近年来国家出台了系列政策标准,推动数据治理和安全保护工作。中共中央办公厅、国务院办公厅2016年7月印发《国家信息化发展战略纲要》(简称“《纲要》”),要求将信息化贯穿我国现代化进程始终,加快释放信息化发展的巨大潜能,以信息化驱动现代化,加快建设网络强国。《纲要》是规范和指导未来10年国家信息化发展的纲领性文件,其中明确提出“建立信息资源基本制度体系。探索建立信息资产权益保护制度,实施分级分类管理,形成重点信息资源全过程管理体系”;《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)(简称“《等保2.0》”)明确要求网络运营单位“应对信息分类与标识方法作出规定,并对信息的使用、传输和存储等进行规范化管理”,提出对重要数据资产进行分类、分级管理;《意见》要求推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。国家最新发布的《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(简称“《规范》”)于2020年10月1日实施,要求“个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改”。
数据安全投入持续增长
伴随数据呈现的价值越来越高,数据面临的风险急剧加大,近年来各企事业单位的重要数据被外部人员窃取、内部人员恶意泄漏和无意泄漏的事件层出不穷,数据安全愈发引起管理者的高度重视,对数据安全投入也持续增长。国际调查研究机构ESG在疫情背景下发布了2020年度企业IT投入调查报告,从调查结果看,62%的机构将在2020年增加网络安全投入,以改善安全与网络风险管理。网络安全投入的四个重点领域占比:用于检测威胁的人工智能/机器学习(32%);数据安全(31%);网络安全(30%);云应用安全(27%)。可见数据安全的投入超过了网络安全,数据安全管控点正在经历从传统网络安全到内容安全的转变,防止单位内部敏感数据泄露已成为各单位安全防护监管的重点。
重要途径和保护重点
终端是数据之始、交互之所、沉积之地。绝大多数重要文件均在终端上起草、编辑、审阅,也是通过终端与终端、服务器、数据库、应用系统进行数据访问、传递、维护与管理,终端上驻留了大量的历史数据和操作痕迹。数据泄漏事件往往与终端密不可分,业务用户、数据运维分析人员内部泄密的主要方式是将敏感数据下载到客户端,并进行加工处理,最终通过外设接口导出(如USB、光驱等)或软件外发(如交互软件、邮件等);黑客等外部人员窃密的主要方式是以终端为跳板,直接或间接获取终端、文件服务器、数据库和应用系统中的数据。据统计,2018年我国终端安全产品市场规模已达百亿元,相关咨询机构预测到2023年终端安全产品市场规模将达400亿元。数据是终端安全保护的核心内容,企事业单位对终端数据安全防护监管的重视程度不断提高,终端数据治理与安全防护恰逢其时。【备注:此处终端是指泛终端概念,包括计算机终端、虚拟云桌面、手机移动端、PAD等】
安全保密体系框架
如何高效保护终端数据的安全成为当务之急。数据安全风险存在于数据采集、传输、存储、处理、共享交换及销毁的整个数据生命周期过程。在数据生命周期中,应及时评估潜在的数据安全风险,制定有效、合理的数据安全技术策略、措施,从而降低数据泄露风险,实现数据泄漏保护和数据丢失防护,形成面向用户、面向业务应用的基础文件与数据服务的安全运营平台。结合Gartner数据安全治理总体框架,我们提出终端数据治理与安全防护应重视数据分类分级能力、监控审计能力和大数据分析能力;通过数据分类分级管理、在线分类梳理、用户及组织管理、识别规则及策略管理、集中进行事件监控、处理、审计和统计分析,同时配合对异常行为、外部威胁的监管响应控制,实现对终端数据内容扫描发现、分类分级、数据分布、追踪溯源、威胁检测响应等功能。同时随着云技术的应用和发展,本地终端数据将逐步与云端数据同步处理,因此终端数据安全框架体系应涵盖云端处理的数据治理与防护。
加强个人信息保护
终端中存储的数据中包含了个人信息,在开展数据治理与安全防护工作中要充分考虑个人信息保护工作,产品设计开发应满足国家的相关标准规范要求。《规范》要求“涉及通过界面展示个人信息的(如显示屏幕、纸面),个人信息控制者应对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险”、“在向个人信息主体提供业务功能的过程中使用个性化展示的,需建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力”;《等保2.0》明确运营单位“应仅采集和保存业务必需的用户个人信息”、“应禁止未授权访问和非法使用用户个人信息”。
国家数据生产要素的确定及企事业单位数据安全的内在需求提速发展,终端数据治理与安全防护迎来发展机遇期。秉持“构建网络空间对抗能力 让数字世界更安全”的发展愿景,持续围绕“数据”生产要素这一核心驱动力,基于十几年积累的产品能力,结合新时代发展需求,设计出源于用户又高于用户需求的多款数据安全类产品,形成了涵盖终端、网络、服务的整体安全解决方案,不断为各广大客户提供优质的产品和“保镖式”贴身服务。