进入数字时代,个人隐私数据保护成为全民关注热点,近年来的315晚会也持续关注相关侵犯个人隐私数据个案,如2021年曝光的企业利用监控摄像头违规捕获人脸信息、招聘网站个人简历成为廉价商品随意下载,以及2022年曝光的“骚扰电话”黑色产业,以及儿童智能手表低配系统权限失控易造成敏感信息泄露等问题。

当前,我国正处于数字中国建设的关键时期,企业广泛参与数字化转型,为国家数字经济添砖加瓦,但也务必牢记,安全是一切发展的必要根基,发展数字经济应与数据保护、隐私保护相结合,这将是多方参与的数字中国建设的共同责任和义务。2023年3.15之前,再次呼吁企业严把安全关,避免成为下一个“热搜对象”。

企业需严守数字经济发展底线

据国家网信办于去年八月发布的《数字中国发展报告2021》显示,我国数字经济规模持续快速增长,2021年,我国数字经济规模增至45.5万亿元,占国内生产总值比重提升至39.8%,成为推动经济增长的主要引擎之一。IDC此前预测,全球近90%的数据将在近几年内产生,到2025年,我国数据量将增长至48.6ZG,数据量将居全球第一。

前不久,国家发布《数字中国建设整体布局规划》明确指出了加快数字中国建设对国家未来发展的重要意义。该规划提出了“2522”整体框架布局,其中将“数字技术创新体系”和“数字安全屏障”作为战略实施的两大关键能力之一,作出了系统化要求。这也代表着顶层视野已将技术创新与安全保障视作同等重要位置,需要多方共同落地推进。

当前,随着国家对网络安全相关立法的持续完善,特别是《数据安全法》和《个人信息保护法》的颁布实施,对企业安全合规方面有也全面的系统要求,但仍有一些企业存在这样或那样的问题,表现为法律意识淡薄、安全不作为、个人隐私数据滥用等行为。

中国计算机学会年初发布2023年网络安全十大趋势将数据安全治理列为未来重要趋势之一,被认为是数字中国建设下的数字经济方向性基石。发展数字经济,必须把保障数据安全放到突出位置,着力解决数据安全领域的突出问题,有效提升数据安全治理能力。未来,任何企业实体都不应成为数字中国战略的绊脚石,需结合数字治理让数据流动起来并发挥价值,且同步严守数字经济发展底线,把好自身数据安全关。

产业需加速落地创新数据保护

近年来一系列法律法规的推出,推动了数据安全成为最热网安赛道之一,年初十六个部门为夯实数字中国建设和数字经济发展基础,联合发布《关于促进数据安全产业发展的指导意见》更是为数据安全产业发展定下未来发展基调,其产业创新能力也是作为第二大章节单独呈现,可见创新是一切产业发展的基础。

建设网络安全需要方向需要抓手,如今,数字中国战略就定义了未来数据安全将是网络安全的核心方向。数安行此前就认为,数据安全是网络安全数字化的表现形式,数字化场景下正在不断诞生新的技术和新的应用,传统安全思维和产品正在失效,技术与创新则是数字化不断加持与进步场景下的数据安全产业发展的唯一出路。

企业在需要提升合规安全意识之余,亟需利用创新技术对企业内部的所有数据流通环节进行有效的集中管控。企业当前的数据安全问题主要展现在安全合规上的数据安全困境,以及内部的数据违规滥用问题上,以“数据运营安全”角度进行全流程防护管控,将可以避免以上两种数据安全风险的频繁发生。

“数据运营安全”(DataSecOps)是数安行提出的创新数据安全治理概念,是一种数据安全左移的技术落地,其基本思想是在企业数据运营的第一现场持续地对数据处理和使用全流程进行追踪。通过该理念,企业可以更全面地识别数据,更有效地保护重要数据,从而助力企业数字化转型,致力于让用户的数据安全地创造价值。

年度小结

当数据成为生产要素,企业就需要对数据进行集中治理,以实现数据在流动中的价值释放与安全保护,大多数企业仍处于数字化转型初期阶段,缺乏这方面的实践经验,原有的安全产品又多以边界保护为主,不能为企业交付集数据治理与保护于一体的解决方案,此时,数据运营安全将为企业解决这一困扰难题。

实现数据运营安全,需要建立诊疗一体的数据安全平台。平台第一要务是创建企业数据资产的全景视图,对各种类型、各种来源的敏感数据进行深度识别,从数据本体特征、行业特性、合规性等角度,结合机器学习等技术对数据进行梳理。实现这一步需要平台内建海量数据分类模型,以符合全球各地区相关合规性要求,以及细分领域内的合规要求以及内生要求。

需要注意的是,数据通常以结构化、半结构化、非结构化等多形态方式,或在数据库中存储,或转为办公文档方式流转,或在内部业务流转过程中进一步进行格式转换、数据的解析等等,以及暗数据、个人信息影子等驻留蛰伏的数据,企业要实现数据集中治理,就需要进行不留死角的多源数据挖掘和追溯。

在全面摸清企业数据资产之后,数据安全平台接下来要做的就是追溯数据在组织中的流动使用情况。这方面我们认为主要包含以下三个层次:

一,基于业务的数据广泛流动:部分数据集中在特定业务系统中处理分析,也有另一部分会随着不同部门、不同业务需求在网络中向不同的系统流动。企业需通过对广域分布的数据流动进行追溯管理,感知数据的风险态势。

二、生命周期数据链的个人信息流动:数据流动从产生、收集、存储、使用、共享到销毁,在数据链的每个节点上,抓取数据的轨迹,以数据与业务的运营周期为牵引,追溯数据,保护全数据链的流动安全。

三、新技术下数据多流转路径追溯:为了挖掘数据价值,企业在进一步寻求打破内部业务壁垒的方式,同时随着大数据时代、5G时代的数据开放共享,网络环境趋于开放,数据流也愈来愈多,企业需要追溯各流转路径,突破传统的数据边界,保障数据的可控性。

最后,基于数据运营安全理念的数据安全平台将利用人工智能、零信任以及安全沙箱等技术,提供基于数据使用风险的自适应防护,来保障企业数据的全生命周期安全。平台根据数据面临的风险级别、使用环境、流转环节以及用户角色等差异提供最精准最适宜的防护手段,不影响数据正常流转效率及业务的正常运行。

我们需要谨记的是,数字中国战略需要全社会共同捍卫数字美好,促进数字经济与数据保护是时代留给我们的责任和义务。

(本文作者:北京数安行科技有限公司 郭灵)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。