李曉偉 吳迎 鄒彧 白云飛
(興唐通信科技有限公司�����,北京 100191)
摘要:隨著數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化的快速推進(jìn),數(shù)據(jù)已經(jīng)成為數(shù)字化轉(zhuǎn)型時(shí)代的核心競(jìng)爭(zhēng)力�����。隨著數(shù)據(jù)成為資產(chǎn)���,成為基礎(chǔ)設(shè)施���,數(shù)據(jù)的安全受到前所未有的重視和保護(hù)。數(shù)據(jù)安全治理融合了數(shù)據(jù)安全技術(shù)和數(shù)據(jù)安全管理�����,是以“數(shù)據(jù)使用安全”為目標(biāo)的技術(shù)體系�����。通過(guò)對(duì)數(shù)據(jù)安全治理的必要性以及其發(fā)展現(xiàn)狀進(jìn)行分析���,提出了一種以數(shù)據(jù)安全標(biāo)識(shí)為基礎(chǔ)的數(shù)據(jù)安全治理體系框架和技術(shù)架構(gòu)�。
關(guān)鍵詞:數(shù)據(jù)安全���;數(shù)據(jù)安全治理體系�����;數(shù)據(jù)安全標(biāo)識(shí)
中圖分類(lèi)號(hào):TN929.11 文獻(xiàn)標(biāo)識(shí)碼:A
引用格式:李曉偉, 吳迎, 鄒彧, 等. 數(shù)據(jù)安全治理體系與技術(shù)研究[J]. 信息通信技術(shù)與政策, 2021,47(8):51-55.
doi:10.12267/j.issn.2096-5931.2021.08.008
0 引言
《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》明確提出數(shù)據(jù)是推動(dòng)數(shù)字化發(fā)展的關(guān)鍵要素,必須加快數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化,推進(jìn)數(shù)字化發(fā)展�。為更好地發(fā)揮數(shù)據(jù)的基礎(chǔ)資源作用和創(chuàng)新引擎作用,要做好數(shù)據(jù)資源的開(kāi)發(fā)��、利用和保護(hù):一方面要使數(shù)據(jù)連起來(lái)����、跑起來(lái)、用起來(lái)���;另一方面要強(qiáng)化數(shù)據(jù)的安全保障[1]��。數(shù)據(jù)安全治理是“圍繞數(shù)據(jù)安全使用”的愿景,以“讓數(shù)據(jù)使用更安全”為目的的安全體系構(gòu)建方法論,覆蓋了敏感信息管理、安全防護(hù)��、合規(guī)三大目標(biāo)構(gòu)建而成的技術(shù)體系��。它不僅是一套多種數(shù)據(jù)安全工具協(xié)同組合的產(chǎn)品級(jí)解決方案,而且是從管理制度到工具支撐�,從決策層到技術(shù)層����,自上而下貫穿整個(gè)組織架構(gòu)的完整體系鏈條[2-4]。
1 數(shù)據(jù)安全治理的必要性
數(shù)據(jù)的安全和使用是相互矛盾需要調(diào)和的兩個(gè)方面����,既要確保數(shù)據(jù)的高效使用,又要保證數(shù)據(jù)的安全管理,成為一個(gè)值得關(guān)注的問(wèn)題����。
(1)數(shù)據(jù)規(guī)模暴漲,戰(zhàn)略?xún)r(jià)值提升。根據(jù)《大數(shù)據(jù)白皮書(shū)(2020年)》統(tǒng)計(jì)[5]�,2020年全球共產(chǎn)生數(shù)據(jù)量達(dá)到47 ZB����,預(yù)計(jì)到2035年這一數(shù)據(jù)量將達(dá)到2142 ZB��,全球數(shù)據(jù)量逐年迎來(lái)爆發(fā)式的規(guī)模增長(zhǎng)���,數(shù)據(jù)己成為一種能夠影響國(guó)家戰(zhàn)略決策的戰(zhàn)略資源,誰(shuí)掌握了更多�����、更有價(jià)值的數(shù)據(jù)�,誰(shuí)就掌握了未來(lái)的主動(dòng)權(quán)�。
(2)數(shù)據(jù)泄露頻繁,安全需要治理����。根據(jù)ForgeRock《消費(fèi)者身份信息違規(guī)報(bào)告》2020年公布的數(shù)據(jù)[6],網(wǎng)絡(luò)犯罪分子在2019年暴露了超過(guò)50 億條數(shù)據(jù)記錄���,給美國(guó)造成了超過(guò)1.2 萬(wàn)億美元的損失����。隨著數(shù)據(jù)泄露問(wèn)題的日趨嚴(yán)重���,對(duì)數(shù)據(jù)安全治理的需求越來(lái)越迫切。
(3)政策要求明確,推進(jìn)治理實(shí)施�。我國(guó)已發(fā)布《中華人民共和國(guó)數(shù)據(jù)安全法》,明確了數(shù)據(jù)安全的重要性���,對(duì)數(shù)據(jù)安全防護(hù)提出了基本要求�����。隨著網(wǎng)絡(luò)安全戰(zhàn)略地位的上升和國(guó)家大數(shù)據(jù)戰(zhàn)略的加快實(shí)施��,數(shù)據(jù)安全已經(jīng)成為我國(guó)重點(diǎn)關(guān)注的問(wèn)題�����。
2 數(shù)據(jù)安全治理發(fā)展現(xiàn)狀
2.1 國(guó)際發(fā)展
在國(guó)際上����,Gartner對(duì)數(shù)據(jù)安全治理進(jìn)行了一系列研究�,近年來(lái)推出了一系列研究報(bào)告和框架模型[2]:2015年,提出數(shù)據(jù)安全治理的概念和相應(yīng)的原則與框架���;2017年�����,提出適用于數(shù)據(jù)安全評(píng)估與控制的持續(xù)自適應(yīng)安全風(fēng)險(xiǎn)和信任評(píng)估模型(CARTA)���;2018年���,發(fā)布研究報(bào)告《如何使用數(shù)據(jù)安全治理框架》,正式提出數(shù)據(jù)安全治理(DSG)框架��;2020年4月��,提出安全和風(fēng)險(xiǎn)管理者應(yīng)借助DSG框架���,在兩種數(shù)據(jù)泄露防護(hù)(DLP)方案之間做選擇�。
2.2 國(guó)內(nèi)發(fā)展
2017年����,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟成立數(shù)據(jù)安全治理工作組,組織召開(kāi)首屆數(shù)據(jù)安全治理高峰論壇[7]��;2018 年��,在第二屆數(shù)據(jù)安全治理高峰論壇上成立全國(guó)首個(gè)數(shù)據(jù)安全領(lǐng)域的專(zhuān)項(xiàng)委員會(huì)——數(shù)據(jù)安全治理委員會(huì)����,并發(fā)布《數(shù)據(jù)安全治理白皮書(shū)》[8]�����;2019年,在第三屆數(shù)據(jù)安全治理高峰論壇上數(shù)據(jù)安全治理委員會(huì)發(fā)布《數(shù)據(jù)安全治理建設(shè)指南》及《數(shù)據(jù)安全治理白皮書(shū)2.0》[9]���。
3 數(shù)據(jù)安全治理體系框架設(shè)計(jì)
圍繞數(shù)據(jù)安全治理需求�����,本文借鑒國(guó)內(nèi)外數(shù)據(jù)安全治理研究成果�����,基于“標(biāo)識(shí)數(shù)據(jù)�����、梳理資產(chǎn)���、動(dòng)態(tài)防護(hù)、精確管控����、持續(xù)提升”理念��,從組織建設(shè)��、過(guò)程管理��、技術(shù)支撐�����、治理評(píng)價(jià)和制度體系五個(gè)維度構(gòu)建以數(shù)據(jù)為中心�、安全標(biāo)識(shí)為基礎(chǔ)�����,以組織管理為核心的數(shù)據(jù)安全治理體系框架(見(jiàn)圖1)��。
