數據安全治理實踐探索

2022-04-29 16:34 來源:數安信
瀏覽量: 收藏:0 分享

摘 要 隨著《數據安全法》的深入實施和數據要素市場化深入發展,數據安全治理相關技術與實踐也將得到持續發展.但是目前為止業內對于數據安全治理的相關實踐還未形成統一的認識,相關國家及行業標準也未能推出,嘗試從數據安全治理實現目標與方法等方面探索一種行之有效的數據安全治理實踐.提出了一套數據安全治理體系架構,并圍繞數據安全治理實踐機制的管理、技術、評估和運營等幾個方面要求逐一展開進行詳細說明,并重點對于數據安全治理實踐所涉及的關鍵措施及技術要求進行了介紹.

關鍵詞 數據安全;數據安全治理;數據濫用;數據安全風險控制;數據安全運營

中圖法分類號 TP309.2

業內期待已久的《中華人民共和國數據安全法》[1](以下簡稱《數據安全法》)在2021年6月10日正式公布,數據產業發展迎來有法可依的法治發展時代.《數據安全法》中明確提出了應“建立健全數據安全治理體系,提高數據安全保障能力”,數據安全治理也已經獲得了業內廣泛的關注.

1業務背景

數據安全治理從治理范圍來看可以分為國家數據安全治理和組織數據安全治理.中國信通院發布的《數據安全治理實踐指南(1.0)》[2]針對數據安全治理概念提出了廣義和狹義兩個定義,廣義是針對國家戰略層面落實數據開發利用和數據安全統籌發展的策略,狹義則是基于數據生命周期建立涵蓋組織保障、制度規范、安全技術和人才建設等多重維度的策略.

本文聚焦在組織層面的數據安全治理探索,也即在某個組織內部,或者多個有數據關聯的組織之間的數據安全治理工作.一個典型的業務場景就是當前數字政府建設過程中所力推的政務數據共享,比如省級政務數據共享一般都是以省大數據局或省大數據中心作為省級政務數據共享平臺建設和運營方,來拉通省內各政府部門及地市單位的數據共享,以及與國家數據平臺的數據共享等.在這個場景下,政務數據的治理業務范圍就涉及省級政務數據共享平臺,以及參與政務數據共享的各個政府部門及地市單位的數據及相關業務系統,也包括省級政務數據共享平臺與國家平臺之間的數據共享接口的安全等.

目前數據安全治理業內還并沒有達成一個統一共識,本文嘗試從數據安全治理實現目標與方法等方面探索一種行之有效的數據安全治理實踐方案.

2數據安全治理現狀

2.1 數據安全治理業內研究及實踐情況

2019年發布的GB/T 37988-2019《信息安全技術數據安全能力成熟度模型》國家標準(簡稱“DSMM”)[3]對于推動數據安全治理發展起到了非常積極的作用.DSMM標準提煉了一套數據安全能力成熟度評估體系,該體系涵蓋了數據安全能力、數據安全過程和能力成熟度等級的3個維度,和1~5共5個成熟度等級,以及覆蓋采集、傳輸、存儲、處理、交換、銷毀等數據生存周期的30個數據安全過程域等相關內容.阿里巴巴等單位也針對性地發布了《數據安全能力建設實施指南V1.0(征求意見稿)》[4]用于指導各單位基于DSMM標準進行數據安全相關能力的建設.

《基于精準治理的大數據安全治理體系創新》[5]提出了一種大數據安全治理運行框架,該框架包括基于主體精準化的多元共治體系、基于流程精準化的科學預判體系、基于手段精準化的分類處置體系和基于保障精準化的動態保障體系等幾個方面,涵蓋了組織、流程、手段和制度等大數據安全治理等幾個主要方面.

《數據安全治理實踐指南(1.0)》提出了一套涵蓋規劃、建設、運營、評估等系統建設各個過程并基于數據全生命周期的數據安全治理實踐總體視圖以及覆蓋了基礎安全、數據全生命周期安全和數據安全戰略的數據安全治理參考框架,同時指南還給出了目前業內多家單位的典型實踐方案.另外《數據安全法》中對開展數據安全保護及治理工作給出的具體要求包括:建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全.國家網信辦2019年發布的《數據安全管理辦法(征求意見稿)》[6]中進一步明確了建立數據安全管理責任和評價考核制度,制定數據安全計劃,實施數據安全技術防護,開展數據安全風險評估,制定網絡安全事件應急預案,及時處置安全事件,組織數據安全教育、培訓.總之,當前業內對于數據安全治理應該涵蓋組織機構、管理制度、安全技術及專業人員幾個方面是具有統一認識的.

中國互聯網協會發布的團體標準T/ISC-0011-2021《數據安全治理能力評估方法》給出了一套數據安全治理能力評估框架,框架涵蓋了數據安全戰略、數據生命周期安全和基礎安全三個層面的共18個數據安全能力項,并對于每個能力項又細分為基礎、優秀和先進共3個等級.

Gartner曾提出了一個DCAP(以數據為中心的審核和保護)的數據安全治理理念,基于該理念業內提出過很多的以數據為中心的數據安全解決方案,這些解決方案的一個共性就是對數據進行發現和標識化(數據分類分級),并基于這些數據標識進行相應的安全策略控制.

2.2 數據安全治理存在的主要問題

業內對數據安全治理過程及關鍵路徑基本都有一定共識,并也進行了一些相關實踐.

但是目前數據安全治理研究及實踐存在一些典型問題,主要有這幾個方面:

2.2.1數據安全合規不等同于數據安全保障

安全行業一個重要業務目標就是“合規”,也即遵守國家各類安全相關法律法規的要求,這個情況在數據安全領域也是如此.

數據安全領域涉及的合規要求除了既要遵守網絡安全相關的法規以外,還需要遵守數據安全專有的法規.典型的數據安全法規包括:今年剛發布的《數據安全法》以及目前還處于人大審議狀態的《個人信息保護法》[7],另外國家網信辦發布的《網絡安全審查辦法(修訂草案征求意見稿)》[8]也專門增補了數據安全相關要求,正式發布后也將是各關鍵信息基礎設施數據處理者所應重點遵守的法規之一.另外還有很多其他法規(如《中華人民共和國民法典》等)也涉及數據安全相關規定,同時有些部委和地方政府也會出臺面向行業或區域的數據安全相關法規,比如銀保監會發布的《中國銀保監會監管數據安全管理辦法(試行)》[9]、工信部發布的《移動互聯網應用程序個人信息保護管理暫行規定(征求意見稿)》[10]、天津市發布的《天津市數據安全管理辦法(暫行)》[11]等.

數據安全合規工作非常重要,合規也是從事數據處理事項的基本前提條件.但是數據安全合規不能等同于數據安全保障,也即即使符合各種相關的數據安全法規要求,不能就認為數據安全就萬無一失了.我們都知道,數據安全防護本質符合“木桶原理”,也即數據安全防護水平取決于數據安全所涉及各個方面的安全防護水平的最低點,合規僅確保這個最低點能達到基本要求,也就是底線要求.

另外數據安全合規檢查的粒度也直接決定了合規結果與安全效果是否一致,也即就算拿到了合規證明也很難確保系統達到數據安全防護能力要求.比如數據安全法規要求數據采集必須經過充分授權,但實際執行過程是得到明示同意還是只單純進行公示?數據處理者對數據必須進行分類分級,但是實際執行分類分級的粒度是否涵蓋了所有重要數據,是否能確保重要數據都得到有效防護?這些情況在數據安全合規評估和檢測中未必能得到充分確認.同時數據安全合規評估和檢測也與執行評估和檢測人員自身水平及采用的評估和檢測的工具能力也有很大關系.因此,數據安全合規只能作為數據安全防護的基礎和底線的要求,要做好數據安全保障,還需要做更多工作.

2.2.2數據安全方案不等同于數據安全防護

數據安全治理還經常存在重視數據安全設計方案和建設方案,但卻忽視數據安全防護效果的問題.

編制數據安全方案是幾乎所有數據安全建設項目所必需的要求,但是很多的項目存在重建設輕運營的問題,也即數據安全方案編制的比較全面,實際建設也按方案要求進行了部署和應用,但是數據安全治理效果是否能發揮出來、數據安全策略是否達到方案預期效果等數據安全運營階段所應重點考察的指標往往被忽視.

2.2.3數據安全運維不等同于數據安全運營

數據安全治理實踐經常是重視運維,很多的項目基本都會要求配置駐場運維人員,但是對數據安全運營不是非常重視,甚至有些項目還經常把運維和運營兩個概念混淆不清.

數據安全運營的目的是把數據安全的價值挖掘出來,但是在平常業務中,數據安全運營與數據安全運維、數據安全管理等既有部分重疊,又各有側重點.

數據安全運維的核心目標就是維護好數據安全相關軟硬件產品,確保數據安全軟硬件產品正常運轉,相關故障、告警得到及時處置.通俗來講,數據安全運維是確保產品用起來,數據安全運營則是確保產品用好.以數據庫防火墻產品為例,數據安全運維確保防火墻運行狀態正常,沒有死機、沒有故障、沒有異常等;數據安全運營則是確保防火墻的安全防護規則始終有效,并及時剔除失效的策略.

另外,數據安全運維人員技能更多強調對數據安全軟硬件產品的使用及維護等方面,數據安全運營人員技能則更多是側重數據安全防護與具體業務方面.

2.2.4數據安全技術不等同于數據安全治理

經過多年研究發展,目前已經有很多的數據安全相關技術逐步成熟,比如加密、脫敏、數字水印、數據庫審計等等,這些技術也在絕大部分數據安全治理實踐中得以落實.

但是還是存在一些項目重視技術、輕視治理的問題,數據安全技術不等同于數據安全治理.數據安全技術的實踐除了依賴數據安全技術本身的技術成熟度,同時還深度依賴數據安全技術應用的業務場景,以及數據安全技術產品運營人員的技能、熟練程度及責任心等.

3數據安全治理體系研究

3.1 數據安全治理目標

本文研究的數據安全治理目標還是限定在一個或多個組織機構內,面向重要數據或敏感信息的數據安全管理與控制等相關措施.典型的業務場景就是數字政府中各政府部門的數據安全治理,既包括各政府部門內部數據安全治理,也包括跨部門的數據共享層面的數據安全治理.

數據安全治理主要目標包括這幾個方面:

(1)數據安全合規目標.必須滿足國內各類數據安全法規的要求,包括國家、地方及相關行業方面的法律和法規.

(2)數據安全防護目標.必須確保數據安全治理所涵蓋的業務系統的重要數據運行安全,包括數據可靠性要求、數據防泄露要求以及數據防濫用要求等.

(3)數據安全治理目標.提供涵蓋技術與管理等多層次的數據安全治理體系,確保數據安全與數據業務持續同步發展.

3.2 數據安全治理體系架構

本文提出一套集管理、技術、評估和運營為一體的數據安全治理體系架構,從多個維度提出數據安全治理實踐機制,具體架構如圖1所示:

圖1 數據安全治理實踐機制

數據安全治理機制主要涵蓋4個維度數據安全治理實踐機制:

(1)數據安全管理機制,主要包括數據安全治理所涉及的組織建設、人力保障和相應的規范制度等.

(2)數據安全治理技術,涉及數據安全治理所涉及的各個領域的技術及工具,主要包括數據發現、分類分級、數據安全防護策略、安全風險控制及安全運營等方面.

(3)數據安全治理評估,具體涉及評估和評價,以及針對評估和評價后的結果進行改進與提升方面的內容.

(4)數據安全運營,主要包括數據安全事件應急處置、數據安全風險隱患排查、數據安全威脅預警通報及數據安全審計等.

4數據安全治理實踐探索

4.1數據安全治理管理機制

數據安全治理離不開組織和人力方面的投入,因此數據安全治理管理機制需要重點落實這幾個方面的工作:

4.1.1 組織建設

需要制定數據安全治理組織機構,明確數據安全治理所涉及業務范圍的相關組織團隊在數據安全治理工作中的相關職責和具體要求,建議至少應制定這幾個數據安全治理組織角色:數據安全決策層,由整個組織高級管理人員或數據安全官等組成,負責整個組織的數據安全目標與規劃、數據安全治理全過程的資源保障及重大事件協調與決策等職責,承擔整個組織數據安全最終責任;數據安全管理層,由整個組織內各個具體業務部門管理人員等組成,負責具體業務部門數據安全措施與決策的執行,包括但不限于制定數據安全管理規范、組織制定及落實數據安全技術方案、組織數據安全業務及技能培訓等,承擔具體業務部門數據安全的責任;數據安全執行層,由各個具體業務部門承擔數據安全執行的人員組成,主要負責具體數據安全治理相關的技術及管理措施的落實,包括但不限于數據安全技術方案與數據管理管理制度執行、數據安全產品部署及運維、數據安全事件監控及處置、數據安全漏洞排查及修復、數據安全事件溯源及分析等;數據安全監督層,由組織內與業務部門沒有隸屬關系的第三方人員組成,主要負責數據安全治理過程與結果的監控和審計,確保數據安全治理組織執行的效果.

4.1.2 人力保障

數據安全治理除了需要相關的技術工具和產品,也離不開相應的人員保障,組織建設中明確的各個數據安全治理組織角色都需要明確具體人員保障,并制定相關人員的職責和考核要求,以及為了確保人員數據安全業務技能符合數據安全治理要求所應該開展的人員技能培訓及職業發展規劃等.

4.1.3 規范制度

數據安全治理涉及多個方面的規范制度,主要包括:

(1)《數據安全管理制度》明確各個業務系統所涉及的數據安全管理范圍及責任人,以及相應的組織保障機制等.

(2)《數據分類分級規范》對組織內的各類業務數據,尤其是個人信息和重要數據,明確數據類別和安全級別.

(3)《數據安全管理規范》明確不同類別、不同級別數據的安全管理措施,建立涵蓋數據采集、傳輸、存儲、處理、交換、銷毀等數據生存周期的安全管理規范.

(4)《數據安全運營管理規范》明確數據安全風險監控措施、數據安全風險響應和應急處置措施、數據安全漏洞排查、數據備份恢復等相應措施要求.

(5)《數據安全培訓管理制度》明確數據安全人員培訓等相關要求.

4.2 數據安全治理技術方案

數據安全治理技術依據DCAP“以數據為中心的安全”技術理念,圍繞數據的生命周期過程,重點針對數據流轉過程實現數據安全防護.

數據安全治理主要的技術包括數據發現技術、數據分類分級技術、數據安全防護策略、數據安全風險控制技術及數據安全運營技術等.

4.2.1 數據發現技術

數據安全治理的對象是數據,因此準確高效發現需要進行數據安全治理的核心數據尤為關鍵.

目前業內靜態數據發現技術(如數據爬蟲)已經有很多成功應用,當前對于動態數據(流轉中的數據)的發現和監控以及精準識別出個人敏感信息和重要數據的相關技術還存在一些技術挑戰,動態數據發現依賴于數據血緣等大數據相關技術,精準數據識別主要依賴于正則表達式等特征匹配技術,這些技術手段當前還存在如誤判、漏判以及性能瓶頸等相關問題.

4.2.2 分類分級技術

數據安全治理的基礎就是對數據進行合理的分類分級,不同類別級別數據進行不同程度的數據安全控制,這樣有助于避免對所有數據進行無差別的安全措施,降低整體數據安全治理成本,達到對關鍵數據進行精準控制的目的.

數據分類分級的前提是制定數據分類分級標準,然后是對數據進行類別級別的數據打標.該技術實現的難點在于數據標簽如何能在不影響正常數據業務的前提下隨數據流轉過程進行標簽流轉,并確保數據流轉過程中數據標簽不會被業務丟棄或篡改.

4.2.3 數據安全防護策略技術

數據安全治理的關鍵措施就是對不同類別級別數據執行不同的數據安全防護策略,常見的數據安全防護策略包括數據加密、數據脫敏、數字水印、數據訪問控制等.

數據安全治理中的數據安全防護策略需要能做到數據全生命周期的安全防護,也即需要基于數據分類分級標簽,基于類別和級別進行相應的數據安全防護策略控制,確保數據流轉過程中各個階段能采用完全一致的數據安全控制措施,比如在數據共享過程中,A部門數據共享給B部門,B部門需要基于數據的類別與級別采取與A部門相同的安全控制措施.但是如何確保安全措施的一致性?具體實踐方案可以考慮采用部署集中數據安全控制中心的方案,對整個組織內的數據安全防護策略進行統一控制和實施.

4.2.4 數據安全風險控制技術

數據安全防護策略并不能保證數據的絕對安全,尤其是對于數據濫用方面,常見的數據安全防護策略很難防范,因此基于大數據技術的數據安全風險控制技術可以進行有效補充.

數據安全風險控制技術主要通過在數據流轉的各個關鍵環節部署數據探針等采樣數據,同時結合數據業務提煉數據安全業務模型,對數據流轉過程中潛在的數據泄露、數據濫用行為進行防范.數據安全風險控制技術還可以與安全威脅情報相結合,對于可能泄露到外網的關鍵數據進行風險分析與預警.

4.2.5 數據安全運營技術

數據安全運營是數據安全治理不可或缺的一個環節,數據安全運營環節會涉及到很多的具體技術,其中數據安全態勢分析和預警通報是最常用的技術措施之一.

數據安全態勢分析主要采集數據安全防護及數據安全風險控制產品相關安全風險數據,對數據安全風險進行匯總分析,并結合安全風險對數據業務影響程度進行風險優先級排序,確保高風險的安全事件得到最優先的處置.同時數據安全態勢分析還需要實現數據安全事件處置的閉環跟蹤,也即需要能夠關聯數據安全事件處置責任人,并對一些基本的安全事件能夠進行自動緊急處置(如關閉業務等).

數據安全預警通報核心是基于數據安全漏洞排查、數據安全威脅情報等信息對組織內的數據業務系統存在的潛在數據安全威脅進行風險識別及預警通報,提前防范相關數據安全威脅.

4.3 數據安全治理評估機制

數據安全治理評估機制是檢查數據安全治理效果的最有效措施,評估機制主要包括評估與評價措施和改進與提升措施兩個方面.

數據安全評估措施主要包括:確定評估的目標數據及所涉及的應用系統和人員,梳理數據全生命周期過程及所涉及的數據安全技術與管理措施,分析各個數據流轉環節數據安全措施的有效性,輸出數據安全評估分析報告.數據安全評價措施在數據安全評估措施的基礎上對數據安全治理能力和效果進行打分評價.另外DSMM標準可以作為數據安全評估和評價措施的一個重要參考材料,該標準提煉出的30個安全過程域基本涵蓋了數據安全評估過程的各個環節,標準對數據安全能力成熟度模型的定級也可以作為評價結果的重要參考.

對于數據安全評估與評價發現的問題需要及時采取相應的改進與提升措施,具體工作包括:明確改進與提升的責任人,制定數據安全改進與提升方案及工作計劃,對于改進與提升后的結果進行審計和總結等.

數據安全治理評估機制不是一個一次性的任務,而是需要根據數據業務發展情況定期或不定期開展.如果數據業務發展比較平穩,可以考慮如一個季度開展一次評估;如果某段時間較多數據業務上線,或者某個重要數據業務出現較大變更等情況也可以及時進行數據安全評估.

4.4 數據安全治理長效運營

數據安全治理與數據業務發展緊密相關,這也就導致數據安全治理不是一個短期的一蹴而就的工作,而是需要長期持續運營.

數據安全治理運營的核心工作包括應急處置、隱患排查、預警通報和安全審計等幾個方面.

4.4.1 應急處置

對于數據安全治理過程中發現的各類數據安全事件和威脅隱患能夠及時進行閉環處置,確保數據安全威脅得到解除,降低數據安全事件對數據業務的影響程度.數據安全應急處置具體措施需要根據數據安全事件根因進行針對性處理,常見措施包括修復數據業務系統安全漏洞、改進數據處理業務流程、完善數據管理措施與制度等.

4.4.2 隱患排查

數據安全隱患排查工作需要定期或基于數據安全威脅情報實時開展,主要是針對數據業務系統及數據處理流程中是否存在數據泄露、數據損毀或數據濫用等方面的漏洞進行檢查,隱患排查還可以借助相關數據安全漏洞掃描等工具輔助進行.

4.4.3 預警通報

預警通告要求數據安全運營人員能對還未發生的各類數據安全威脅進行提前處置,具體措施可以借助數據安全運營相關技術工具進行威脅預測分析及漏洞檢測.

4.4.4 安全審計

安全審計是數據安全措施合規及有效性的根本保障,數據安全審計一方面要求配置獨立的安全審計人員,另方面也要求保障審計工作的規范性和專業性.數據安全審計規范性要求主要體現在審計過程的嚴謹性和審計材料的可靠性(不會被隨意篡改或損毀)等方面,數據安全審計專業性則要求審計人員具備專業的數據安全業務知識,能夠對數據安全管理、技術等處置措施的規范性及結果有效性進行準確研判.

5結束語

近年來數據已經成為了國家重要的新型生產要素[12],數據要素的數據安全治理還是處于初期研究階段,同時針對人工智能等新型技術領域的數據安全治理研究也在持續深入[13],一些相關的技術(如隱私安全計算、數據安全溯源等)還處于發展和成熟過程中,數據安全治理相關的行業及國家標準也還沒有展開.相信隨著數據要素市場化的深入推進以及國家對數據安全領域的重視持續加強,數據安全治理會在實踐中逐步成熟.

參 考 文 獻

[1] 全國人民代表大會常務委員會.中華人民共和國數據安全 法[EB?OL].新 華 社,(2021-06-10)[2021-08-17].http:?? www.gov.cn?xinwen?2021-06?11?content_5616919.htm

[2] 中國信息通信研究院云計算與大數據研究所.數據安全治 理實踐指南(1.0)[R].北京:中國信息通信研究院,2021

[3] 全國信息安全標準化技術委員會.GB?T37988—2019信息 安全技術 數據安全能力成熟度模型[M].北京:中國標準 出版社,2019

[4] 阿里巴巴,數夢工場,安恒信息,等.數據安全能力建設實 施指南 V1.0(征求意見稿)[R].杭州:阿里巴巴數據安全 研究院,2018

[5] 王欣亮,任弢,劉飛.基于精準治理的大數據安全治理體 系創新[J].中國行政管理,2019(12):121126

[6] 國家互聯網信息辦公室.數據安全管理辦法(征求意見稿) [EB?OL].(2019-05-28)[2021-08-17].http:??www.cac. gov.cn?2019-05?28?c_1124546022.ht

[7] 中國互聯網協會.T?ISC-0011—2021 數據安全治理能力評 估方 法 [EB?OL].2021 [2021-09-12].http:??www.ttbz. org.cn?StandardManage?Detail?50043?

[8] 全國人民代表大會常務委員會.中華人民共和國個人信息 保護 法 [EB?OL].新 華 社,(2021-08-20)[2021-09-12]. http:??www.gov.cn?xinwen?2021-08?20/content_5632486. htm

[9] 國家互聯網信息辦公室.國家互聯網信息辦公室關于《網 絡安全審查辦法(修訂草案征求意見稿)》公開征求意見的 通知[EB?OL].(2021-07-10)[2021-08-17].http:??www. cac.gov.cn?2021-07?10?c_1627503724456684.htm

[10] 中國銀行保險監督管理委員會.中國銀保監會關于印發監 管數據安全 管 理 辦 法 (試 行)的 通 知 [EB?OL].(2020-09- 30)[2021-08-17].http:??www.cbirc.gov.cn?cn?view?pages? govermentDetail.html?docId=959801&itemId=861&gen eraltype=1

[11] 工業和信息化部信息通信管理局.公開征求對《移動互聯 網應用程序個人信息保護管理暫行規定(征求意見稿)》的 意見[EB?OL].(2021-04-26)[2021-08-17].https:??www. miit.gov.cn?jgsj?xgj?gzdt?art?2021?art_68251d4c11784e1bae 41048117a8720d.html

[12] 天津市互聯網信息辦公室.天津市互聯網信息辦公室關于 印發《天津市數據安全管理辦法(暫行)》的通知[EB?OL]. (2019-06-26)[2021-08-17].http:??www.tjcac.gov.cn?xxh? zhcs?202007?t20200722_3087539.html

[13] 新華社.中共中央 國務院關于構建更加完善的要素市場化 配置體 制 機 制 的 意 見 [EB?OL].(2020-04-09)[2021-08- 17].http:??www.gov.cn?zhengce?2020-04?09?content _ 5500622.htm

[14] 魏國富,石英村.人工智能數據安全治理與技術發展概述 [J].信息安全研究,2021,7(2):11011

作者介紹:胡國華,數安信技術總監,高級工程師

標簽:

責任編輯:liudan
在線客服
三级午夜理伦三级私人影院