終端數據治理與安全防護產業(yè)和技術發(fā)展研究

楊大力 孫鵬科

一、引言

隨著近年信息經濟發(fā)展，數據價值的重要性已經得到各界廣泛認同，2020年4月9日，中共中央、國務院公布《關于構建更加完善的要素市場化配置體制機制的意見》（簡稱“意見”），明確要素的范疇為土地、勞動力、資本、技術、數據。數據作為一種新型生產要素被提升至前所未有的高度，數據將充分發(fā)揮對其它要素效率的倍增作用，成為推動經濟高質量發(fā)展的新動能，關系經濟增長長期動力，關系國家發(fā)展未來。

二、數據安全政策要求

國家出臺了系列政策標準，推動數據治理和安全保護工作。中共中央辦公廳、國務院辦公廳2016年7月印發(fā)《國家信息化發(fā)展戰(zhàn)略綱要》（簡稱“《綱要》”），要求將信息化貫穿我國現代化進程始終，加快釋放信息化發(fā)展的巨大潛能，以信息化驅動現代化，加快建設網絡強國。《綱要》是規(guī)范和指導未來10年國家信息化發(fā)展的綱領性文件，其中明確提出“建立信息資源基本制度體系。探索建立信息資產權益保護制度，實施分級分類管理，形成重點信息資源全過程管理體系”；《信息安全技術網絡安全等級保護基本要求》（GB/T 25070-2019）（簡稱“《等保2.0》”）明確要求網絡運營單位“應對信息分類與標識方法作出規(guī)定，并對信息的使用、傳輸和存儲等進行規(guī)范化管理”，提出對重要數據資產進行分類、分級管理；《意見》要求推動完善適用于大數據環(huán)境下的數據分類分級安全保護制度，加強對政務數據、企業(yè)商業(yè)秘密和個人數據的保護。國家最新發(fā)布的《信息安全技術 個人信息安全規(guī)范》（GB/T 35273-2020）（簡稱“《規(guī)范》”）于2020年10月1日實施， 《規(guī)范》要求“個人信息控制者應根據有關國家標準的要求，建立適當的數據安全能力，落實必要的管理和技術措施，防止個人信息的泄漏、損毀、丟失、篡改”。

三、數據安全投入持續(xù)增長

伴隨數據呈現的價值越來越高，數據面臨的風險急劇加大，近年來各企事業(yè)單位的重要數據被外部人員竊取、內部人員惡意泄漏和無意泄漏的事件層出不窮，數據安全愈發(fā)引起管理者的高度重視，對數據安全投入也持續(xù)增長。國際調查研究機構ESG在疫情背景下發(fā)布了2020年度企業(yè)IT投入調查報告，從調查結果看，62%的機構將在2020年增加網絡安全投入，來加強網絡安全防護與管控措施。網絡安全投入的四個重點領域占比：用于檢測威脅的人工智能/機器學習（32%）；數據安全（31%）；網絡安全（30%）；云應用安全（27%）?？梢姅祿踩耐度氤^了網絡安全，數據安全管控點正在經歷從傳統(tǒng)網絡安全到內容安全的轉變，防止單位內部敏感數據泄露已成為各單位安全防護監(jiān)管的重點。

四、終端是數據泄漏的重要途徑和保護重點

終端（指泛終端概念，包括計算機終端、虛擬云桌面、手機移動端、PAD等）是數據之始、交互之所、沉積之地。絕大多數重要文件均在終端上起草、編輯、審閱，也是通過終端與終端、服務器、數據庫、應用系統(tǒng)進行數據訪問、傳遞、維護與管理，終端上駐留了大量的歷史數據和操作痕跡。數據泄漏事件往往與終端密不可分，業(yè)務用戶、數據運維分析人員內部泄密的主要方式是將敏感數據下載到客戶端，并進行加工處理，最終通過外設接口導出（如USB、光驅等）或軟件外發(fā)（如交互軟件、郵件等）；黑客等外部人員竊密的主要方式是以終端為跳板，直接或間接獲取終端、文件服務器、數據庫和應用系統(tǒng)中的數據。據統(tǒng)計，2018年我國終端安全產品市場規(guī)模已達百億元，相關咨詢機構預測到2023年終端安全產品市場規(guī)模將達400億元。數據是終端安全保護的核心內容，企事業(yè)單位對終端數據安全防護監(jiān)管的重視程度不斷提高，終端數據治理與安全防護恰逢其時。

五、終端數據全生命周期安全保密體系框架

如何高效保護終端數據的安全成為當務之急。數據安全風險存在于數據采集、傳輸、存儲、處理、共享交換及銷毀的整個數據生命周期。在數據生命周期中，應及時評估潛在的數據安全風險，制定有效、合理的數據安全技術策略、措施，從而降低數據泄露風險，實現數據泄漏保護和數據丟失防護，形成面向用戶、面向業(yè)務應用的基礎文件與數據服務的安全運營平臺。結合Gartner數據安全治理總體框架，終端數據治理與安全防護應重視數據分類分級能力、監(jiān)控審計能力和大數據分析能力；通過數據分類分級管理、在線分類梳理、用戶及組織管理、識別規(guī)則及策略管理、集中進行事件監(jiān)控、處理、審計和統(tǒng)計分析，同時配合對異常行為、外部威脅的監(jiān)管響應控制，實現對終端數據內容掃描發(fā)現、分類分級、數據分布、追蹤溯源、威脅檢測響應等功能。同時隨著云技術的應用和發(fā)展，本地終端數據將逐步與云端數據同步處理，因此終端數據安全框架體系應涵蓋云端處理的數據治理與防護。

六、終端數據安全治理需加強個人信息保護

終端中存儲的數據中包含了個人信息，在開展數據治理與安全防護工作中要充分考慮個人信息保護工作，產品設計開發(fā)應滿足國家的相關標準規(guī)范要求。如《規(guī)范》要求“涉及通過界面展示個人信息的（如顯示屏幕、紙面），個人信息控制者應對需展示的個人信息采取去標識化處理等措施，降低個人信息在展示環(huán)節(jié)的泄露風險”、“在向個人信息主體提供業(yè)務功能的過程中使用個性化展示的，應建立個人信息主體對個性化展示所依賴的個人信息（如標簽、畫像維度等）的自主控制機制，保障個人信息主體調控個性化展示相關程度的能力”；《等保2.0》明確運營單位“應僅采集和保存業(yè)務必需的用戶個人信息”、“應禁止未授權訪問和非法使用用戶個人信息”。

七、結語

國家對數據安全的高度重視及企事業(yè)單位國有數據安全的內在需求提速發(fā)展，終端數據治理與安全防護產業(yè)迎來發(fā)展機遇期。數據安全相關企業(yè)需持續(xù)圍繞“數據”生產要素這一核心驅動力，結合新時代發(fā)展需求，設計出源于用戶又高于用戶需求的數據安全類產品，形成涵蓋終端、網絡、應用、數據庫、云平臺的整體安全解決方案，做好“保鏢式”貼身服務。

作者單位：中孚信息（北京）研究院