魔天记忘语小说,好看的电视剧

《數(shù)據安全法》實施在即，專家告訴你如何建設數(shù)據安全能力

2021/8/27 17:59:56

當前，我國連續(xù)出臺一系列關于數(shù)據安全的法律法規(guī)，從立法到執(zhí)法，監(jiān)管的步伐日益加速，數(shù)據安全的法律體系雛形漸成。在安全合規(guī)趨緊的當下，各組織加強數(shù)據安全能力建設已是勢所必然。

數(shù)據安全能力是指數(shù)據在流動過程中，組織為了保障數(shù)據的保密性、完整性、可用性而在安全規(guī)劃、安全管理、安全技術、安全運營等方面采取的一系列活動。

對此，如何建設數(shù)據安全能力，將圍繞數(shù)據安全能力建設的驅動力、數(shù)據安全能力建設、數(shù)據安全規(guī)劃能力建設、數(shù)據安全管理能力建設、數(shù)據安全技術能力建設、數(shù)據安全運營能力建設等方面作分享。

01數(shù)據安全能力建設的驅動力

合規(guī)驅動
《網絡安全法》、《數(shù)據安全法》、《網絡安全等級保護條例》、《關鍵信息基礎設施保護條例》、《數(shù)據安全管理辦法》等國內法律法規(guī)中明確了組織在數(shù)據安全方面的合規(guī)要求。歐盟正式施行《通用數(shù)據保護條例》（簡稱GDPR），掀起了個人數(shù)據保護立法的改革浪潮。
業(yè)務驅動
伴隨云計算、大數(shù)據、人工智能等新興技術的飛速發(fā)展，數(shù)據作為支撐這些前沿技術存在與發(fā)展的生產資料，已經成為組織的核心資產，受到前所未有的重視與保護。
風險驅動
數(shù)據生命周期指的是數(shù)據從創(chuàng)建到銷毀的整個過程，包括采集、存儲、處理、應用、流動和銷毀等環(huán)節(jié)。通過對數(shù)據全生命周期各階段進行針對性的風險分析。

02數(shù)據安全能力建設

數(shù)據安全能力建設目標

在分析數(shù)據安全在合規(guī)層面、業(yè)務層面和風險層面所面臨的挑戰(zhàn)，融合業(yè)務、管理、技術、運營等方面的需求后，需實現(xiàn)組織數(shù)據資產可視、數(shù)據血緣可溯、數(shù)據風險可控、數(shù)據威脅可管。

數(shù)據安全能力建設思路

隨著組織業(yè)務的豐富和擴展，數(shù)據越來越多種多樣，越來越龐大，相應的數(shù)據安全問題也變得越來越復雜。近年來，一些安全相關的機構紛紛提出數(shù)據安全的實踐體系、方法論與解決方案。主要分為兩類：一類是“由上而下”的數(shù)據安全治理體系；另一類是數(shù)據安全能力成熟度模型體系。

數(shù)據安全治理從平衡業(yè)務需求、風險、合規(guī)、威脅到實施安全產品，為保護產品配置策略。

數(shù)據安全能力成熟度模型圍繞數(shù)據的生命周期，并結合業(yè)務的需求以及監(jiān)管法規(guī)的要求，持續(xù)不斷的提升組織整體的數(shù)據安全能力，從而形成以數(shù)據為核心的安全框架。

數(shù)據安全能力建設框架

數(shù)據安全能力建設并非單一產品或平臺的構建，而是覆蓋數(shù)據全部使用場景的數(shù)據安全體系建設。為了有效地實踐數(shù)據安全能力，形成數(shù)據安全的閉環(huán)，我們需要一個系統(tǒng)化的數(shù)據安全能力建設框架。

03數(shù)據安全規(guī)劃能力建設

業(yè)務場景識別

識別業(yè)務數(shù)據使用的場景，是數(shù)據安全能力建設的出發(fā)點，業(yè)務數(shù)據場景識別以數(shù)據生命周期為基礎，通過對數(shù)據采集場景、數(shù)據存儲場景、數(shù)據傳輸場景、數(shù)據處理場景、數(shù)據使用場景、數(shù)據銷毀場景的分析，梳理資產、數(shù)據、用戶、權限等要求，指導各個能力維度的建設。實現(xiàn)以場景化方式指導安全技術、管理、運營能力進行落地。

數(shù)據風險評估

數(shù)據安全風險評估從業(yè)務場景識別結果著手，以敏感數(shù)據為中心、以數(shù)據生命周期為主線、以敏感數(shù)據場景為著力點，關注敏感數(shù)據場景、承載敏感數(shù)據的業(yè)務流程、敏感數(shù)據流轉、相應業(yè)務活動中涉及的各類業(yè)務執(zhí)行人員及權限，分析并評估相關業(yè)務處理活動中存在的權限提升、信息泄露、用戶冒用、數(shù)據篡改，行為抵賴等數(shù)據安全威脅及風險。

數(shù)據分類分級

數(shù)據分類級是數(shù)據安全能力建設中的一個關鍵部分，是建立統(tǒng)一、準確、完善的數(shù)據架構的基礎，是實現(xiàn)集中化、專業(yè)化、標準化數(shù)據管理的基礎。數(shù)據分類分級可以全面清晰地厘清數(shù)據資產，確定應采取的數(shù)據安全防護策略和管控措施，在保證數(shù)據安全的基礎上促進數(shù)據開放共享。

04數(shù)據安全管理能力建設

構建組織機構

在建設數(shù)據安全能力體系過程中，從決策到管理，都離不開業(yè)務部門的參與和配合。設計數(shù)據安全的組織架構時，可按照決策層、管理層、執(zhí)行層、員工和合作伙伴、監(jiān)督層的組織架構設計。

建立人員能力

數(shù)據安全的人員能力主要包括幾個維度，數(shù)據安全管理能力、數(shù)據安全運營能力、數(shù)據安全技術能力和數(shù)據安全合規(guī)能力。

制定制度流程

制度流程需要從組織層面整體考慮和設計，并形成體系框架。制度體系需要分層，層與層之間，同一層不同模塊之間需要有關聯(lián)邏輯，在內容上不能重復或矛盾。

05數(shù)據安全技術能力建設

數(shù)據安全采集

數(shù)據采集階段主要的風險集中在采集源、采集終端、采集過程中，包括采集階段面臨的非授權采集、數(shù)據分類分級不清、敏感數(shù)據識別不清、采集時缺乏細粒度的訪問控制、數(shù)據無法追本溯源、采集到敏感數(shù)據的泄密風險、采集終端的安全性以及采集過程的事后審計等。

數(shù)據安全加密

在數(shù)據存儲和傳輸階段，需要建立相關加密措施來保障數(shù)據在存儲、傳輸過程中的機密性、完整性和可信任性。

數(shù)據訪問控制

為了保證在數(shù)據生命周期的各個階段和不同場景下的數(shù)據機密性和完整性，允許合法使用者訪問數(shù)據資產，防止非法使用者訪問數(shù)據資產，防止合法使用者對數(shù)據資產進行非授權的操作訪問，往往需要對數(shù)據訪問權限加以控制和管理。

針對用戶的不同需求，可以采用基于角色訪問控制、基于風險的訪問控制、基于屬性訪問控制等技術，通過制定基于主體屬性和客體屬性的細粒度訪問控制授權策略來靈活設定用戶對數(shù)據的使用權限，從而實現(xiàn)數(shù)據細粒度的訪問控制。

數(shù)據泄露防護

數(shù)據源于業(yè)務系統(tǒng)，數(shù)據的下載和傳播都是人為操作，需要通過邊界(網絡、終端、虛擬化等物理邊界和邏輯邊界進行泄漏，所以，數(shù)據泄漏防護的核心思想就是沿著數(shù)據傳遞方向逐級進行防護，進而達到降低風險的效果。

數(shù)據安全脫敏

敏感數(shù)據在使用過程中存在被非法泄露、被非授權篡改、假冒、非法使用等安全風險。而數(shù)據脫敏，即在保留數(shù)據原始特征的同時改變它的部分數(shù)值，避免未經授權的人非法獲取組織敏感數(shù)據。借助數(shù)據脫敏，信息依舊可以被使用并與業(yè)務相關聯(lián)，不會違反相關規(guī)定，而且也避免了數(shù)據泄露的風險。

目前數(shù)據脫敏的技術主要有三種：基于數(shù)據失真/擾亂技術、數(shù)據加密技術和數(shù)據限制發(fā)布技術。

數(shù)據安全審計

數(shù)據控制權的轉移帶來新的審計問題，由于數(shù)據處理各方對數(shù)據都具有訪問權限，加上數(shù)據本身具有易復制、易擴散的特點，導致在發(fā)生數(shù)據泄露等安全事件時，往往難以界定安全責任。因此，數(shù)據安全審計需要由以系統(tǒng)為核心向以數(shù)據為核心進行轉變。

數(shù)據安全銷毀

數(shù)據銷毀主要是指獲得組織、用戶的授權許可或請求后對數(shù)據進行清除或銷毀。使用組織授權的技術和方法對敏感信息進行清除或銷毀，保證無法還原，并且具備安全審計能力。數(shù)據安全銷毀能夠提供數(shù)據銷毀過程的安全審計功能，審計覆蓋到各系統(tǒng)每個用戶，對數(shù)據銷毀過程中的重要用戶行為和重要安全事件保留審計日志并進行審計。

06數(shù)據安全運營能力建設

數(shù)據資產管控

結合業(yè)務場景界識別結果，通過數(shù)據資產管控技術，建立面向統(tǒng)一數(shù)據調度方式，形成良性數(shù)據共享機制，提高數(shù)據置信度、優(yōu)化模型合理性、數(shù)據流轉更清晰，管理權責更明確，在以成效為導向的價值標準下，數(shù)據資產管控無疑將成為組織數(shù)據安全能力建設核心支點。

安全策略執(zhí)行

組織在采取適當?shù)募夹g手段的基礎上，建立與組織數(shù)據安全策略一致的安全保護機制，執(zhí)行各類流程和程序以維護和管理數(shù)據資產。

持續(xù)安全監(jiān)控

組織制定適當?shù)幕顒?，實施對內部?shù)據資產面臨的風險和組織外部的威脅情報的持續(xù)安全監(jiān)控，確保能夠準確地檢測到異常和事件，了解其潛在影響，及時驗證保護措施的有效性。

應急響應恢復

組織制定并實施適當?shù)幕顒?，以便對檢測到的數(shù)據安全事件采取行動，并恢復由于事件而受損的任何功能或服務，以減少數(shù)據安全事件的影響。

人員能力培養(yǎng)

組織的數(shù)據安全管理能力、技術能力、運營能力建設等推進落地終究離不開人的執(zhí)行，組織內不同部門、不等層級及不同來源的員工，在不同場景下直接和間接地接觸數(shù)據資產，所以風險始終存在于人身上，需要逐步提升人員的安全意識，加強人員的數(shù)據安全管理能力、數(shù)據安全運營能力、數(shù)據安全技術能力和數(shù)據安全合規(guī)能力。

# 總結 #
組織業(yè)務發(fā)展越來越依賴數(shù)據資產，在有效地利用數(shù)據，最大限度發(fā)揮大數(shù)據的價值的同時，也面臨著數(shù)據帶來的諸多安全隱患問題，如隱私泄漏，數(shù)據管理、數(shù)據可用性和完整性破壞等，確保數(shù)據資產的安全是目前重點關注的問題。
文章來源：美亞柏科

上一篇：數(shù)字社會創(chuàng)新：以數(shù)字解決方案應對社會問題新挑戰(zhàn)

下一篇：推進數(shù)字法治政府建設服務國家治理現(xiàn)代化

聯(lián)系熱線：

027-8787 8082

027-8779 7150