据范围。
3)明确数据分类定级的策略:结合国家要求和行业属性,对类别和级别的划分方法进行明确,输出分类分级的工作策略,形成初步的数据分类分级规范。
4)完成分类定级:根据已经形成的分类分级规范,对数据资源清单中的数据逐个进行分类,分类完成后再对每个类别的数据进行定级,并最终输出分类分级目录。一般来说,数据类别根据企业实际情况划分,级别通常是3~5级的划分方式。
5)制定安全策略:数据分类分级的目的是实现数据安全的精细化管理,因此需要根据数据的级别情况,制定相应的安全管控措施。
6)分类分级结果的持续运营:受到业务发展及监管要求的影响,数据本身及分类分级策略也会相应变化,因此需要持续运营,保持结果的合规性和科学性。
为规范业务场景日常的数据安全管理和运营工作,企业应督促业务部门在实施具体的技术措施后,及时完善该场景下的数据安全操作规程,如《远程访问操作规范》《数据备份操作规范》《数据防泄露操作规范》《堡垒机操作规范》等。这些操作规程将作为企业现有数据安全制度体系的补充规范,一方面,可以固化操作流程,保持业务执行的一致性;另一方面,可以在相似业务场景中进行下沉指导,缓解管理与落地的差距。
作为数字经济健康发展的重要基石,数据安全的重要性不言而喻。受国家、行业、地方等数据安全管理政策驱动及企业自身发展的需要,数据安全体系建设进程明显提速,数据安全供应能力不断增强,数据安全产业生态各方面都呈现快速发展态势。然而,随着数据安全建设工作的逐步启动,管理与技术两张皮、数据安全在业务场景的下沉力度不足等问题逐渐浮现,本文通过梳理场景化数据安全建设思路,形成五步走建设思路,能够与当前体系化数据安全主流建设思想形成互补以应对相关挑战。