《中華人民共和國數據安全法》已于2021年9月1日正式實施,與之配套的《中華人民共和國個人信息保護法》也已經于2021年11月1日起正式施行。2021年可謂是數據安全的元年,也是數據安全大規模合規建設的開始,標志著中國數據安全市場的主要推動力也將從風險控制需求全面轉向合規建設需求。如何符合《數據安全法》及《個人信息保護法》要求,如何切實緩解數據安全風險,成為各行業、各地區、各組織、各部門需要解決的首要問題之一。
《數據安全法》第四條規定“維護數據安全,應當堅持總體國家安全觀,建立健全數據安全治理體系,提高數據安全保障能力。”在這種背景下,各組織應該如何開展數據安全治理工作和如何完善自身的數據安全保障能力呢?圍繞著這一問題,本期牛人訪談,我們邀請到天融信科技集團副總裁王鵬,圍繞數據安全治理話題展開了一系列討論與分享。
王鵬
天融信科技集團副總裁、廣東省網絡空間安全標準化技術委員會委員、中國信息安全測評認證中心CISP-DSG講師及教材主要編撰者。
在網絡及數據安全領域有20余年工作經驗,多年來為國內眾多重要的政府機構、央企等用戶提供專業的網絡安全咨詢、數據安全治理等服務,對國內外網絡及數據安全發展、隱私保護等法規、標準有深入研究。
數據安全發展至今已有十多年的歷史了,從最初企業內部人為的對數據關注、重視到對不同數據的分級分類,再到數據安全治理產品的引入和發展,您是如何理解現階段的數據安全的?
王鵬:
要理解什么是“數據安全”,首先要清楚數據安全、網絡安全和信息安全涉及的概念和它們間的聯系。
首先,我們需要清楚什么是“數據”、什么是“信息”。“信息”本質上屬于邏輯概念,信息是價值的本質;而“數據”是一個實體概念,按照《數據安全法》的定義:“數據,是指任何以電子或者其他方式對信息的記錄。”因此數據是信息的承載形式,同樣的信息可以用不同的介質、方式承載。數據安全治理,治理的對象是“數據”,因此我們要明確有哪些數據承載形式,比如:數據庫、文件、存儲介質等,如此管理才會更具象。另外,還要搞清楚,這些承載形式所記錄的信息價值、重要程度及其遭到破壞后可能造成的危害程度等;而個人信息保護時,則需要衡量數據中所承載的“信息”與個人實體的關聯關系。
對于網絡安全和數據安全的關系,網絡本質上是數據承載、傳輸、處理的主要環境,也是網絡安全攻防對抗的戰場。數據安全是無法孤立于網絡安全而獨立存在的,如果網絡安全得不到保障,數據安全保護是無從談起的。《數據安全法》第二十七條也明確規定了“利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務。”這也明確了數據安全與網絡安全的關系。
我們在做數據安全治理時,需要全盤考慮,將網絡安全防護措施與數據安全管控需求統一起來,治理后會同時滿足《網絡安全法》、《數據安全法》、《個人信息保護法》,乃至其他相關的法律、法規、標準及規范要求。
針對目前行業需求,以及相關法律法規的影響,您認為數據安全治理應該是怎樣的?要想滿足國家對數據治理的要求、實現數據資產的有效管理,應該采取怎樣的治理思路?
王鵬:
數據安全治理本質上是推進數據安全建設、提升數據安全保障能力的過程。需要解決幾個關鍵問題:1、我們有什么數據?2、這些在什么環境下采集和處理?3、處理這些數據的目的是什么?4、數據在什么場景下使用?5、需要防范哪些風險?6、要做到什么程度、達成何種目標?7、我們該怎么做?等等。
從天融信的實際經驗出發,我們在2012年提出了“以數據為中心的安全體系建設”理念, 將數據安全治理分為六個主要內容:數據安全治理評估、數據安全組織建設、數據安全管理建設、數據安全技術建設、數據安全運營建設和數據安全監管建設。
請您詳述數據安全治理的六個主要內容是什么,用戶通過這一整個的治理過程可以達到怎樣的數據安全治理效果?
王鵬:
其中,數據安全治理評估主要通過人工和自動化的手段幫助用戶了解當前的業務關系、數據資產及其流動關系,理清當前數據安全的主要風險及解決的優先級,以此設定數據安全建設的目標及策略;
數據安全組織建設是落實數據安全責任的過程,是成功開展數據安全建設的前提,這個過程要將數據安全分工細化到人;
數據安全管理建設是管理體系、機制和方法的構建過程,確定在數據安全體系中人、技術及操作過程的關系及具體執行方法,是數據安全建設的基礎;
數據安全技術建設是對管理體系的延續,技術作為具體的執行方式,需要和管理要求及流程保持一致,這不僅僅是采用技術產品的問題,更多的是要將這些技術產品、手段有機整合起來;
數據安全運營是數據安全能力的保持和改進過程,需要在運營中監測數據安全威脅事件及風險,快速發現、快速處置、快速恢復,同時溯源分析、審計核查等過程也可以幫助企業不斷改進數據安全體系;
數據安全監管是企業自身管理的需要也是維護國家安全、社會秩序、公民合法權益的需要,數字時代的監管需要建立在高效的監管工具的基礎上,打通企業和政府的信息傳遞渠道。
通過以上數據安全治理咨詢服務過程,可以幫助用戶快速梳理數據、評估環境、驗證能力、確定目標、建立體系、設計策略,整合數據安全管理規范、控制過程、數據保護措施及網絡安全能力,實現數據差異化保護。
例如:梳理數據,需要建立覆蓋企業全局的數據資產的分類分級清單;評估環境,需要將企業的業務、相關系統及數據安全保護措施進行場景描述及風險分析;確定目標,則需要根據企業的行業特征、合規要求及業務使命等因素,確定未來數據安全要達到的能力水平;設計策略,宏觀上需要明確不同類別數據在不同場景下需要采取哪些控制措施及保護程度,微觀上則需要確定不同的技術產品需要怎樣配置等。
您認為企業用戶在建設以數據為中心的安全體系中面臨著哪些困難?應該如何解決?
王鵬:
從我的經驗來看,建設以數據為中心的安全體系、實現數據安全的綜合治理,其難點主要表現在組織協調問題、安全意識問題、流程協同問題、策略管理問題、技術手段問題、審計改進問題等六個方面。
組織協調方面:剛才也提到了數據安全治理需要多部門協同,但很多組織都是“煙囪式”的組織形式,跨部門的協調難度很大,且科技部門和業務部門的協調關系也不對等,需要建立一個統一的數據安全管理組織;
安全意識方面:數據安全治理需要業務部門、使用部門的共同參與,需要提高他們的網絡安全及數據安全意識,科技部門也需要抓緊培訓數據安全的專業人才隊伍;
流程協同方面:數據安全涉及到采集、傳輸、存儲、處理、交換、銷毀等多個階段,涉及眾多應用場景,比如數據跨境、數據交易、數據公開等,這需要建立統一的協同機制才能有效管控;
策略管理方面:一致性對于數據安全策略來講十分重要,而實際情況是不同的業務系統、安全設備往往是由不同的團隊、人員管理的,策略的一致性需要良好的管控;
技術手段方面:目前多數組織已經完成了網絡安全等級保護建設,具備了基本的安全防護能力,但網絡安全措施的手段主要針對網絡流量,且控制粒度一般較低,很少針對數據本身進行內容級、行為級控制,對數據安全復雜的場景管控需求來講往往是不夠的,需要補充手段,且需要進行有機整合;
審計改進方面:多數組織都能按照《網絡安全法》要求完成日志記錄的工作,但往往缺乏有效的、人工參與的審計,先進的組織會引入態勢感知、行為分析等系統,但其分析模型一般相對簡單,很難滿足數據安全管控的需求。
您認為如果從企業自身角度出發,企業用戶在實施具體的數據治理方案前應做哪些準備工作?
王鵬:
如果從企業角度考慮數據安全治理,應首先著重加強數據中心的安全控制,確保數據的處理環境是安全可靠的,能夠對抗較強的滲透性攻擊,應對數據價值集中化造成的風險集中問題,先把明顯、關鍵的問題解決掉,比如應對勒索病毒、防范數據篡改及破壞等;其次,要重點落實數據分類分級管控機制,應以網絡及數據安全技術措施為基礎,以數據安全管控平臺為依托,建立動態的內容識別、價值判定、數據分類及安全分級、風險評估分析能力,并能夠采用標簽化、屬性化的控制機制對數據的使用過程進行管控,以應對數據的流動性及不斷演化的問題,避免人工管控的低效,提升數據安全管控效率及效能;第三,要重點管控數據的交換過程,包括內部跨部門、跨系統的數據共享,內部對外提供數據,對公眾開放數據等多種情況,應建立完善的制度流程及技術控制機制。
《數據安全法》的出臺和實施對未來數據安全保護技術的發展有什么影響?安全廠商對此有何看法?應如何應對?
王鵬:
可以肯定的是,《數據安全法》的實施對安全廠商及安全產業都是有積極作用的。《數據安全法》明顯刺激了數據安全市場需求的增長,各廠商在數據安全方面也會有更多的研發及技術投入,對整個產業生態發展有很強的推進作用。但另一方面,《數據安全法》的合規建設也面臨很大的技術挑戰,對安全建設所最終交付的能力會有更高要求,這需要從理論、技術及管理等方面積極創新,也需要安全廠商不斷整合技術及服務資源,持續提升交付水平。
《數據安全法》的出臺和實施,代表著未來網絡和數據安全的合規發展趨勢,數字時代以數據為主要生產要素的產業合作使得企業的安全問題不再是孤立存在的,任何的安全問題都有可能直接影響到公民利益、社會秩序和國家安全。如何打通一個完整的數據安全管控鏈條是我們需要共同面臨的問題,這需要與各行業客戶、監管部門的廣泛協同,也需要產業鏈上下游的深入合作,共同營造開放創新的數據安全產業生態。
安全牛評
數據安全的三駕馬車《網絡安全法》、《數據安全法》、《個人信息保護法》已全部實施,在這一背景下,企業需要進一步嚴格對數據安全的防護要求。
企業在數據安全上通常面臨著從何下手的問題,因此各大廠商均推出數據安全治理方案,以一種體系化交付的模式,解決用戶的問題。企業在進行數據安全治理前,一定要做的是對自身的業務和風險的評估工作,以服務為開始厘清思路,以服務為結束實現持續的防護。企業的數據安全能力不是一蹴而就的,而是應該與業務緊密結合,安全建設隨著業務發展而動態變化。通過技術產品和人員意識結合的方式,提升數據安全能力。
