楊大力 孫鵬科

一、引言

隨著近年信息經(jīng)濟(jì)發(fā)展，數(shù)據(jù)價(jià)值的重要性已經(jīng)得到各界廣泛認(rèn)同，2020年4月9日，中共中央、國(guó)務(wù)院公布《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》（簡(jiǎn)稱(chēng)“意見(jiàn)”），明確要素的范疇為土地、勞動(dòng)力、資本、技術(shù)、數(shù)據(jù)。數(shù)據(jù)作為一種新型生產(chǎn)要素被提升至前所未有的高度，數(shù)據(jù)將充分發(fā)揮對(duì)其它要素效率的倍增作用，成為推動(dòng)經(jīng)濟(jì)高質(zhì)量發(fā)展的新動(dòng)能，關(guān)系經(jīng)濟(jì)增長(zhǎng)長(zhǎng)期動(dòng)力，關(guān)系國(guó)家發(fā)展未來(lái)。

二、數(shù)據(jù)安全政策要求

國(guó)家出臺(tái)了系列政策標(biāo)準(zhǔn)，推動(dòng)數(shù)據(jù)治理和安全保護(hù)工作。中共中央辦公廳、國(guó)務(wù)院辦公廳2016年7月印發(fā)《國(guó)家信息化發(fā)展戰(zhàn)略綱要》（簡(jiǎn)稱(chēng)“《綱要》”），要求將信息化貫穿我國(guó)現(xiàn)代化進(jìn)程始終，加快釋放信息化發(fā)展的巨大潛能，以信息化驅(qū)動(dòng)現(xiàn)代化，加快建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)。《綱要》是規(guī)范和指導(dǎo)未來(lái)10年國(guó)家信息化發(fā)展的綱領(lǐng)性文件，其中明確提出“建立信息資源基本制度體系。探索建立信息資產(chǎn)權(quán)益保護(hù)制度，實(shí)施分級(jí)分類(lèi)管理，形成重點(diǎn)信息資源全過(guò)程管理體系”；《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 25070-2019）（簡(jiǎn)稱(chēng)“《等保2.0》”）明確要求網(wǎng)絡(luò)運(yùn)營(yíng)單位“應(yīng)對(duì)信息分類(lèi)與標(biāo)識(shí)方法作出規(guī)定，并對(duì)信息的使用、傳輸和存儲(chǔ)等進(jìn)行規(guī)范化管理”，提出對(duì)重要數(shù)據(jù)資產(chǎn)進(jìn)行分類(lèi)、分級(jí)管理；《意見(jiàn)》要求推動(dòng)完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類(lèi)分級(jí)安全保護(hù)制度，加強(qiáng)對(duì)政務(wù)數(shù)據(jù)、企業(yè)商業(yè)秘密和個(gè)人數(shù)據(jù)的保護(hù)。國(guó)家最新發(fā)布的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273-2020）（簡(jiǎn)稱(chēng)“《規(guī)范》”）于2020年10月1日實(shí)施， 《規(guī)范》要求“個(gè)人信息控制者應(yīng)根據(jù)有關(guān)國(guó)家標(biāo)準(zhǔn)的要求，建立適當(dāng)?shù)臄?shù)據(jù)安全能力，落實(shí)必要的管理和技術(shù)措施，防止個(gè)人信息的泄漏、損毀、丟失、篡改”。

三、數(shù)據(jù)安全投入持續(xù)增長(zhǎng)

伴隨數(shù)據(jù)呈現(xiàn)的價(jià)值越來(lái)越高，數(shù)據(jù)面臨的風(fēng)險(xiǎn)急劇加大，近年來(lái)各企事業(yè)單位的重要數(shù)據(jù)被外部人員竊取、內(nèi)部人員惡意泄漏和無(wú)意泄漏的事件層出不窮，數(shù)據(jù)安全愈發(fā)引起管理者的高度重視，對(duì)數(shù)據(jù)安全投入也持續(xù)增長(zhǎng)。國(guó)際調(diào)查研究機(jī)構(gòu)ESG在疫情背景下發(fā)布了2020年度企業(yè)IT投入調(diào)查報(bào)告，從調(diào)查結(jié)果看，62%的機(jī)構(gòu)將在2020年增加網(wǎng)絡(luò)安全投入，來(lái)加強(qiáng)網(wǎng)絡(luò)安全防護(hù)與管控措施。網(wǎng)絡(luò)安全投入的四個(gè)重點(diǎn)領(lǐng)域占比：用于檢測(cè)威脅的人工智能/機(jī)器學(xué)習(xí)（32%）；數(shù)據(jù)安全（31%）；網(wǎng)絡(luò)安全（30%）；云應(yīng)用安全（27%）。可見(jiàn)數(shù)據(jù)安全的投入超過(guò)了網(wǎng)絡(luò)安全，數(shù)據(jù)安全管控點(diǎn)正在經(jīng)歷從傳統(tǒng)網(wǎng)絡(luò)安全到內(nèi)容安全的轉(zhuǎn)變，防止單位內(nèi)部敏感數(shù)據(jù)泄露已成為各單位安全防護(hù)監(jiān)管的重點(diǎn)。

四、終端是數(shù)據(jù)泄漏的重要途徑和保護(hù)重點(diǎn)

終端（指泛終端概念，包括計(jì)算機(jī)終端、虛擬云桌面、手機(jī)移動(dòng)端、PAD等）是數(shù)據(jù)之始、交互之所、沉積之地。絕大多數(shù)重要文件均在終端上起草、編輯、審閱，也是通過(guò)終端與終端、服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)訪(fǎng)問(wèn)、傳遞、維護(hù)與管理，終端上駐留了大量的歷史數(shù)據(jù)和操作痕跡。數(shù)據(jù)泄漏事件往往與終端密不可分，業(yè)務(wù)用戶(hù)、數(shù)據(jù)運(yùn)維分析人員內(nèi)部泄密的主要方式是將敏感數(shù)據(jù)下載到客戶(hù)端，并進(jìn)行加工處理，最終通過(guò)外設(shè)接口導(dǎo)出（如USB、光驅(qū)等）或軟件外發(fā)（如交互軟件、郵件等）；黑客等外部人員竊密的主要方式是以終端為跳板，直接或間接獲取終端、文件服務(wù)器、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)中的數(shù)據(jù)。據(jù)統(tǒng)計(jì)，2018年我國(guó)終端安全產(chǎn)品市場(chǎng)規(guī)模已達(dá)百億元，相關(guān)咨詢(xún)機(jī)構(gòu)預(yù)測(cè)到2023年終端安全產(chǎn)品市場(chǎng)規(guī)模將達(dá)400億元。數(shù)據(jù)是終端安全保護(hù)的核心內(nèi)容，企事業(yè)單位對(duì)終端數(shù)據(jù)安全防護(hù)監(jiān)管的重視程度不斷提高，終端數(shù)據(jù)治理與安全防護(hù)恰逢其時(shí)。

五、終端數(shù)據(jù)全生命周期安全保密體系框架

如何高效保護(hù)終端數(shù)據(jù)的安全成為當(dāng)務(wù)之急。數(shù)據(jù)安全風(fēng)險(xiǎn)存在于數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、共享交換及銷(xiāo)毀的整個(gè)數(shù)據(jù)生命周期。在數(shù)據(jù)生命周期中，應(yīng)及時(shí)評(píng)估潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)，制定有效、合理的數(shù)據(jù)安全技術(shù)策略、措施，從而降低數(shù)據(jù)泄露風(fēng)險(xiǎn)，實(shí)現(xiàn)數(shù)據(jù)泄漏保護(hù)和數(shù)據(jù)丟失防護(hù)，形成面向用戶(hù)、面向業(yè)務(wù)應(yīng)用的基礎(chǔ)文件與數(shù)據(jù)服務(wù)的安全運(yùn)營(yíng)平臺(tái)。結(jié)合Gartner數(shù)據(jù)安全治理總體框架，終端數(shù)據(jù)治理與安全防護(hù)應(yīng)重視數(shù)據(jù)分類(lèi)分級(jí)能力、監(jiān)控審計(jì)能力和大數(shù)據(jù)分析能力；通過(guò)數(shù)據(jù)分類(lèi)分級(jí)管理、在線(xiàn)分類(lèi)梳理、用戶(hù)及組織管理、識(shí)別規(guī)則及策略管理、集中進(jìn)行事件監(jiān)控、處理、審計(jì)和統(tǒng)計(jì)分析，同時(shí)配合對(duì)異常行為、外部威脅的監(jiān)管響應(yīng)控制，實(shí)現(xiàn)對(duì)終端數(shù)據(jù)內(nèi)容掃描發(fā)現(xiàn)、分類(lèi)分級(jí)、數(shù)據(jù)分布、追蹤溯源、威脅檢測(cè)響應(yīng)等功能。同時(shí)隨著云技術(shù)的應(yīng)用和發(fā)展，本地終端數(shù)據(jù)將逐步與云端數(shù)據(jù)同步處理，因此終端數(shù)據(jù)安全框架體系應(yīng)涵蓋云端處理的數(shù)據(jù)治理與防護(hù)。

六、終端數(shù)據(jù)安全治理需加強(qiáng)個(gè)人信息保護(hù)

終端中存儲(chǔ)的數(shù)據(jù)中包含了個(gè)人信息，在開(kāi)展數(shù)據(jù)治理與安全防護(hù)工作中要充分考慮個(gè)人信息保護(hù)工作，產(chǎn)品設(shè)計(jì)開(kāi)發(fā)應(yīng)滿(mǎn)足國(guó)家的相關(guān)標(biāo)準(zhǔn)規(guī)范要求。如《規(guī)范》要求“涉及通過(guò)界面展示個(gè)人信息的（如顯示屏幕、紙面），個(gè)人信息控制者應(yīng)對(duì)需展示的個(gè)人信息采取去標(biāo)識(shí)化處理等措施，降低個(gè)人信息在展示環(huán)節(jié)的泄露風(fēng)險(xiǎn)”、“在向個(gè)人信息主體提供業(yè)務(wù)功能的過(guò)程中使用個(gè)性化展示的，應(yīng)建立個(gè)人信息主體對(duì)個(gè)性化展示所依賴(lài)的個(gè)人信息（如標(biāo)簽、畫(huà)像維度等）的自主控制機(jī)制，保障個(gè)人信息主體調(diào)控個(gè)性化展示相關(guān)程度的能力”；《等保2.0》明確運(yùn)營(yíng)單位“應(yīng)僅采集和保存業(yè)務(wù)必需的用戶(hù)個(gè)人信息”、“應(yīng)禁止未授權(quán)訪(fǎng)問(wèn)和非法使用用戶(hù)個(gè)人信息”。

七、結(jié)語(yǔ)

國(guó)家對(duì)數(shù)據(jù)安全的高度重視及企事業(yè)單位國(guó)有數(shù)據(jù)安全的內(nèi)在需求提速發(fā)展，終端數(shù)據(jù)治理與安全防護(hù)產(chǎn)業(yè)迎來(lái)發(fā)展機(jī)遇期。數(shù)據(jù)安全相關(guān)企業(yè)需持續(xù)圍繞“數(shù)據(jù)”生產(chǎn)要素這一核心驅(qū)動(dòng)力，結(jié)合新時(shí)代發(fā)展需求，設(shè)計(jì)出源于用戶(hù)又高于用戶(hù)需求的數(shù)據(jù)安全類(lèi)產(chǎn)品，形成涵蓋終端、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)庫(kù)、云平臺(tái)的整體安全解決方案，做好“保鏢式”貼身服務(wù)。

作者單位：中孚信息（北京）研究院