大数据时代,数据成为国家基础战略资源和创新生产要素,战略价值和资产价值急速攀升。
大数据时代数据安全面临的挑战
大数据时代,数据的产生、流通和应用更加普遍和密集。然而,新的技术、新的需求和新的应用场景给数据安全防护带来了全新的挑战。
一是新技术带来的挑战。分布式计算存储架构、数据深度发掘及可视化等新型技术能够大大提升数据资源的存储规模和处理能力,但也为数据安全保护带来了新的挑战。首先,系统安全边界模糊、可能引入的未知漏洞、分布式节点之间和大数据相关组件之间的通信安全已逐渐成为新的安全薄弱环节;其次,分布式数据资源池能够汇集众多用户数据,却造成了用户数据隔离的困难。为了应对新技术带来的挑战,网络与数据安全技术需要同步演进,打破传统基于安全边界的防护策略,实现更细粒度的访问控制,提升加密和密钥管理能力,从而保证数据安全。
二是新需求带来的挑战。大数据时代下,各方对数据资源的占有和利用的需求持续增加,数据被广泛收集并共享开放。移动智能终端、传感器、智能联网设备广泛应用,使得虚拟世界正在成为现实世界的完整映射。由多方数据中汇聚分析出的有用信息价值远远超过传统单一数据集。数据的广泛、多源收集对数据安全本身及个人信息保护带来了新的挑战,数据来源和真实性验证存在困难,个人信息过度收集、未履行告知义务等现象侵害了个人合法权益。此外,数据开放共享对国家数据资源和企业商业秘密的安全也构成一定威胁。一方面,政府数据的开发缺乏统一规范和指导;另一方面,企业在提供数据资源进行多方数据计算时,如何实现数据“可用不可见”,在保障机密性的同时完成计算,已成为亟待解决的数据应用安全性问题。
三是新应用场景带来的挑战。当前,数据应用浪潮逐渐从互联网、金融、电信等热点行业领域向融合业务、物联网、传统制造等行业和领域拓展渗透。数字化生活、智慧城市、工业大数据等新技术新业务新领域创造出纷繁多样的数据应用场景,使得数据安全保护具体情境更为复杂。如何在多渠道流通与多领域融合的复杂过程中保证数据的机密性、完整性和可用性,是新的应用场景下面临的全新挑战。频繁的数据共享和交换使得数据溯源中数据标记的可信性、数据标记与数据内容之间捆绑的安全性等问题更加突出。
大数据时代数据防护体系建设的总体思路
(一)明确国家层面和企业层面的防护目标
对国家而言,需要从保障国家安全的高度建设完善数据安全保障体系,维护网络数据的完整性、保密性和可用性,保障信息主体对个人信息的控制权利,强化国家对重要数据的掌控能力。
对企业或组织而言,需要从保护商业秘密、业务正常运行、客户合法权益等方面开展数据安全防护工作。一是保护数据本身安全,即数据机密性、完整性、可用性;二是满足国家相关法律法规对个人信息和国家重要数据提出的合规性要求。
(二)建设以数据为中心的安全防护体系
数据安全防护建设需要以“数据为中心”,聚焦数据,聚焦数据生态。具体来讲,要明确数据的来源、形态、应用场景,构建由数据安全组织管理、制度规程、技术手段“三驾马车”组成的覆盖全面的安全防护体系,形成数据安全防护的闭环管理链条。
数据安全组织管理是落实数据安全实践工作的首要环节。企业可通过成立专门的数据安全管理团队,自上而下地建立起从各个领导层面至基层员工的管理组织架构,保证数据安全管理方针、策略、制度的统一制定和有效实施。着眼全局,把握细节,保证数据流通每个环节的安全管理工作。
数据安全制度规程是数据安全实践工作的制度保障。在数据安全防护实践中,数据安全制度规程提供具体的方式方法,避免了实际业务流程中“无规可依”的场景,是数据安全管理工作实际操作中的办事规程和行动准则。
数据安全技术手段是数据安全实践工作的保障条件。作为数据安全管理的辅助手段,数据安全技术手段提供了数据收集、使用具体场景中的安全工具,为落实数据安全制度规程、实现数据安全防护的总体目标提供了技术支持,保证纸面上的管理制度要求在实际工作中切实得到执行。
开展数据安全防护实践的措施建议
数据安全防护的工作开展主要包括管理措施和技术措施两个方面,本文提出了这两个方面的实践建议,通过二者的紧密结合,全面实现数据安全防护的目标。
(一)管理措施建议
管理措施建议主要从组织内部的数据安全管理架构及机构设置、岗位设置、人员管理、管理制度及规程等方面进行讨论。
组织架构设置上,为保证数据安全管理方针、策略、制度的统一制定和有效施行,组织内部应建立贯穿企业最高领导层到普通员工的数据安全管理组织架构。
机构及岗位设置上,为有效执行数据安全管理制度规范、策略,应成立或指定专门的数据安全管理部门,并明确职责,同时要在相关业务部门设置专职或兼职数据安全管理岗位,做好与数据安全管理部门的沟通与协作。
人员管理上,要建立面向全体员工的数据安全教育培训机制,并在员工职业生涯的各关键节点,组织安全意识教育和数据安全管理制度宣传培训。
管理制度及规程上,范围要覆盖数据全生命周期,形成数据安全总体要求、实施细则、数据共享安全管理、个人信息保护等方面的管理制度。
(二)技术措施建议
数据安全防护技术措施主要建议从数据产生、采集、传输存储、使用、共享、销毁环节进行防护。
在数据产生、采集环节,需要实现的技术能力主要是元数据安全管理、数据类型和安全等级打标,将相应功能需要内嵌入后台运维管理系统,或与其无缝对接,从而保证各类数据安全制度有效地落地实施。
在数据传输存储环节,密码技术是数据传输和存储环节应用的主要技术手段,既可以建立不同安全域间的加密传输链路,也可以直接对数据进行加密。在数据存储环节,可以采取数据加密、硬盘加密等多种技术方式保障数据存储安全。
在数据使用环节,除了传统网络安全防护技术措施外,账号权限管理、数据安全域、数据脱敏、日志管理和审计、异常行为实时监控与终端数据防泄露等是数据使用有效的安全技术措施。
在数据共享环节,主要包括向第三方提供数据、对外披露数据等业务场景,可以与数据安全域技术结合,建设统一数据分发平台,作为数据离开数据安全域的唯一出口,有效管理数据共享行为。
在数据销毁环节,需要通过软件或物理方式实现磁盘中存储数据的永久删除、不可恢复。数据销毁软件主要采用多次填充垃圾信息等原理,此外,硬盘消磁机、硬盘粉碎机、硬盘折弯机等硬件设备也可以通过物理方式彻底毁坏硬盘。