导语:“第四届中国数据安全治理高峰论坛”在北京香格里拉饭店圆满召开!本届峰会以“数据之光 · 安全未来”为主题,在中国保密协会、中国计算机学会计算机安全专业委员会的指导下,由中国(中关村)网络安全与信息化产业联盟、中国保密协会产业分会共同主办,北京安华金和科技有限公司及中国(中关村)网络安全与信息化产业联盟数据安全治理专业委员会承办,中国计算机学会抗恶劣环境计算机专委会协办。国家信息中心、全球能源互联网研究院信息通信研究所、中国智慧能源产业联盟、中关村大数据产业联盟、中关村中安高速密码产业联盟(筹)、北京网络信息安全技术创新产业联盟联提供支持。
“第四届中国数据安全治理高峰论坛”在北京香格里拉饭店圆满召开!本届峰会以“数据之光 · 安全未来”为主题,论坛围绕“数据安全治理”展开内容分享、成果发布、技术研讨以及合作交流。其中,嘶吼就本届高峰论坛中数据安全治理和两部立法的相关议题进行整理,希望带给大家以新的思考。
数据安全治理的四大思考:
——全球能源互联网研究院信息通信研究所副所长张涛
1. 在数据安全领域常见的疑惑有:敏感数据在哪?如何对数据进行分级分类?
从国家电网的角度来分析,数据分布区域非常广泛,业务从发电、输电、变电、配电、用电、调电等多个环节,如何判定敏感数据一直是数据安全防护里面临的最大的挑战。相较传统网络安全不一致之处是对业务的考虑不多。不论是边界,还是现下流行的行为监测、态势感知都不是最为关注的。但是数据安全无法脱离业务存在,数据和业务是共生的。敏感数据识别时,一定不能脱离业务进行。也正因如此,如何认定业务数据成为了一个非常大的挑战。
2. 业务场景划定后,谁在使用这些数据?是否合规?
从数据使用来说,它是和业务息息相关的,但业务又属于不同的业务部门,而信息化部门是负责信息系统的管理和运维。所以我们发现,在很多使用数据的场景中,存在外部用户、内部运维人员以及很多开发人员单位。明确数据谁在使用、使用行为是否合规也是数据安全治理体系建设时面临的众多挑战之一。
3. 场景太多,碎片化措施如何落地?
实际落地场景中,不论从数据安全防御的多种技术,到企业内部管理以及标准的践行,再进一步到系统落地对现有场景的适配,整个链条的措施非常繁多。比如,在研究新的联邦学习时发现找到相应业务场景比较困难,原因在于大多关注的是企业内部数据的流通共享,但在联邦学习里更强调的是当方交易,其中还有很多外部用户,此类场景如何判定又成为一个新挑战。
4. 数据安全管理和技术措施脱节怎么办?
实际的建设和运维过程,更受关注的是采用的技术和产品。事实是仍有很多管理制度没有跟上,例如在做数据分级分类时,没有明确的标准、数据负面清单。这都是需要通过同业务部门进行大量的交互沟通进而完成制定。如果没有管理的技术,只是上一些数据安全的产品,可能未必能达到对数据保护的目的和目标。
实践中提出五大安全能力,到底有哪些需求?
一方面,在敏感数据识别方面,一直是最大的难题。在各个企业或者实际在做数据安全防护落地的时候,最大的困难就是如何来识别这些敏感数据。其中包括,企业的业务数据、经营管理数据、生产数据,如何进行精准的高效识别,以提升数据安全防御能力。
第二,如何实现数据访问权限管理。对数据的管理也是有比较大挑战的地方,一个是我们用户的角色特别多,而且这种场景也非常复杂,如何结合业务场景进行差异化的管控,颗粒度控制都是比较困难的。传统网络里,可以通过访问控制,从IP地址、端口,包括对业务的进程、协议等进行识别。
第三,数据安全脱敏。静态脱敏时,更关心脱敏效率是否真正满足实时业务的访问需求。实践结果显示目前仍有很大的提升和改进空间;动态脱敏时,一些算法能否进一步优化,包括动态脱敏里精准适配场景,脱敏里有很多既能满足实时在线访问,又能满足数据安全需要的措施和手段。
第四,数据水印溯源。如何来实现水印溯源,实现数据外发全过程管控和数据泄露情况下的责任追溯。
第五,对数据库的审计。所有的数据仍保存在原有数据库中,要将审计和业务紧密结合仍有很多工作亟待完成。相对水印产品更为紧缺的是数据库审计的分析师,更加准确的解读审计信息,提炼关键内容以达到产品部署后的效果。
《数据安全法》《个人信息保护法》有哪些引导意义?
——北京师范大学网络法治国际中心执行主任、博导 吴沈括
从目前来看,两部立法在公布之后均引起了来自各方的高度关注。首先,在数据两法出台过程中,国际国内背景、形势都发生了广泛的密切互动。面对数字化博弈的全球浪潮,数字化转型的全球竞争日趋激烈,从数字社会、数字经济到数字政府,不同程度上实现了全生态的覆盖。第二,围绕数据资源的国际争夺有大幅度的延伸,从知识产权、投资审查到出口管制等各个领域都有延伸。从实际案例中能够发现,不管在美国还是欧洲,与数据相关的资产投资、出口管制已经不再是一个假想。第三,针对数据安全的治理能力、治理力度在持续提升,从欧盟GDPR,到美国云法案,再到2021年日、韩、印、新、南非等地区的新一代数据立法,数据安全的规则博弈也在不断升级。
整个过程我们需要考虑的问题是,在国内层面正在非常快速的全面数字化转型。从2015年的大数据纲要,到2020年关于“十四五”和2035年愿景目标的建议,可以说数字化转型已经成为一个不可逆的国家战略部署。在数字经济层面,2020年5月国家发改委的数字化转型伙伴行动倡议,再到2020年6月30日深改委会议当中通过的关于深化新一代信息技术与制造业融合发展的指导意见。不同层面上,数据都已经成为企业、机构工作的核心节点。
从立法者和国家的层面进行思考:第一,数据作为国家基础性战略资源,关系到国内的发展,也关系到国际的话语权。第二,数据活动的全方位融合拓展和复杂的数据处理结构带来了新的机遇,同时伴生着更高的风险。第三,以创新为主要引领和支撑的数字经济需要完善的数据治理体系予以保障。第四,数字政府/电子政务在升级过程中也亟待政务数据管理制度和开放利用规则的支撑。
如若转载,请注明原文地址