产业洞察:数据安全踏入“发展暖春”,数据治理遇规模发展“瓶颈”
本文12999字 阅读约需 33分钟
随着数字经济发展,数据成为核心生产要素。数字经济的活力需要通过数据的广泛使用和交换来释放,前提是做到安全合规。数据资产成分非常复杂,与千行百业紧密关联,因此首先要进行梳理、识别,结合业务进行分类分级,制定相关的制度、规范、流程,开展管理、技术和运营体系设计,做好管控和防护,开展持续运营。由此可见数据治理是贯穿数据安全体系的主线,同时也是打开数据资产价值宝库的钥匙。
数据安全治理作为做好数据安全的前提和基础,近年来受到越来越多的关注和重视。相应的政策法规不断出台,技术创新成为热点。从实际成效和结果看,数据治理领域尚未呈现人气与市场交替上升局面,存在一定叫好不叫座问题,其产业化相对滞后,与数字化产业规模难以匹配。
本研究报告在产业层面对数据治理的发展现状与趋势进行分析,探讨其产业化过程中存在的障碍,结合数据安全治理赛道的现状,提出对数据安全治理技术及市场的展望,以及数据安全治理建设的总体思路,并对如何推动数据治理产业化、规模化发展提出建议。
1. 数字化时代网络安全产业转型,数据治理首当其冲
受政策牵引和事件驱动的双重影响,数据安全和数据安全治理已经成为网络安全领域的最热门方向之一。随着四十五规划建设的推进和落地,加快数字化发展,建设数字中国成为国家战略,中央网络安全和信息化委员会日前印发《“十四五”国家信息化规划》,提出要建立健全规范有序的数字化发展治理体系。这意味着更多关乎国计民生甚至国家安全的数字化系统将陆续上线投入使用,数据作为新型生产要素对社会发展,技术进步有重大推动作用,但同时由于大量数字化技术的应用和普及,数字化产生了海量数据,这些数据的使用和管理不当,就会引发安全事故。
数字经济时代,数据正在成为网络安全防护的核心。数据成为重要资产,具有经济属性,其非竞争性、低复制成本等特点,其防护方法需要转变,防护技术需要革新,产业模式也正在发生改变,由此带来网络安全产业的转型。
(1)数据资产具有特殊性,是数字化时代的核心生产要素
作为新的生产要素,数据显著的非竞争和低复制成本的特性赋予了它与其他生产要素截然不同的经济特性,并对其实现价值最大化产生了正负相反的影响。
一方面,数字技术的迅猛发展使得数据作为信息的载体极大地优化了传统经济下的生产效率,实现了对土地、劳动力、资产、技术等原主要生产要素的倍增效应,并逐渐成为当代社会中最核心的生产要素,为经济发展注入了变革性的生产力。具体来看,数据的非竞争性体现在单个个体对数据的使用不会影响其他个体的使用,例如,在数字经济中,社交平台不会因某一用户的使用,而减少或者封闭对其他用户的开放,换言之,所有用户可以在同一时间,不用地点,同时使用相同的社交App,而其他生产要素则具有很强的竞争和排他性,如土地,一人占有的土地资源越多势必会减少其他人可用的土地资源。事实上,封建王朝末期的土地兼并问题正是该要素竞争和排他性的显现。因此从这一点来看,数据作为新生产要素可以在最大程度上减少资源在物理、时间和空间的竞争性。
另一方面,随着it技术的广泛使用,数据复制的成本越来越低,进而使得数据的复制和传播具有趋近于零的边际成本,从而造就了一个空前巨大的规模效应,例如开发一个app的过程有着极高的时间和物质成本,但是用户下载和安装是简单和没有成本的,而传统经济受限于无法消除的边际成本,只能形成有限的规模经济,并且在生产扩大到一定程度时反而会导致规模不经济效应。此外,数据的价值随着数据量的增加而边际递增,产生网络效应,即商品或服务的价值与使用人数成正比,在平台经济中,流量是各大平台取胜的关键,流量越多,平台价值越大。同时,从根本上来说,数据是信息的有效载体,海量的数据带来了多维度的信息,进而催生了数据的范围经济,即只生产一种商品或提供一种服务的边际价值少于同时生产多种商品或提供多种服务,如微信除了基本的通信服务,还嵌入了包含支付在内等金融服务。
(2)数据安全带来网络防护体系的变革,数据治理是第一步
由数据非竞争、低成本属性形成的规模经济、网络效应和范围经济的特性,使得在网络安全防护方面传统的安全体系架构不再适用。传统网络安全围绕着信息基础设施的网络攻防展开,其中漏洞是核心,黑客利用漏洞进行渗透,安全人员封堵漏洞和利用漏洞的行为。即使设置了层次化的纵深防御,网络被打穿,又被恢复是常态,只要能够保证信息基础设施正常运转就是成功的。数据安全则不然,数据一旦被窃取,就基本不可能再追回,甚至可能被复制出许多份从而扩散出去;数据一旦被勒索软件加密,如果事先没有备份也几乎不可能破解,只好交赎金或者承受损失。与此同时,数据拥有者希望通过数据的流通交换获益,但不清楚哪些数据中包含了敏感信息,于是只能把海量数据束之高阁。因此必须建立新的安全架构,以应对数字化时代新的数据安全形势。而第一步就是数据治理,只有首先对数据进行梳理、识别,结合业务进行分类分级,才能进一步制定相关的制度、规范、流程,开展管理、技术和运营体系设计,并最终做好管控和防护,开展持续运营。
2. 数据治理需求旺盛但落地不足,成为数据安全规模化发展的瓶颈
从安全角度看,数据与网络相比边界相对模糊、交互对象复杂、确权审计复杂、业务场景相关性强,带来数据权属不明确、数据滥用、隐私和安全等问题。解决这些问题需要明确而清晰的框架不能只凭经验,同时前期投入较大难以快速规模化复制到其他行业和领域,因此起步较为困难。
(1)全球主要国家或经济体都在加快完善数据治理的体系框架建设
国家宏观治理层面,在ABCD(AI人工智能,区块链,云计算和大数据)等数字技术全方位加速与实体经济深度融合的过程,数据的国家安全属性、生产要素的经济催化特性以及在政府公共事务治理中参与的程度愈来愈来高(数字政府、智慧城市),使得数字经济在国民经济中引擎推理作用愈发不可替代,而数据治理是数字经济稳定发展的基础,因此充分发挥数据的生产要素价值和保障数据流动的安全是政府自上而下进行数据治理体系建设的重要驱动因素。
在立法层面,2016年欧盟发布了《通用数据保护条例》以取代了在上世纪90年《数据保护指令》,近一步强化了数据隐私和安全。在2022年,欧盟理事会批准通过了《数据治理法案》,重点突出了数据在共享流通过程的安全以及效率。在美国,地方层面的立法快于联邦政府,2018年加州颁布了《加州消费者隐私法案》(CCPA),并且《加州隐私权法案》也将于 2023 年1月1日正式生效的。同时,今年美国众议院和参议院也发布了《美国数据隐私和保护法案》(下称《法案》)讨论稿。中国方面则在2021年发布了《数据安全法》、《个人信息保护法》。为了强化落实数据战略的实施和政策执行,世界各国也建立了专门的数据机构,根据《数据治理法案》,欧盟将成立欧洲数据创新委员会促进数据治理质量和效果,美国白宫行政管理和预算办公室下设的数据委员会,协调联邦数据战略的实施,同时也商务部也成立了联邦数据服务的咨询委员会,以加强联邦数据的隐私保护,中国地方政府已经开始尝试数据治理机构,如省级的大数据局。
在实践层面,近年来全球主要国家或经济体都在加快完善数据治理的体系框架的建设,重点解决数据的隐私、安全、共享和流动问题,为加速释放数据潜能,实现数据在数字经济中价值最大化提供坚实的基础和顶层指引。
美国方面,从奥巴马政府颁布的《大数据研发倡议》、《数字政府:构建一个 21 世纪平台以更好地服务美国人民》、《联邦大数据研发战略计划》,到特朗普时代发布的《联邦数据战略 2020 行动计划》,再到如今拜登政府颁布的《联邦数据战略 2021 行动计划》,美国在数据治理问题上保持了战略规划的持续性。
欧盟方面,基于构建单一数据市场,促进数据要素在欧盟境内自由流动,充分发挥数据要素对社会经济赋能作用的构想。欧盟于2020年发布了《欧洲数据战略》,并且在同年发布《欧洲数据保护监管局战略计划(2020-2024)》继续强化数据安全和个人隐私保护。
中国虽然尚未形成完善的数据治理体系,但是可以明显感受到数据治理战略规划节奏在2020年以后明显加快。2020年我国发布了《关于构建更加完善的要素市场化配置体制机制的意见》将数据列为继土地、劳动力、资本、技术之后的“第五大生产要素”,开始探索建立数据管理制度,并将培育数据要素市场纳入《第十四个五年规划和2035年远景目标纲要》、《关于印发要素市场化配置综合改革试点总体方案的通知》等多个文件。
(2)合规驱动强劲,但难以形成产业效益
推动数据安全治理技术和市场发展的第一驱动力来自合规要求,即“三法一条例”,是指《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》。从宏观层面可以看到,国家对数据安全越来越重视,密集推出相关法案和条例,对数据安全合规给出了详细定义,为政府单位、企业、个人和监管单位指明了规划、建设和执法的依据,对数据安全、数据安全治理给出了纲领性指导。同时也要看到,由于多个法案颁发的时间、内容、执法及监管单位都不尽相同,在建设内容、侧重点、能力要求、责任主体、主管单位及执法单位均存在差别,总体而言是在之前推广的网络安全等级保护2.0关于数据安全的法理补充。
在具体落地层面,数据治理存在针对应用和场景时描述不一致或覆盖不完整的情况。且数据相对网络而言,边界相对模糊、交互对象复杂、确权审计复杂、业务场景相关性强等特点。这些都是信息化、数字化发展到新时期遇到的新问题,需要有新的数据安全企业提供专业的产品及能力,对数据安全产品及市场的蓬勃发展有极大促进作用,对我国从事数据安全产品及技术研发的企业是重大利好。
数据的负外部特性所造成的数据权属不明确、数据滥用、隐私和安全等问题则阻碍了数据价值的最大化,因此作为释放数据价值枷锁的数据治理在数字经济时代的重要性将逐步显现。数据的准公共品特性、规模效应、网络效应和范围经济颠覆了蒸汽和电力时代下传统的生产效率,是第三次信息技术革命成果的重要体现,重塑了人们对于原有社会生产关系和客观世界的理解。而作为新生产要素,除了参与社会产品和劳动的生产,其本身就具有极高的交易价值,随着数字经济对传统社会改造的加速,数据的交易价值愈发被人们关注,资产化进入探索阶段,并成为数字经济的重要组成部分。
事实上,国家和企业的数据治理需求一直存在,但是因为早期的投入成本和产出效益不明显,进而导致需求被压制,治理节奏零碎缓慢,但是在数据量急剧增长以及新数字技术加持的背景下,国家宏观治理和企业内部微观侧的需求将不止于重新激活。
(3)数据安全治理体系落地预计周期较长,目前整体处于早期
在企业内部,现阶段企业的数据治理以提高数据质量和安全为主要目标,重点解决数据孤岛问题,并使得数据治理可以有效解决业务实际场景问题,但是传统的数据治理策略与业务场景实际结合的效果不佳,再加上以数据质量为导向的数据治理是成本端显收益,即通过优化数据管理成本来进行减负实现间接收益,导致企业在数据治理的收益成效被显著弱化,因此除了受到较强的行业监管驱动的数据治理要求的金融行业,其他行业的大多数企业对于数据治理的投入热情不高,造成数据治理市场远远小于同期大数据市场规模。不过这并不意味着,企业数据治理的需求不高,恰恰相反,随着数字化转型浪潮的刺激下,企业不再以单一的数据质量管理为目标,而是更加关注发掘数据的资产价值,除了解决企业内部的数据孤岛问题,数据资产化是数据交易流通重要环节,因此以资产价值发掘为导向数据生命周期的数据治理将从成本优化,和直接收益两个方向直接释放数据治理的需求。
从目前数据安全治理体系的落地情况看,可以把数据安全治理分为数据“安全”和“治理”两部分,因此治理是一个长期持续的过程,只要系统还在运行,数据安全治理的工作就需要持续进行,也就是从治理的角度使用相关的产品和技术保障数据在产生、收集、交换、传输和使用的安全性,因此组织、业务、管理等主观因素在治理过程中将起主导性作用,从而影响和推动为数据安全治理的产品和技术演进和发展,从广义上看,凡是数据安全治理的前提是数据的基本安全,所以与数据安全有关的产品和技术如DLP、数据库安全、隐私计算、权限管理等都可以纳入数据安全治理体系中,狭义而言,数据安全治理的产品和技术通常只包含数据安全治理咨询服务、数据资产盘点、数据分级分类和数据安全态势感知平台几大组件。
海外厂商投入的重点集中在数据分类、数据存取治理、多云数据库活动监控、格式保护加密(FPE)、安全多方计算(SMPC)、多云密钥管理即服务(KMaaS)、企业密钥管理、云数据保护网关、数据安全平台等细分赛道;数据安全治理、数据风险评估、隐私设计、财务数据风险评估、数据操作(DataOps)等领域与业务高度耦合,通常需要最终用户或IT服务提供商自身深度参与,产品化和技术落地可复制性不高,多数数据安全厂商并未进入该领域。
目前国内市场上的数据安全服务主要涵盖数据安全合规评估、数据安全规划咨询、数据安全治理(分类分级)三大类,数据安全托管、数据安全运维、数据安全测评、数据安全防护能力评定等服务开展较少,国内大部分数安厂商数据安全服务在总销售额中的占比,大概为20%左右,占比水平较低。
数据安全治理体现的是一种综合能力,由于近三年国家对数据安全的重视,大量具备点状能力的厂商、集成商、服务商都对外宣称具备数据安全治理能力,而实际上不论是全球视野还是国内,具备完整实施数据安全治理能力且具有实际标杆案例的组织和厂商还较少,能够形成产业化路径的更是寥寥无几。数据安全治理体系在全球视野下的落地情况都处于早期阶段。
3. 数据治理技术创新趋势分析,技术革新带来产业变革
(1)数据治理技术创新热度高,多处于初级阶段
从Gartner 2022年发布的数据和分析治理技术成熟度曲线来看,数据和分析治理是持续创新的赛道,在创新萌芽阶段、炒作高峰阶段、滑入低谷阶段、稳步发展阶段和市场成熟阶段均有较多的技术方向,保持了持续的高热度。其各阶段的技术方向主要包括:
· 创新萌芽阶段:互联治理、数据分析治理平台、数据可观测性、数据安全治理、自适应数据分析治理、增强主数据管理、数字孪生治理;
· 炒作高峰阶段:AI治理、负责任的AI、分析治理、数据素养、基于信任模型的治理、增强数据质量、云主数据管理、数据总线策略、
· 滑入低谷阶段:企业间主数据管理、数据分析治理、数字伦理、信息管理应用、应用数据管理、增强数据资产目录和元数据管理解决方案、数据分析管理、主数据管理
· 稳步发展阶段:多域主数据管理解决方案、客户数据的主数据管理
· 市场成熟阶段:产品数据的主数据管理
Gartner认为数据分析和治理根本上是要解决业务需求的问题,但是体制僵化、复杂性加剧和业务成本上升却增加了数据治理决策的难度。此外,数据的安全和隐私问题也激发了新的治理需求,涵盖了从因理解数据一致性而愈发受重视的伦理、定义基础和模型,到被持续关注的数据质量。事实上,目前绝大部分部分企业在数字技术和实际业务上融合的效果并不理想,只有18%数据治理经验丰富的企业达到了治理目标,而数字化转型背景下,企业对数据治理的业务预期越来越高,根据Gartner的客户调查,过去一年因无法实现数据治理目标而向Gartner问询的企业增加了40%以上,并且关于数据和分析治理工具、解决方案和平台的问询数量平均增长了31%。
在提高业务价值方面,Gartner表示多域元数据管理是当前元数据管理领域中最常见和有效的部署方案。增强数据编目和元数据管理解决方案正在为企业组织内部数据治理和分析的协作活动提供支持,而不再仅仅被视为一种IT工具结合Gartner优先级矩阵,建议关注AI治理、数据安全治理、云主数据管理:
· AI治理(高收益,2-5年成熟):创建政策、分配决策权并确保组织对人工智能技术在风险和投资决策中应用和使用负责的过程。(代表厂商:Arthur、Chatterbox Labs、DarwinAI、DreamQuark、FICO、Google、IBM、Prodago、SAS、Weights & Biases)。
· 数据安全治理(变革性,2-5年成熟):支持对业务风险进行评估和确定优先级,并允许组织建立支持业务成果的数据安全策略。
· 云主数据管理(高收益,小于2年):可确保企业官方共享主数据资产的统一性、准确性、管理、治理、语义一致性和责任。(代表厂商:Ataccama、IBM、Informatica、Profisee、Reltio、Semarchy)
RSAC创新沙盒的比赛也体现出数据治理产业创新趋势。每年一度的RSAC大会是网络安全业界的创新标杆,创新沙盒是RSAC最受瞩目的活动。数据治理在2020年以后逐渐在舞台显现,并和数据安全高度关联。数据治理成为数据安全的热点,同时也是瓶颈,做好数据安全首先要做好数据治理。近几年来数据治理赛道在一直在持续演进,细分领域、技术方向不断演化,由传统关注提升数据质量的数据治理方案,到关注安全和隐私问题的数据治理,随着数字化转型的深入,数据治理领域正在得到越来越多的关注。
(2)数据安全治理技术体系随着数字化业务发展不断演进
随着数字化产品和技术的演进,数据安全治理的产品和技术形态也在同步演化。早期的数据安全及数据安全治理基本是围绕数据库的防护开展的,以数据库审计、数据库防火墙、DLP、数据库漏洞扫描等产品为主,这一时期数据以静态为主,满足部门及系统自用。随着数据大集中,系统上云以及云大物移等新应用新场景的诞生,数据开始越来越多的流动起来,对数据安全及数据安全治理开始走向体系化,不再是早期的单品和割裂的数据安全防护,数据分级分类、数据库安全、IAM、PAM、数据安全管理平台等一众数据安全产品组合开始出现,且相互配合,形成了体系化数据安全治理的雏形,在这个阶段数据安全治理类产品及技术发展的推动力是业务保障,确保数据在业务全生命周期的安全性,比较典型是金融、电力等对信息化和安全性要求高的行业。
数据治理发展到现在已经发展到了新的阶段,推动力已经从纯粹的业务安全保障延展到了法律法规推动,如果说之前的数据治理是以企业自身业务为主,量力而行的可选项,随着国家法律法规的推出,现在的数据治理已经从业务自驱动演变成合规强制驱动了,尤其是滴滴、字节海外上市引发的数据安全事件,已经让数据治理摆到不得不重新审视的重要地位。
企业在开展数据安全治理体系建设时,应根据自身信息化系统的建设的实际情况开展相应的规划、建设和运营工作。大体来说,可以分为已有系统的建设和新建系统的建设来看,两类系统的数据安全体系的建设重点应区别对待。
4. 国内外数据治理产业现状与发展趋势
数据治理是一个体系化的工作过程。Gartner对数据安全治理的解释是:数据安全治理不仅是一套用工具组合而成的产品级解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下、贯穿整个组织架构的完整链条。组织内的各个层级需要对数据安全治理的目标和宗旨达成共识,确保采取合理和适当的措施,以最有效的方式保护信息资源。可以认为一个完整的数据安全治理体系应该由法律法规、产品技术、管理制度、人员组织高效融合的综合体。
(1)数据治理产业初现,规模显著较小
全球数据治理市场规模显著小于同期大数据市场规模。据海外the business research company统计,2021年全球数据治理市场规模约为26.2亿美元,预计2022年将增长至鱼32.8亿美元,年复合增长率为24.9%,而IDC数据显示,2021年全球大数据市场的IT总投资规模为2176.1亿美元,是同期数据治理市场规模的83倍。
中国数据治理市场远小于同期大数据市场,IDC发布《中国数据治理市场份额,2021:广泛落地,持续增长》报告显示,2021年数据治理平台市场规模达23.9亿元人民币,数据治理解决方案市场规模达26.6亿元,合计约为50.5亿,仅为同期中国大数据市场规模的5.85%。分行业来看,金融业、互联网行业和部分电力企业的数据治理建设较为领先。在市场份额方面,金融、政府方面的数据治理市场占比最高,其次是能源(电力相关)和零售业,而其他如制造业、医疗行业、建筑工程业的数据治理成熟度当前不高,但是在数字化转型的推动下,潜力巨大。
当前,数据治理市场主要由专业数据治理公司、综合软件厂商、咨询公司构成。基于国际理论(如DAMA-DMBOK,也包括近两三年推广的国标DCMM)以及自身实践经验,咨询公司在咨询上有较强优势,但是在产品建设上较弱,而专业数据治理公司、综合软件厂商在产品侧较强,并且相对于国内厂商,海外厂商在数据治理上有明显的云转型的趋势。
在国际市场,IBM通过云和AI技术为企业提供整体的数据治理结局方案,同时也重视隐私和安全,主要包括IBM Cloud Pak for Data和IBM Watson Knowledge Catalog。Informatica (数据管理软件提供商)的数据治理方案也在朝着云和运用ai和机器学习智能化及自动化方向迁移,同样对隐私和安全问题也非常重视,主要通过Intelligent Data Management Cloud提供数据治理服务。
在国内市场,主要数据治理厂商通过智能化数据中台提供数据治理解决方案,包括主数据管理平台、元数据管理平台、数据资产管理软件、数据目录资源软件、数据共享服务平台等;并以咨询服务加产品的商业模式向企业提供数据治理整体解决方案。
(2)各方积极参与,数据治理市场呈现多元化趋势
数据安全治理代表了数据安全的综合能力,在数据安全类产品逐渐成熟后,数据安全治理在工具和产品的技术支撑有基本保障后,更多创新企业将研发和创新方面转向了数据安全治理能力培养方向。投入数据安全治理体系的研发和市场拓展的企业大致可分为如下几类:
· 数据安全类厂商。如DLP、隐私计算、数据库安全、权限管理、密码应用等,依托自身核心能力向外跨界,扩张能力,但整体而言国内数据安全领域没有出现龙头企业,数据安全能力相对分散,产品相对单一,单一企业能力盲点较多,产品和技术很难在短期内形成体系化能力。另外由于传统厂商普遍离用户较远,数据安全类厂商,甚至是综合性网安大厂对业务和场景认知尚存在天然屏障,无法简单逾越,对其他中小数据安全厂商而言,虽然在数据安全细分领域有局部深度优势,但要转型成为数据安全治理厂商普遍还需更长期的投入和沉淀;
· 数据安全服务商。如数据安全治理咨询服务、数据分级分类服务、行业场景咨询服务、软件开发商等。其中行业场景咨询服务商如四大综合能力强,服务的企业规模大,在合规建设、部分行业业务场景有明显优势,但在产品及技术落地方面,普遍能力不足,需要厂商集成商协同;
· 甲方用户(深度行业集成商)。甲方用户的IT、CT和OT部门或者封闭行业如电力、能源的业务支撑系统服务商和业务专家,对业务流程、自身需求、落地可行性都有充分理解和认识,是数据安全治理体系中不可或缺的的角色;
· 监管单位。根据合规及法规的要求不同,有不同的监管单位和执法部门,三法一例中规定的监管及执法单位有,网信、电信、公安、工信、当地政府、行业协会/统筹组织、上级单位等,是数据安全治理体系中的监管执法环节;
· 中小企业及个体。中小企业和个体在数据安全治理环节中也是重要环节,尤其是在数据安全治理体系中生成的管理治理制度和流程,单位中的个体是否在主观和客观上予以充分配合,在数据安全治理体系中同样扮演着重要角色。
5. 数据治理产业发展建议
数据治理是开启数据安全体系化建设的第一步,需要从产业层面做大做强,支撑数据安全整体框架,为数据流通提供安全保障,推动促进数字化产业进一步发展。
(1) 数据治理产业上规模需要做到“三化”
规模化发展是数据治理产业的瓶颈,行业数字化业务的复杂性和过多的定制化需求使其技术产品难以快速复制推广。因此需要通过 “三化”,即建设体系化、产品标准化、工具自动化,来推动。
1) 建设体系化。数据治理是数据安全整体框架中的一环,需要先理后治、体系规划、有序建设。因此应把数据治理融入到数据安全体系中,通过体系化建设实现规模效益。因此,从事数据治理的企业应当在数据安全体系中体现自身的数据治理能力,并将其与后续的建设和运营结合起来。对于大型网络安全企业和综合型企业来说,其数据治理能力应覆盖数据安全的全周期、全流程,对于创新型企业来说,其数据治理能力应融入到面向行业业务的整体数据安全框架,通过协同合作的形式提升规模效益。
2) 产品标准化。数据治理需要紧密结合甲方业务应用,因此产品标准化难度较大。但过多的定制化将导致过高的研发和交付成本,产业规模上不去,进入死循环。因此应在可操作的范围之类进来实现标准化,摆脱做项目式的业务模式,进入到做产品的业务模式。首先可在一些大的行业内进行复制,并通过政府和标准化组织的力量推动相关标准的制定和执行,从而将特定行业标准化的业务模式进一步推广到全行业,逐步提高产品的标准化水平。
3) 工具自动化。在数据治理的初期,由于行业数据体系的复杂性和需求的特殊性,大量使用人工服务不可避免。但可以通过开发一系列自动化工具,从而提升人工服务的效能。通过工具与人相结合的方式,逐步完善工具的效能,通过自动化的技术逐步替代需要大量人工的重复性的工作。从而提高工具使用的比例,减少过高的人力资源消耗。
通过建设体系化、产品标准化、工具自动化,推动数据治理尽快走上规模化发展之路,从而做大做强。
(2)加强存量系统数据安全治理体系建设是当务之急
现实情况看,绝大多数企业已经有大量信息化、数字化业务系统在网运行,部分系统还存在架构老旧,改造难度大等实际问题,针对已有系统的数据安全治理体系建设,在能力和资源受限的情况下,应该采取守护底线、迁就业务、科学统筹、迭代更新的总体原则,即在满足合规底线的前提下,尽可能少的影响现有业务系统,保障业务连续性,对现有系统业务情况及安全风险科学评估,合理规划,采取逐步迭代,逐步完善的方式进行。
针对已有系统的数据安全治理体系建设可以分几步进行,工作重点放在数据资产静态防护,可以简单理解成在之前已有等保体系之上,针对数据安全的加强版,提高攻击门槛,围绕数据载体开展安全防护,建立数据治理体系。
· 业务梳理,针对已有系统运行的情况,业务梳理需要从几个抓手同时进行,梳理完成的交付件一般为资产台账、数据台账、业务关系总图、访问策略台账。企业资产进行盘点,建立台账信息,将系统、人、设备关联,清理无主及状态异常的账号、设备、系统,是进行数据台账梳理的前提,资产是数据的载体,资产盘点可以为数据台账梳理划定范围和优先级,厘清各业务系统间的依赖关系和访问逻辑,从全局维度掌握企业信息化和数字化的能力现状。业务梳理是企业开展数据安全治理的最早期准备工作,很多企业尤其是部分有大量分支机构和复杂系统的央国企,在第一步资产台账的梳理时就深陷其中,大量设备无人认领,无人管理或所有人与使用人不匹配,部分系统虽然在线,到底有没有运行,谁在维护,里面的数据有没有用,有多大价值,在很多企业中都是老大难的问题,通常需要成立专项,由企业高层牵头带队梳理,工具、制度、人力同时作用,才能看见成效。
· 数据分级分类,数据安全治理的前提条件开展系统性的数据分类分级工作,对部分行业如银行、运营商、医疗等信息化和数字化开展较早,且业务依赖性和安全性要求较高的行业,均有相关的标准发布,对数据制定了统一的模板和格式,企业按照标准要求定义和使用数据,业务系统按照标准要求生成和采集数据即可,数据分级分类的大部分具体工作可由自动化或半自动化的工具协助完成,这些行业的数据分类分级只需要遵循行业标准的纲领性指导,按标准要求定义和生成数据,根据行业场景定义数据资产的存储位置和共享方式,分类展示和划分敏感等级,按需生成数据资产报告,按照标准定义要求导入导出数据资产,从而实现闭环的动态数据管理。而对于那些尚无明确标准的企业来说,数据分级分类的工作的开展就要困难的多,对多数企业来说数据分级分类是数据安全治理建设中一次性投入工作量最大的部分,除去大量的只能人工统计的资产盘点、数据盘点、业务逻辑盘点外,对已有系统而言,数据分类分级将不可避免的需要对原业务系统进行升级改造,而一旦升级改造过程出现业务中断或其他事故的风险也是最大的,此外,一旦有行业有相关标准落地与之前的设计与理解有偏差时,企业又不得不进行二次改造,耗费巨大的人力、物力和财力。对尚无标准出台的企业,我们仍建议企业进行相关的数据分类分级工作,把握最小风险、最小改动的保守原则,原则上只满足企业对数据安全治理的最小合规要求,聘请有经验的数据安全治理咨询服务类团队辅导,企业根据自身情况,针对关键系统和敏感数据做分级分类,满足国家法律法规的底线要求。数据分级分类的重点工作放在合规遵从方面,较少考虑业务效能提升方面。
· 部署数据安全类防护工具,由于已有系统运行的企业占据绝大多数,而已发布数据安全治理标准的行业覆盖不全的现状,我们将接受和容忍未来一段时间内,企业数据安全治理体系不够完备,一边建设一边完善的局面。这并不意味着不需要做数据安全治理体系化的顶层设计,相反,越是数据安全治理体系薄弱的企业和组织越需要做好顶层设计,一方面新业务新场景需要更清晰的数据逻辑和数据管理来提高业务效能,另一方面,与数据安全相关的法律法规的推出和落地,政企单位必须满足合规要求,突击型数据安全建设、单纯的产品堆砌、盲目的照搬照抄,不仅无法应对随时可能发生的数据安全事件,也无法有效保护业务数据。或者业务驱动,或者法律法规驱动,比较合理的解决方案是新系统在建设规划阶段就遵从和考虑数据安全治理的顶层设计,老系统一方面在后续的升级改造中尽可能向顶层设计靠齐,另一方面政企机构通过“盘清资产、精准防护、全局管控”构建三道防线,也可以在一定程度来破解数据安全防护难题,守好数据安全红线。在进行数据资产盘点和数据分类分级的过程中,使用一些隐私计算、数据库安全类产品及工具,可在元数据侧形成第一道数据安全防线;同时使用类似特权账号管理和API管理网关类产品及工具,实现对数据资产处置行为的审查、告警和拦截,发现API异常行为,提防外部攻击,构筑第二道数据安全防线;以“零信任”策略为核心,实现“权限最小化”,降低被攻击的风险,通过数据安全态势感知,对各类安全日志进行研判,快速响应处置,构筑数据安全治理的第三道防线。数据安全治理的本质是以业务数据流动治理的视角指导和牵引企业的数据安全防护手段及策略,产品和工具的使用可以极大提升数据安全治理的效率。
· 动态运营,数据安全治理体系是一个长期的系统化工程,其终极目的是从治理的角度来优化业务,提升效能,从治理的角度来满足法律法规的合规要求,实现长治久安。而信息化和数字化自身就是一个快速迭代技术快速更新的行业,在技术迭代和应用更新的过程中,将不断出现新的数据形式和数据需求,需要在宏观层面关注和更新,动态运营。在企业生产过程中,业务也是动态变化的,支撑业务的数字化体系也在发生变化,数字化体系中设备、人、业务流和数据流都会随着业务逻辑和生产逻辑发生变化,那么数据的采集、交换、传输、共享的所有相关策略都应该发生相应变化,动态更新。同时,对已运行系统,数据安全治理体系的建设大概率是分批分级分层进行的,应秉承数据治理建设一批,纳管一批,运营体系及策略更新一次的原则。
关 于 作 者
奇安信集团产业发展研究中心是奇安信集团的产业研究团队。专注网络安全领域,跟踪国内外产业发展现状与趋势,深入调研网络安全各细分领域,包括产品技术、市场、投融资和产业生态,为网络安全从业人员提供新视角,为企业决策提供依据,推动网络安全产业发展。
陈华平:奇安信集团副总裁,产业发展研究中心负责人。
乔思远:产业发展研究中心研究员,主要负责宏观分析和产品技术研究。
万鹏:产业发展研究中心研究员,主要负责产业生态研究。
尹文鹏:产业发展研究中心研究员,主要负责投融资和市场研究。
END