筑牢數(shù)字安全屏障

2023年伊始印發(fā)的《數(shù)字中國建設(shè)整體布局規(guī)劃》（以下簡稱“規(guī)劃”），將數(shù)字安全屏障和數(shù)字技術(shù)創(chuàng)新體系并列為強(qiáng)化數(shù)字中國的“兩大能力”，要求“筑牢可信可控的數(shù)字安全屏障，切實(shí)維護(hù)網(wǎng)絡(luò)安全，完善網(wǎng)絡(luò)安全法律法規(guī)和政策體系。增強(qiáng)數(shù)據(jù)安全保障能力，建立數(shù)據(jù)分類分級保護(hù)基礎(chǔ)制度，健全網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測預(yù)警和應(yīng)急處置工作體系?！?/p>

數(shù)據(jù)是一切數(shù)字化發(fā)展的基石，與數(shù)字產(chǎn)業(yè)發(fā)展相輔相成。安全和發(fā)展的辯證關(guān)系更是相伴相隨、相互促進(jìn)的。只有數(shù)據(jù)的安全得到保障，數(shù)據(jù)的流通才能順暢，才能充分發(fā)揮數(shù)據(jù)價值，促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展。

政務(wù)數(shù)據(jù)安全治理、公共數(shù)據(jù)授權(quán)運(yùn)營、行業(yè)數(shù)據(jù)深化應(yīng)用、數(shù)據(jù)要素價值釋放等，都在考驗政企對數(shù)據(jù)的應(yīng)用和安全保障能力。數(shù)據(jù)安全需要貼近數(shù)字化痛點(diǎn)和業(yè)務(wù)場景，真正讓業(yè)務(wù)放心大膽地把數(shù)據(jù)使用起來，才能推動實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型及數(shù)字經(jīng)濟(jì)發(fā)展。

就數(shù)據(jù)業(yè)務(wù)應(yīng)用場景而言，各行各業(yè)均有不同的特點(diǎn)?！蛾P(guān)于加強(qiáng)數(shù)字政府建設(shè)的指導(dǎo)意見》明確指出，以數(shù)字化改革動力政府職能轉(zhuǎn)變，構(gòu)建開放共享的數(shù)據(jù)資源體系。隨著數(shù)字化手段的深入應(yīng)用，政府治理正朝著更加科學(xué)、高效的方向發(fā)展，數(shù)據(jù)流通、共享和開放成為數(shù)字政府的剛性業(yè)務(wù)需求。這其中伴隨數(shù)據(jù)資源歸集共享和數(shù)據(jù)開發(fā)利用過程中的數(shù)據(jù)安全監(jiān)管問題、數(shù)據(jù)流通共享的安全風(fēng)險、數(shù)據(jù)安全管理和運(yùn)營不完善等問題。

安恒信息董事長范淵提出，在數(shù)字中國建設(shè)的時代背景下，要建立“高遠(yuǎn)、平遠(yuǎn)、深遠(yuǎn)”的三維立體數(shù)字安全觀，從單一模塊的網(wǎng)絡(luò)安全進(jìn)化到系統(tǒng)化、一體化、協(xié)同化、場景化、數(shù)智化的數(shù)字安全模式。

這一數(shù)字安全模式采用數(shù)據(jù)安全治理體系路線。首先，是構(gòu)建數(shù)據(jù)安全管理體系。制定總體戰(zhàn)略目標(biāo)、構(gòu)建組織體系、建立健全數(shù)據(jù)安全制度規(guī)范，為數(shù)據(jù)安全管理提供主要依據(jù)，實(shí)現(xiàn)跨領(lǐng)域、跨部門協(xié)同配合。其次，是構(gòu)建技術(shù)能力體系。采用CAPE模型，即“風(fēng)險核查Check-數(shù)據(jù)梳理Assort-數(shù)據(jù)保護(hù)Protect-監(jiān)控預(yù)警Examine”，從風(fēng)險核查出發(fā)，先確定數(shù)據(jù)載體運(yùn)行環(huán)境的安全風(fēng)險，再梳理存儲的數(shù)據(jù)資產(chǎn)，完成數(shù)據(jù)分類分級，依據(jù)數(shù)據(jù)分級結(jié)果，協(xié)同各項數(shù)據(jù)安全能力，對數(shù)據(jù)資源合理使用提供全場景、全鏈路、全生命周期保護(hù)，通過全方位監(jiān)控數(shù)據(jù)的使用和流動，形成數(shù)據(jù)安全態(tài)勢感知。最后，是構(gòu)建數(shù)據(jù)安全運(yùn)營體系。按照IPDRO模式來自適應(yīng)各項安全組件支撐能力，持續(xù)改進(jìn)優(yōu)化，直至達(dá)到整體數(shù)據(jù)安全智治的目標(biāo)。

數(shù)據(jù)安全治理的“263”框架，即2個視角（數(shù)據(jù)內(nèi)循環(huán)的安全，數(shù)據(jù)外循環(huán)的安全）、6個問題（數(shù)據(jù)資產(chǎn)的底數(shù)、人的問題、告警有效性、數(shù)據(jù)泄露的結(jié)果導(dǎo)向等）和3個需要（可視、可控、可溯源）。從行業(yè)數(shù)據(jù)安全治理的落地場景中，則設(shè)計了“三維一體”（三體系、三協(xié)同、三服務(wù)）的架構(gòu)，以協(xié)同促體系，以體系落服務(wù)，讓數(shù)據(jù)安全真正融入到業(yè)務(wù)和數(shù)據(jù)處理活動當(dāng)中，推動大型數(shù)據(jù)安全體系建設(shè)運(yùn)營從0到1落地，實(shí)現(xiàn)數(shù)據(jù)安全風(fēng)險治理的可視化和可度量。

數(shù)據(jù)與業(yè)務(wù)天然強(qiáng)綁定，數(shù)據(jù)安全建設(shè)需要從業(yè)務(wù)場景出發(fā)，從咨詢規(guī)劃到安全運(yùn)營的數(shù)據(jù)安全建設(shè)可以概括為“六部曲”。

第一，咨詢規(guī)劃。參考Gartner建議，優(yōu)先對重要數(shù)據(jù)進(jìn)行安全治理工作，比如將“數(shù)據(jù)分類分級”作為整體計劃的第一環(huán)，將大大提高數(shù)據(jù)安全合規(guī)治理的效率和投入產(chǎn)出比。通過專項咨詢服務(wù)，對當(dāng)前現(xiàn)狀及業(yè)務(wù)場景梳理，明確數(shù)據(jù)安全建設(shè)目標(biāo)及策略等。

第二，風(fēng)險評估。采用人工訪談?wù){(diào)研和自動技術(shù)檢測工具結(jié)合方式。結(jié)合數(shù)據(jù)安全檢查工具箱、API風(fēng)險監(jiān)測、數(shù)據(jù)暴露面風(fēng)險監(jiān)測等工具，可快速評估速、全面檢測梳理各項數(shù)據(jù)安全風(fēng)險，如弱口令、API未授權(quán)訪問、數(shù)據(jù)庫暴露面風(fēng)險。

第三，管控加固。對于不同的風(fēng)險場景，有針對性地部署相應(yīng)數(shù)據(jù)安全工具進(jìn)行管控加固，落實(shí)數(shù)據(jù)安全策略。如通過自動化的數(shù)據(jù)分類分級工具，基于行業(yè)模板進(jìn)行敏感數(shù)據(jù)識別和分類分級打標(biāo)，通過靜態(tài)脫敏工具對敏感數(shù)據(jù)進(jìn)行自動化脫敏，在降低數(shù)據(jù)敏感程度的同時，最大程度上保留原始數(shù)據(jù)內(nèi)在關(guān)聯(lián)性等可挖掘價值。

第四，監(jiān)測預(yù)警。前期進(jìn)行管控加固的各類數(shù)據(jù)安全工具，作為數(shù)據(jù)安全原子能力/探針，既能解決具體場景化的安全風(fēng)險，同時也可以互相聯(lián)動形成合力；以統(tǒng)一的數(shù)據(jù)安全管控平臺對各探針進(jìn)行統(tǒng)一納管、策略打通和態(tài)勢感知，實(shí)現(xiàn)敏感數(shù)據(jù)安全防護(hù)的生命周期過程全覆蓋。從云網(wǎng)數(shù)用端全鏈路地對當(dāng)前環(huán)境進(jìn)行實(shí)時威脅檢測，第一時間洞察異常和風(fēng)險，實(shí)現(xiàn)數(shù)據(jù)安全風(fēng)險監(jiān)測預(yù)警。

第五，審計溯源。數(shù)據(jù)安全審計可以檢查數(shù)據(jù)處理活動是否符合組織的安全性和合規(guī)性政策，一旦出現(xiàn)數(shù)據(jù)安全事件，通過審計溯源能夠快速確認(rèn)問題出現(xiàn)在哪個環(huán)節(jié)，有利于有針對性地采取更正措施和追究相應(yīng)責(zé)任，從而提高整個數(shù)據(jù)管理體系的安全性和可信度。

第六，安全運(yùn)營。通過風(fēng)險識別、安全防護(hù)、持續(xù)檢測、響應(yīng)處置、安全運(yùn)營，IPDRO持續(xù)改進(jìn)閉環(huán)管理的常態(tài)化安全運(yùn)營。

數(shù)據(jù)安全是促進(jìn)數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展的基礎(chǔ)，只有筑牢數(shù)字安全屏障，才能助力數(shù)據(jù)要素產(chǎn)業(yè)發(fā)展。構(gòu)建充滿信任的數(shù)字世界是以安恒信息為代表的網(wǎng)安從業(yè)者的使命，也是未來社會與經(jīng)濟(jì)發(fā)展的必要基礎(chǔ)。隨著數(shù)據(jù)要素產(chǎn)業(yè)的快速發(fā)展，數(shù)據(jù)安全將上升到一個前所未有的新高度。

劉博：安恒信息CTO，正高級工程師、浙江省特聘專家。長期從事智能網(wǎng)絡(luò)安全、數(shù)據(jù)安全領(lǐng)域研究。獲得包括工信部示范項目、世界互聯(lián)網(wǎng)大會領(lǐng)先科技成果、中央網(wǎng)信辦頒發(fā)“攜手構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體”最佳實(shí)踐案例、CCF科技進(jìn)步獎等榮譽(yù)。