根据CNCERT近期发布的《2021年上半年我国互联网安全监测数据分析报告》显示:“国家信息安全漏洞共享平台(CNVD)收录通用型安全漏洞13,083 个,同比增长 18.2%,其中 0Day漏洞收录数量为 7,107 个(占 54.3%),同比大幅增长 55.1%”。网络安全漏洞、数据泄露、网络诈骗、勒索病毒等网络安全威胁日益凸显,有组织、有目的的网络攻击形势愈加明显,为网络安全防护工作带来更多挑战。
国际电联作为联合国主管全球信息通信技术的专门机构,在6月29日发布了《2020年度全球网络安全指数》调查报告,其中包含了全球6大区域在数据安全立法保护方面的统计信息。
随着信息化、数字化的深入,对安全的要求越来越高,业务发展与数据安全共同面对的风险和矛盾也在不断升级。在信息化的初期阶段,大量传统业务被信息化和数据化,其主要目的是将线下业务过程转化为电子化业务过程,以提高效率。其安全的主要矛盾在于如何解决单一业务系统的信息安全管控问题,等级保护制度在这个阶段正式发展起来。随着业务信息化发展到一定程度,建设目标从业务电子化转向为数据的有效利用,主要目的是充分利用信息化成果,深入挖掘数据的潜在价值、提升信息系统的能力。随之而来的是数据价值的不断提升,使得攻击者的目标不断聚焦、攻击手段不断提高,安全的主要矛盾除了保障业务系统安全外,还要考虑防范数据泄露、篡改及破坏等问题,数据安全技术及体系化建设理念在这个阶段开始发展起来。但由于数据要素的价值需要通过广泛的采集、处理、开放、共享、交换、交易和跨境加以实现,其数据价值在这个过程中不断流转,这使得数据安全风险的影响规模、影响程度被迅速放大。安全的矛盾从单纯的数据本身的保护,转化为国家安全、社会稳定及个人隐私保护等更广泛的层面,需要通盘考虑信息安全、网络安全、数据安全、业务安全、人身安全、国家安全,以体系化思维开展安全的规划和建设,综合采用网络安全技术、数据安全技术,建立管理和技术统一的安全治理体系,实践量化控制及持续改进。
面对安全风险及矛盾的变化,需要重新思考数据安全治理体系。在数据安全保障能力建设方面,决策层的重视、合理的分工、良好的协作、细化的权责、专业的队伍、持续的宣贯及严格的审核等是做好数据安全的“决心”;持之以恒不断改进和完善数据安全管理体系、策略、机制与流程是做好数据安全的“恒心”;充分的技术能力是做好数据安全的“信心”来源,也是数据安全建设的重点。数据安全应“以数据为中心、以组织为单位、以技术为抓手,协同应对数据安全挑战”。在数据安全体系的规划上,数据安全建设除了保障企业或组织的自身合法权益外,保障国家安全、公共利益、公民的合法权益也是企业或组织的法律义务与社会责任,数据安全的建设需要以“坚持国家总体安全观”为基础、以“保障业务使命”为目标。在数据安全体系的落实上,数据资产梳理、数据分类分级、数据安全风险分析、数据安全制度流程规划等具体工作是一个复杂且长期的过程,需要建立“常态化安全治理”机制。有效的协同机制是常态化开展数据安全治理的重要前提,包括与监管部门、主管部门进行合规协同;内部业务部门与科技部门间的组织协同;在制度设计、执行、审计等方面的管理协同;在国家、行业、组织及部门各层面建立相一致的策略协同等。在数据安全体系的改进上,数据的安全运营是保持数据安全保障能力的重要过程,同时也是促进数据安全持续迭代、不断改进、螺旋上升的过程,建立“持续性运营改进”机制是保持业务健康发展及数据安全有效保障的必由之路。在当前攻防对抗升级及安全监管加强的双重压力下,应在实战中协同各方力量共同应对安全风险;运营中协同不同监测环节和运维过程;数据安全事件处置中协同多个利益相关方及监督管理方,打通发现、处置、通报、预警等一系列过程,减少数据安全问题的扩散;改进过程中,汇集各方经验,共同改进本单位、本行业、本地区乃至全国的数据安全实践方法。人才队伍的建设是保障数据安全健康发展的根本,而实际情况是我国的数据安全人才极度匮乏,无论是行业组织,还是国家层面都应引起足够的重视。区别于网络安全,数据安全对人才的综合素质要求更高,除了熟悉网络安全理论体系外,还要对业务过程及数据资产有深入的理解;数据安全人才能力更偏向于全局、管理、技术管控等多方向能力的综合,且更重视实操技能。数据安全人才队伍的建设需要各级行业组织的持续投入,也需要社会各界共同努力“共建人才培养环境,覆盖产、学、研打造数据安全治理人才培养体系”。作为多个标准化组织成员单位,基于在数据安全领域的持续深耕,天融信参与了包括《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》、《GBT37964-2019信息安全技术 个人信息去标识化指南》、《JR/T0071.2-2020金融行业网络安全等级保护要求》等在内的国家及行业标准制定,为国家、行业数据安全建设提供基础能力建设,推动各行业数据安全发展。天融信作为最早一批布局数据安全领域的网络安全企业,2012年开始着力研发数据安全全系列产品,并率先提出“以数据为中心的安全建设体系”建设思路,从数据产生、存储、传输、处理、共享到销毁等全生命周期进行安全防护,并相继推出了数据防泄漏、数据脱敏、数据安全交换、数据安全智能管控、大数据安全防护、数据库安全网关、文档安全管理、备份容灾系统等一系列数据安全产品,为大量行业客户提供专业、稳定的数据安全防护。随着数据安全技术的不断发展,天融信依托在数据安全方面多年的经验构建了以行业特征为基础,通过数据安全治理、数据安全防护、数据安全监管、数据安全运营的赋能,融合零信任、AI智能分析、安全运营等诸多先进技术和理念,形成了基于数据全生命周期的安全治理体系。目前已在运营商、金融、政府、能源、卫生、海关等多个行业领域得到广泛应用。2019年初,经中国信息安全测评中心授权,天融信成为国内第一家注册数据安全治理专业人员(CISP-DSG)运营机构,同时还成立了CISP-DSG授权运营中心,负责注册数据安全治理专业人员知识体系研发与维护、培训体系建立,包括培训机构管理、招生教学、教务管理、课程质量管理体系建设等工作。凭借强大的专家技术团队和教育教学能力,目前已为各行业输送数百名合格的数据安全治理专业人员。十四五规划纲要将“加快数字发展,建设数字中国”作为独立篇章,彰显了推进网络强国建设的决心,标志着数字时代的到来。“数据”是数字经济的价值载体,在数字时代将成为最重要的生产要素。天融信将紧跟国家战略,持续为各行业数据安全的发展及实践提供可靠保障、为维护国家数据安全贡献力量。