大數據時代,數據成為國家基礎戰略資源和創新生產要素,戰略價值和資產價值急速攀升。
大數據時代數據安全面臨的挑戰
大數據時代,數據的產生、流通和應用更加普遍和密集。然而,新的技術、新的需求和新的應用場景給數據安全防護帶來了全新的挑戰。
一是新技術帶來的挑戰。分布式計算存儲架構、數據深度發掘及可視化等新型技術能夠大大提升數據資源的存儲規模和處理能力,但也為數據安全保護帶來了新的挑戰。首先,系統安全邊界模糊、可能引入的未知漏洞、分布式節點之間和大數據相關組件之間的通信安全已逐漸成為新的安全薄弱環節;其次,分布式數據資源池能夠匯集眾多用戶數據,卻造成了用戶數據隔離的困難。為了應對新技術帶來的挑戰,網絡與數據安全技術需要同步演進,打破傳統基于安全邊界的防護策略,實現更細粒度的訪問控制,提升加密和密鑰管理能力,從而保證數據安全。
二是新需求帶來的挑戰。大數據時代下,各方對數據資源的占有和利用的需求持續增加,數據被廣泛收集并共享開放。移動智能終端、傳感器、智能聯網設備廣泛應用,使得虛擬世界正在成為現實世界的完整映射。由多方數據中匯聚分析出的有用信息價值遠遠超過傳統單一數據集。數據的廣泛、多源收集對數據安全本身及個人信息保護帶來了新的挑戰,數據來源和真實性驗證存在困難,個人信息過度收集、未履行告知義務等現象侵害了個人合法權益。此外,數據開放共享對國家數據資源和企業商業秘密的安全也構成一定威脅。一方面,政府數據的開發缺乏統一規范和指導;另一方面,企業在提供數據資源進行多方數據計算時,如何實現數據“可用不可見”,在保障機密性的同時完成計算,已成為亟待解決的數據應用安全性問題。
三是新應用場景帶來的挑戰。當前,數據應用浪潮逐漸從互聯網、金融、電信等熱點行業領域向融合業務、物聯網、傳統制造等行業和領域拓展滲透。數字化生活、智慧城市、工業大數據等新技術新業務新領域創造出紛繁多樣的數據應用場景,使得數據安全保護具體情境更為復雜。如何在多渠道流通與多領域融合的復雜過程中保證數據的機密性、完整性和可用性,是新的應用場景下面臨的全新挑戰。頻繁的數據共享和交換使得數據溯源中數據標記的可信性、數據標記與數據內容之間捆綁的安全性等問題更加突出。
大數據時代數據防護體系建設的總體思路
(一)明確國家層面和企業層面的防護目標
對國家而言,需要從保障國家安全的高度建設完善數據安全保障體系,維護網絡數據的完整性、保密性和可用性,保障信息主體對個人信息的控制權利,強化國家對重要數據的掌控能力。
對企業或組織而言,需要從保護商業秘密、業務正常運行、客戶合法權益等方面開展數據安全防護工作。一是保護數據本身安全,即數據機密性、完整性、可用性;二是滿足國家相關法律法規對個人信息和國家重要數據提出的合規性要求。
(二)建設以數據為中心的安全防護體系
數據安全防護建設需要以“數據為中心”,聚焦數據,聚焦數據生態。具體來講,要明確數據的來源、形態、應用場景,構建由數據安全組織管理、制度規程、技術手段“三駕馬車”組成的覆蓋全面的安全防護體系,形成數據安全防護的閉環管理鏈條。
數據安全組織管理是落實數據安全實踐工作的首要環節。企業可通過成立專門的數據安全管理團隊,自上而下地建立起從各個領導層面至基層員工的管理組織架構,保證數據安全管理方針、策略、制度的統一制定和有效實施。著眼全局,把握細節,保證數據流通每個環節的安全管理工作。
數據安全制度規程是數據安全實踐工作的制度保障。在數據安全防護實踐中,數據安全制度規程提供具體的方式方法,避免了實際業務流程中“無規可依”的場景,是數據安全管理工作實際操作中的辦事規程和行動準則。
數據安全技術手段是數據安全實踐工作的保障條件。作為數據安全管理的輔助手段,數據安全技術手段提供了數據收集、使用具體場景中的安全工具,為落實數據安全制度規程、實現數據安全防護的總體目標提供了技術支持,保證紙面上的管理制度要求在實際工作中切實得到執行。
開展數據安全防護實踐的措施建議
數據安全防護的工作開展主要包括管理措施和技術措施兩個方面,本文提出了這兩個方面的實踐建議,通過二者的緊密結合,全面實現數據安全防護的目標。
(一)管理措施建議
管理措施建議主要從組織內部的數據安全管理架構及機構設置、崗位設置、人員管理、管理制度及規程等方面進行討論。
組織架構設置上,為保證數據安全管理方針、策略、制度的統一制定和有效施行,組織內部應建立貫穿企業最高領導層到普通員工的數據安全管理組織架構。
機構及崗位設置上,為有效執行數據安全管理制度規范、策略,應成立或指定專門的數據安全管理部門,并明確職責,同時要在相關業務部門設置專職或兼職數據安全管理崗位,做好與數據安全管理部門的溝通與協作。
人員管理上,要建立面向全體員工的數據安全教育培訓機制,并在員工職業生涯的各關鍵節點,組織安全意識教育和數據安全管理制度宣傳培訓。
管理制度及規程上,范圍要覆蓋數據全生命周期,形成數據安全總體要求、實施細則、數據共享安全管理、個人信息保護等方面的管理制度。
(二)技術措施建議
數據安全防護技術措施主要建議從數據產生、采集、傳輸存儲、使用、共享、銷毀環節進行防護。
在數據產生、采集環節,需要實現的技術能力主要是元數據安全管理、數據類型和安全等級打標,將相應功能需要內嵌入后臺運維管理系統,或與其無縫對接,從而保證各類數據安全制度有效地落地實施。
在數據傳輸存儲環節,密碼技術是數據傳輸和存儲環節應用的主要技術手段,既可以建立不同安全域間的加密傳輸鏈路,也可以直接對數據進行加密。在數據存儲環節,可以采取數據加密、硬盤加密等多種技術方式保障數據存儲安全。
在數據使用環節,除了傳統網絡安全防護技術措施外,賬號權限管理、數據安全域、數據脫敏、日志管理和審計、異常行為實時監控與終端數據防泄露等是數據使用有效的安全技術措施。
在數據共享環節,主要包括向第三方提供數據、對外披露數據等業務場景,可以與數據安全域技術結合,建設統一數據分發平臺,作為數據離開數據安全域的唯一出口,有效管理數據共享行為。
在數據銷毀環節,需要通過軟件或物理方式實現磁盤中存儲數據的永久刪除、不可恢復。數據銷毀軟件主要采用多次填充垃圾信息等原理,此外,硬盤消磁機、硬盤粉碎機、硬盤折彎機等硬件設備也可以通過物理方式徹底毀壞硬盤。