数据安全防护能力体系化建设探索
前言
《中华人民共和国数据安全法》(以下简称:数据安全法)于2021年9月1日起施行,这表明,我国数据的使用和保护进入有法可依的新阶段,这必将有效消除中国数字经济发展的阻碍因素,推动我国数字经济快速发展,作为国家大数据战略中至关重要的法制基础,数据安全法将成为数据安全保障和数字经济发展的重要基石。数据安全法中强调:“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。”这表明,促进数据开发利用是数字经济的必然之举,而维护数据安全是保障数字经济高速发展不可或缺的组成部分。
在数据安全法颁布实施后,长扬科技秉承工控领域优势特长,聚集数据安全优秀人才,深挖相关专业理论知识,刻苦攻关技术难点,深入调研行业市场规模,从解决方案、管理平台、管理体系和评估机制建设着手,探索一整套的数据安全防护能力体系,为工业数据提供强有力的安全保障。
1.数据安全行业市场规模
IDC Global DataSphere显示,2020年,全球创造了59.0ZB的数据,2025年将达到175ZB,接近2020年数据量的3倍。同时,IDC预测中国数据量增速最为迅猛,预计2025年将增至48.6ZB,占全球数据圈的27.8%,成为全球最大的数据圈(数据圈指被创建、采集或是复制的数据集合)。IDC发现,一半以上(50.4%)的数据需要一定程度的保护。同时,近四分之一的数据被认为是私人的或通常不向公众提供的数据,安全级别很高,但却缺乏保护。
近年来,数据安全泄露事件频发,据全球知名数据安全企业Gemalto(金雅拓)发布的最新安全违规水平指数调查报告显示,截至2017年底,全球共发生数据泄漏事件1756起,失窃、丢失及泄漏的数据总量高达26亿条,约为2016年数据泄漏数量的两倍。2018年上半年,全球共计发生945起数据泄漏事件,泄漏数据共计45亿条。
2014年中国数据安全行业市场规模仅为14.2亿元。根据IDC预测,2020年我国大数据市场约104.2亿美元,其中软件市场规模为26.5亿美元,AI平台收入约4亿美元,IDC预测2018至2024年AI产业年均复合增长39%,则AI平台收入2024年有望达15亿美元,则数据安全方案上限近百亿人民币。根据未来智库统计,数据安全市场空间测算,依据大数据市场中AI平台收入推算,2023年中国数据安全行业市场规模有望达到97.5亿元,长期潜在空间有望达千亿元。
中国数据安全市场处于成长期,伴随数据泄漏事件数量激增、性质不断恶化,以及企业数字化转型加速、物联网、业务上云、区块链等新技术的落地,中国政府对数据安全的重视程度不断增加,目前数据安全在政府、金融、电信等基础民生领域的应用较深入,业务占比近50%,伴随数据安全技术的持续突破,数据安全在医疗、制造等领域的应用有望逐渐深入。
随着数据量的增加,隐藏在数据背后可被挖掘的信息也逐渐丰富,无论是政府还是企业都已经意识到数据泄露可能带来的严重后果,并在积极探索在安全可控的情况下最大化发展数据价值。
2.以数据安全能力成熟度模型为抓手,设计数据安全管理解决方案
《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)( DSMM )是2021年3月1日实施的国家标准。该标准借鉴能力成熟度模型(CMM)的思想,以数据为中心,围绕数据的整个生命周期及数据通用安全,从组织建设、制度流程、技术工具、人员能力4个方面对数据进行定级评估,从而提高自身数据安全水平,DSMM标准涵盖4维度、5级别、6阶段。
图1 数据安全能力成熟度模型
该模型可以帮助组织构建数据安全管理框架、评估组织的数据安全能力水准、衡量数据安全能力提升的进展、持续完善数据管理组织程序和制度,充分发挥数据在促进企业向信息化、数字化、智能化发展方面的价值。为此,长扬科技在数据安全法的推动下,结合公司工控领域市场经验,以该模型为抓手,在此基础上,设计了工控领域数据安全管理解决方案,从数据安全组织管理、数据分类分级分域管理、数据安全标识管理、数据全生命周期安全管控、数据安全审计与追溯及风险检测评估等六大模块展开。
(一)数据安全组织管理。为数据安全体系建设提供组织保障、制度规范和人才培养等政策和、制度和人才需求,保证数据安全治理工作的稳定、持续、高效执行。
(二)数据分类分级分域管理。为让数据安全、健康、高效的使用和共享,对多种来源的数据进行数据资产梳理、数据分类分级分域,对安全风险进行动态度量和评估,针对不同级别的数据资产和安全风险采取差异化安全管控措施。在确保数据合理合规流动的前提下,通过数据资产梳理、数据分类分级分域标记、数据协同防护等安全措施为数据全生命周期安全保障提供支撑,促进数据安全高效地开发利用和共享。
(三)数据安全标识管理。数据安全标识技术是一种基于密码技术的高安全、高可信和高可用的数据属性标注与识别技术,为数据全生命周期管控提供支撑。数据安全标识是与数据对象安全性相关的属性,包括数据种类、数据级别、数据保护方式、数据摘要值、数据责任人等。数据安全标识,是数据对象安全防护措施、知悉范围控制的基本依据。
(四)数据全生命周期安全管控。围绕数据采集、传输、存储、处理、交换、销毁等全生命周期,从技术和产品两个维度,解决数据从产生、使用到消亡全过程安全管控。
(1)数据采集安全:采集数据通过预处理或数据清洗,为业务系统和用户提供透明访问接口、API接口认证、设备认证、用户身份认证等多种认证方式,对源系统访问数据资源进行可信认证、资源访问控制,确保用户和设备身份的合法性及未超出授权使用范围。
(2)数据传输安全:确保数据(流式数据、数据库、文件、服务接口等类型的数据)通过不同采集、传输方式时的完整性、机密性,主要采取数据传输加密、数据完整性保护等技术。
(3)数据存储安全:为存储在各类关系型数据库、分布式数据仓库、非关系型数据库和非结构化数据源中的重要业务数据提供加密存储和密文访问控制服务,避免外部攻击、内部违规导致的数据泄露风险。
(4)数据处理安全:为数据资源访问、数据加工/计算过程提供细粒度权限管控、异常数据访问行为监控与阻断。通过脱敏、访问代理等技术,降低外部攻击、内部数据违规使用过程中数据的泄漏风险。
(5)数据交换安全:为数据中心外部和内部的纵向流通和横向共享提供认证授权、按需脱敏、数据安全标识、流转跟踪等数据安全可控技术。确保数据共享发布时的数据来源真实,重要业务数据、涉敏等重要数据内容合规,交换实体可信、交换行为可查。
(6)数据销毁安全:在数据使用完成后采用全自动、半自动和手工擦除方式,对数据内容进行安全销毁,防止数据被恶意窃取和利用。
(五)数据安全审计与追溯。收集数据全生命周期安全管控和数据综合管理过程中各个环节的数据加密状态、数据脱敏状态、应用通道、数据使用行为等信息,利用人工智能技术进行智能关联和分析,实现数据安全风险分析与告警、数据融合与安全事件溯源取证、数据共享安全性评估仲裁和数据安全防护失效性分析能力,并根据以上能力进一步优化数据安全策略。
(六)风险检测评估。采用监督、审计、分析、评测等多种手段对数据安全治理体系的建设、管理和运行情况进行评价,推动体系持续优化,主要包括数据安全保护水平评价、数据安全合规性评价、数据安全风险检测、数据安全能力评价等。
3.以数据全生命周期监测为重心,建设数据资产安全管理平台
随着我国工业互联网平台建设和应用走向深入,原本分散存储的个人信息数据、金融数据、生产经营数据等逐渐向平台集中汇聚,形成数据的“蜜罐效应”,成为黑客的攻击目标。同时,我国工业APP、工业控制系统及设备等漏洞层出不穷,这些漏洞极易被黑客利用,严重威胁装备制造、能源、水务、化学化工等领域的工业控制系统及设备安全,进而可引发数据泄露等风险。为此,必须对数据实施全生命周期监测,及时发现风险、识别风险,从而降低风险,长扬科技数据资产安全管理平台,就是在这样的背景下建设开发的。
数据资产安全管理平台在不影响工业数据连起来、跑起来、用起来的情况下,强化数据的全生命周期的安全保障,实现:用户身份鉴别与授权、数据资产分类分级、敏感数据自动识别、数据全生命周期安全监控、安全策略联动生成与动态配置、数据资产安全态势展示、数据安全审计(数据安全风险预测、数据安全风险警告、数据安全溯源追踪)、数据备份恢复、数据安全防护能力评估等功能,更好地发挥数据的基础资源作用和创新引擎作用,为工业企业数据资源的开发、利用提供安全保障。
图2 数据资产安全管理平台结构
数据分类、数据分级、数据标签、数据加密和数据完整性是整个平台的基础;数据探针采集数据并执行平台服务器发送的控制命令;平台服务器对数据全生命周期实施安全监管;安全审计记录用户的各种操作,并进行查询、统计和分析,根据分析结果,在平台内实施策略联动并自动配置;人机交互是用户与平台沟通的桥梁,首先必须通过身份鉴别,才能进入UI界面,通过友好的图形化界面,实施全平台数据的安全监管;能够扫描整个平台的安全防护能力,并根据工信部《工业企业数据安全防护要求(试行)》进行评估,生成《数据安全防护能力评估报告》。
4.以数据安全管理试点为契机,构建工业领域数据安全管理体系
为贯彻落实《数据安全法》、《网络安全法》等法律法规,工信部下发《关于组织开展工业领域数据安全管理试点工作的通知》(〔2021〕295号)文件,指导省级工业和信息化主管部门组织开展数据安全管理试点,督促企业落实数据安全主体责任,加强数据分类分级管理、安全防护、安全评估、安全监测等工作,提升数据安全防护能力。加强试点成果转化应用,完善工业领域数据安全制度规范和工作机制,遴选一批示范企业、优秀产品和典型解决方案,形成可复制可推广的管理模式,促进提升行业数据安全保护水平。
长扬科技积极推进数据安全管理试点工作,为电力、石油石化、轨道交通、城市市政、智能制造、钢铁冶金等多个行业,开展数据安全整改方案建设及数据安全治理等相关工作,辐射全国,经过一线的深入调研和实践,积累了大量数据安全治理经验,构建了一套工业领域数据安全管理体系,从而有效保障工业领域数据安全,推动数字经济高质量安全发展。
图3 数据安全管理体系
数据安全管理体系,分为保护对象层、平台支撑层、安全能力层和应用展示层等四层。
保护对象层为数据资产安全管理平台保护的对象,包括数据本体和数据载体两类,其中,数据本体有非结构化数据、半结构化数据和结构化数据;数据载体有文件、数据库和大数据组件等。
平台支撑层为数据资产安全管理平台正常运行提供基础支撑,安全操作系统支撑平台安全运行;探针为平台提供数据源信息支撑;数据标签为整个平台提供安全管理支撑;安全规则与计算引擎,是平台安全服务运行的基础。
安全能力层是数据资产安全管理平台为企业提供的安全能力,包含提供的安全元能力、安全管理能力和安全监测能力。
应用展示层是数据资产安全管理平台为数据管理用户提供数据安全可视化展示,该层也是为数据管理用户了解企业数据安全防护能力,并为其提供数据安全管理辅助的重要窗口。
5.以数据安全防护能力评估准则为标杆,建立数据安全防护能力评估机制
数据安全防护能力评估,从综合评价的角度,运用科学的方法和手段,系统地分析和诊断工业数据所面临的威胁及其存在的脆弱性,评估工业数据安全防护水平,提出有针对性的抵御威胁的防护对策和整改措施,为最大限度地保障数据安全提供科学依据。
长扬科技按照《工业企业数据安全防护要求(试行)》,梳理工业企业数据安全防护主要内容,如下图所示。
图4 工业企业数据安全防护要求
其中,工业企业数据安全防护内容具体包括安全管理要求和全生命周期保护要求。安全管理要求包括安全管理制度、组织机构、人员保障、权限管理、系统与设备安全管理、供应链数据安全管理、安全评估、日志留存和审计,监测预警、信息共享与应急处置等;全生命周期安全保护要求包括一般、重要、核心三级数据在收集、存储、传输、使用加工、交换共享、销毁等全生命周期各环节中的安全防护要求。不同级别数据同时被处理且难以分别采取保护措施的,按照其中级别最高的要求实施保护。
长扬科技依据《工业企业数据安全防护要求(试行)》主要内容,以《工业数据安全评估指南(试行)》为评估准则,建立公司数据安全防护能力评估机制,开展工业数据安全通用防护评估和工业数据安全分级防护评估。
评估机制以现场评估为主,上级主管单位组织的现场评估工作一般会形成书面现场评估情况反馈表,描述存在的安全问题及整改建议。企业在收到反馈表后,根据自身实际情况,应按照反馈表内容开展整改工作,并根据整改情况申请复评。在这一阶段中,长扬科技数据安全专家团队会根据现场评估和复评工作情况,帮助企业建立体系化的整改实施方案,最终形成企业数据安全防护能力评估结论,并编制《工业数据安全防护能力评估报告》。
6.小结
随着《数据安全法》的颁布实施,我国数据安全法制化建设不断推进,监管体系不断完善,安全由“或有”变“刚需”。数据处理者既应当从过程方面积极履行数据安全保护义务,也要对数据安全防护的最终结果负责。实施一年来,行业市场反应灵敏,各安全厂商优化自身产品结构,向数据安全产品倾斜,并输出数据安全技术和服务;各数据处理企业及组织,纷纷响应国家政策,梳理自身数据资产,查找数据泄露风险点,整改自身存在的不足。面对互联网、大数据、人工智能和实体经济特别是制造业深度融合的新形势新要求,以“保安全、促发展”为总体思路,以“重点保护、分级管理、综合保障、安全共享”为推进路线,加强数据安全顶层设计,强化企业主体责任,加强技术能力建设,促进产业发展,形成良好的数据安全生态。
参考资料:
[1]《中华人民共和国数据安全法》
[2]《数据安全法》促进以数据为关键要素的数字经济发展
http://www.eepw.com.cn/article/202106/426290.htm
[3]《2022年数据安全行业发展报告》
[4] 数据安全市场进入快车道
https://baijiahao.baidu.com/s?id=1716637090441464937&wfr=spider&for=pc
[5]《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)
[6]《关于组织开展工业领域数据安全管理试点工作的通知》(〔2021〕295号)
[7]《工业企业数据安全防护要求(试行)》
[8]《工业数据安全评估指南(试行)》
