今年,毫无疑问,数据安全仍是关乎组织战略制定与发展的重要命题。
2 月 15 日,中国互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》正式实施,要求企业赴国外上市融资应守住国家安全底线。
3月5日,十三届全国人大五次会议在京开幕。政府工作报告中提到,要强化网络安全、数据安全和个人信息保护。
3月7日,工信部网站发布消息显示,工业和信息化部近日印发《车联网网络安全和数据安全标准体系建设指南》(以下简称“《建设指南》”),提出到2023年底,初步构建起车联网网络安全和数据安全标准体系。
……
数据驱动着发展,同时也暗藏着风险,数据安全问题是个人到企业到国家层面都高度重视的问题。
但在当前的新技术、新业态、新经济环境下,企业要做好数据安全治理,面临着更多的挑战与更高的要求。
— 01 —
新形势,新挑战
数据显示,仅 2021 年上半年,勒索软件攻击就达到了 3.047 亿次,打破了 2020 年全年的攻击总数(3.046 亿次),同比增长 151%,而企业在安全团队上的投入却并没有相应增长。
虽然数据滥用风险、数据泄露风险、数据窃取风险、数据伪造风险、数据破坏风险等,成为了许多企业不得不面对且需重视的问题,但数据安全治理,往往由于其复杂性而被企业搁置,而当前新形势下海量变换的数据,更是给企业的数据安全治理带来了新的挑战。
1、数据规模迅速增加,亟需数据安全治理方式改进云计算技术的发展,极大地提高了计算和存储资源的利用率。基于查询/访问而不是存储量的云存储定价模式,使得很多企业轻松地搭建起一个PB级的数据存储。迅速扩大的数据规模,使得与这些数据相关的保护和治理,从数据发现到分级分类、从访问控制到数据审计,都需要改变旧有的模式,来应对快速生成的海量的数据带来的变化。
2、海量数据流转,导致数据追踪不可控在当前复杂的业务情境以及技术条件下,数据在很多时候并不是先生成再存储,而是从不同的位置获取的,在ETL/ELT过程中,数据在不断地变化位置,并经历着富化、匿名化或者其他转换。而且数据的转换既可能在同个平台内进行,也可能跨平台或跨公共云进行,这使得数据的追踪变得十分不可控,比如可能这个表中原本没有任何敏感信息,但在各种转化过程中却被不小心添加了敏感信息。
3、数据存取方式演变,数据安全控制暗藏风险数据在组织中的驱动作用越来越明显,组织内部的数据需求量也随之猛增,数据服务也随着技术的发展而变得更加便利,大量用户可以直接使用基于web的应用程序甚至移动应用程序来访问和使用数据。但于此同时,也给组织的数据访问管理带来的新的难题,数据访问的归因问题、权限设置问题,很容易变成数据安全控制中的薄弱地带,给组织的数据安全带来隐藏风险。
4、攻击手段多样化,传统安全手段防护效果甚微目前针对数据的攻击手段不断翻新,从最初的暴力破解密码、e-mail炸弹,到基于DNS、基于TCP-IP协议的攻击,再到后来的木马、蠕虫、SQL 注入、跨站等基于应用软件的攻击等,大数据在全生命周期过程中被窃取、被滥用、被篡改的风险不断增大。传统的安全手段及体系呈现出单点、 静态防护的特点,在应对大数据环境下的安全威胁时会出现防护效果不佳,甚至失效的情况,也为数据安全威胁的追踪溯源带来了更大的挑战。
— 02 —
如何做好数据安全治理?
数据安全问题贯穿数据全生命周期的各个环节。在新形势下,要做好数据安全治理,就要做好企业的数据安全防护能力建设,建立起一个强保障且动态化的安全保护机制。这个机制的攻坚点主要是三个方面:完善数据安全治理规划,提高数据安全技术防护能力,和加强数据安全审计。
1.完善数据安全治理规划
(1)评估数据安全现状一般来说,组织进行数据安全治理的目标主要是两个:一是实现组织的合规保障;二是实现数据的充分开发利用,在安全的基础上谋发展。组织在进行数据安全治理时,应在这两个大方向的指引下,对组织内部的数据安全现状,进行一个全方位的评估,并以此来作为数据安全治理的依据。
评估主要可以从外部和内部两个方面来进行。
①外部合规:对业务适用的外部法律法规、监管要求进行梳理,并据此对组织数据进行合规分析。
②内部现状:结合组织的业务场景,基于数据全生命周期的安全防护要求,梳理组织内部数据已有的或者可能存在的风险点,分析原因,并明确数据安全治理建设具体需求点。
(2)完善数据安全治理组织规划
数据安全治理工作贯穿数据从生产到使用的各个环节,涉及到组织内部的多方联动,要保障数据安全工作的顺利开展,就要建立起一套权责明确的组织规范,从数据安全的不同角色视角来满足数据安全建设需求。
(3)建立数据安全保障制度体系
要实现数据安全要求清晰明确、数据安全治理有章可循,建立起一个完善的数据安全管理制度规范体系是非常必要的。下图是关于制度体系的建议,从上到下共划分为四级文档,组织可以根据实际需要进行针对性的增删和调整。