隨著大數據、云計算、物聯網、移動互聯網、人工智能等新一代信息技術的發展和與國民經濟的融合,數字化時代已經到來,并加速推動我國數字經濟邁上新臺階。數字技術和人類生活交互融合,促使數據業務量呈現指數級增長趨勢,數據海量聚集,其安全性和隱私保護等問題正面臨嚴峻的挑戰。同時,敏感數據的泄露造成了巨大的經濟損失和負面影響,甚至影響國家戰略安全。
數字化時代數據安全面臨新挑戰
一、數據安全合規要求趨嚴趨緊
國家及地方監管機構共同監督數據應用合法合規,對數據安全合規建設提出諸多新要求。
二、大數據廣泛應用,與民生緊密相關
大數據應用涉及經濟民生、社會治安、國家安全等多個部門,廣泛化和智能化的數據利用趨勢使其面臨越來越多的數據安全風險。
三、敏感數據存在大量開放、共享、交易、利用的需求
隨著政府、公安、醫療、金融、運營商、能源、教育等基礎設施行業的業務開展,涉及到敏感數據大量的應用需求,對數據安全提出更高要求。
四、數據深入參與實時調度指揮,影響深遠
多源異構的數據在實時加工運算過程中發揮重要作用,對生產生活的決策優化調度影響深遠,數據安全作為基礎底座,更為重要。
五、更多新技術,對數據安全的風險和漏洞防護要求更高
5G、AI、云、中臺、容器等技術大量應用,數據應用場景越來越復雜,數據安全風險識別和防護要求更高。
由于數據的可變性、流動性、應用場景的復雜性以及威脅的持續性,決定了數據安全治理的復雜性、艱巨性、長期性。近年來很多數據安全風險事件與缺乏完善的數據安全治理體系緊密相關。傳統的安全建設理念難以應對數字化時代的數據安全風險,為了應對數據安全新挑戰,應采用全新的運營理念進行數據安全建設。
數字化時代數據安全運營體系建設的理念和架構
傳統網絡安全建設理念是以網絡邊界安全為基礎,構建安全可靠的網絡環境;而數據安全,是以數據為中心,圍繞數據全生命周期,實現數據安全的縱深防御。數據是流動的,所面臨的風險也具有動態變化、持續發生等特性,在構建數據安全運營體系時,需要新的理念來應對新形勢、新威脅、新挑戰。
數字化時代數據安全運營體系建設的理念:以持續有效進行數據安全防護為核心,既要把握好與業務之間的緊密聯系,又要兼顧效率與穩定可靠之間的平衡。主要由2個基本原則、3個全面覆蓋、2個平衡、2個引擎、2個堅持、2種能力組成。
一、數字化時代數據安全運營體系建設理念的6個維度
●2個基本原則:對數據資產、風險的精準可視原則;對數據安全風險可控、安全措施可控原則;
●3個全面覆蓋:數據安全治理要全面覆蓋全數據形態、全生命周期、全流通環節;
●2個平衡:安全與可靠、安全與效率之間的平衡;
●2個引擎:利用大數據技術、人工智能技術作為數據安全運營的引擎;
●2個堅持:堅持對數據資產進行動態測繪、堅持對風險進行持續管控;
●2種能力:建立全息態勢感知能力,進而形成聯動聯防的控制能力。
二、 數字化時代數據安全運營體系架構的4個關鍵組件
數據安全運營體系架構圍繞數據安全運營目標,以數據安全組織體系為組織保障,以數據安全管理體系為規范指導,以數據安全技術體系為技術支撐,打造數據安全運營駕駛艙,構建數據安全閉環管控的體系架構。
●數據安全運營駕駛艙
通過提煉出相應的運營指標,落實到日常運營動作中,如持續監測、風險識別、安全防護、應急響應,再通過風險評估、定期審計、意識培訓等考核監督手段,不斷總結、完善、優化運營指標和日常運營動作,實現數據安全運營的PDCA循環。
●數據安全管理組織
當前無論是傳統網絡安全部門還是應用部門,都難以獨立履行數據安全治理職責,在數據安全治理過程中,需要建立跨領域、懂數據、懂安全、懂業務,能為數據安全治理端到端負責的新組織。數據安全組織需要獲得高層支撐指導,構建包括決策層、管理層、執行層、監督層的體系結構。
●數據安全管理體系
應圍繞業務數據安全需求、法律法規合規要求等方面進行梳理,設置數據安全管理方針、管理辦法、管理流程、詳細表單,實現可度量、可預防、可管控、可測評的管理目標,同時,也要明確相應的保障機制,包括培訓宣貫、優化完善、考核評價等。
●數據安全技術體系
應圍繞數據生命周期中的安全問題,采用相應的安全技術能力、統一平臺,建立全網進不來、拿不走、看不懂、改不了、走不脫的數據安全防護體系,實現全網數據安全態勢感知、風險監測、持續保護。
數據安全運營體系的建設是一個長期且復雜的過程,想要真正落地,需要多項關鍵舉措的加持,也需采用階段式、逐步完善的方式,圍繞組織、管理、技術、運營四個維度循序漸進地開展數據安全體系建設工作,逐步實現數據安全閉環管控。
《觀點解讀丨數字化時代數據安全運營的探索與實踐 下篇》將為大家帶來“數據安全運營體系建設的7項關鍵措施”及“數據安全運營體系建設的過程與成效”等內容,詳情請鎖定“昂楷資訊”官方公眾號,下期精彩,敬請關注!
