近年来,我国大数据产业规模正在高速发展。根据工信部发布的统计数据显示,“十三五”期间,我国大数据产业年均复合增长率超过了30%,2020年产业规模超过了1万亿元人民币。数据安全将很快形成千亿级的产业风口。
今年6月,十三届全国人大常委会第二十九次会议表决通过包括《数据安全法》在内的多项法案及两项决定。《数据安全法》第四条提出,维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。这标志着数据安全已经上升到国家总体安全观层面,与国家安全挂钩。
网络安全领军企业奇安信集团副总裁韩永刚认为,《数据安全法》给安全行业带来了空前机遇,也给企业带来更高要求。安全企业需为客户尽快开展数据安全治理和建立数据安全保护体系,尤其在身份安全、零信任、行为审计、数据敏感地图等领域加速技术创新。日前,奇安信对外发布了“数据安全治理与保护体系建设路径图”,为数据安全治理和保护勾勒了面向未来的体系化建设路线。
数据安全须治理先行
“数据安全治理包括跨‘部门’管理、数据使用、数据交易等环节,它们好像土地、生产资料、劳动力、技术和知识产权一样,都需要规则,而现在亟需针对数据这种新的生产资料制订规则,我们把它叫数据治理体系,就像城市治理一样,该规则应包括体系、方法、政策以及法律。”韩永刚认为。
据介绍,目前企业普遍缺乏对数据资产的清晰梳理,没有建立明确的数据安全治理组织和工作机制,更缺乏有效的数据安全治理管控策略和执行能力,导致“核心数据使用场景不明确、数据安全治理价值不清晰”等结果。
针对数据安全治理的现状,奇安信此前发布了安全能力治理框架2.0,它具有覆盖数据全流程、具有可持续性的四大核心点,包括了组织标准流程、合规指引、制定相关制度和相关治理流程,以及识别治理优先级、数据分类分级、数据风险评估(DRA),数据风险评估等,助力政企机构构建数据安全体系,并形成可持续的检测与响应机制。
数据安全体系建设的几大关键措施
数据是驱动业务发展的核心动力,数据集中导致风险集中,数据流转产生更多攻击面,因此,数据安全体系建设涉及的领域非常广阔。奇安信推出了精准防护、基于数据流转的安全保护、数据安全态势感知、数据要素数据交易安全、等几大关键举措,涵盖了体系建设的各个方面:
在精准防护方面,奇安信零信任身份安全解决方案基于对网络所有参与实体的数字身份,对默认不可信的所有业务与数据访问请求进行认证和强制授权,汇聚关联各种数据源进行持续信任评估,并根据信任的程度动态对权限进行调整,从而在访问主体和访问客体之间建立一种动态的信任关系,确保任何人、使用任何设备的每一次对数据的访问,都是安全的。
奇安信还针对特权账号推出特权访问安全解决方案,它能够提供特权安全风险评估、特权访问治理与控制、特权行为记录与审计与特权管理的持续运营等多项能力,帮助客户管理好特权账号这把通往数据大门的“钥匙”。
在基于数据流转的安全保护方面,通过数据安全治理,自动化发现敏感数据并集中展示,通过数据打标技术、数据汇聚,构建数据脉络,全面跟踪数据使用过程,进而及时发现内部人员异常访问行为并自动分析,然后基于业务流程及安全策略进行自动处置,帮助政企单位第一时间避免大规模数据泄露。
同时,在个人信息保护方面,针对目前广泛存在的信息过度采集,奇安信隐私卫士可对个人信息采集的方式(自身采集/第三方采集)、使用权限(自身使用/第三方使用)、采集频率、是否出境、是否与隐私政策描述实质符合等进行合规检测,覆盖收集规则、使用规则、条款状态、用户权益等7个类别,50多个检测项,并且具备可扩展的检测能力。
在数据要素的数据交易安全方面,奇安信“数据交易沙箱”秉承“数据不动程序动”、“数据可用不可见”的安全理念,以安全分离学习技术为核心,具备开放式机器学习工作台、数据操作追溯审计、数据置换、沙箱计算容器和反隐私隐藏等多种核心功能,支持对接多种数据源,严格化管控数据访问权限,真正做到分享数据价值不分享数据。
“聪者听于无声,明者见于未形。” 随着业务合作的加深和数据使用场景的复杂化,数据的流动性极大增强。奇安信推出数据安全态势感知系统,围绕数据梳理与风险检测,通过数据扫描、数据操作关联分析、用户行为分析和大数据可视化,构建了敏感数据分布态势、敏感数据流动态势、数据安全风险态势,并对数据安全威胁及时预警和处置,实现企事业数据安全的全方位态势感知与动态防护。
安全运行是数据安全的常态化保障
数字化时期的威胁瞬息万变,按次开展的安全检查与测评模式,无法达到对抗与业务安全保障要求,只有面向实战的安全运行,才能最大化发挥安全技术能力,持续提升安全保障能力,满足业务需求。尤其是数据窃密和安全攻击的频次越来越多,开展数据安全运行服务保障势在必行。
奇安信基于数据安全的运行服务保障体系中,包括数据安全治理机构、日志监测与响应、审计与定则、数据可用性保障、维护数据保护声明、数据安全应急事件响应等多个方面,该体系依托安全运行团队、安全运行流程、安全操作规程、安全运行支撑平台和安全工具等,从治理、监测响应、审计、可用性、应急响应等层面,持续保障企业的数据安全。
结束语:
《数据安全法》的出台,将成为继《网络安全法》实施后,网络安全行业的又一个里程碑,势必驱动政府、机构和企业增加在数据安全领域的投资,用以完善安全防护体系,从而促进网络安全行业在数据安全领域的技术、产品加快创新步伐,推动数据安全产业创新发展。
在《数据安全法》的风口效应带动下,更多的新赛道、新技术和创新企业将不断涌现,其中,以奇安信等为代表的龙头企业,将迎来重大发展机遇。