數(shù)據(jù)安全治理體系與技術(shù)研究

　　李曉偉  吳迎  鄒彧  白云飛

　　（興唐通信科技有限公司，北京 100191）

　　摘要：隨著數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化的快速推進，數(shù)據(jù)已經(jīng)成為數(shù)字化轉(zhuǎn)型時代的核心競爭力。隨著數(shù)據(jù)成為資產(chǎn)，成為基礎(chǔ)設(shè)施，數(shù)據(jù)的安全受到前所未有的重視和保護。數(shù)據(jù)安全治理融合了數(shù)據(jù)安全技術(shù)和數(shù)據(jù)安全管理，是以“數(shù)據(jù)使用安全”為目標(biāo)的技術(shù)體系。通過對數(shù)據(jù)安全治理的必要性以及其發(fā)展現(xiàn)狀進行分析，提出了一種以數(shù)據(jù)安全標(biāo)識為基礎(chǔ)的數(shù)據(jù)安全治理體系框架和技術(shù)架構(gòu)。

　　關(guān)鍵詞：數(shù)據(jù)安全；數(shù)據(jù)安全治理體系；數(shù)據(jù)安全標(biāo)識

　　中圖分類號：TN929.11      文獻標(biāo)識碼：A

　　引用格式：李曉偉， 吳迎， 鄒彧， 等。 數(shù)據(jù)安全治理體系與技術(shù)研究[J]. 信息通信技術(shù)與政策， 2021,47（8）：51-55.

　　doi：10.12267/j.issn.2096-5931.2021.08.008

　　0  引言

　　《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標(biāo)綱要》明確提出數(shù)據(jù)是推動數(shù)字化發(fā)展的關(guān)鍵要素，必須加快數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化，推進數(shù)字化發(fā)展。為更好地發(fā)揮數(shù)據(jù)的基礎(chǔ)資源作用和創(chuàng)新引擎作用，要做好數(shù)據(jù)資源的開發(fā)、利用和保護：一方面要使數(shù)據(jù)連起來、跑起來、用起來；另一方面要強化數(shù)據(jù)的安全保障[1]。數(shù)據(jù)安全治理是“圍繞數(shù)據(jù)安全使用”的愿景，以“讓數(shù)據(jù)使用更安全”為目的的安全體系構(gòu)建方法論，覆蓋了敏感信息管理、安全防護、合規(guī)三大目標(biāo)構(gòu)建而成的技術(shù)體系。它不僅是一套多種數(shù)據(jù)安全工具協(xié)同組合的產(chǎn)品級解決方案，而且是從管理制度到工具支撐，從決策層到技術(shù)層，自上而下貫穿整個組織架構(gòu)的完整體系鏈條[2-4]。

　　1  數(shù)據(jù)安全治理的必要性

　　數(shù)據(jù)的安全和使用是相互矛盾需要調(diào)和的兩個方面，既要確保數(shù)據(jù)的高效使用，又要保證數(shù)據(jù)的安全管理，成為一個值得關(guān)注的問題。

　?。?）數(shù)據(jù)規(guī)模暴漲，戰(zhàn)略價值提升。根據(jù)《大數(shù)據(jù)白皮書（2020年）》統(tǒng)計[5]，2020年全球共產(chǎn)生數(shù)據(jù)量達到47 ZB，預(yù)計到2035年這一數(shù)據(jù)量將達到2142 ZB，全球數(shù)據(jù)量逐年迎來爆發(fā)式的規(guī)模增長，數(shù)據(jù)己成為一種能夠影響國家戰(zhàn)略決策的戰(zhàn)略資源，誰掌握了更多、更有價值的數(shù)據(jù)，誰就掌握了未來的主動權(quán)。

　　（2）數(shù)據(jù)泄露頻繁，安全需要治理。根據(jù)ForgeRock《消費者身份信息違規(guī)報告》2020年公布的數(shù)據(jù)[6]，網(wǎng)絡(luò)犯罪分子在2019年暴露了超過50 億條數(shù)據(jù)記錄，給美國造成了超過1.2 萬億美元的損失。隨著數(shù)據(jù)泄露問題的日趨嚴重，對數(shù)據(jù)安全治理的需求越來越迫切。

　?。?）政策要求明確，推進治理實施。我國已發(fā)布《中華人民共和國數(shù)據(jù)安全法》，明確了數(shù)據(jù)安全的重要性，對數(shù)據(jù)安全防護提出了基本要求。隨著網(wǎng)絡(luò)安全戰(zhàn)略地位的上升和國家大數(shù)據(jù)戰(zhàn)略的加快實施，數(shù)據(jù)安全已經(jīng)成為我國重點關(guān)注的問題。

　　2  數(shù)據(jù)安全治理發(fā)展現(xiàn)狀

　　2.1  國際發(fā)展

　　在國際上，Gartner對數(shù)據(jù)安全治理進行了一系列研究，近年來推出了一系列研究報告和框架模型[2]：2015年，提出數(shù)據(jù)安全治理的概念和相應(yīng)的原則與框架；2017年，提出適用于數(shù)據(jù)安全評估與控制的持續(xù)自適應(yīng)安全風(fēng)險和信任評估模型（CARTA）；2018年，發(fā)布研究報告《如何使用數(shù)據(jù)安全治理框架》，正式提出數(shù)據(jù)安全治理（DSG）框架；2020年4月，提出安全和風(fēng)險管理者應(yīng)借助DSG框架，在兩種數(shù)據(jù)泄露防護（DLP）方案之間做選擇。

　　2.2  國內(nèi)發(fā)展

　　2017年，中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟成立數(shù)據(jù)安全治理工作組，組織召開首屆數(shù)據(jù)安全治理高峰論壇[7]；2018 年，在第二屆數(shù)據(jù)安全治理高峰論壇上成立全國首個數(shù)據(jù)安全領(lǐng)域的專項委員會——數(shù)據(jù)安全治理委員會，并發(fā)布《數(shù)據(jù)安全治理白皮書》[8]；2019年，在第三屆數(shù)據(jù)安全治理高峰論壇上數(shù)據(jù)安全治理委員會發(fā)布《數(shù)據(jù)安全治理建設(shè)指南》及《數(shù)據(jù)安全治理白皮書2.0》[9]。

　　3  數(shù)據(jù)安全治理體系框架設(shè)計

　　圍繞數(shù)據(jù)安全治理需求，本文借鑒國內(nèi)外數(shù)據(jù)安全治理研究成果，基于“標(biāo)識數(shù)據(jù)、梳理資產(chǎn)、動態(tài)防護、精確管控、持續(xù)提升”理念，從組織建設(shè)、過程管理、技術(shù)支撐、治理評價和制度體系五個維度構(gòu)建以數(shù)據(jù)為中心、安全標(biāo)識為基礎(chǔ)，以組織管理為核心的數(shù)據(jù)安全治理體系框架（見圖1）。

　　圖1  數(shù)據(jù)安全治理體系框架

　?。?）組織建設(shè)：成立專門的安全治理組織和團隊，承擔(dān)體系建設(shè)、決策、執(zhí)行和監(jiān)督的職能，保證數(shù)據(jù)安全治理工作的穩(wěn)定、持續(xù)、高效執(zhí)行。數(shù)據(jù)安全治理工作的組織架構(gòu)需與數(shù)據(jù)安全治理的體系框架相匹配，可分為決策層、管理層、執(zhí)行層和監(jiān)督層4個邏輯層。

　?。?）過程管理：為達到治理目標(biāo)和效果，通過明確的標(biāo)準(zhǔn)步驟執(zhí)行并輸出成果的系列管理流程，主要包括資產(chǎn)梳理管理、治理流程管理、評價流程管理、監(jiān)督流程管理等。

　?。?）技術(shù)支撐：以數(shù)據(jù)安全標(biāo)識技術(shù)為基礎(chǔ)，基于數(shù)據(jù)全生命周期安全管控、數(shù)據(jù)資產(chǎn)綜合管理、數(shù)據(jù)安全審計與稽核等技術(shù)，為數(shù)據(jù)安全治理體系提供技術(shù)支撐。

　　（4）治理評價：采用監(jiān)督、審計、分析等手段對數(shù)據(jù)安全治理體系的建設(shè)、管理和運行情況進行評價，推動體系持續(xù)優(yōu)化，主要包括數(shù)據(jù)安全能力評價、數(shù)據(jù)安全合規(guī)性評價、數(shù)據(jù)安全防護水平評價等。

　　（5）制度體系：為維護內(nèi)部紀律和公共利益制定的、治理相關(guān)參與者遵守的政策規(guī)范、標(biāo)準(zhǔn)要求、實施指南、操作規(guī)程等。

　　4  基于數(shù)據(jù)安全標(biāo)識的數(shù)據(jù)安全治理技術(shù)

　　4.1  數(shù)據(jù)安全治理技術(shù)架構(gòu)

　　在數(shù)據(jù)安全治理體系框架的基礎(chǔ)上，構(gòu)建基于安全標(biāo)識技術(shù)的數(shù)據(jù)安全治理技術(shù)架構(gòu)，提供流動中數(shù)據(jù)的全生命周期安全防護（見圖2）。

　　圖2  數(shù)據(jù)安全治理技術(shù)架構(gòu)

　　數(shù)據(jù)安全治理技術(shù)架構(gòu)以數(shù)據(jù)安全標(biāo)識技術(shù)為基礎(chǔ)，以數(shù)據(jù)資產(chǎn)管理與數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范為基準(zhǔn)，依托安全標(biāo)識的生成、編碼、綁定、保護等技術(shù)手段，圍繞數(shù)據(jù)采集、傳輸、存儲、使用、共享、銷毀等全生命周期處理流程，從數(shù)據(jù)資產(chǎn)綜合管理與分級分類、數(shù)據(jù)全生命周期安全管控、數(shù)據(jù)安全審計與稽核三方面展開數(shù)據(jù)的安全防護與治理，實現(xiàn)數(shù)據(jù)資產(chǎn)安全態(tài)勢可展現(xiàn)、數(shù)據(jù)安全風(fēng)險可感知、數(shù)據(jù)細粒度安全策略可運維、數(shù)據(jù)安全保密防護可協(xié)同、數(shù)據(jù)防護水平可評估、數(shù)據(jù)安全事件可追溯，為加快數(shù)據(jù)資源層形成和應(yīng)用創(chuàng)新能力形成提供技術(shù)保障。

　　4.2  數(shù)據(jù)安全治理技術(shù)

　　4.2.1  數(shù)據(jù)安全標(biāo)識技術(shù)

　　面向數(shù)據(jù)安全治理的數(shù)據(jù)安全標(biāo)識技術(shù)是一種基于密碼技術(shù)的高安全、高可信和高可用的數(shù)據(jù)屬性標(biāo)注與識別技術(shù)，為數(shù)據(jù)全生命周期管控提供支撐（見圖3）。數(shù)據(jù)安全標(biāo)識是與數(shù)據(jù)對象安全性相關(guān)的屬性，包括數(shù)據(jù)密級、數(shù)據(jù)種類、數(shù)據(jù)保護方式、數(shù)據(jù)摘要值、數(shù)據(jù)責(zé)任人等，將數(shù)據(jù)安全標(biāo)識屬性分為基礎(chǔ)屬性和可擴展屬性。數(shù)據(jù)密級、數(shù)據(jù)種類是最基本的安全標(biāo)識，是數(shù)據(jù)對象安全防護措施、知悉范圍控制的基本依據(jù)。數(shù)據(jù)安全標(biāo)識處理包括安全標(biāo)識生成、標(biāo)識編碼、標(biāo)識綁定和標(biāo)識保護。

　　圖3  數(shù)據(jù)安全標(biāo)識技術(shù)

　　4.2.2  數(shù)據(jù)資產(chǎn)綜合管理與分級分類

　　為讓數(shù)據(jù)安全、健康、高效的使用和共享，對多種來源的數(shù)據(jù)進行數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)分級分類，對安全風(fēng)險進行動態(tài)度量和評估，針對不同級別的數(shù)據(jù)資產(chǎn)和安全風(fēng)險采取差異化安全管控措施。在確保數(shù)據(jù)合理合規(guī)流動的前提下，通過數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)分級分類標(biāo)記、數(shù)據(jù)協(xié)同防護等安全措施為數(shù)據(jù)全生命周期安全保障提供支撐，促進數(shù)據(jù)安全高效的開發(fā)利用和共享。

　　4.2.3  數(shù)據(jù)全生命周期安全管控

　　圍繞數(shù)據(jù)采集、傳輸、使用、存儲、共享、交換和銷毀全生命周期，提供安全標(biāo)識生成/綁定/保護、數(shù)據(jù)傳輸保護、數(shù)據(jù)存儲保護、數(shù)據(jù)防泄漏、數(shù)據(jù)脫敏、細粒度訪問控制等安全防護功能。

　?。?）數(shù)據(jù)采集安全：為業(yè)務(wù)系統(tǒng)和用戶提供透明訪問接口、API接口認證、設(shè)備認證、用戶身份認證等多種認證方式，對源系統(tǒng)訪問數(shù)據(jù)資源進行可信認證、資源訪問控制，確保用戶和設(shè)備身份的合法性及未超出授權(quán)使用范圍。

　?。?）數(shù)據(jù)傳輸安全：確保數(shù)據(jù)（流式數(shù)據(jù)、數(shù)據(jù)庫、文件、服務(wù)接口等類型的數(shù)據(jù)）通過不同采集、傳輸方式時的完整性、機密性，主要采取數(shù)據(jù)傳輸加密、數(shù)據(jù)完整性保護等技術(shù)。

　?。?）數(shù)據(jù)使用安全：為數(shù)據(jù)資源訪問、數(shù)據(jù)加工/計算過程提供細粒度權(quán)限管控、異常數(shù)據(jù)訪問行為監(jiān)控與阻斷。通過脫敏、訪問代理等技術(shù)，降低外部攻擊、內(nèi)部數(shù)據(jù)違規(guī)使用過程中數(shù)據(jù)的泄漏風(fēng)險。

　　（4）數(shù)據(jù)存儲安全：為存儲在各類關(guān)系型數(shù)據(jù)庫、分布式數(shù)據(jù)倉庫、非關(guān)系型數(shù)據(jù)庫和非結(jié)構(gòu)化數(shù)據(jù)源中的重要業(yè)務(wù)數(shù)據(jù)提供加密存儲和密文訪問控制服務(wù)，避免外部攻擊、內(nèi)部違規(guī)導(dǎo)致的數(shù)據(jù)泄露風(fēng)險。

　?。?）數(shù)據(jù)共享與交換安全：為數(shù)據(jù)中心外部和內(nèi)部的縱向流通和橫向共享提供認證授權(quán)、按需脫敏、數(shù)據(jù)安全標(biāo)識、流轉(zhuǎn)跟蹤等數(shù)據(jù)安全可控技術(shù)。確保數(shù)據(jù)共享發(fā)布時的數(shù)據(jù)來源真實，重要業(yè)務(wù)數(shù)據(jù)、涉敏等重要數(shù)據(jù)內(nèi)容合規(guī)，交換實體可信、交換行為可查。

　　（6）數(shù)據(jù)銷毀安全：在數(shù)據(jù)使用完成后采用全自動、半自動和手工擦除方式，對數(shù)據(jù)內(nèi)容進行安全銷毀，防止數(shù)據(jù)被惡意竊取和利用。

　　4.2.4  數(shù)據(jù)安全審計與稽核

　　收集數(shù)據(jù)全生命周期安全管控和數(shù)據(jù)資產(chǎn)綜合管理過程中各個環(huán)節(jié)的數(shù)據(jù)加密狀態(tài)、數(shù)據(jù)脫敏狀態(tài)、應(yīng)用通道、數(shù)據(jù)使用行為等信息，利用人工智能技術(shù)進行智能關(guān)聯(lián)和分析，實現(xiàn)數(shù)據(jù)安全風(fēng)險分析與告警、數(shù)據(jù)融合與安全事件溯源取證、分布式數(shù)據(jù)泄露稽查取證、數(shù)據(jù)共享安全性評估仲裁和數(shù)據(jù)安全防護失效性分析能力，并根據(jù)以上能力進一步優(yōu)化數(shù)據(jù)安全策略。

　　5  結(jié)束語

　　隨著數(shù)字化轉(zhuǎn)型發(fā)展，數(shù)據(jù)呈現(xiàn)“爆炸式”的增長和積累，大數(shù)據(jù)已經(jīng)成為各國爭取的戰(zhàn)略制高點，數(shù)據(jù)安全也被提到了新的高度。面向“ 讓數(shù)據(jù)使用更安全”的目標(biāo)，本文介紹了數(shù)據(jù)安全治理的背景、概念、必要性及發(fā)展，提出了一種以安全標(biāo)識為基礎(chǔ)的數(shù)據(jù)安全治理體系框架和技術(shù)架構(gòu)，分析了以密碼為核心基于數(shù)據(jù)安全標(biāo)識的數(shù)據(jù)安全治理技術(shù)，為信息時代數(shù)字化轉(zhuǎn)型升級提供安全保障。

　　參考文獻

　　[1] 中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標(biāo)綱要[Z], 2021.

　　[2] 中國軟件評測中心。 電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全治理白皮書（2020年）[R], 2020.

　　[3] 趙潔， 張凱， 田鵬。 高校數(shù)據(jù)安全治理實踐[J]. 網(wǎng)絡(luò)空間安全， 2019,10（3）：81-84.

　　[4] 楊楠楠。 中國網(wǎng)絡(luò)空間國家大數(shù)據(jù)安全治理研究[D]. 南京師范大學(xué)， 2018.

　　[5] 中國信息通信研究院。 大數(shù)據(jù)白皮書（2020年）[R], 2020.

　　[6] ForgeRock. ForgeRock consumer identity breach report[R], 2020.

　　[7] 中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理工作組。 首屆中國數(shù)據(jù)安全治理高峰論壇成功舉行[EB/OL]. （2017-06-16）[2021-06-20]. https://m.sohu.com/a/150768864_427953/.

　　[8] 中國（中關(guān)村）網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟， 北京網(wǎng)絡(luò)信息安全技術(shù)創(chuàng)新產(chǎn)業(yè)聯(lián)盟， 中國保密協(xié)會產(chǎn)業(yè)分會。 第二屆中國數(shù)據(jù)安全治理高峰論壇在京召開[EB/OL]. （2018-05-22）[2021-06-20]. https://blog.csdn.net/csdn_bang/article/details/80417867.

　　[9] 中國（中關(guān)村）網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟， 北京網(wǎng)絡(luò)信息安全技術(shù)創(chuàng)新產(chǎn)業(yè)聯(lián)盟， 中國保密協(xié)會產(chǎn)業(yè)分會。 第三屆中國數(shù)據(jù)安全治理高峰論壇圓滿落幕[EB/OL]. （2019-04-26）[2021-06-20].