李雪妮 魏 凱

中國信息通信研究院 北京 100191

引言

數(shù)據(jù)作為新型生產(chǎn)要素，已成為國家重要資產(chǎn)和我國數(shù)字經(jīng)濟發(fā)展的基礎戰(zhàn)略資源。2021年以來，國家、行業(yè)、地方相繼頒布了大量數(shù)據(jù)安全政策文件。作為數(shù)字經(jīng)濟健康發(fā)展的重要基石，數(shù)據(jù)安全的重要性愈發(fā)突出，數(shù)據(jù)安全治理需求愈加明顯。

為了梳理數(shù)據(jù)安全治理的概念內涵，探討企業(yè)數(shù)據(jù)安全建設路線，各行業(yè)企業(yè)、研究機構紛紛針對數(shù)據(jù)安全治理目標、治理框架、治理實踐路徑展開論述。當前，圍繞組織建設、制度流程、技術工具、人員能力開展的多維度、多元化數(shù)據(jù)安全治理能力建設正在高速發(fā)展、有力推進[1]。與此同時，企業(yè)在體系化建設的實踐過程也面臨新的挑戰(zhàn)，比如大部分企業(yè)的數(shù)據(jù)安全管理制度聚焦在原則、管理規(guī)定等較粗顆粒度的層面，對數(shù)據(jù)業(yè)務的下沉指導不充分，導致具體業(yè)務場景下的技術落地仍然缺乏實踐指引，容易與管理要求脫節(jié)等。

相較于目前較為完善的自上而下的體系化建設思路，本文依據(jù)大量行業(yè)調研和企業(yè)實踐，提出基于業(yè)務場景的自下而上的數(shù)據(jù)安全治理思路。一方面，企業(yè)可以從單個業(yè)務場景出發(fā)，根據(jù)實際數(shù)據(jù)安全需求，小范圍快速落地相關數(shù)據(jù)安全能力點，再由點及面擴展至全部業(yè)務場景，緩解體系化建設的長期性對業(yè)務開展的影響；另一方面，企業(yè)可以基于實際業(yè)務場景的技術落地實踐，總結輸出顆粒度較細、實際指導意義較強的數(shù)據(jù)安全執(zhí)行規(guī)范作為當前管理制度體系的補充，并進一步用于指導相似場景的安全治理。因此基于場景的建設思路，能夠準確捕捉數(shù)據(jù)安全實際需求，形成細粒度的指導文件，緩解管理要求與技術現(xiàn)狀不匹配的脫鉤問題。

1 數(shù)據(jù)安全現(xiàn)狀

1.1 數(shù)據(jù)安全法律政策逐步細化，政策環(huán)境不斷完善

國家層面，逐漸明晰的監(jiān)管紅線，為企業(yè)數(shù)據(jù)安全建設提供政策引領。2022年7月，網(wǎng)信辦公布《數(shù)據(jù)出境安全評估辦法》，為各行業(yè)企業(yè)規(guī)范數(shù)據(jù)出境活動、保護個人信息權益提出了更加具體的要求和措施，翻開了數(shù)據(jù)出境安全管理的新篇章。行業(yè)方面，工信部于2022年10月再次公開征求對《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法(試行)》的意見，明確了重要和核心數(shù)據(jù)在目錄備案及出境等方面的工作要求，是對工業(yè)和信息化領域數(shù)據(jù)安全管理工作的進一步指導。地方層面，河南省、江西省、重慶市等省市紛紛出臺數(shù)據(jù)條例，明確數(shù)據(jù)安全責任義務和管理監(jiān)督措施等內容，規(guī)范各地方數(shù)據(jù)安全建設工作。

1.2 數(shù)據(jù)安全技術產(chǎn)品持續(xù)變革，產(chǎn)業(yè)發(fā)展動力愈發(fā)強勁

隨著5G、物聯(lián)網(wǎng)、云計算等數(shù)字技術的快速發(fā)展，數(shù)據(jù)形式更加靈活多樣，傳統(tǒng)數(shù)據(jù)安全防護邊界被顛覆，新技術應運而生。根據(jù)IDC發(fā)布的《IDC TechScape：中國數(shù)據(jù)安全發(fā)展路線圖，2022》，零信任之數(shù)據(jù)安全、AI賦能數(shù)據(jù)安全、數(shù)據(jù)風險管理、數(shù)據(jù)安全基礎設施管理平臺等9項變革性數(shù)據(jù)安全技術將重塑數(shù)據(jù)安全市場，創(chuàng)造新的市場機會、新的技術公司以及新的用戶需求。

1.3 數(shù)據(jù)安全意識及能力逐漸提升，數(shù)據(jù)安全建設工作逐步啟動

隨著企業(yè)數(shù)字化轉型的逐漸深入，各行業(yè)企業(yè)的數(shù)據(jù)安全意識有效提升，數(shù)據(jù)安全能力建設不斷突破。據(jù)中國信息通信研究院調研，企業(yè)在開展數(shù)據(jù)安全培訓、參與數(shù)據(jù)安全評估、部署數(shù)據(jù)安全技術產(chǎn)品等方面需求旺盛。目前已有聯(lián)通數(shù)科、電信云、中移信息、百度、螞蟻等40余家企業(yè)完成數(shù)據(jù)安全治理能力評估工作，旨在通過“以評促建”方式對標監(jiān)管要求，梳理建設現(xiàn)狀，推動企業(yè)數(shù)據(jù)安全建設工作的開展。同時，供應側受市場需求引導，奇安信、衛(wèi)士通等企業(yè)也全面開展了數(shù)據(jù)安全相關產(chǎn)品及服務的研究布局，根據(jù)數(shù)據(jù)安全推進計劃發(fā)布的《數(shù)據(jù)安全產(chǎn)品與服務圖譜(2.0)》，目前共有116家企業(yè)、488款產(chǎn)品與服務收錄其中。

2 數(shù)據(jù)安全治理特點

有效的數(shù)據(jù)安全治理是企業(yè)利用數(shù)據(jù)賦能業(yè)務的重要前提，但傳統(tǒng)的離散式、補丁式的數(shù)據(jù)安全策略已不能適應當前敏捷化、動態(tài)化的業(yè)務創(chuàng)新。企業(yè)數(shù)據(jù)安全能力建設重心，也開始從單點技術部署走向廣范圍、細粒度、一體化的全面布局，圍繞組織架構、制度流程、技術工具、人員能力構建“閉環(huán)”數(shù)據(jù)安全體系。金融、電信、互聯(lián)網(wǎng)等行業(yè)作為數(shù)據(jù)密集型行業(yè)，是產(chǎn)生數(shù)據(jù)、使用數(shù)據(jù)最頻繁、場景最豐富的領域，其數(shù)據(jù)安全已成為企業(yè)保障業(yè)務發(fā)展的內生需求[2-3]。這些行業(yè)企業(yè)基于不斷細化的法規(guī)政策，已開展較為體系化的數(shù)據(jù)安全建設。

組織架構方面，金融、電信、互聯(lián)網(wǎng)等行業(yè)的頭部企業(yè)已經(jīng)確立了較為成熟的責任體系，一方面向上對接相應委員會，細化工作內容，另一方面向下對接各業(yè)務部門，制定管理要求。制度流程方面，基本建立了自上而下的多層級數(shù)據(jù)安全管理制度體系，通過一級數(shù)據(jù)安全管理制度明確原則要求，再通過二級、三級等管理規(guī)范的逐級細化，形成可落地的實施細則。技術工具方面，圍繞數(shù)據(jù)全生命周期，在數(shù)據(jù)脫敏、監(jiān)控預警、安全審計等方面構建了覆蓋事前預防、事中監(jiān)控、事后審計的全流程技術能力底座。人員能力方面，通過建立企業(yè)內部數(shù)據(jù)安全學習專欄，學習國家、行業(yè)、企業(yè)發(fā)布的相關管理要求和工作規(guī)程，提高全員數(shù)據(jù)安全認知水平和建設水平。

3 數(shù)據(jù)安全治理挑戰(zhàn)

隨著數(shù)據(jù)安全與合規(guī)要求的逐步完善，數(shù)據(jù)安全建設的內外驅動力逐漸加碼，雖然各行業(yè)企業(yè)在建設成果上有所突破，但在管理和技術方面仍面臨相應挑戰(zhàn)：一是數(shù)據(jù)安全責任體系構建尚不成熟。數(shù)據(jù)在實時產(chǎn)生及流動過程中涉及的主體很多，導致數(shù)據(jù)安全的主體責任邊界模糊，難以清楚劃分，容易影響數(shù)據(jù)安全建設工作的整體推進。二是數(shù)據(jù)安全管理與技術易脫鉤。當前大部分企業(yè)的數(shù)據(jù)安全管理制度聚焦在原則、管理規(guī)定等較粗顆粒度的層面，對數(shù)據(jù)業(yè)務的下沉指導不充分，導致具體業(yè)務場景下的技術落地仍然缺乏實踐指引，容易與管理要求脫節(jié)。三是數(shù)據(jù)安全產(chǎn)品與服務優(yōu)勢能力構建有待突破。隨著新技術新業(yè)務的不斷發(fā)展，傳統(tǒng)網(wǎng)絡安全防護思路與措施已無法滿足當下的數(shù)據(jù)安全防護需求，供給側數(shù)據(jù)安全技術產(chǎn)品與服務的突破創(chuàng)新成為競爭關鍵點[4]。

4 基于場景的數(shù)據(jù)安全治理思路

考慮到前文所述數(shù)據(jù)安全體系化的建設現(xiàn)狀及建設挑戰(zhàn)，本文從場景化角度切入，基于業(yè)務場景提出建設思路，企業(yè)可以針對各業(yè)務場景細化管理制度的各項安全要求，并敏捷落地相關數(shù)據(jù)安全能力點，以快速滿足業(yè)務場景的數(shù)據(jù)安全需求，降低數(shù)據(jù)安全治理的長期性對業(yè)務開展的影響[5]，同時緩解數(shù)據(jù)安全管理與技術的脫鉤問題。場景化數(shù)據(jù)安全治理思路的總體路線如圖1 所示[6]。

圖1 場景化數(shù)據(jù)安全治理思路

4.1 全面梳理業(yè)務場景

梳理數(shù)據(jù)資產(chǎn)和業(yè)務場景是企業(yè)進行場景化數(shù)據(jù)安全治理建設的前提，可以幫助企業(yè)了解數(shù)據(jù)安全治理對象全貌，為企業(yè)場景化數(shù)據(jù)安全治理提供行動地圖。目前，對業(yè)務場景的劃分尚未有統(tǒng)一的標準，本文根據(jù)對數(shù)據(jù)安全供應側及需求側的調研，梳理了基于數(shù)據(jù)全生命周期的場景劃分方式，如圖2所示。

圖2 基于數(shù)據(jù)全生命周期的場景劃分

1)數(shù)據(jù)采集環(huán)節(jié)主要有個人信息主體數(shù)據(jù)采集、外部機構數(shù)據(jù)采集、數(shù)據(jù)產(chǎn)生等場景。

2)數(shù)據(jù)傳輸環(huán)節(jié)主要有內部系統(tǒng)數(shù)據(jù)傳輸、外部機構數(shù)據(jù)傳輸?shù)葓鼍啊?/p>

3)數(shù)據(jù)存儲環(huán)節(jié)主要有數(shù)據(jù)加密存儲、數(shù)據(jù)庫安全等場景。

4)數(shù)據(jù)使用環(huán)節(jié)主要有應用訪問、數(shù)據(jù)運維、測試和開發(fā)、網(wǎng)絡和終端安全、數(shù)據(jù)準入、數(shù)據(jù)分析與挖掘等場景。

5)數(shù)據(jù)共享環(huán)節(jié)主要有內部共享和外部共享等場景。

6)數(shù)據(jù)銷毀環(huán)節(jié)有邏輯刪除、物理銷毀和數(shù)據(jù)退役等場景。

7)此外還有一些基礎性的工作，如數(shù)據(jù)分類分級應該作為單獨的場景納入到整體的場景視圖中。

基于數(shù)據(jù)全生命周期的場景劃分方式，一方面能更好地契合當前法律法規(guī)中關于數(shù)據(jù)全生命周期的安全要求，一方面更加匹配當前主流的數(shù)據(jù)安全治理體系框架。

4.2 確定業(yè)務場景治理優(yōu)先級

在業(yè)務場景梳理完成后，組織需要綜合考慮監(jiān)管要求、數(shù)據(jù)安全風險和業(yè)務發(fā)展需要，明確業(yè)務場景治理的開展優(yōu)先級。

以上文提到的基于數(shù)據(jù)全生命周期的場景劃分方式為例，數(shù)據(jù)分類分級是數(shù)據(jù)安全的基礎性工作基本已經(jīng)成為行業(yè)共識，隨著行業(yè)數(shù)據(jù)分類分級指南的不斷建立和完善，企業(yè)應跟緊行業(yè)發(fā)展步伐，提高數(shù)據(jù)分類分級工作的優(yōu)先級。其次，數(shù)據(jù)采集環(huán)節(jié)中個人信息主體數(shù)據(jù)采集、外部機構數(shù)據(jù)采集等場景均涉及到個人信息權益保護，是當前數(shù)據(jù)安全合規(guī)出現(xiàn)問題的高危場景，容易影響企業(yè)品牌形象，因而需要優(yōu)先治理。此外，數(shù)字經(jīng)濟的繁榮發(fā)展離不開數(shù)據(jù)的流通共享，隨之而來的風險也在不斷顯現(xiàn)，對數(shù)據(jù)流通的安全保護勢在必行，因而也應著重進行相關場景的安全建設。

4.3 評估業(yè)務場景數(shù)據(jù)安全風險

評估業(yè)務場景的數(shù)據(jù)安全風險是指針對具體場景及其涉及的業(yè)務系統(tǒng)和信息系統(tǒng)，綜合考慮合規(guī)要求、數(shù)據(jù)資源重要程度、面臨的數(shù)據(jù)安全威脅等因素，將數(shù)據(jù)流動過程的風險點梳理出來，并明確數(shù)據(jù)安全風險等級。針對數(shù)據(jù)安全風險評估，全國信息安全標準化技術委員會秘書處圍繞數(shù)據(jù)安全管理、數(shù)據(jù)處理活動安全、數(shù)據(jù)安全技術、個人信息保護四方面提出了如圖3所示的評估框架[7]。

圖3 數(shù)據(jù)安全風險評估內容框架

企業(yè)可以根據(jù)該評估框架按照評估準備、信息調研、風險評估、綜合分析、評估總結五個階段開展數(shù)據(jù)安全風險評估工作[7]。

1)評估準備階段主要工作包括確定評估目標及范圍，組建評估隊伍，開展評估準備并制定評估方案。

2)信息調研階段主要工作包括對數(shù)據(jù)處理者、數(shù)據(jù)處理活動、業(yè)務和信息系統(tǒng)、數(shù)據(jù)資產(chǎn)以及安全防護措施進行調研。

3)風險評估階段主要工作是依據(jù)圖4的評估框架，按照評估方案開展具體評估活動。

4)綜合分析階段主要工作是根據(jù)評估情況形成問題清單，提出整改建議等。

5)評估總結階段主要工作是編制評估報告，企業(yè)側根據(jù)實際情況開展整改工作。

4.4 制定并實施業(yè)務場景解決方案

結合業(yè)務場景的數(shù)據(jù)安全風險評估結果，業(yè)務方需要明確進行整改的風險點，并根據(jù)相關政策及標準要求，申請充分的資源保障，制定可落地的解決方案。目前，對于部分場景，業(yè)界已經(jīng)形成了一些公認的典型解決方案，例如在數(shù)據(jù)加密存儲場景中使用加解密系統(tǒng)，并在算法的選擇上避開不安全的MD5、AES-ECB、SHA1等算法，本文以數(shù)據(jù)分類分級為例，闡述該場景下的解決方案。

1)建立組織保障：數(shù)據(jù)分類分級作為一項復雜的長期工作，涉及的部門較多，這就需要具備明確的組織架構，為此項工作的協(xié)同開展提供有力支撐。

2)進行數(shù)據(jù)資源梳理：借助數(shù)據(jù)識別或資產(chǎn)盤點等工具，對企業(yè)內部的數(shù)據(jù)資源進行梳理，明確數(shù)據(jù)基本信息、數(shù)據(jù)存儲位置、數(shù)據(jù)屬主等內容，形成數(shù)據(jù)資源清單。在實際操作中，可以直接基于全量數(shù)據(jù)進行梳理，也可以根據(jù)數(shù)據(jù)敏感程度，先進行敏感數(shù)據(jù)盤點，再逐漸擴展至全量數(shù)據(jù)范圍。

3)明確數(shù)據(jù)分類定級的策略：結合國家要求和行業(yè)屬性，對類別和級別的劃分方法進行明確，輸出分類分級的工作策略，形成初步的數(shù)據(jù)分類分級規(guī)范。

4)完成分類定級：根據(jù)已經(jīng)形成的分類分級規(guī)范，對數(shù)據(jù)資源清單中的數(shù)據(jù)逐個進行分類，分類完成后再對每個類別的數(shù)據(jù)進行定級，并最終輸出分類分級目錄。一般來說，數(shù)據(jù)類別根據(jù)企業(yè)實際情況劃分，級別通常是3~5級的劃分方式。

5)制定安全策略：數(shù)據(jù)分類分級的目的是實現(xiàn)數(shù)據(jù)安全的精細化管理，因此需要根據(jù)數(shù)據(jù)的級別情況，制定相應的安全管控措施。

6)分類分級結果的持續(xù)運營：受到業(yè)務發(fā)展及監(jiān)管要求的影響，數(shù)據(jù)本身及分類分級策略也會相應變化，因此需要持續(xù)運營，保持結果的合規(guī)性和科學性。

4.5 完善業(yè)務場景操作規(guī)范

為規(guī)范業(yè)務場景日常的數(shù)據(jù)安全管理和運營工作，企業(yè)應督促業(yè)務部門在實施具體的技術措施后，及時完善該場景下的數(shù)據(jù)安全操作規(guī)程，如《遠程訪問操作規(guī)范》《數(shù)據(jù)備份操作規(guī)范》《數(shù)據(jù)防泄露操作規(guī)范》《堡壘機操作規(guī)范》等。這些操作規(guī)程將作為企業(yè)現(xiàn)有數(shù)據(jù)安全制度體系的補充規(guī)范，一方面，可以固化操作流程，保持業(yè)務執(zhí)行的一致性；另一方面，可以在相似業(yè)務場景中進行下沉指導，緩解管理與落地的差距。

5 結語

作為數(shù)字經(jīng)濟健康發(fā)展的重要基石，數(shù)據(jù)安全的重要性不言而喻。受國家、行業(yè)、地方等數(shù)據(jù)安全管理政策驅動及企業(yè)自身發(fā)展的需要，數(shù)據(jù)安全體系建設進程明顯提速，數(shù)據(jù)安全供應能力不斷增強，數(shù)據(jù)安全產(chǎn)業(yè)生態(tài)各方面都呈現(xiàn)快速發(fā)展態(tài)勢。然而，隨著數(shù)據(jù)安全建設工作的逐步啟動，管理與技術兩張皮、數(shù)據(jù)安全在業(yè)務場景的下沉力度不足等問題逐漸浮現(xiàn)，本文通過梳理場景化數(shù)據(jù)安全建設思路，形成五步走建設思路，能夠與當前體系化數(shù)據(jù)安全主流建設思想形成互補以應對相關挑戰(zhàn)。