全文发布:数据治理安全(DGS)白皮书
数世咨询 • 数据安全研究报告
关键发现
数字时代的数据安全关注的是数据生产和处理过程中的安全状态,已经不适应于传统数据安全生命周期的思考方式,即数据没有生命周期。因为数据的价值是由流动性体现的,只要是流动的数据,就必然会通过计算或者存储的形式将自身转移到其他数据或系统中,并不存主动销毁这一行为。并且从《数据安全法》中可以看到,有关数据处理的内容中也不包括销毁。
现阶段我国数据安全市场的驱动力主要来自安全合规。
数据做为人类活动的第五大生产要素,站在国家、行业的层面用顶层治理的高度来考虑是完全必要的。但站在企业或机构的自身层面,用治理的高度来实现数据安全管理,无异于“大炮打蚊子”,时间、人力、物力上的成本令企业或机构举步维艰。这几年来的实践也证明,传统数据安全治理(DSG)的概念和思路均存在无法落地的问题。
由于数据安全治理的框架是用治理的高度来做安全,因此前期的咨询、分类分级、资产化会变得极其沉重。数世咨询提出的解决思路是,以安全驱动(为目的)的数据治理,聚焦于安全和轻量级资产化,在减轻前期咨询、分类分级、资产化沉重压力的同时,又为未来大一统的数据治理工作做好准备。
(CPI)2 框架的应用基于AI的数据自动分类分级能力、具有行业属性的知识图谱和全域数据/多模态数据的治理能力,支持云原生、私有化部署和SaaS服务,与数据治理安全(DGS)的理念完全契合,满足企业数字化转型的各种需求。
参考建议
数据安全生命周期是从数据的流动环节上做安全控制,但由于绝大多数电子数据实际上没有生命周期,并且数据的价值是通过流动性的强弱来体现的。所以数据安全应该从流动性的视角(即应用需求)切入,而不是以流动环节(即信息技术)的视角为核心,流动环节应该作为流动性的辅助。
行业用户在数字化转型的过程中,安全合规是绕不开的一环。为了尽量避免企业因数据安全问题遭到损失,可以优先通过AI的方式进行数据分类分级的工作,然后为各种类数据匹配不同的安全能力。
以数据轻量资产化、AI分类分级、持续分类分级、安全条款符合化和安全能力对接与调度为核心的数据治理安全(DGS)思路,才是适应我国行业用户的数据安全需求的。
数据分类分级的工作不是一锤子买卖,应该是持续化不断迭代进行的。行业用户应该不断根据国家与行业的要求以及商业系统的变更来动态调整分类分级的结果,并对其施以相应的安全能力。
(CPI)2 框架已经在部分行业用户的生产环境进行了落地应用,可以作为现阶段数据治理安全(DGS)的最佳实践来参考。
有关定义
随着我国《数据安全法》的施行,数据安全已经与网络安全并行,作为一个单独的研究领域,加之数字经济的蓬勃发展,数据安全的问题越来越被广大的行业客户所关注。
数世咨询《数字安全能力图谱》将数据治理安全归纳于数据安全-数据访问安全分类下,替换了上一版《数字安全能力图谱》中,数据安全-数据安全体系-DSG分类。
图 1 数字安全能力图谱
数据治理安全(DGS)是一种思想,聚焦于数据的分类分级、合规条款匹配和数据安全能力的对接与调度。整体以轻量化的治理方式引路,优先解决安全合规的迫切需求,再辅以其他数据安全能力,用人工智能的方式实现安全能力的正向循环迭代。用最轻量化的数据治理思路建设数据安全能力,用最小的代价解决当前最迫切的需求,为后续数据安全与数据治理的全面建设提供技术与管理基础。
数据安全概况
数据安全的发展阶段
数世咨询认为,数据的价值是由流动性创造的,并数据的价值是通过流动性的强弱来体现的。
传统的数据安全防护思想是围绕数据安全生命周期进行的,而数据安全生命周期是从数据的流动环节上做安全控制,但绝大多数电子数据实际上没有生命周期。数字时代的数据安全关注的是数据生产和处理过程中的安全状态,已经不适应于传统数据安全生命周期的思考方式。一方面是因为“数据安全法”所规定的条款里,数据处理并不包含销毁这一过程;另一方面是因为数据的价值是由流动性体现的,只要是流动的数据,就必然会通过计算或者存储的形式将自身转移到其他数据或系统中,也不存在销毁这一结果。
所以数据安全应该从流动性的视角(即应用需求)切入,而不是以流动环节(即信息技术)的视角为核心,流动环节应该作为流动性的辅助。
在流动性的视角下,数据作为一种保护主体,在不同时期具备不同的流动性。根据不同的流动性,数据安全伴随着社会和经济的发展,针对数据的安全实现和方法也各不相同。数据安全发展至今可以总结为三个阶段:
数据贮存安全,保护数据的价值:这一阶段的数据缺乏流动性。安全防护主要以文档安全、磁盘加密、防勒索、数据恢复和容灾备份为保护手段,重点防止数据被破坏;
数据访问安全,释放显性的价值:这一阶段的数据拥有有限的流动性。安全防护核心以安全合规、数据防泄露、数据库安全、数据脱敏、数据访问安全域为保护手段,重点防止数据被非法利用;
数据开放安全,挖掘隐藏的价值:这一阶段的数据拥有完全的流动性。安全防护核心以人工智能、隐私计算为保护手段,重点防止数据被误用和滥用。
虽然现在我们已经开始谈论数据开放安全,但这并不意味着我们已经步入了数据开放安全时代。一个时代的来临,是要以国家顶层设计和社会与经济发展的现状来决定的。对于数据的完全开放,我们还没有做好十足的准备。人工智能和隐私计算的算力与模型问题至今仍然具有很大的挑战,法律与社会道德层面的约束还不足以支撑。
所以,我们现在处于一个数据访问安全与数据开放安全交叉的时代。在这种状态下,如何认清市场趋势、抓住转瞬即逝的机会,对于数据安全企业和行业用户来说,都是必须考虑的问题。
数据安全的法律要求
根据数据不同的流动性,我国在数据安全法治建设进程上也体现出了不同阶段的不同方向。从建国至今,有关网络安全、数据安全的法律要求,或多或少的在各领域法律文件中都有所涉及了数据安全的内容。
2017年6月1日以网络安全为主体的《网络安全法》正式实施,从此宣告我国网络空间安全进入明确法制时代。《网络安全法》指出:建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性;国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。
2021年9月1日,为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,《数据安全法》横空出世,标志着数据安全与网络安全并行,作为一个单独的法律主体。《数据安全法》将数据定义为任何以电子或者其他方式对信息的记录;将数据处理定义为收集、存储、使用、加工、传输、提供、公开等过程;将数据安全定义为通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
图 2 涉及数据安全的法律
2021年1月1日发布的《民法典》,以及2021年11月1日发布的《个人信息保护法》对国家、企业、社会、个人接触到的公民个人敏感信息都做出了明确的法律要求。
不仅如此,根据上图所示法律,中央部委、各地区、行业、团体,还根据自身业务管辖范畴制定了一系列(数以百计)办法、规章、制度等法规文件。鉴于本报告只是为了借助国家法律、法规文件来反映数据安全在我国各层面的重要地位,具体法律条文和法规内容不在这里做展开描述。对于这一部分内容,数世咨询会在将来的文章以及报告中体现。
合规驱动数据安全
数据流动性的不断变化推动数据安全的不断发展,在不同数据安全发展阶段,驱动技术和市场的因素也拥有各自的特点。
图 3 数据安全的驱动因素
现阶段来看,数据安全建设的订单来自合规驱动和业务驱动,概括来说为经营风险、业务受限、国家监管和合规要求,各类驱动力还包括上图所示的一些具体事项。
如果说网络安全的需求(预算)约70%来自于安全合规,那么不同于网络安全的是,数据的权属大多为企业、个人自身,数据安全的责任也属于企业、个人自身,安全责任对于企业、个人来说,从来没有如此直接和重大。
2021年10月31日,国家安全部公布了三起危害重要数据安全的案例,其中一例涉及某航空公司。经确认,其相关信息系统遭到网络武器攻击,部分乘客出行记录等数据被窃取。经国家安全机关进一步排查发现,另有多家航空公司信息系统遭到同一类型的网络攻击和数据窃取。经深入调查,确认相关攻击活动是由某境外间谍情报机关精心谋划、秘密实施,攻击中利用了多个技术漏洞,并利用多个网络设备进行跳转,以隐匿踪迹。
2021年8月2日,技嘉在中国台湾的总部遭遇了RansomEXX的网络攻击,被窃取了112GB的数据,其中包含来自英特尔、AMD 和其他公司的机密技术文件。该组织还使用勒索软件来加密技嘉的数据,导致业务中断、服务关停。该组织勒索的金额不详,但声明如果不支付赎金,还会把窃取的数据公开贩卖。
2021年3月19日和2022年2月14日,中信银行分别被银保监会和央行开具了两张罚单,处罚金额分别为450万和240万。而原因就是数据安全问题引发的,例如消费者金融信息保护、客户信息安全管理不到位和访问控制与权限管理不到位等。
根据数世咨询的调研发现,在现阶段数据安全的需求(预算)约90%来自于安全合规,10%来自于业务需求,所以我们说合规驱动数据安全。
但不论安全合规驱动还是业务需求驱动,数据对于企业、个人来说,已经作为一种资产和生产要素被广泛应用于改善生活和创新业务,所以数据安全就成为一项必须要考虑和付诸行动的工作。当数字时代全面来临时,数据安全进入完备的开放阶段,数据安全的需求(预算)可能安全合规驱动只占到10%,业务需求驱动占到90%。
数据治理安全概况
数据治理安全需求
数据的价值已经不言而喻,对企业发展有强大的促进作用。数据的风险也很直观,在数字时代甚至决定着企业的生死存亡。
数世咨询认为,数据治理安全作为数据安全的一个一级分类,在现阶段的我国商业市场,需求大致可以概括为以下三个方面:
数据治理安全实践
针对数据治理安全的三种需求,实现数据安全的应对方法各不相同,但是最终的目标都是要为企业的数字化转型提供数据安全保障。本报告研究的核心就是在实现数字化转型的过程中,怎样才能在业务促进和创新上提供匹配的数据安全能力。
拥有数据安全能力的途径很多,数世咨询认为,当前我国商业市场上有关数据安全的实践方向总体分为两大类,分别为源自安全和源自数据。
源自安全
这类解决问题的方法通常是根据数据生命周期来进行数据安全建设的应对思路,从安全防护以及等级保护的角度切入,帮助行业用户对应检查项目和相关安全功能需求,属于上文提到的数据安全发展阶段中的数据贮存安全和数据访问安全。
源自数据
与源自安全的解决方法不同的是,源自数据的思路核心为驱动企业业务发展与创新,在企业数字化转型过程中,提供匹配业务需求的数据安全能力。属于上文提到的数据安全发展阶段中的数据访问安全和数据开放安全。
从业务发展和创新的角度来看,源自安全的方法在企业深入数字化转型后,可能会出现安全控制与现有的业务流程不匹配、与管理环节脱轨等问题,因为在部署这些数据安全措施时,并没有完全根据业务运营的逻辑和流程去设计,更多的是利用通用性的安全控制点来体现效果。这样的话,就必须对其进行定制化的改造,才能赋予其对不同类型和级别数据的不同安全能力,实现精确化管控,驱动业务发展。而源自数据的数据安全方法,天然就和企业数据相匹配,避免了后期重复投入的问题。
数据治理安全市场
从上文中的分析我们已经得知,现阶段我国数据安全商业市场是由安全合规驱动的。而数据治理安全(DGS)的核心,数据分类分级、合规条款匹配和数据安全能力的对接与调度,与合规这一硬性需求结合的更加紧密。
围绕《网络安全法》、《数据安全法》和《个人信息保护法》,国家开展数据分类分级制度的建设,相继发布或正在修改一系列法规与政策文件。而《重要数据识别规则》、《网络安全审查办法》、《网络数据安全管理条例》等文件,与企业生产经营和持续发展息息相关。行业用户还受到行业主管部门的监管,需要遵循相关数据安全特定要求和分类分级的具体规范。
目前,政府、国央企、金融、医疗、互联网等行业,对数据安全合规建设和分类分级的需求极为迫切,属于刚需。
据数世咨询统计,2021年仅数据安全原厂商的业务收入就达到了60亿元的规模,并保守预计未来5年的平均增长率为50%,即2026年为455亿元,未7年将突破千亿元。
图 4 市场规模
数世咨询认为,从网络安全演化到数字安全的范式转换过程中,网络安全已成为基础手段,而核心是数据安全。数据承载着业务、驱动着业务,因此数据安全与业务融合、数据安全驱动业务必将是数字时代的终级趋势。随着数字经济的发展,数字时代的企业对数据安全的需求都将成为刚需,未来数据安全市场将与网络安全市场的规模相当,甚至超过都有可能。
DSG困境分析
面对如此广袤的市场,我们可以看到,如果以推动企业数字化转型过程,促进和创新业务发展的角度去思考,源于安全的数据安全建设模式存在一些发展问题,因为其不满足企业数字化转型的初衷以及企业管理和业务流程不断变化的需求。
那为何源于数据的DSG思路,以先治理、后安全的方法切入,依然不能很好解决这一现象,是因为DSG框架存在三大问题。
图 5 DSG框架
实践问题
DAMA(国际数据管理协会)理论框架(下图左)指出,数据治理职能包括战略、组织和角色、政策和标准、项目和服务、问题、估值几个方面,数据治理职能指导其他数据管理职能如何执行。从DAMA体系不难看出,数据安全是数据治理的一部分,属于管理范畴。
《GB/T 34960.5-2018 信息技术服务 治理 第五部分:数据治理规范》(下图右)指出数据治理的框架体系,主要由顶层设计、数据治理环境、数据治理域和数据治理过程组成。数据治理域的数据管理体系指出,组织应围绕数据标准、数据质量、数据安全、元数据管理和数据生存周期等。从国家标准不难看出,数据安全是数据治理的一部分,属于管理范畴。
图 6 数据治理与数据安全的关系
如此可知,数据治理大于数据安全,数据安全属于管理范畴,数据安全治理(DSG)用治理的方法实现管理的事情,很显然是一种吃力不讨好的做法,也是其在推行过程中最大的阻力。
数世咨询认为,数据做为人类活动的第五大生产要素,站在国家、行业的层面用顶层治理的高度来考虑是完全必要的。但站在企业或机构的自身层面,用治理的高度来实现数据安全管理,无异于“大炮打蚊子”,时间、人力、物力上的成本令企业或机构举步维艰。这几年来的实践也证明,传统数据安全治理的概念和思路均存在无法落地的问题。
从理论和国外实践来看,推行DSG的企业会建立企业级数据治理委员会,有业务部门领导、IT部门领导共同参与,让业务与业务之间、业务与技术之间能够有更充分的讨论沟通,从而对宏观的数据战略、制度达成共识。
但就国内现状来看,因为经济体制、企业架构以及管理模式与国际情况大相径庭,在DSG基于美洲、欧洲商业市场环境开发的前提下依然推行不畅,在国内推行DSG更是阻碍重重。
不可否认的是,欧美国家在科技创新和应用上在现阶段是领先于我国的,数据安全在企业经营中的作用已经得到了许多验证,并且欧美国家的许多企业已经完成或者开始了数据治理的工作,所以他们可以用数据治理的方式去进行数据安全建设,因为数据安全本就是数据治理的重要一环,是业务驱动的选择。
而反观我国,除了一些行业头部企业外,数以亿记的企业都没有开始数据治理的工作,用数据治理的流程去做数据安全,不仅不能加速企业的数据安全建设,通常还会涣散企业对数据安全建设的决心。
成本问题
根据DSG框架描述,为了构建数据安全能力,不能从安全控制点开始,必须从商业策略、业务策略、治理策略、IT策略、风险策略等等一系列顶层战略开始,基本和数据治理的操作方式一致。
数世咨询认为,从企业的数据安全需求和应用效果的角度来看,DSG框架不具备落地执行性。从数据安全建设的成本控制和投入产出比来看,DSG方法和利益最大化原则相悖。这就好比我只是想吃一盘蒸羊羔,没必要下一个满汉全席的订单,单独点一道菜就完全可以解决我的需求。
数世咨询通过调研发现,我国大多数有数据安全需求的企业,至少在现阶段,最大的需求是优先为数据资产赋予安全能力,其他的数据治理环节与流程在业务开展的过程中慢慢磨合与改进。而不是为了数据安全去执行数据治理的流程,投入数据治理所需要的人、财、物和时间,这种投入大、耗时长、见效慢的做法是企业不能接受的,也是不符合正常商业模式的。
监管问题
由于国家层面的推动,我国企业对数据安全的需求,基本上都是合规驱动的选择。就合规监管来说,DSG主要面向类似GDPR(通用数据保护条例)中DPIA(数据保护影响评估)对数据风险和隐私数据的描述,但不论GDPR还是CCPA(加州隐私保护法),与我国在数据安全和隐私保护方面的监管要求都有或多或少的差别。
另一层面,企业数据安全建设中,符合国家监管政策的第一步是实现分类分级,安全能力要基于分类分级的结果去匹配相应的措施。《数据安全法》虽然指出我国要对数据安全进行分类分级保护建设,但现阶段并没有国家层面的法律法规文件做出各类、各级细则条款的明确规定,《网络数据安全管理条例》和《重要数据识别指南》还处在征求意见稿阶段。目前企业对上述法规文件只能做参考,更多的是基于行业监管和通用标准进行数据分类分级工作,这就导致了不同行业的企业需要遵从不同的要求,对安全解决方案提出了严苛的定制化需要。
数据治理安全分析
综上所述,现阶段我国行业用户数据安全建设的最佳方式,是实现以合规驱动的数据安全建设,即数据治理安全(DGS)。用最轻量化的数据治理思路,建设数据安全能力,用最小的代价解决当前最迫切的需求,为后续数据安全的全面建设提供技术与管理基础。
数世咨询认为,数字安全是以网络安全为基础,以数据安全为核心的。数据安全不再是网络安全的分支,在数字时代已经拥有了其自身技术架构和商业模式,传统的安全防护思路与方法已无法满足现代数据安全建设的要求。
为了应对我国商业市场以合规驱动的数据安全建设需求,落地方案应该首先解决如下核心问题:
轻量资产化:数据资产化是一个体系化的问题,涉及数据的权属、估值、交易、隐私等等。但轻量资产化只需要将原始数据进行一些简单的处理,剔除劣质和无效数据后,将其制作成有效支持分析运算与业务应用的数据资产。这就意味着轻量资产化的过程要进行数据和业务的关联性思考,既要懂数据、又要懂业务,需要接管企业全部业务数据。
智能分类分级:很多解决方案依然会使用手工的分类分级方法,这样的方式需要引入繁重的咨询服务流程,并且日后使用效率低下和缺乏灵活性。轻量级的咨询服务是需要的,但这里的核心是AI/ML的深度应用,对国家法律法规、行业监管的理解和对业务数据的理解,通过行业数据的训练使其极大的减少行业客户初期咨询的工作量,并且在日后的深度应用过程中高效匹配业务流转。
安全条款符合化:在实现数据轻量资产化和持续分类分级的前提下,需要根据数据安全相关的法律法规和地方、行业的安全要求,以安全合规基线的方法,为企业提供完整的安全条款项对应控制。
安全能力对接与编排调度:匹配数据在收集、存储、使用、加工、传输、提供、公开等过程中的安全控制,通过API的方式对接各种数据安全能力,结合业务流程与管理需求,编排调度各种数据安全能力,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力
持续分类分级:业务在不断的发展、数据在不断的变化、监管也在不断的调整,为了更加准确的为业务数据分类分级,为了更加及时的将新的监管要求和业务需求进行匹配,就必须具备持续修正分类分级规则从从而进行不断调优迭代的能力。
数据治理安全能力框架
基于数据治理安全(DGS)的思想,数世咨询联合霍因科技开发了(CPI)2 框架,用来描述数据治理安全能力的建设思路,给行业带来新的参考借鉴。
该框架基于霍因科技在数据存储与数据治理方面沉淀的技术和对行业数据的深度理解,匹配数据安全相关法律法规和地方、行业的安全要求,实现了以合规驱动的数据安全建设落地应用,是数据治理安全(DGS)的最佳实践。
图 7 (CPI)2 框架
其中Consulting代表轻量级咨询、Capitalzation代表轻量级资产化,Policy代表安全策略,Protection代表安全防护,Iteration代表迭代调优,Improvement代表持续改善。
整体框架逻辑为,通过霍因科技对行业数据安全法规条例和业务特性的深度理解,辅以轻量级的咨询服务,用人工智能的方式为企业实现数据分类分级和轻量资产化;为数据资产制定全面的安全策略,匹配法律法规和政策要求的安全控制能力;持续跟进法律法规和政策变化、持续学习业务逻辑的特性与管理运作的流程,不断调整分类分级的结果,使数据资产更加精确、明晰,往复循环正向迭代的过程,实现可持续发展的数据治理安全。
图 8 (CPI)2 技术实现
将框架拆解到实践应用部分,执行逻辑为:
C&C:行业数据理解—>全域数据接入—>基于AI的敏感数据自动发现和分类分级—>数据自动标签和入湖仓—>完成资产化。
P&P:数据安全基线和策略—>API安全网关—>隐私计算—>数据安全能力的编排与调度。
I&I:AI引擎本地化训练和建模—>正向循环迭代—>持续提升精准度
图 9 霍因•海石-数据加工展示
图 10 霍因•海石-数据质量展示
图 11 霍因•海石-数据目录展示
(CPI)2 的应用基于AI的数据自动分类分级能力、具有行业属性的知识图谱和全域数据/多模态数据的治理能力,配备全种类数据接入模块、数据智能识别引擎、API安全网关并拥有安全湖仓,支持云原生、私有化部署和SaaS服务,满足企业数字化转型的各种需求。
未来趋势分析
与网络安全不同,数据安全天然的属性就是要和业务融合。保护数据资产的安全性已经不能满足数字时代的要求,数据安全要成为支撑业务发展和创新的中流砥柱。
因为流动的数据才能创造价值,才能称之为生产要素,数字时代的数据安全更重要的是关注数据开放过程中的误用与滥用,怎样平衡数据使用与安全监管两者的关系,是产业界必须研究的课题。
未来的数据安全必然绕不开深度学习和隐私计算,这两大技术都需要极大的计算力和计算模型去支撑。数据安全企业应该在数据开放时代完全到来之前,深度挖掘各行业应用的特性,积累并转化成数学模型,以支撑未来数据安全的不同应用需求。
报告结语
数世咨询在产业创新方面,立志于“将全球领先的安全理念、技术中国化,将中国领先的安全理念、技术国际化”。根据科技发展的趋势和数字安全的中国环境,数世咨询认为,凡是优先进行数据分类分级的工作,然后再匹配相应安全能力的解决方案都属于数据治理安全(DGS)的范畴。
为了推动我国数据安全研究和应用的进步,更为了企业可以着实构建自身数据安全能力,更好的落地数据安全保障体系,数世咨询发起并撰写了本报告,向用户展示一种适应于国内信息系统和商业市场环境,在现阶段可实际应用到生产环节和业务流程中的数据安全建设思想。希望通过本报告,可以切实促进我国本土数据安全的商业市场发展,同时也为网络空间安全产业带来新的参考思路。
数世咨询的核心理念为,数字时代、安全共生。希望通过本报告,能够切实解决行业用户在企业发展过程中出现的关于数字安全的问题,实现数世咨询的第三方参考价值,帮助企业用户屹立在数字浪潮之巅。
参考阅读