在4月20日赛迪顾问股份有限公司主办的“2023 IT市场年会-网络安全高峰论坛”上,奇安信集团副总裁陈华平表示,在数字中国大战略下,数据价值充分释放,全面数字化转型带来更多发展机会的同时,也带来了安全问题和安全风险。十三五、十四五期间,国家高度重视网络空间安全领域的合法合规建设,在国家战略、法律、法规、标准层面都做了顶层设计。今年3月组建国家数据局,就是在为数字经济发展在做顶层设计,站在数字化安全发展的视角,我们应该重新审视和思考数据安全、数据合规。
数据要素是数字经济发展的核心引擎,数据要产生价值,就需要流通和交换,因此不论是数据本身形态(原始数据、数据资源、数据要素、数据产品)、数据金融属性(数据资源化、数据资产化、数据资本化)还是数据价值实现机制(原始数据资源化到数据资源要素化再到数据要素产品化),都在不断演变着。每个环节都存在着大量的不确定性,同时也有很大的想象空间和机会,而安全贯穿于整个过程。这也是为什么数据要素化被炒热之后,数据安全会变得至关重要。
如何理解数据安全,如何做好数据安全,对企业主和安全产业从业者来说都是巨大挑战。陈华平指出,企业数据安全需要做创新融合,将安全能力融入到业务系统中,驱动安全的内生。数据安全产业需要拥抱变化,做创新融合,将安全能力融合进新业态、新场景,实现安全的内生。
在政策层面,《国务院关于提请审议国务院机构改革方案的议案》提出在保持数据安全、行业数据监管、信息化发展、数字政府建设等现行工作格局总体稳定前提下,将数据资源整合共享和开发利用方面的职责集中,组建国家数据局,由国家发展和改革委员会管理,从顶层设计的高度对数据安全的管理和督导给出了定义和指导,未来将在法律法规发布、标准制定和执法监督实现完整闭环,为数据经济发展保驾护航。
联系到近期出现的数据业务中断、数据泄露和数据安全合规事件,不难发现,数据作为核心生产要素,贯穿于数字化系统的各个生产环节中,如果不拧紧数据“安全阀”,不仅会影响数字经济发展,甚至影响到国家安全,将造成难以承受的后果。这是因为数字化生产需要将数据归集平台,数据的大量汇聚、数据流转复杂、掌握数据后巨大的商业价值,使得数据归集平台极容易成为攻击目标,且一旦平台被攻陷,损失巨大。
通过对大量用户的问题复盘和业务调研,奇安信发现,大多数的数据安全事故并非是攻击方采用了高级的攻击手段,而是利用数据库操作权限/特权账号管理不善、弱口令/特权账户越权/数据第三方运维/数据库漏洞等常见手段,加之历史问题遗留、安全意识淡薄以及基础安全防护手段缺失等诸多原因叠加,导致部分数据管理部门存在数据资产基础防护不到位,数据安全风险大。
过去的一年中,奇安信共参与和处置了全国范围内1471起网络安全应急响应事件,其中勒索事件416起,协助政企机构处理安全事故,确保了政企机构门户网站、数据库和重要业务系统的持续安全稳定运行。
基于内生安全思想,依托“新一代企业网络安全框架”, 奇安信集团结合数据安全的经验和实践,推出“数据安全能力框架能力”全景视图,基于甲方视角给出数据安全领域全景建设指引,提出数据安全规划涉及的安全能力选择:
- 数据安全能力框架解决如何从数据安全治理,把数据安全策略层层具象化落实到具体产品能力的拉通方法问题;
- 回答了在兼顾多重典型数据应用场景下,在政企信息化环境中,什么区域需要哪些数据安全能力与产品部署的问题;
具体来说,奇安信数据安全能力框架以数据安全治理体系的理论为逻辑推演依据,同时参考结合了Gartner 数据安全治理(DSG)、数据安全能力成熟度模型(DSMM)、微软隐私、保密和合规性(DGPC)框架的有效思路,保证了数据安全建设的先进性。
能力框架覆盖了数据安全治理体系的每一个阶段,保证建设的有序性;覆盖了数据实体防护的全能力,确保数据的安全可控。能力框架的纵轴从数据安全管理、技术和运行视角,覆盖数据安全治理每一个阶段;横轴从数据实体防护角度出发,从基础环境安全、身份安全与访问控制 数据保护、监测与响应、审计定责,到数据备份恢复,覆盖数据实体防护的全能力。
奇安信数据安全能力框架中的每一个元素都是一种数据安全的能力组件,其所包含的567个能力组件在数据安全的体系建设与运行过程中,将有序的分布到每一层次里,进行相应的数据安全的管控与防护。
陈华平提出,数据安全防护体系建设应该分三个阶段按六个步骤有序推进,概括来说就是:盘家底,梳理业务,识别重要数据资产,做基础安全防护;分类分级,针对不同级别的数据,制定不同的安全策略;做分级安全保护,持续运营,保障数据安全持续安全状态。该理论体系已经在北京冬奥数据安全保障得到实践验证,可同时满足国内、外双重合规要求,平衡安全和业务运行效率,确保数据处于持续安全防护状态,并构建了以奥运零事故为标准的数据安全防护体系蓝本,其方法和经验正在全行业中推广复制,护航数字化发展。
据悉,本次大会以“构建数据安全产业生态、夯实数字经济发展底座”为主题,由赛迪顾问股份有限公司和中国计算机学会计算机安全专业委员会共同主办。