DT 社会,数据被视为这个时代的“石油”。它不仅是数字化转型的推动力,而且还是业务发展的抓手。对企业而言,数据的地位越来越重要。
为充分发挥数据价值,企业需要首先做好数据安全,因为它是一切数据工作的基础和前提。打个比方,数据安全犹如数据这座大厦的“地基”,“地基”若不稳,大厦则危矣,后果可能是“楼塌人亡”。所以,对企业来说,数据安全建设非做不可。
但是,关于企业数据安全建设,笔者仍有很多疑问:
企业数据安全建设有哪些常见难点?企业数据安全建设的思路是什么?如果企业开始进行数据安全建设,需要做哪些准备工作?…
带着这些问题,InfoQ 记者采访了深圳网安集团副总工程师黄伟杰。
在他看来,随着互联网和信息技术的发展,企业从业务数据化到数据业务化的进程中快速实现全面数据化转型,数据逐渐成为企业重要乃至核心资产。并且,它还成为新的生产资料和战略资源,为企业的业务增益、创新和发展提供新鲜”血液“和新动力。
黄伟杰表示,“数据安全是对企业数据资产价值创造与实现进行的持续有效的保障。数据安全和数据两者是相互辩证的关系,与‘网络安全与信息化是一体之两翼’异曲同工。”
与传统网络安全相比,数据安全对企业的影响更直接、更深刻、更整体。一旦发生重大数据安全事故,比如核心商业秘密数据泄露或大规模个人隐私数据泄露,将让企业面临重大风险。
我们以金融行业为例。根据中国信息通信研究院《2018-2019 年度金融科技安全分析报告》表明,过去一年,所有被调研企业均表示发生过不同类型的网络安全事件。
其中,针对客户资料及企业重要业务数据的安全事件成为发生频率最高的安全事件类别,合计高达 44%的比例(造成“客户资料”泄露约 22%,以及“企业敏感信息泄露”约 22%),成为持续影响金融科技企业最主要的网络安全风险。
从组织架构上,黄伟杰称,企业整体安全逐渐形成一种大安全部的概念,尤其是大型金融企业、互联网企业,在大安全部下设安全合规、数据安全、业务安全、网络安全、应用安全等部门组织。
鉴于数据安全的重要性,它开始独立成为一个重要部门,承担企业数据安全工作,并在组织架构中的地位不断提升。并且,部分企业数据安全负责人作为数据治理委员会的成员,向企业高层汇报。“不过,在很多企业和机构,数据安全工作只是网络安全部门中的一个岗位或职能,甚至是兼职角色。”他坦承说。
数据安全建设为什么那么难?
目前,很多企业的数据安全建设工作正处于起步和初步建设阶段,由于数据特性复杂和规模庞大等问题,其数据安全建设工作也面临一些难点。
1.数据资产识别梳理难
对企业而言,开展数据安全建设工作,其首要任务是对数据资产识别梳理,分类分级。
据了解,企业数据资产类型呈多样化,从业务特性和敏感性上可以分为产品设计、产品配方、制作工艺、技术诀窍、财务数据、客户信息、用户行为特征数据、运营数据等等。从形态上,有文档、图片、视频、音频、记录、报告、代码等。
并且,很多企业数据载体分布广,数据分散于电脑端、云端、移动端和外部处理供应链等,经常不清楚数据在哪;数据源众多,有来自业务产生、用户收集和上游供应等诸多方式。此外,数据规模越来越庞大,这些因素给数据安全建设带来很大难题。
2.数据资产安全管控难
企业数据展现了一种生命周期形态,涉及数据产生、传输、存储、使用、委托处理、共享、交换、披露和销毁等环节,每个环节都有可能面临不同威胁,面临安全风险,且安全监测和实施难度控制大。
同时,因业务需要,数据会不断流动和变化,并非静态,不仅流经企业自己的受控网络,也可能转移到其他数据处理者手中,甚至跨境流动。”面对不同安全控制水平和更复杂的法律合规环境,一旦发生敏感数据安全泄露事件,责任难溯源,难追责”。
3.数据安全建设涉及多部门协作
数据安全建设和运营工作横向上跨业务、产品、市场、IT、运营、开发、财务、法务、合规等诸多部门和环节。
同时,不同部门数据的应用场景不同,部分场景需要多种职能角色共同参与,“这导致数据管理职责不清,不知道谁负责,谁有权限获取数据,谁能提供所需数据,安全责任难明确。这些情形的出现,导致企业数据安全建设工作沟通成本高,协同难,容易产生扯皮现象。”黄伟杰说。
4.数据安全合规相关法律未完善
近年来,国家数个监管机构针对数据安全和个人隐私保护方面陆续出台相关法律要求,比如《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《APP 违法违规收集使用个人信息行为认定方法》等。
因司法机关介入,数据安全不仅是企业内部管理问题,而且可能牵扯到相关负责人的刑事责任。
黄伟杰认为,《数据安全法》尚在制定,而《数据安全管理办法》和《个人信息和重要数据出境安全评估办法》等规范又处于征求意见阶段,企业在数据安全与合规方面的风险难以获得明确、具体的合规基准,不利于企业开展数据安全建设工作。
5.人员的数据安全意识薄弱
在企业数据安全建设中,部分人员数据安全意识薄弱,对数据敏感性、个人信息隐私合规等缺乏足够的安全认识,出现弱口令、明文存储高敏信息、随意转发数据等,导致数据泄漏事件频发。
同时,由于数据流动性,跨部门、跨组织、跨区域,企业数据处理的生命周期牵扯众多人员,人员安全意识参差不齐,这也是企业数据安全建设工作的难点之一。
在所有行业中,金融行业最重视数据安全,因为它们将其视为生命线,这也意味它们对数据安全的诉求最为强烈。
黄伟杰表示,一方面,随着大数据、人工智能、区块链等技术在金融业务上的应用和融合,金融科技在重塑金融行业形态的同时,也面临巨大的安全风险和挑战。另一方面,外部非法组织针对金融行业长期实施网络攻击,入侵和窃取金融核心数据。
从金融企业角度讲,他们对数据安全一般有四大诉求。
诉求 1:防止数据泄露
《2018-2019 年金融科技安全分析报告》显示,金融行业机构数据泄露主要包含客户个人资料和企业敏感数据,泄露频率高达 44%,成为最主要的安全风险。
“曾经,一些大行还出现过批量客户数据被挂在暗网中贩卖,难以溯源泄露路径。近年来,证券基金行业客户手机号泄露事件也是层出不穷,防不胜防,这引起大量客户投诉和质疑。“黄伟杰称。
诉求 2:满足数据与个人隐私监管合规
金融行业是合规重点行业。随着《网络安全法》、《消费者权益保护法》、《网络安全等级保护基本要求》、《银行业金融机构数据治理指引》和《个人金融信息(数据)保护试行办法(初稿)》以及《个人金融信息技术保护规范》等法律法规的陆续出台,从国家法律、行业监管多个层面和个人金融信息隐私保护、金融数据安全等领域,都提出全面的数据合规要求,金融企业需要明确监管的红线。
诉求 3:数据安全的有效治理措施
据悉,金融机构信息系统一般数量比较多,尤其是一些大型的综合性金融机构,应用系统至少超过一百个。
各种用户金融信息、个人隐私信息和业务数据等规模庞大、分散,且错综复杂。通过多个业务系统不同环节的处理后,形成海量数据。在黄伟杰看来,如何利用治理机制和技术措施有效实现分类、分级和摸清数据资产的底数以及分布,这成为金融行业数据安全治理的一个重大挑战。
诉求 4:平衡数据保护和业务发展的关系
数据安全治理策略要求金融机构建立满足数据保护与合规的组织架构,实施对数据流动和处理的管控措施,限制获取与使用的权限和范围,增加数据审核流程,比如收集用户个人信息与行为特征的合规化,或对数据加密存储等数据保护措施。
无疑,这不仅一定程度上增加了企业的投入成本,而且降低数据价值开发的效率。因此,如何通过构建完善的数据安全治理体系,既加强数据保护,又能推动业务发展,建立客户信任关系,这同样是金融企业的诉求之一。
数据安全建设的三大思路
对不同行业而言,数据安全建设思路有差异。在黄伟杰看来,有三大思路可供借鉴和参考。
思路一,建立数据安全治理组织架构以及数据全生命周期风险管理机制
企业应结合公司发展战略,依托企业数据统一治理的框架,建立数据安全治理组织架构以及数据全生命周期风险管理机制。这样,可以确保数据合规、持续可控和安全存储,切实履行数据安全管理职责,提升数据使用价值保障能力。
据黄伟杰介绍,在银行、证券、基金等传统金融行业中,2018 年银保监印发《银行业金融机构数据治理指引》22 号文件,中国证监会要求 2019 年 6 月 1 日起施行的《证券基金经营机构信息技术管理办法》【第 152 号令】,两者均推行类似的建设思路。
思路二,整体构建数据安全管理保障体系
对高度依赖数据提供业务服务的企业,则可以围绕数据安全为中心,从数据全生命周期(比如数据生产、传输、存储等)、业务应用形态(比如特定业务、大数据业务、AI 服务等)和 IT 基础设施(物理、网络、平台、云端等不同层面和形态)等方面整体构建数据安全管理保障体系。
思路三,参考“等保 2.0”
部分企业可参考《信息安全技术 网络安全等级保护基本要求》,即“等保 2.0”和《信息安全技术 数据安全能力成熟度模型》。
根据自身情况,在网络安全方面对标等保相应级别的要求,在数据安全方面对标能力成熟度中相应的水平,通过等保保障网络机构性安全,同时结合数据安全能力成熟度模型提升数据防护能力,形成有机结合体来建立数据安全管理体系。
他说,“不同数据安全建设思路,其背后的实质不外乎各家企业在数据安全建设工作的历程、发展的成熟度、对数据安全的重视程度以及投入资源不一样,企业应根据自身情况确定适合自己的建设思路。”
数据安全建设的前期准备
黄伟杰解释,企业数据安全建设工作是一个长期性、持续改进的过程,需要制定一份可行、有效的计划。“而充分的准备工作,有助于调动相关人员,顺利开展数据安全体系建设后续工作“。
他给出一份简单的准备清单,企业可根据自身情况,灵活采用:
1.开展基础信息调研,了解企业数据资产价值体现,包括数据分布、数据敏感度、数据形态、载体对象、数据来源、相关供应关系以及范围与边界等现状。
2.开展数据安全风险基础评估,包括法律法规差距分析和对标、网络安全控制措施、数据安全的防护能力、数据安全预案应急机制,以进一步了解数据安全现状。
3.开展跨部门的安全需求沟通和高层访谈,理解和明确企业各个应用场景的数据安全需求、工作侧重点和范围,通过高层了解数据安全建设的定位、方针、策略等信息。
4.确定相关责任人和组织,确定数据保护策略和路线(分类分级、保护级别、分步实施等),制定工作计划,覆盖人、财、物等方面。
据悉,他们为一家银行机构提供过数据安全风险评估与服务。
这个数据安全服务项目大致分为 6 个阶段,包括前期信息调研、项目准备阶段、现场评估阶段、沟通咨询阶段、报告编制阶段、成果总结交付阶段等,中间现场实施大概 3 个多月,历时 5 个多月。
一、针对不同维度的数据及安全控制进行梳理
1.分层维度梳理
IT 基础设施(业务实现载体、数据流动载体)、管理体系(数据策略)、组织架构体系(人的执行)、业务流程和数据处理流程(包括体内数据和体外数据)等从下到上形成相互关联、支撑的不同层面。
2.基于业务线的数据生命周期梳理
从数据采集、委托录入、数据回收、数据入库存储、制卡处理、定期销毁、市场营销、递送、催收、呼叫中心等,梳理每一个业务环节中数据处理全生命周期的情况。
二、数据安全、敏感性和合规性综合评估咨询
这主要围绕数据在不同业务场景处理过程中存在的安全控制不足,比如市场营销场景,要从大数据平台查询分析各种客户信息,是否进行查询权限、时间、次数和展示条目等项的控制。
并且,还有数据敏感性的分类分级保护,例如大数据客户行为分析,是否进行升维或降维处理;以及评估业务获取、使用数据场景中的合法合规性风险,比如爬虫行为、SDK 收集个人信息等问题。
三、数据安全管理体系能力成熟度评估
“这主要依据我们多年积累的实战经验,自主编制的数据安全能力成熟度三位立体模型(安全领域维度、安全能力维度和安全级别成熟度)和评价标准。在明确数据安全保护需求和目标后,开展差距分析和对标评估,制定对应保护级别的规划建设方案。”黄伟杰说。
在笔者看来,数据安全是一项“庞大工程”,因为它涉及企业所有与数据有关的人、财、物、信息等。
如果我们能抓住企业数据安全建设的核心,那么工作或许更容易推进。但是,何为企业数据安全建设的核心,观点存在差异。有人认为技术是核心,通过一整套数据安全防护产品解决方案,全面落实数据防控措施,基本上就可确保数据安全可控,解决数据安全风险。
也有人将“人”视为企业数据安全建设的核心,以人为本,需要不断提高员工的数据安全素养和意识,遵守国家相关法律法规,避免违法和不当行为,并认真落实企业规章制度,严格执行安全管理流程。
还有人认为“责任”是企业数据安全建设的核心。“一个负责任的企业,能积极推动数据安全建设工作,履行网络安全合规义务,从组织、制度、技术和机制等几个方面建立数据安全治理体系,将数据安全融入到企业运营、业务运营、产品设计和企业的品牌影响力。最终,数据安全成为企业发展的重要责任之一和管理企业文化的一部分。”黄伟杰说。
相关阅读:
前InfoQ编辑
分布式云行业实践指南(2023)
业内首个分布式云行业实践方法论、工具箱。
评论