中文
随着大数据、云计算、物联网、移动互联网、人工智能等新一代信息技术的发展和与国民经济的融合,数字化时代已经到来,并加速推动我国数字经济迈上新台阶。数字技术和人类生活交互融合,促使数据业务量呈现指数级增长趋势,数据海量聚集,其安全性和隐私保护等问题正面临严峻的挑战。同时,敏感数据的泄露造成了巨大的经济损失和负面影响,甚至影响国家战略安全。
数字化时代数据安全面临新挑战
一、数据安全合规要求趋严趋紧
国家及地方监管机构共同监督数据应用合法合规,对数据安全合规建设提出诸多新要求。
二、大数据广泛应用,与民生紧密相关
大数据应用涉及经济民生、社会治安、国家安全等多个部门,广泛化和智能化的数据利用趋势使其面临越来越多的数据安全风险。
三、敏感数据存在大量开放、共享、交易、利用的需求
随着政府、公安、医疗、金融、运营商、能源、教育等基础设施行业的业务开展,涉及到敏感数据大量的应用需求,对数据安全提出更高要求。
四、数据深入参与实时调度指挥,影响深远
多源异构的数据在实时加工运算过程中发挥重要作用,对生产生活的决策优化调度影响深远,数据安全作为基础底座,更为重要。
五、更多新技术,对数据安全的风险和漏洞防护要求更高
5G、AI、云、中台、容器等技术大量应用,数据应用场景越来越复杂,数据安全风险识别和防护要求更高。
由于数据的可变性、流动性、应用场景的复杂性以及威胁的持续性,决定了数据安全治理的复杂性、艰巨性、长期性。近年来很多数据安全风险事件与缺乏完善的数据安全治理体系紧密相关。传统的安全建设理念难以应对数字化时代的数据安全风险,为了应对数据安全新挑战,应采用全新的运营理念进行数据安全建设。
数字化时代数据安全运营体系建设的理念和架构
传统网络安全建设理念是以网络边界安全为基础,构建安全可靠的网络环境;而数据安全,是以数据为中心,围绕数据全生命周期,实现数据安全的纵深防御。数据是流动的,所面临的风险也具有动态变化、持续发生等特性,在构建数据安全运营体系时,需要新的理念来应对新形势、新威胁、新挑战。
数字化时代数据安全运营体系建设的理念:以持续有效进行数据安全防护为核心,既要把握好与业务之间的紧密联系,又要兼顾效率与稳定可靠之间的平衡。主要由2个基本原则、3个全面覆盖、2个平衡、2个引擎、2个坚持、2种能力组成。
一、数字化时代数据安全运营体系建设理念的6个维度
●2个基本原则:对数据资产、风险的精准可视原则;对数据安全风险可控、安全措施可控原则;
●3个全面覆盖:数据安全治理要全面覆盖全数据形态、全生命周期、全流通环节;
●2个平衡:安全与可靠、安全与效率之间的平衡;
●2个引擎:利用大数据技术、人工智能技术作为数据安全运营的引擎;
●2个坚持:坚持对数据资产进行动态测绘、坚持对风险进行持续管控;
●2种能力:建立全息态势感知能力,进而形成联动联防的控制能力。
二、 数字化时代数据安全运营体系架构的4个关键组件
数据安全运营体系架构围绕数据安全运营目标,以数据安全组织体系为组织保障,以数据安全管理体系为规范指导,以数据安全技术体系为技术支撑,打造数据安全运营驾驶舱,构建数据安全闭环管控的体系架构。
●数据安全运营驾驶舱
通过提炼出相应的运营指标,落实到日常运营动作中,如持续监测、风险识别、安全防护、应急响应,再通过风险评估、定期审计、意识培训等考核监督手段,不断总结、完善、优化运营指标和日常运营动作,实现数据安全运营的PDCA循环。
●数据安全管理组织
当前无论是传统网络安全部门还是应用部门,都难以独立履行数据安全治理职责,在数据安全治理过程中,需要建立跨领域、懂数据、懂安全、懂业务,能为数据安全治理端到端负责的新组织。数据安全组织需要获得高层支撑指导,构建包括决策层、管理层、执行层、监督层的体系结构。
●数据安全管理体系
应围绕业务数据安全需求、法律法规合规要求等方面进行梳理,设置数据安全管理方针、管理办法、管理流程、详细表单,实现可度量、可预防、可管控、可测评的管理目标,同时,也要明确相应的保障机制,包括培训宣贯、优化完善、考核评价等。
●数据安全技术体系
应围绕数据生命周期中的安全问题,采用相应的安全技术能力、统一平台,建立全网进不来、拿不走、看不懂、改不了、走不脱的数据安全防护体系,实现全网数据安全态势感知、风险监测、持续保护。
数据安全运营体系的建设是一个长期且复杂的过程,想要真正落地,需要多项关键举措的加持,也需采用阶段式、逐步完善的方式,围绕组织、管理、技术、运营四个维度循序渐进地开展数据安全体系建设工作,逐步实现数据安全闭环管控。
《观点解读丨数字化时代数据安全运营的探索与实践 下篇》将为大家带来“数据安全运营体系建设的7项关键措施”及“数据安全运营体系建设的过程与成效”等内容,详情请锁定“昂楷资讯”官方公众号,下期精彩,敬请关注!
