您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
全文發(fā)布:數(shù)據(jù)治理安全(DGS)白皮書
報告編號:DWC_WB_2022003
分析師:金東東?首席戰(zhàn)略分析師
發(fā)布時間:2022年6月
數(shù)據(jù)治理安全(DGS)是適應我國國情以及數(shù)據(jù)安全商業(yè)市場現(xiàn)狀,解決企業(yè)數(shù)字化轉(zhuǎn)型過程中有關(guān)數(shù)據(jù)安全需求的思想。
DGS是以數(shù)據(jù)安全合規(guī)驅(qū)動的,聚焦于數(shù)據(jù)的分類分級、合規(guī)條款匹配和數(shù)據(jù)安全能力的對接與調(diào)度。將傳統(tǒng)的數(shù)據(jù)安全治理(DSG)框架化繁為簡、化重為輕,以期更好的幫助解決數(shù)據(jù)安全保障體系的落地問題。同時,為未來全局化的數(shù)據(jù)治理工作做好準備。由于治理的概念大于安全,所以我們稱之為數(shù)據(jù)治理安全(DGS)。
數(shù)世咨詢愿同產(chǎn)業(yè)界一起,以中國數(shù)字安全實踐為根基,樹立全球網(wǎng)絡空間安全發(fā)展的新風向,給出全球網(wǎng)絡空間命運共同體的中國答案。
關(guān)鍵發(fā)現(xiàn)
● 數(shù)字時代的數(shù)據(jù)安全關(guān)注的是數(shù)據(jù)生產(chǎn)和處理過程中的安全狀態(tài),已經(jīng)不適應于傳統(tǒng)數(shù)據(jù)安全生命周期的思考方式,即數(shù)據(jù)沒有生命周期。因為數(shù)據(jù)的價值是由流動性體現(xiàn)的,只要是流動的數(shù)據(jù),就必然會通過計算或者存儲的形式將自身轉(zhuǎn)移到其他數(shù)據(jù)或系統(tǒng)中,并不存主動銷毀這一行為。并且從《數(shù)據(jù)安全法》中可以看到,有關(guān)數(shù)據(jù)處理的內(nèi)容中也不包括銷毀。
● 現(xiàn)階段我國數(shù)據(jù)安全市場的驅(qū)動力主要來自安全合規(guī)。
● 數(shù)據(jù)做為人類活動的第五大生產(chǎn)要素,站在國家、行業(yè)的層面用頂層治理的高度來考慮是完全必要的。但站在企業(yè)或機構(gòu)的自身層面,用治理的高度來實現(xiàn)數(shù)據(jù)安全管理,無異于“大炮打蚊子”,時間、人力、物力上的成本令企業(yè)或機構(gòu)舉步維艱。這幾年來的實踐也證明,傳統(tǒng)數(shù)據(jù)安全治理(DSG)的概念和思路均存在無法落地的問題。
● 由于數(shù)據(jù)安全治理的框架是用治理的高度來做安全,因此前期的咨詢、分類分級、資產(chǎn)化會變得極其沉重。數(shù)世咨詢提出的解決思路是,以安全驅(qū)動(為目的)的數(shù)據(jù)治理,聚焦于安全和輕量級資產(chǎn)化,在減輕前期咨詢、分類分級、資產(chǎn)化沉重壓力的同時,又為未來大一統(tǒng)的數(shù)據(jù)治理工作做好準備。
● (CPI)2 框架的應用基于AI的數(shù)據(jù)自動分類分級能力、具有行業(yè)屬性的知識圖譜和全域數(shù)據(jù)/多模態(tài)數(shù)據(jù)的治理能力,支持云原生、私有化部署和SaaS服務,與數(shù)據(jù)治理安全(DGS)的理念完全契合,滿足企業(yè)數(shù)字化轉(zhuǎn)型的各種需求。
參考建議
● 數(shù)據(jù)安全生命周期是從數(shù)據(jù)的流動環(huán)節(jié)上做安全控制,但由于絕大多數(shù)電子數(shù)據(jù)實際上沒有生命周期,并且數(shù)據(jù)的價值是通過流動性的強弱來體現(xiàn)的。所以數(shù)據(jù)安全應該從流動性的視角(即應用需求)切入,而不是以流動環(huán)節(jié)(即信息技術(shù))的視角為核心,流動環(huán)節(jié)應該作為流動性的輔助。
● 行業(yè)用戶在數(shù)字化轉(zhuǎn)型的過程中,安全合規(guī)是繞不開的一環(huán)。為了盡量避免企業(yè)因數(shù)據(jù)安全問題遭到損失,可以優(yōu)先通過AI的方式進行數(shù)據(jù)分類分級的工作,然后為各種類數(shù)據(jù)匹配不同的安全能力。
● 以數(shù)據(jù)輕量資產(chǎn)化、AI分類分級、持續(xù)分類分級、安全條款符合化和安全能力對接與調(diào)度為核心的數(shù)據(jù)治理安全(DGS)思路,才是適應我國行業(yè)用戶的數(shù)據(jù)安全需求的。
● 數(shù)據(jù)分類分級的工作不是一錘子買賣,應該是持續(xù)化不斷迭代進行的。行業(yè)用戶應該不斷根據(jù)國家與行業(yè)的要求以及商業(yè)系統(tǒng)的變更來動態(tài)調(diào)整分類分級的結(jié)果,并對其施以相應的安全能力。
● (CPI)2 框架已經(jīng)在部分行業(yè)用戶的生產(chǎn)環(huán)境進行了落地應用,可以作為現(xiàn)階段數(shù)據(jù)治理安全(DGS)的最佳實踐來參考。
?
有關(guān)定義
隨著我國《數(shù)據(jù)安全法》的施行,數(shù)據(jù)安全已經(jīng)與網(wǎng)絡安全并行,作為一個單獨的研究領(lǐng)域,加之數(shù)字經(jīng)濟的蓬勃發(fā)展,數(shù)據(jù)安全的問題越來越被廣大的行業(yè)客戶所關(guān)注。
數(shù)世咨詢《數(shù)字安全能力圖譜》將數(shù)據(jù)治理安全歸納于數(shù)據(jù)安全-數(shù)據(jù)訪問安全分類下,替換了上一版《數(shù)字安全能力圖譜》中,數(shù)據(jù)安全-數(shù)據(jù)安全體系-DSG分類。
圖 1 數(shù)字安全能力圖譜
數(shù)據(jù)治理安全(DGS)是一種思想,聚焦于數(shù)據(jù)的分類分級、合規(guī)條款匹配和數(shù)據(jù)安全能力的對接與調(diào)度。整體以輕量化的治理方式引路,優(yōu)先解決安全合規(guī)的迫切需求,再輔以其他數(shù)據(jù)安全能力,用人工智能的方式實現(xiàn)安全能力的正向循環(huán)迭代。用最輕量化的數(shù)據(jù)治理思路建設數(shù)據(jù)安全能力,用最小的代價解決當前最迫切的需求,為后續(xù)數(shù)據(jù)安全與數(shù)據(jù)治理的全面建設提供技術(shù)與管理基礎(chǔ)。
?
數(shù)據(jù)安全概況
數(shù)據(jù)安全的發(fā)展階段
數(shù)世咨詢認為,數(shù)據(jù)的價值是由流動性創(chuàng)造的,并數(shù)據(jù)的價值是通過流動性的強弱來體現(xiàn)的。
傳統(tǒng)的數(shù)據(jù)安全防護思想是圍繞數(shù)據(jù)安全生命周期進行的,而數(shù)據(jù)安全生命周期是從數(shù)據(jù)的流動環(huán)節(jié)上做安全控制,但絕大多數(shù)電子數(shù)據(jù)實際上沒有生命周期。數(shù)字時代的數(shù)據(jù)安全關(guān)注的是數(shù)據(jù)生產(chǎn)和處理過程中的安全狀態(tài),已經(jīng)不適應于傳統(tǒng)數(shù)據(jù)安全生命周期的思考方式。一方面是因為“數(shù)據(jù)安全法”所規(guī)定的條款里,數(shù)據(jù)處理并不包含銷毀這一過程;另一方面是因為數(shù)據(jù)的價值是由流動性體現(xiàn)的,只要是流動的數(shù)據(jù),就必然會通過計算或者存儲的形式將自身轉(zhuǎn)移到其他數(shù)據(jù)或系統(tǒng)中,也不存在銷毀這一結(jié)果。
所以數(shù)據(jù)安全應該從流動性的視角(即應用需求)切入,而不是以流動環(huán)節(jié)(即信息技術(shù))的視角為核心,流動環(huán)節(jié)應該作為流動性的輔助。
在流動性的視角下,數(shù)據(jù)作為一種保護主體,在不同時期具備不同的流動性。根據(jù)不同的流動性,數(shù)據(jù)安全伴隨著社會和經(jīng)濟的發(fā)展,針對數(shù)據(jù)的安全實現(xiàn)和方法也各不相同。數(shù)據(jù)安全發(fā)展至今可以總結(jié)為三個階段:
1. 數(shù)據(jù)貯存安全,保護數(shù)據(jù)的價值:這一階段的數(shù)據(jù)缺乏流動性。安全防護主要以文檔安全、磁盤加密、防勒索、數(shù)據(jù)恢復和容災備份為保護手段,重點防止數(shù)據(jù)被破壞;
2. 數(shù)據(jù)訪問安全,釋放顯性的價值:這一階段的數(shù)據(jù)擁有有限的流動性。安全防護核心以安全合規(guī)、數(shù)據(jù)防泄露、數(shù)據(jù)庫安全、數(shù)據(jù)脫敏、數(shù)據(jù)訪問安全域為保護手段,重點防止數(shù)據(jù)被非法利用;
3. 數(shù)據(jù)開放安全,挖掘隱藏的價值:這一階段的數(shù)據(jù)擁有完全的流動性。安全防護核心以人工智能、隱私計算為保護手段,重點防止數(shù)據(jù)被誤用和濫用。
雖然現(xiàn)在我們已經(jīng)開始談論數(shù)據(jù)開放安全,但這并不意味著我們已經(jīng)步入了數(shù)據(jù)開放安全時代。一個時代的來臨,是要以國家頂層設計和社會與經(jīng)濟發(fā)展的現(xiàn)狀來決定的。對于數(shù)據(jù)的完全開放,我們還沒有做好十足的準備。人工智能和隱私計算的算力與模型問題至今仍然具有很大的挑戰(zhàn),法律與社會道德層面的約束還不足以支撐。
所以,我們現(xiàn)在處于一個數(shù)據(jù)訪問安全與數(shù)據(jù)開放安全交叉的時代。在這種狀態(tài)下,如何認清市場趨勢、抓住轉(zhuǎn)瞬即逝的機會,對于數(shù)據(jù)安全企業(yè)和行業(yè)用戶來說,都是必須考慮的問題。
數(shù)據(jù)安全的法律要求
根據(jù)數(shù)據(jù)不同的流動性,我國在數(shù)據(jù)安全法治建設進程上也體現(xiàn)出了不同階段的不同方向。從建國至今,有關(guān)網(wǎng)絡安全、數(shù)據(jù)安全的法律要求,或多或少的在各領(lǐng)域法律文件中都有所涉及了數(shù)據(jù)安全的內(nèi)容。
2017年6月1日以網(wǎng)絡安全為主體的《網(wǎng)絡安全法》正式實施,從此宣告我國網(wǎng)絡空間安全進入明確法制時代?!毒W(wǎng)絡安全法》指出:建設、運營網(wǎng)絡或者通過網(wǎng)絡提供服務,應當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求,采取技術(shù)措施和其他必要措施,保障網(wǎng)絡安全、穩(wěn)定運行,有效應對網(wǎng)絡安全事件,防范網(wǎng)絡違法犯罪活動,維護網(wǎng)絡數(shù)據(jù)的完整性、保密性和可用性;國家鼓勵開發(fā)網(wǎng)絡數(shù)據(jù)安全保護和利用技術(shù),促進公共數(shù)據(jù)資源開放,推動技術(shù)創(chuàng)新和經(jīng)濟社會發(fā)展。
2021年9月1日,為了規(guī)范數(shù)據(jù)處理活動,保障數(shù)據(jù)安全,促進數(shù)據(jù)開發(fā)利用,保護個人、組織的合法權(quán)益,維護國家主權(quán)、安全和發(fā)展利益,《數(shù)據(jù)安全法》橫空出世,標志著數(shù)據(jù)安全與網(wǎng)絡安全并行,作為一個單獨的法律主體?!稊?shù)據(jù)安全法》將數(shù)據(jù)定義為任何以電子或者其他方式對信息的記錄;將數(shù)據(jù)處理定義為收集、存儲、使用、加工、傳輸、提供、公開等過程;將數(shù)據(jù)安全定義為通過采取必要措施,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。
圖 2 涉及數(shù)據(jù)安全的法律
2021年1月1日發(fā)布的《民法典》,以及2021年11月1日發(fā)布的《個人信息保護法》對國家、企業(yè)、社會、個人接觸到的公民個人敏感信息都做出了明確的法律要求。
不僅如此,根據(jù)上圖所示法律,中央部委、各地區(qū)、行業(yè)、團體,還根據(jù)自身業(yè)務管轄范疇制定了一系列(數(shù)以百計)辦法、規(guī)章、制度等法規(guī)文件。鑒于本報告只是為了借助國家法律、法規(guī)文件來反映數(shù)據(jù)安全在我國各層面的重要地位,具體法律條文和法規(guī)內(nèi)容不在這里做展開描述。對于這一部分內(nèi)容,數(shù)世咨詢會在將來的文章以及報告中體現(xiàn)。
合規(guī)驅(qū)動數(shù)據(jù)安全
數(shù)據(jù)流動性的不斷變化推動數(shù)據(jù)安全的不斷發(fā)展,在不同數(shù)據(jù)安全發(fā)展階段,驅(qū)動技術(shù)和市場的因素也擁有各自的特點。
圖 3 數(shù)據(jù)安全的驅(qū)動因素
現(xiàn)階段來看,數(shù)據(jù)安全建設的訂單來自合規(guī)驅(qū)動和業(yè)務驅(qū)動,概括來說為經(jīng)營風險、業(yè)務受限、國家監(jiān)管和合規(guī)要求,各類驅(qū)動力還包括上圖所示的一些具體事項。
如果說網(wǎng)絡安全的需求(預算)約70%來自于安全合規(guī),那么不同于網(wǎng)絡安全的是,數(shù)據(jù)的權(quán)屬大多為企業(yè)、個人自身,數(shù)據(jù)安全的責任也屬于企業(yè)、個人自身,安全責任對于企業(yè)、個人來說,從來沒有如此直接和重大。
2021年10月31日,國家安全部公布了三起危害重要數(shù)據(jù)安全的案例,其中一例涉及某航空公司。經(jīng)確認,其相關(guān)信息系統(tǒng)遭到網(wǎng)絡武器攻擊,部分乘客出行記錄等數(shù)據(jù)被竊取。經(jīng)國家安全機關(guān)進一步排查發(fā)現(xiàn),另有多家航空公司信息系統(tǒng)遭到同一類型的網(wǎng)絡攻擊和數(shù)據(jù)竊取。經(jīng)深入調(diào)查,確認相關(guān)攻擊活動是由某境外間諜情報機關(guān)精心謀劃、秘密實施,攻擊中利用了多個技術(shù)漏洞,并利用多個網(wǎng)絡設備進行跳轉(zhuǎn),以隱匿蹤跡。
2021年8月2日,技嘉在中國臺灣的總部遭遇了RansomEXX的網(wǎng)絡攻擊,被竊取了112GB的數(shù)據(jù),其中包含來自英特爾、AMD 和其他公司的機密技術(shù)文件。該組織還使用勒索軟件來加密技嘉的數(shù)據(jù),導致業(yè)務中斷、服務關(guān)停。該組織勒索的金額不詳,但聲明如果不支付贖金,還會把竊取的數(shù)據(jù)公開販賣。
2021年3月19日和2022年2月14日,中信銀行分別被銀保監(jiān)會和央行開具了兩張罰單,處罰金額分別為450萬和240萬。而原因就是數(shù)據(jù)安全問題引發(fā)的,例如消費者金融信息保護、客戶信息安全管理不到位和訪問控制與權(quán)限管理不到位等。
根據(jù)數(shù)世咨詢的調(diào)研發(fā)現(xiàn),在現(xiàn)階段數(shù)據(jù)安全的需求(預算)約90%來自于安全合規(guī),10%來自于業(yè)務需求,所以我們說合規(guī)驅(qū)動數(shù)據(jù)安全。
但不論安全合規(guī)驅(qū)動還是業(yè)務需求驅(qū)動,數(shù)據(jù)對于企業(yè)、個人來說,已經(jīng)作為一種資產(chǎn)和生產(chǎn)要素被廣泛應用于改善生活和創(chuàng)新業(yè)務,所以數(shù)據(jù)安全就成為一項必須要考慮和付諸行動的工作。當數(shù)字時代全面來臨時,數(shù)據(jù)安全進入完備的開放階段,數(shù)據(jù)安全的需求(預算)可能安全合規(guī)驅(qū)動只占到10%,業(yè)務需求驅(qū)動占到90%。
?
數(shù)據(jù)治理安全概況
數(shù)據(jù)治理安全需求
數(shù)據(jù)的價值已經(jīng)不言而喻,對企業(yè)發(fā)展有強大的促進作用。數(shù)據(jù)的風險也很直觀,在數(shù)字時代甚至決定著企業(yè)的生死存亡。
數(shù)世咨詢認為,數(shù)據(jù)治理安全作為數(shù)據(jù)安全的一個一級分類,在現(xiàn)階段的我國商業(yè)市場,需求大致可以概括為以下三個方面:
1. 安全合規(guī)
國家在對處理政務數(shù)據(jù)、商業(yè)數(shù)據(jù)和個人隱私數(shù)據(jù)方面都做出了法律要求,各地區(qū)、行業(yè)監(jiān)管部門也制定了一系列監(jiān)管要求,如果相關(guān)部門或企業(yè)觸犯法律或者違反法規(guī),除了收到行政處罰外,還會受到刑事處罰,甚至國家審查。
雖然我國目前規(guī)定的處罰金額整體偏低,但處罰之外的,例如吊銷執(zhí)照、停職審查、停業(yè)整頓、取消資格和暫緩辦理行政事項等,對相關(guān)部門和企業(yè)來說,可謂滅頂之災。近兩年最為轟動的莫過字節(jié)跳動海外業(yè)務案和滴滴出行赴美上市案。
在我國一大部分數(shù)據(jù)安全的需求就來源于安全合規(guī),規(guī)章制度細致入微、國家監(jiān)管也可謂事無巨細,這些基本囊括了所有數(shù)據(jù)處理的過程,所以后面提到現(xiàn)階段數(shù)據(jù)安全需求(預算)90%來自于合規(guī)驅(qū)動。
2. 保護數(shù)據(jù)資產(chǎn)
在生產(chǎn)和生活過程中,產(chǎn)生和收集的數(shù)據(jù)權(quán)屬通常為本人、本部門、本地區(qū),安全保護責任也一并劃歸。數(shù)據(jù)作為一種資產(chǎn),已經(jīng)在社會層面和商業(yè)層面具有巨大的價值。
政府相關(guān)部門可以使用數(shù)據(jù)進行社會治理和公民服務方面的研究,最直觀的就是疫情防控大數(shù)據(jù)的應用。而企業(yè)可以使用數(shù)據(jù)進行用戶行為分析,改善產(chǎn)品體驗和服務精準度,最直觀的就是短視頻推薦算法和出行規(guī)劃算法。
在我國一部分數(shù)據(jù)安全的需求就是因為這些在生產(chǎn)和生活過程中產(chǎn)生和收集的數(shù)據(jù),是擁有者的無形資產(chǎn),在數(shù)字時代屬于核心競爭力的一種,需要被有效的保護起來,建立業(yè)務壁壘。
3. 業(yè)務發(fā)展
激活數(shù)據(jù)要素潛能,加快建設數(shù)字經(jīng)濟、數(shù)字社會、數(shù)字政府,以數(shù)字化轉(zhuǎn)型整體驅(qū)動生產(chǎn)方式、生活方式和治理方式變革,已經(jīng)成為國家和社會共同的認知。隨著數(shù)據(jù)種類和量級不斷高速增長,數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、銷毀等過程從未有現(xiàn)今如此復雜,而且這一趨勢仍然是長期向上的。
如果不進行數(shù)據(jù)安全建設,可能會出現(xiàn)被數(shù)據(jù)反噬的現(xiàn)象,即因為龐大的數(shù)據(jù)保護和維護成本以及低級的使用效率,使得企業(yè)在耗費大量人、財、物的同時并沒有發(fā)展或難于創(chuàng)新業(yè)務,最終拖累企業(yè)正常業(yè)務開展。
在我國一部分數(shù)據(jù)安全的需求就是因為企業(yè)數(shù)據(jù)保護和維護的成本逐年增長,需要升級數(shù)據(jù)安全的解決方案,更重要的是需要借助數(shù)據(jù)隱藏的價值發(fā)展和創(chuàng)新業(yè)務,為企業(yè)尋求新的發(fā)力點。
數(shù)據(jù)治理安全實踐
針對數(shù)據(jù)治理安全的三種需求,實現(xiàn)數(shù)據(jù)安全的應對方法各不相同,但是最終的目標都是要為企業(yè)的數(shù)字化轉(zhuǎn)型提供數(shù)據(jù)安全保障。本報告研究的核心就是在實現(xiàn)數(shù)字化轉(zhuǎn)型的過程中,怎樣才能在業(yè)務促進和創(chuàng)新上提供匹配的數(shù)據(jù)安全能力。
擁有數(shù)據(jù)安全能力的途徑很多,數(shù)世咨詢認為,當前我國商業(yè)市場上有關(guān)數(shù)據(jù)安全的實踐方向總體分為兩大類,分別為源自安全和源自數(shù)據(jù)。
源自安全
這類解決問題的方法通常是根據(jù)數(shù)據(jù)生命周期來進行數(shù)據(jù)安全建設的應對思路,從安全防護以及等級保護的角度切入,幫助行業(yè)用戶對應檢查項目和相關(guān)安全功能需求,屬于上文提到的數(shù)據(jù)安全發(fā)展階段中的數(shù)據(jù)貯存安全和數(shù)據(jù)訪問安全。
源自安全的實踐方向:
1. 數(shù)據(jù)安全專項能力:主要實現(xiàn)類似身份認證與訪問、數(shù)據(jù)防泄漏、數(shù)據(jù)審計、數(shù)據(jù)風險監(jiān)測、數(shù)據(jù)庫安全等單點防護的安全控制。
它可以很快的為企業(yè)建立基礎(chǔ)的數(shù)據(jù)安全控制能力,一方面可以點對點的將等級保護相關(guān)控制項能力補齊,一方面可以配合大型IT項目進行安全能力的引入。
2. 數(shù)據(jù)安全管理平臺:主要是將零散的數(shù)據(jù)安全控制點,進行統(tǒng)一的管理和實現(xiàn)可視化,將安全能力串聯(lián)、放大,起到安全協(xié)同處置的作用。
它可以接管數(shù)據(jù)安全的相關(guān)流量并提供一定的安全分析功能,將安全控制協(xié)調(diào)串聯(lián),通過統(tǒng)一化的管理界面和控制面管道,便捷的維護和管理數(shù)據(jù)安全能力。
源自數(shù)據(jù)
與源自安全的解決方法不同的是,源自數(shù)據(jù)的思路核心為驅(qū)動企業(yè)業(yè)務發(fā)展與創(chuàng)新,在企業(yè)數(shù)字化轉(zhuǎn)型過程中,提供匹配業(yè)務需求的數(shù)據(jù)安全能力。屬于上文提到的數(shù)據(jù)安全發(fā)展階段中的數(shù)據(jù)訪問安全和數(shù)據(jù)開放安全。
從業(yè)務發(fā)展和創(chuàng)新的角度來看,源自安全的方法在企業(yè)深入數(shù)字化轉(zhuǎn)型后,可能會出現(xiàn)安全控制與現(xiàn)有的業(yè)務流程不匹配、與管理環(huán)節(jié)脫軌等問題,因為在部署這些數(shù)據(jù)安全措施時,并沒有完全根據(jù)業(yè)務運營的邏輯和流程去設計,更多的是利用通用性的安全控制點來體現(xiàn)效果。這樣的話,就必須對其進行定制化的改造,才能賦予其對不同類型和級別數(shù)據(jù)的不同安全能力,實現(xiàn)精確化管控,驅(qū)動業(yè)務發(fā)展。而源自數(shù)據(jù)的數(shù)據(jù)安全方法,天然就和企業(yè)數(shù)據(jù)相匹配,避免了后期重復投入的問題。
源自數(shù)據(jù)的實踐方向:
1. 隱私計算:主要解決數(shù)據(jù)開放階段的數(shù)據(jù)流動安全問題,保護對象是隱私數(shù)據(jù)和敏感數(shù)據(jù),目的是挖掘政務數(shù)據(jù)和個人隱私數(shù)據(jù)的隱藏價值,在不侵犯數(shù)據(jù)所有者權(quán)利的前提下,進行社會服務和科學研究。
雖然現(xiàn)在已經(jīng)出現(xiàn)了多方安全計算和差分隱私等隱私計算產(chǎn)品,解決了部分隱私流動與匯聚計算的問題,但有關(guān)隱私保護和數(shù)據(jù)交易方面的法律法規(guī)還不算完善。并且隱私計算最大的價值是融合到業(yè)務應用中,通過人工智能和深度學習去促進企業(yè)發(fā)展,現(xiàn)階段還沒有成熟、穩(wěn)定的實踐。
2. DSG(數(shù)據(jù)安全治理):這類解決方案主要根據(jù)GARTNER發(fā)布的DSG框架進行操作,DSG先治理、后安全的概念和理論本身沒有問題,但是不論在國際還是國內(nèi),其推行效果都不太理想,迄今為止并沒有太多的完整案例可以作為參考和借鑒。以至于此類解決方案往往是以咨詢服務開始、以咨詢服務結(jié)束,并沒有落地實際產(chǎn)品或者流程,對企業(yè)數(shù)據(jù)安全建設沒有起到實質(zhì)性的幫助。
3. 數(shù)據(jù)治理安全(DGS):這類解決方案是用來替代DSG這一實踐方向的,雖然與DSG在先治理,后安全的理念上一致,但邏輯架構(gòu)和實踐應用卻大相徑庭。
就目前的數(shù)據(jù)安全落地應用來說,凡是借用DSG的理念進行推廣,優(yōu)先進行數(shù)據(jù)分類分級的工作,然后再匹配相應安全能力的解決方案,其實都是數(shù)據(jù)治理安全(DGS)的實踐方向。
一方面是因為數(shù)據(jù)分類分級或數(shù)據(jù)輕量資產(chǎn)化的方式,根本沒有達到或匹配DSG有關(guān)數(shù)據(jù)戰(zhàn)略的頂層設計,不符合其框架邏輯;另一方面是因為數(shù)據(jù)治理安全(DGS)的出發(fā)點就是減輕項目前期人工咨詢、事務性工作、數(shù)據(jù)資產(chǎn)化的沉重壓力,同時為未來全局化數(shù)據(jù)治理工作做好準備。
從落地應用可以直觀的發(fā)現(xiàn),產(chǎn)業(yè)界都已發(fā)現(xiàn)了傳統(tǒng)DSG的可行性困難,并在具體的實施方法上做了基于各自理解之上的修改。之所以一直在沿用DSG的名稱概念,只是因為一直無人提出更好的概念、理念和技術(shù)框架以代替。
數(shù)據(jù)治理安全市場
從上文中的分析我們已經(jīng)得知,現(xiàn)階段我國數(shù)據(jù)安全商業(yè)市場是由安全合規(guī)驅(qū)動的。而數(shù)據(jù)治理安全(DGS)的核心,數(shù)據(jù)分類分級、合規(guī)條款匹配和數(shù)據(jù)安全能力的對接與調(diào)度,與合規(guī)這一硬性需求結(jié)合的更加緊密。
圍繞《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》和《個人信息保護法》,國家開展數(shù)據(jù)分類分級制度的建設,相繼發(fā)布或正在修改一系列法規(guī)與政策文件。而《重要數(shù)據(jù)識別規(guī)則》、《網(wǎng)絡安全審查辦法》、《網(wǎng)絡數(shù)據(jù)安全管理條例》等文件,與企業(yè)生產(chǎn)經(jīng)營和持續(xù)發(fā)展息息相關(guān)。行業(yè)用戶還受到行業(yè)主管部門的監(jiān)管,需要遵循相關(guān)數(shù)據(jù)安全特定要求和分類分級的具體規(guī)范。
目前,政府、國央企、金融、醫(yī)療、互聯(lián)網(wǎng)等行業(yè),對數(shù)據(jù)安全合規(guī)建設和分類分級的需求極為迫切,屬于剛需。
據(jù)數(shù)世咨詢統(tǒng)計,2021年僅數(shù)據(jù)安全原廠商的業(yè)務收入就達到了60億元的規(guī)模,并保守預計未來5年的平均增長率為50%,即2026年為455億元,未7年將突破千億元。
圖 4 市場規(guī)模
數(shù)世咨詢認為,從網(wǎng)絡安全演化到數(shù)字安全的范式轉(zhuǎn)換過程中,網(wǎng)絡安全已成為基礎(chǔ)手段,而核心是數(shù)據(jù)安全。數(shù)據(jù)承載著業(yè)務、驅(qū)動著業(yè)務,因此數(shù)據(jù)安全與業(yè)務融合、數(shù)據(jù)安全驅(qū)動業(yè)務必將是數(shù)字時代的終級趨勢。隨著數(shù)字經(jīng)濟的發(fā)展,數(shù)字時代的企業(yè)對數(shù)據(jù)安全的需求都將成為剛需,未來數(shù)據(jù)安全市場將與網(wǎng)絡安全市場的規(guī)模相當,甚至超過都有可能。
?
DSG困境分析
面對如此廣袤的市場,我們可以看到,如果以推動企業(yè)數(shù)字化轉(zhuǎn)型過程,促進和創(chuàng)新業(yè)務發(fā)展的角度去思考,源于安全的數(shù)據(jù)安全建設模式存在一些發(fā)展問題,因為其不滿足企業(yè)數(shù)字化轉(zhuǎn)型的初衷以及企業(yè)管理和業(yè)務流程不斷變化的需求。
那為何源于數(shù)據(jù)的DSG思路,以先治理、后安全的方法切入,依然不能很好解決這一現(xiàn)象,是因為DSG框架存在三大問題。
圖 5 DSG框架
實踐問題
DAMA(國際數(shù)據(jù)管理協(xié)會)理論框架(下圖左)指出,數(shù)據(jù)治理職能包括戰(zhàn)略、組織和角色、政策和標準、項目和服務、問題、估值幾個方面,數(shù)據(jù)治理職能指導其他數(shù)據(jù)管理職能如何執(zhí)行。從DAMA體系不難看出,數(shù)據(jù)安全是數(shù)據(jù)治理的一部分,屬于管理范疇。
《GB/T 34960.5-2018 信息技術(shù)服務 治理 第五部分:數(shù)據(jù)治理規(guī)范》(下圖右)指出數(shù)據(jù)治理的框架體系,主要由頂層設計、數(shù)據(jù)治理環(huán)境、數(shù)據(jù)治理域和數(shù)據(jù)治理過程組成。數(shù)據(jù)治理域的數(shù)據(jù)管理體系指出,組織應圍繞數(shù)據(jù)標準、數(shù)據(jù)質(zhì)量、數(shù)據(jù)安全、元數(shù)據(jù)管理和數(shù)據(jù)生存周期等。從國家標準不難看出,數(shù)據(jù)安全是數(shù)據(jù)治理的一部分,屬于管理范疇。
圖 6 數(shù)據(jù)治理與數(shù)據(jù)安全的關(guān)系
如此可知,數(shù)據(jù)治理大于數(shù)據(jù)安全,數(shù)據(jù)安全屬于管理范疇,數(shù)據(jù)安全治理(DSG)用治理的方法實現(xiàn)管理的事情,很顯然是一種吃力不討好的做法,也是其在推行過程中最大的阻力。
數(shù)世咨詢認為,數(shù)據(jù)做為人類活動的第五大生產(chǎn)要素,站在國家、行業(yè)的層面用頂層治理的高度來考慮是完全必要的。但站在企業(yè)或機構(gòu)的自身層面,用治理的高度來實現(xiàn)數(shù)據(jù)安全管理,無異于“大炮打蚊子”,時間、人力、物力上的成本令企業(yè)或機構(gòu)舉步維艱。這幾年來的實踐也證明,傳統(tǒng)數(shù)據(jù)安全治理的概念和思路均存在無法落地的問題。
從理論和國外實踐來看,推行DSG的企業(yè)會建立企業(yè)級數(shù)據(jù)治理委員會,有業(yè)務部門領(lǐng)導、IT部門領(lǐng)導共同參與,讓業(yè)務與業(yè)務之間、業(yè)務與技術(shù)之間能夠有更充分的討論溝通,從而對宏觀的數(shù)據(jù)戰(zhàn)略、制度達成共識。
但就國內(nèi)現(xiàn)狀來看,因為經(jīng)濟體制、企業(yè)架構(gòu)以及管理模式與國際情況大相徑庭,在DSG基于美洲、歐洲商業(yè)市場環(huán)境開發(fā)的前提下依然推行不暢,在國內(nèi)推行DSG更是阻礙重重。
不可否認的是,歐美國家在科技創(chuàng)新和應用上在現(xiàn)階段是領(lǐng)先于我國的,數(shù)據(jù)安全在企業(yè)經(jīng)營中的作用已經(jīng)得到了許多驗證,并且歐美國家的許多企業(yè)已經(jīng)完成或者開始了數(shù)據(jù)治理的工作,所以他們可以用數(shù)據(jù)治理的方式去進行數(shù)據(jù)安全建設,因為數(shù)據(jù)安全本就是數(shù)據(jù)治理的重要一環(huán),是業(yè)務驅(qū)動的選擇。
而反觀我國,除了一些行業(yè)頭部企業(yè)外,數(shù)以億記的企業(yè)都沒有開始數(shù)據(jù)治理的工作,用數(shù)據(jù)治理的流程去做數(shù)據(jù)安全,不僅不能加速企業(yè)的數(shù)據(jù)安全建設,通常還會渙散企業(yè)對數(shù)據(jù)安全建設的決心。
成本問題
根據(jù)DSG框架描述,為了構(gòu)建數(shù)據(jù)安全能力,不能從安全控制點開始,必須從商業(yè)策略、業(yè)務策略、治理策略、IT策略、風險策略等等一系列頂層戰(zhàn)略開始,基本和數(shù)據(jù)治理的操作方式一致。
數(shù)世咨詢認為,從企業(yè)的數(shù)據(jù)安全需求和應用效果的角度來看,DSG框架不具備落地執(zhí)行性。從數(shù)據(jù)安全建設的成本控制和投入產(chǎn)出比來看,DSG方法和利益最大化原則相悖。這就好比我只是想吃一盤蒸羊羔,沒必要下一個滿漢全席的訂單,單獨點一道菜就完全可以解決我的需求。
數(shù)世咨詢通過調(diào)研發(fā)現(xiàn),我國大多數(shù)有數(shù)據(jù)安全需求的企業(yè),至少在現(xiàn)階段,最大的需求是優(yōu)先為數(shù)據(jù)資產(chǎn)賦予安全能力,其他的數(shù)據(jù)治理環(huán)節(jié)與流程在業(yè)務開展的過程中慢慢磨合與改進。而不是為了數(shù)據(jù)安全去執(zhí)行數(shù)據(jù)治理的流程,投入數(shù)據(jù)治理所需要的人、財、物和時間,這種投入大、耗時長、見效慢的做法是企業(yè)不能接受的,也是不符合正常商業(yè)模式的。
監(jiān)管問題
由于國家層面的推動,我國企業(yè)對數(shù)據(jù)安全的需求,基本上都是合規(guī)驅(qū)動的選擇。就合規(guī)監(jiān)管來說,DSG主要面向類似GDPR(通用數(shù)據(jù)保護條例)中DPIA(數(shù)據(jù)保護影響評估)對數(shù)據(jù)風險和隱私數(shù)據(jù)的描述,但不論GDPR還是CCPA(加州隱私保護法),與我國在數(shù)據(jù)安全和隱私保護方面的監(jiān)管要求都有或多或少的差別。
另一層面,企業(yè)數(shù)據(jù)安全建設中,符合國家監(jiān)管政策的第一步是實現(xiàn)分類分級,安全能力要基于分類分級的結(jié)果去匹配相應的措施。《數(shù)據(jù)安全法》雖然指出我國要對數(shù)據(jù)安全進行分類分級保護建設,但現(xiàn)階段并沒有國家層面的法律法規(guī)文件做出各類、各級細則條款的明確規(guī)定,《網(wǎng)絡數(shù)據(jù)安全管理條例》和《重要數(shù)據(jù)識別指南》還處在征求意見稿階段。目前企業(yè)對上述法規(guī)文件只能做參考,更多的是基于行業(yè)監(jiān)管和通用標準進行數(shù)據(jù)分類分級工作,這就導致了不同行業(yè)的企業(yè)需要遵從不同的要求,對安全解決方案提出了嚴苛的定制化需要。
數(shù)據(jù)治理安全分析
綜上所述,現(xiàn)階段我國行業(yè)用戶數(shù)據(jù)安全建設的最佳方式,是實現(xiàn)以合規(guī)驅(qū)動的數(shù)據(jù)安全建設,即數(shù)據(jù)治理安全(DGS)。用最輕量化的數(shù)據(jù)治理思路,建設數(shù)據(jù)安全能力,用最小的代價解決當前最迫切的需求,為后續(xù)數(shù)據(jù)安全的全面建設提供技術(shù)與管理基礎(chǔ)。
數(shù)世咨詢認為,數(shù)字安全是以網(wǎng)絡安全為基礎(chǔ),以數(shù)據(jù)安全為核心的。數(shù)據(jù)安全不再是網(wǎng)絡安全的分支,在數(shù)字時代已經(jīng)擁有了其自身技術(shù)架構(gòu)和商業(yè)模式,傳統(tǒng)的安全防護思路與方法已無法滿足現(xiàn)代數(shù)據(jù)安全建設的要求。
為了應對我國商業(yè)市場以合規(guī)驅(qū)動的數(shù)據(jù)安全建設需求,落地方案應該首先解決如下核心問題:
1. 輕量資產(chǎn)化:數(shù)據(jù)資產(chǎn)化是一個體系化的問題,涉及數(shù)據(jù)的權(quán)屬、估值、交易、隱私等等。但輕量資產(chǎn)化只需要將原始數(shù)據(jù)進行一些簡單的處理,剔除劣質(zhì)和無效數(shù)據(jù)后,將其制作成有效支持分析運算與業(yè)務應用的數(shù)據(jù)資產(chǎn)。這就意味著輕量資產(chǎn)化的過程要進行數(shù)據(jù)和業(yè)務的關(guān)聯(lián)性思考,既要懂數(shù)據(jù)、又要懂業(yè)務,需要接管企業(yè)全部業(yè)務數(shù)據(jù)。
2. 智能分類分級:很多解決方案依然會使用手工的分類分級方法,這樣的方式需要引入繁重的咨詢服務流程,并且日后使用效率低下和缺乏靈活性。輕量級的咨詢服務是需要的,但這里的核心是AI/ML的深度應用,對國家法律法規(guī)、行業(yè)監(jiān)管的理解和對業(yè)務數(shù)據(jù)的理解,通過行業(yè)數(shù)據(jù)的訓練使其極大的減少行業(yè)客戶初期咨詢的工作量,并且在日后的深度應用過程中高效匹配業(yè)務流轉(zhuǎn)。
3. 安全條款符合化:在實現(xiàn)數(shù)據(jù)輕量資產(chǎn)化和持續(xù)分類分級的前提下,需要根據(jù)數(shù)據(jù)安全相關(guān)的法律法規(guī)和地方、行業(yè)的安全要求,以安全合規(guī)基線的方法,為企業(yè)提供完整的安全條款項對應控制。
4. 安全能力對接與編排調(diào)度:匹配數(shù)據(jù)在收集、存儲、使用、加工、傳輸、提供、公開等過程中的安全控制,通過API的方式對接各種數(shù)據(jù)安全能力,結(jié)合業(yè)務流程與管理需求,編排調(diào)度各種數(shù)據(jù)安全能力,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力
5. 持續(xù)分類分級:業(yè)務在不斷的發(fā)展、數(shù)據(jù)在不斷的變化、監(jiān)管也在不斷的調(diào)整,為了更加準確的為業(yè)務數(shù)據(jù)分類分級,為了更加及時的將新的監(jiān)管要求和業(yè)務需求進行匹配,就必須具備持續(xù)修正分類分級規(guī)則從從而進行不斷調(diào)優(yōu)迭代的能力。
?
數(shù)據(jù)治理安全能力框架
基于數(shù)據(jù)治理安全(DGS)的思想,數(shù)世咨詢聯(lián)合霍因科技開發(fā)了(CPI)2 框架,用來描述數(shù)據(jù)治理安全能力的建設思路,給行業(yè)帶來新的參考借鑒。
該框架基于霍因科技在數(shù)據(jù)存儲與數(shù)據(jù)治理方面沉淀的技術(shù)和對行業(yè)數(shù)據(jù)的深度理解,匹配數(shù)據(jù)安全相關(guān)法律法規(guī)和地方、行業(yè)的安全要求,實現(xiàn)了以合規(guī)驅(qū)動的數(shù)據(jù)安全建設落地應用,是數(shù)據(jù)治理安全(DGS)的最佳實踐。
圖 7 (CPI)2 框架
其中Consulting代表輕量級咨詢、Capitalzation代表輕量級資產(chǎn)化,Policy代表安全策略,Protection代表安全防護,Iteration代表迭代調(diào)優(yōu),Improvement代表持續(xù)改善。
整體框架邏輯為,通過霍因科技對行業(yè)數(shù)據(jù)安全法規(guī)條例和業(yè)務特性的深度理解,輔以輕量級的咨詢服務,用人工智能的方式為企業(yè)實現(xiàn)數(shù)據(jù)分類分級和輕量資產(chǎn)化;為數(shù)據(jù)資產(chǎn)制定全面的安全策略,匹配法律法規(guī)和政策要求的安全控制能力;持續(xù)跟進法律法規(guī)和政策變化、持續(xù)學習業(yè)務邏輯的特性與管理運作的流程,不斷調(diào)整分類分級的結(jié)果,使數(shù)據(jù)資產(chǎn)更加精確、明晰,往復循環(huán)正向迭代的過程,實現(xiàn)可持續(xù)發(fā)展的數(shù)據(jù)治理安全。
圖 8 (CPI)2 技術(shù)實現(xiàn)
將框架拆解到實踐應用部分,執(zhí)行邏輯為:
1. C&C:行業(yè)數(shù)據(jù)理解—>全域數(shù)據(jù)接入—>基于AI的敏感數(shù)據(jù)自動發(fā)現(xiàn)和分類分級—>數(shù)據(jù)自動標簽和入湖倉—>完成資產(chǎn)化。
2. P&P:數(shù)據(jù)安全基線和策略—>API安全網(wǎng)關(guān)—>隱私計算—>數(shù)據(jù)安全能力的編排與調(diào)度。
3. I&I:AI引擎本地化訓練和建模—>正向循環(huán)迭代—>持續(xù)提升精準度
圖 9 霍因?海石-數(shù)據(jù)加工展示
圖 10 霍因?海石-數(shù)據(jù)質(zhì)量展示
圖 11 霍因?海石-數(shù)據(jù)目錄展示
(CPI)2 的應用基于AI的數(shù)據(jù)自動分類分級能力、具有行業(yè)屬性的知識圖譜和全域數(shù)據(jù)/多模態(tài)數(shù)據(jù)的治理能力,配備全種類數(shù)據(jù)接入模塊、數(shù)據(jù)智能識別引擎、API安全網(wǎng)關(guān)并擁有安全湖倉,支持云原生、私有化部署和SaaS服務,滿足企業(yè)數(shù)字化轉(zhuǎn)型的各種需求。
?
未來趨勢分析
與網(wǎng)絡安全不同,數(shù)據(jù)安全天然的屬性就是要和業(yè)務融合。保護數(shù)據(jù)資產(chǎn)的安全性已經(jīng)不能滿足數(shù)字時代的要求,數(shù)據(jù)安全要成為支撐業(yè)務發(fā)展和創(chuàng)新的中流砥柱。
因為流動的數(shù)據(jù)才能創(chuàng)造價值,才能稱之為生產(chǎn)要素,數(shù)字時代的數(shù)據(jù)安全更重要的是關(guān)注數(shù)據(jù)開放過程中的誤用與濫用,怎樣平衡數(shù)據(jù)使用與安全監(jiān)管兩者的關(guān)系,是產(chǎn)業(yè)界必須研究的課題。
未來的數(shù)據(jù)安全必然繞不開深度學習和隱私計算,這兩大技術(shù)都需要極大的計算力和計算模型去支撐。數(shù)據(jù)安全企業(yè)應該在數(shù)據(jù)開放時代完全到來之前,深度挖掘各行業(yè)應用的特性,積累并轉(zhuǎn)化成數(shù)學模型,以支撐未來數(shù)據(jù)安全的不同應用需求。
?
報告結(jié)語
數(shù)世咨詢在產(chǎn)業(yè)創(chuàng)新方面,立志于“將全球領(lǐng)先的安全理念、技術(shù)中國化,將中國領(lǐng)先的安全理念、技術(shù)國際化”。根據(jù)科技發(fā)展的趨勢和數(shù)字安全的中國環(huán)境,數(shù)世咨詢認為,凡是優(yōu)先進行數(shù)據(jù)分類分級的工作,然后再匹配相應安全能力的解決方案都屬于數(shù)據(jù)治理安全(DGS)的范疇。
為了推動我國數(shù)據(jù)安全研究和應用的進步,更為了企業(yè)可以著實構(gòu)建自身數(shù)據(jù)安全能力,更好的落地數(shù)據(jù)安全保障體系,數(shù)世咨詢發(fā)起并撰寫了本報告,向用戶展示一種適應于國內(nèi)信息系統(tǒng)和商業(yè)市場環(huán)境,在現(xiàn)階段可實際應用到生產(chǎn)環(huán)節(jié)和業(yè)務流程中的數(shù)據(jù)安全建設思想。希望通過本報告,可以切實促進我國本土數(shù)據(jù)安全的商業(yè)市場發(fā)展,同時也為網(wǎng)絡空間安全產(chǎn)業(yè)帶來新的參考思路。
數(shù)世咨詢的核心理念為,數(shù)字時代、安全共生。希望通過本報告,能夠切實解決行業(yè)用戶在企業(yè)發(fā)展過程中出現(xiàn)的關(guān)于數(shù)字安全的問題,實現(xiàn)數(shù)世咨詢的第三方參考價值,幫助企業(yè)用戶屹立在數(shù)字浪潮之巔。
原文來源:數(shù)世咨詢