随着现代社会的快速发展、信息化的快速膨胀和互联网的迅猛传播,海量的各种数据化信息被不停地生产、收集、存储、处理与利用,大数据时代随之来临。这不仅带来了全方位的社会变革,同时也带来了新的安全挑战,数据泄露、数据滥用、隐私安全等风险日渐增加。解决大数据时代的数据安全问题,立法是根本,技术是支撑。一方面,国家层面对数据安全更加重视,涉及数据安全相关法律法规、标准持续推出与完善,监管力度不断加大,监管内容不断细化。另一方面,要建立和完善数据流动管理和防护机制,加强风险分析智能化、用户画像的安全评估、技术检查、风险监测等能力,通过先进的技术手段减少数据安全风险的发生。
为什么需要数据安全治理?
数字经济以数据的高效开发和利用为基础,涵盖数据的来源、传输、存储、使用、清理等各个环节,数据流动引发运行周期各环节安全风险,不同环节的特性不同,面临的数据安全问题也大相径庭。有针对性地解决不同环节中存在的数据安全治理问题,消除数据安全风险。
按照数据的全生命周期划分,每个环节都面临着不同的数据安全风险:
01数据采集
是数据生命周期的第一道环节,是指从产生数据的源头进行数据记录和预处理的过程。采集过程中的安全风险主要是未经许可或采集对象同意,非法获取数据。例如企业未经消费者授权自行采集用户数据信息用于经营。
02数据传输
在数据采集完成后,需要将采集到的数据传送到数据存储中心。该环节面临的风险主要是恶意拦截、篡改或破坏。数据传输技术的进步在提升传输速度和数量的同时,也使得数据流量更为庞大,数据监控和保护更为困难。
03数据存储
是指将数据存于特定介质之中,其所面临的安全风险主要来自于内部和外部两方面:一方面,数据存储者可能会故意或者因过失而泄露数据;另一方面,外部人员可能通过入侵存储系统,获取、篡改、删除数据。
04数据使用
是指对数据进行加工处理,是数字经济的核心环节,也是数据安全治理的最终目的。数据使用阶段的风险主要包括数据系统非法访问、数据库运维管控安全、开发测试安全以及使用权非法转让、非法关联及不当使用等。
05数据共享
是数据价值实现的重要方式,包括免费和付费两种方式。它主要是通过数据在不同主体间的流动,有效促进数据互联和数据作用的发挥。数据共享阶段面临的风险主要包括非法访问、恶意更改、非法外泄等。此外,数据共享过程中数据产生的价值如何分配也是一个棘手的问题。
06数据销毁
当前数据销毁技术主要有物理和逻辑两种:物理消除包括消磁、腐蚀、粉碎、焚化等方式,逻辑销毁主要包括数据擦除、重写等方式。在数据销毁过程中,同样存在着非法备份、泄露、非法交易等安全风险,也值得关注。
要想充分挖掘数据价值,推动数字经济发展,实现经济发展的提质增效,就必须强化数据安全治理。应从补齐多元主体共治机制短板、强化数据生命周期各环节差异化风险防控和加强数据流动安全保护三方面入手,完善数据安全治理的体制机制和政策体系。
Ankki DSP 数据安全综合治理平台
Ankki DSP数据安全综合治理平台遵循先“理”后“治”的建设思路,参考Gartner的DSG(数据安全治理)等行业优秀的标准及框架,自上而下实施数据安全。从安全建设规划、安全业务梳理、安全策略制定、安全系统建设和安全运营,形成一个闭环动态和可持续演进的数据安全治理体系。
01理清资产
很多客户因业务资产种类多、第三方开发运维厂家多、建设周期长、多种数据库并存,更有甚者开发人员会私搭私建数据库等问题,无法全方位了解其具体的数据资产,也就无法进行正常的数据治理。一个好的数据安全治理平台应该能够帮助客户精准识别数据资产。
02梳理风险
比如数据的存储环境是否安全、数据的访问环境是否安全、数据的交互环境是否安全、数据的流通环境是否安全……通过对数据资产的全生命周期、全数据形态以及全流通环节进行风险评估,可以“理”清数据资产存在的整体风险,更好地为“治”做铺垫。
03安全产品的体系化落地实践
从数据全生命周期角度,需要根据不同流通环节的特点,分别部署适合的 安全产品,完成各环节的数据安全防护。以数据安全综合治理平台为核心,包含数据库防火墙、数据库审计、数据脱敏、数据库漏洞扫描、数据库状态监控、数据水印溯源等能力单元,利用AI智能和机器学习,提升数据安全“治”的效果。
04相关流程制度的规范执行
从安全建设规划、安全业务梳理、安全策略制定、安全系统建设、安全数据运营,对数据的采集、传输、存储、共享、处理进行安全操作规范,以制度和流程保证数据安全产品的有效运行。
面对日益严峻的数据安全威胁态势,昂楷科技坚持技术创新,不断深化数据安全保障体系和能力建设,夯实数据生命周期全流程管控能力,在充分发挥自身优势的同时,积极推动数据安全产业协同,为数字中国建设保驾护航。