“2024数字中国创新大赛”数字安全赛道数据安全产业讲师选拔赛初赛于4月29日-30日在京正式开启。吸引了来自全国各地的电信、互联网、金融、能源等重要行业单位和院校、科研机构、安全厂商共100余名优秀讲师参赛。5月15日至17日,经过三天的激烈角逐,最终根据现场评分评选出金奖3名、银奖6名、铜奖9名,优胜奖10名,最佳风采奖3名,优秀课件奖5名。
太极股份参赛专家获得“2024数字中国创新大赛数字安全赛道数据安全产业讲师金奖”,其参赛作品荣获“优秀课件奖”。
【以下为内容摘选】
本文根据专家课件《明红线、守底线,促进数据要素合规高效流通使用做好主责数据保护与流动安全监管是前提也是基础》提炼核心内容,围绕数据安全认知与理念、体制与机制、方法与路径、技术与工具等几方面进行观点介绍:
一、新背景
2021年《中华人民共和国数据安全法》的发布和2022年《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》的发布是数据安全领域新旧时代的分水岭。
二、新观点
明红线、守底线促进数据要素合规高效流通使用, 做好主责数据保护与流动安全监管是前提也是基础。
三、新认知
充分认知数据安全贯穿数据要素市场的交易环节、数据要素流通的准备环节和数据要素治理的初始环节三大环节。
四、新思考
参与数据要素市场的个人数据、企业数据、公共数据的不同载体的成熟度不同,数据安全工作首先要识别场景和成熟度。
五、新实践
基于三清、三员基本逻辑的数据治理、数据安全治理、网络安全视角的基本思路与实践。
本文的认识、思考、总结实践来自近几年的标准制定、课题研究与一线工作落地实践,感谢中央政府、中央企业、金融机构以及超大城市大数据中心等地方的专家和工作人员!
数据安全工作的新旧分水岭
梅宏院士认为数字经济是一种继农业经济和工业经济之后的新经济形态,我国数字经济发展仍面临认知和理念、体制和机制、路径和方法、技术和工具等多方面挑战。为促进数字经济新形态的有序形成和健康发展,必须夯实数据要素市场、数字治理体系与数据技术体系“三大基石”。
数据要素市场作为生产要素高效共享、流通、交易构成了数字经济的源头活水需要层层递进:一是数据资源化、二是数据资产化、三是数据资本化,最终要使得数据的价值可度量、可交换,成为可以被经营的产品或商品。
数字治理体系鉴于我国国情,需从治理内容(四个方面:数据资产地位、管理体制机制、促进共享开放、保障安全隐私)、治理主体(三个层次:国家、行业、组织)、治理手段(四项工具:制度法规、标准规范、应用实践、支撑技术)三个维度构建“四三四”数据治理体系框架。
完善数据技术体系是数字经济发展的有力支撑,尤其在数据处理、数据管理、数据分析、数据治理等方面需从国家层面统筹并组织实施,集中力量攻克核心关键技术。
充分理解发挥数据要素的关键路径与动作
2021年《中华人民共和国数据安全法》和2022年《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》的发布是数据安全领域新旧时代的分水岭,从宏观层面看要考虑在不同阶段(数据资源、数据资产、数据资本)阶段的安全措施,需要用系统工程思维建立总体全局视野。
从微观层面来看,在当前的环境中大部分数据的所有者实际上是政府职能机构、社会公共机构、企业法人为代表的各个数字化组织。目前面临的一个普遍现象是数字化组织是停留在大量的盲数据、死数据和僵尸数据和粗粒度的数据资源阶段。激活数据要素的过程,就是从数字化组织这一层要逐步落实到具体的子部门、具体岗位、具体角色,实现三清、三员,把数据安全保护和流动按照资本化的思路进行第一阶段开始细粒度盘点和细化,解决有多少数据底账、具体责任人、责任部门、数据具体位置,实现数据系统管理员、安全管理员、安全监管审计员,从财务视角落实数据资产盘点、质量评价、资产入表的工作、从业务视角落实数据分级分类、确据确权、数据流动审批、从数据视角落实数据治理、管理、标准、运营的工作、从安全视角落实责任主体、安全策略、安全措施、安全运营等工作,这是目前各数字化组织和大数据局亟待解决的问题,是多个组织协同的过程,不仅仅是单个安全部门考虑数据安全工作的事情了,思考的维度也不仅仅是技术维度了,这个新旧时代的划分也是这个意思。
做好主责数据保护与流动安全监管是前提也是基础
如上所理解,数据在不同的管理和流通阶段,其安全成熟度是不一样的,责任主体是在变化的。因此,在数据安全治理过程中,我们需要考虑的不仅仅是数据每个阶段的完整性、可用性和保密性,而且还需要考虑数据在不同阶段安全措施和安全监管问题。我们在使用数据的同时,要保证其合规性,既要激活数据,又要明确底线。这并不是一个复杂的问题,需要我们把它清晰地列出来作为一个讨论的过程,从而使逻辑更加清晰,理解更加容易。在数据流动监管中思考可以简要概括为七点:
思考一
每个阶段需要明确主体责任、操作角色角色、按照数据所有者、安全员和监管审计员进行划分,不然数据处理之间必然会存在矛盾。将这些权力分并赋予相应的角色可以改善数据安全和治理。
思考二
数据安全合规涵盖了等保1.0和2.0阶段的要求。不同阶段的数据场景、管理特点和视角发生了变化,数据安全法出台后,细则陆续制定中,数据的安全管理需要根据不同的成熟度和要求进行适配。
思考三
在某省大数据的课题研究多次讨论中,分析了数据所有者、提供者、使用者、运营者、运营者和监管者的角色。数据所有者通常是各省厅,数据运营者和监管者则是数据局数据提供者是各省厅,因此数据的交换模式和流动模式也是需要体现明确,设定好监管点和防御点。
思考四
整体流动决策形成了无数个闭环,涉及审计、提供、申请和共享等方面。在不同的场景下需要设计不同的流程和角色。单位如果能够设计好这些流程,就能够取得良好效果。
思考五
以全国某信息系统为例,数据流动场景涉及到跨部门流动、跨组织流动、跨行业流动、跨层级流动、跨区域流动、甚至跨境流动。每个场景都需要设计相应的安全监管小场景。不能采用统一的策略进行管理。
思考六
监管的目标是让数据更加开放和有效利用,包括全程可视、状态可察、权益可控、权限可审、流动追溯和监审一体。透明度是关键,但目前许多单位还存在黑匣子问题。
思考七
数据安全保护逐渐趋向业务化,涉及越来越多的关注者和处理者。业务化的数据安全需要角色、流程和平台的支持。数据的开放程度和深度在不断增加,需要综合维度的考量。
主责数据保护和流动安全监管实践
这些思考是多年来的积累,目前看来是正确的。然而,未来的情况并不一定如此。因此,对于数据安全,与其用单一的视角看待,不如结合业务和安全来考虑。接下来,我们将数据视为一种有价证券,并展示了其实际应用场景。
在这个案例实际应用场景中,包括数据进库出库登记、账务清、权益清、权限清等。同时需要做画像、pg电子(中国)官方网站的技术支持、运行维护、分级分类、流动监管和效益评估等工作。在需求梳理过程中,需要涉及上级监管单位、数据处和安全处等角色,以确保数据的有效管理。数据流动管理是关键,主要解决的问题:
所有数据要进行入库出库的动态登记,防止入库数据泄露;
所有数据的要做到底账清晰、权益清楚、权限清楚,谁使用、谁授权、谁访问,防止非法授权访问;
所有数据要进行多维画像,防止找不到位置、pg电子(中国)官方网站的技术支持、运行维护和责任人;
所有数据要进行分级分类,防止低级别访问高级别;
所有数据要进行流动安全监管(生产数据、测试数据、代码数据,从哪里到哪里、合规性、时效性),看的见、管的准、过程拎得清、底线守得牢;
所有数据要开展效益评估和评价;
所有数据要做到多维度的统计与分析。
运行了三年期间取得了几项重要成果,涵盖了基础性成果、创新性成果、主责成果和监管成果。
首先,建立了数据安全的主责组织架构,明确了数据所有者、使用者、提供者、运营者和监管者的角色和职责。建立了一个以数据类别、数据资产、数据库、数据表、数据字段、敏感数据和加密数据为基础的底账,清晰地展示了不同级别数据域中各种数据的分布情况和基本属性。
其次,实现了动态可查的数据准入过程。解决了两个问题,即在数据入库时记录基础信息和权益声明,并补充了更多数据资源的属性,实现了从资源到资产的转变和多维管理。通过扫描未检测数据资产的方式进行监控,识别出长时间未被检测的数据资产,从而进行标识和准出操作。此外,还创建了多维画像,以数据为核心,综合考虑了资产的库、表、权属负责人、运维负责人、访问统计、敏感数据、数据加密、热度、访问者、授权者、数据风险和效益等视图。这个画像是可以无限扩充的,并且在还在继续扩展。在数据准入过程中,还评估了每天访问数据的人员,并进行了效益评价,支持当天、近24小时、近7天和近30天的评估。制定了详细的多维评价报告,包括数据资产普查、流动审计、效益评价和风险评估等内容,并提供了自定义报告的模板供选择。这些报告非常复杂花了四个半月的时间来完成。
第三、数据的入库和出库将其分为三类:重要、核心和一般。实现了全程可视化的概念,即从系统到人员,整个过程都可以实时、动态地监控,可以细粒度地查看每个具体的ip和人员。使领导能够更好地理解这些信息。使用了三种颜色来表示不同的情况,这种实时动态监控是第二个重要的方面,它可以让所有的管理角色都能看到、管控和了解情况,从而实现了数据的全面管理。
第四、在设计过程中将数据放入仓库,左侧是人员,右侧是业务。数据最终归结为业务访问和人员访问,这是两个核心问题。许多单位可能限制人员的访问权限,但是通过一种手段,可以了解到有多少人访问数据,因此重点放在谁能做什么的原则上,形成了看管和监控的一体化。将督促和监管整合起来,完成了数据底账视图的监管。数据处提供了这个底账视图。到目前为止,很多单位在领导的问询下只能提供基本的数据量信息,而无法回答其他维度的问题,但这个底账视图提供了更多的信息。另外还实现了数据流动的视图,可以可视化地查看何时、由谁访问数据。然而,对于数据的安全性和效益究竟如何,却很少有人能够回答。
总结出了一个核心问题:数据“看什么”?首先需要看得见,即从领导、所有者和安全的视角来看,必须首先能够看到数据。第二个问题是监管,它涉及管理体系、技术体系、运行体系和知识库体系。称之为看管和监控,看是为了看到,管是分层管理,不可能由一个人全程管理,肯定有责任主体。而监控过程被称为操作,它涉及配置数据的细粒度策略,包括安全配置、基线配置、底层扫描配置、分级分类配置、准入准出配置、授权配置、脱敏配置、加密配置和标签配置等。每个配置动作都是监管的实施过程。最后一个方面是控制,即控制底线并提高底线。进行数据安全治理时的目标是提高底线,使数据治理能够越来越开放。如果这两个目标都没有达成,你只是控制得很好,但没有实际用处;或者你开放得很好,但没有安全底线,都是不行的。
综上所述,通过看管和监控一体化的方式,在围绕数据流动安全监管的各个角色之间形成了协作,实现基础目标。
小结一下,数据安全治理难不难?难,难在哪里?不难,不难在哪里?这个问题缠绕了好多年,没有数字中国,数字经济,数据二十条,数据安全法这些新要求和新推动力,原来做数据安全并不难,做好网络层,主机层,数据层身份认证,访问控制,监控审计,加密脱敏,备份恢复,安全加固,最小权限,基本可以解决99%的问题。即便三权不分立,即便底帐模糊,即便一堆盲数据,死数据,僵尸数据。要想激活数据,用好数据,跨组织,跨行业,跨区域,跨境,共享共用,流通交易,赋能经济,作为数据所有者,每个具体的数字化组织单元就需要做好更细力度的数据安全治理。明红线守底线的共享共用,将激活开放与风险管控的矛盾达成统一目标,让数据主责明确,让数据流动全程可视,状态可查,权限可审,权益可控,流动追溯,监审一体下体现价值。