基于場景的數據安全治理思路研究

李雪妮 魏 凱

中國信息通信研究院 北京 100191

引言

數據作為新型生產要素，已成為國家重要資產和我國數字經濟發展的基礎戰略資源。2021年以來，國家、行業、地方相繼頒布了大量數據安全政策文件。作為數字經濟健康發展的重要基石，數據安全的重要性愈發突出，數據安全治理需求愈加明顯。

為了梳理數據安全治理的概念內涵，探討企業數據安全建設路線，各行業企業、研究機構紛紛針對數據安全治理目標、治理框架、治理實踐路徑展開論述。當前，圍繞組織建設、制度流程、技術工具、人員能力開展的多維度、多元化數據安全治理能力建設正在高速發展、有力推進[1]。與此同時，企業在體系化建設的實踐過程也面臨新的挑戰，比如大部分企業的數據安全管理制度聚焦在原則、管理規定等較粗顆粒度的層面，對數據業務的下沉指導不充分，導致具體業務場景下的技術落地仍然缺乏實踐指引，容易與管理要求脫節等。

相較于目前較為完善的自上而下的體系化建設思路，本文依據大量行業調研和企業實踐，提出基于業務場景的自下而上的數據安全治理思路。一方面，企業可以從單個業務場景出發，根據實際數據安全需求，小范圍快速落地相關數據安全能力點，再由點及面擴展至全部業務場景，緩解體系化建設的長期性對業務開展的影響；另一方面，企業可以基于實際業務場景的技術落地實踐，總結輸出顆粒度較細、實際指導意義較強的數據安全執行規范作為當前管理制度體系的補充，并進一步用于指導相似場景的安全治理。因此基于場景的建設思路，能夠準確捕捉數據安全實際需求，形成細粒度的指導文件，緩解管理要求與技術現狀不匹配的脫鉤問題。

1 數據安全現狀

1.1 數據安全法律政策逐步細化，政策環境不斷完善

國家層面，逐漸明晰的監管紅線，為企業數據安全建設提供政策引領。2022年7月，網信辦公布《數據出境安全評估辦法》，為各行業企業規范數據出境活動、保護個人信息權益提出了更加具體的要求和措施，翻開了數據出境安全管理的新篇章。行業方面，工信部于2022年10月再次公開征求對《工業和信息化領域數據安全管理辦法(試行)》的意見，明確了重要和核心數據在目錄備案及出境等方面的工作要求，是對工業和信息化領域數據安全管理工作的進一步指導。地方層面，河南省、江西省、重慶市等省市紛紛出臺數據條例，明確數據安全責任義務和管理監督措施等內容，規范各地方數據安全建設工作。

1.2 數據安全技術產品持續變革，產業發展動力愈發強勁

隨著5G、物聯網、云計算等數字技術的快速發展，數據形式更加靈活多樣，傳統數據安全防護邊界被顛覆，新技術應運而生。根據IDC發布的《IDC TechScape：中國數據安全發展路線圖，2022》，零信任之數據安全、AI賦能數據安全、數據風險管理、數據安全基礎設施管理平臺等9項變革性數據安全技術將重塑數據安全市場，創造新的市場機會、新的技術公司以及新的用戶需求。

1.3 數據安全意識及能力逐漸提升，數據安全建設工作逐步啟動

隨著企業數字化轉型的逐漸深入，各行業企業的數據安全意識有效提升，數據安全能力建設不斷突破。據中國信息通信研究院調研，企業在開展數據安全培訓、參與數據安全評估、部署數據安全技術產品等方面需求旺盛。目前已有聯通數科、電信云、中移信息、百度、螞蟻等40余家企業完成數據安全治理能力評估工作，旨在通過“以評促建”方式對標監管要求，梳理建設現狀，推動企業數據安全建設工作的開展。同時，供應側受市場需求引導，奇安信、衛士通等企業也全面開展了數據安全相關產品及服務的研究布局，根據數據安全推進計劃發布的《數據安全產品與服務圖譜(2.0)》，目前共有116家企業、488款產品與服務收錄其中。

2 數據安全治理特點

有效的數據安全治理是企業利用數據賦能業務的重要前提，但傳統的離散式、補丁式的數據安全策略已不能適應當前敏捷化、動態化的業務創新。企業數據安全能力建設重心，也開始從單點技術部署走向廣范圍、細粒度、一體化的全面布局，圍繞組織架構、制度流程、技術工具、人員能力構建“閉環”數據安全體系。金融、電信、互聯網等行業作為數據密集型行業，是產生數據、使用數據最頻繁、場景最豐富的領域，其數據安全已成為企業保障業務發展的內生需求[2-3]。這些行業企業基于不斷細化的法規政策，已開展較為體系化的數據安全建設。

組織架構方面，金融、電信、互聯網等行業的頭部企業已經確立了較為成熟的責任體系，一方面向上對接相應委員會，細化工作內容，另一方面向下對接各業務部門，制定管理要求。制度流程方面，基本建立了自上而下的多層級數據安全管理制度體系，通過一級數據安全管理制度明確原則要求，再通過二級、三級等管理規范的逐級細化，形成可落地的實施細則。技術工具方面，圍繞數據全生命周期，在數據脫敏、監控預警、安全審計等方面構建了覆蓋事前預防、事中監控、事后審計的全流程技術能力底座。人員能力方面，通過建立企業內部數據安全學習專欄，學習國家、行業、企業發布的相關管理要求和工作規程，提高全員數據安全認知水平和建設水平。

3 數據安全治理挑戰

隨著數據安全與合規要求的逐步完善，數據安全建設的內外驅動力逐漸加碼，雖然各行業企業在建設成果上有所突破，但在管理和技術方面仍面臨相應挑戰：一是數據安全責任體系構建尚不成熟。數據在實時產生及流動過程中涉及的主體很多，導致數據安全的主體責任邊界模糊，難以清楚劃分，容易影響數據安全建設工作的整體推進。二是數據安全管理與技術易脫鉤。當前大部分企業的數據安全管理制度聚焦在原則、管理規定等較粗顆粒度的層面，對數據業務的下沉指導不充分，導致具體業務場景下的技術落地仍然缺乏實踐指引，容易與管理要求脫節。三是數據安全產品與服務優勢能力構建有待突破。隨著新技術新業務的不斷發展，傳統網絡安全防護思路與措施已無法滿足當下的數據安全防護需求，供給側數據安全技術產品與服務的突破創新成為競爭關鍵點[4]。

4 基于場景的數據安全治理思路

考慮到前文所述數據安全體系化的建設現狀及建設挑戰，本文從場景化角度切入，基于業務場景提出建設思路，企業可以針對各業務場景細化管理制度的各項安全要求，并敏捷落地相關數據安全能力點，以快速滿足業務場景的數據安全需求，降低數據安全治理的長期性對業務開展的影響[5]，同時緩解數據安全管理與技術的脫鉤問題。場景化數據安全治理思路的總體路線如圖1 所示[6]。

圖1 場景化數據安全治理思路

4.1 全面梳理業務場景

梳理數據資產和業務場景是企業進行場景化數據安全治理建設的前提，可以幫助企業了解數據安全治理對象全貌，為企業場景化數據安全治理提供行動地圖。目前，對業務場景的劃分尚未有統一的標準，本文根據對數據安全供應側及需求側的調研，梳理了基于數據全生命周期的場景劃分方式，如圖2所示。

圖2 基于數據全生命周期的場景劃分

1)數據采集環節主要有個人信息主體數據采集、外部機構數據采集、數據產生等場景。

2)數據傳輸環節主要有內部系統數據傳輸、外部機構數據傳輸等場景。

3)數據存儲環節主要有數據加密存儲、數據庫安全等場景。

4)數據使用環節主要有應用訪問、數據運維、測試和開發、網絡和終端安全、數據準入、數據分析與挖掘等場景。

5)數據共享環節主要有內部共享和外部共享等場景。

6)數據銷毀環節有邏輯刪除、物理銷毀和數據退役等場景。

7)此外還有一些基礎性的工作，如數據分類分級應該作為單獨的場景納入到整體的場景視圖中。

基于數據全生命周期的場景劃分方式，一方面能更好地契合當前法律法規中關于數據全生命周期的安全要求，一方面更加匹配當前主流的數據安全治理體系框架。

4.2 確定業務場景治理優先級

在業務場景梳理完成后，組織需要綜合考慮監管要求、數據安全風險和業務發展需要，明確業務場景治理的開展優先級。

以上文提到的基于數據全生命周期的場景劃分方式為例，數據分類分級是數據安全的基礎性工作基本已經成為行業共識，隨著行業數據分類分級指南的不斷建立和完善，企業應跟緊行業發展步伐，提高數據分類分級工作的優先級。其次，數據采集環節中個人信息主體數據采集、外部機構數據采集等場景均涉及到個人信息權益保護，是當前數據安全合規出現問題的高危場景，容易影響企業品牌形象，因而需要優先治理。此外，數字經濟的繁榮發展離不開數據的流通共享，隨之而來的風險也在不斷顯現，對數據流通的安全保護勢在必行，因而也應著重進行相關場景的安全建設。

4.3 評估業務場景數據安全風險

評估業務場景的數據安全風險是指針對具體場景及其涉及的業務系統和信息系統，綜合考慮合規要求、數據資源重要程度、面臨的數據安全威脅等因素，將數據流動過程的風險點梳理出來，并明確數據安全風險等級。針對數據安全風險評估，全國信息安全標準化技術委員會秘書處圍繞數據安全管理、數據處理活動安全、數據安全技術、個人信息保護四方面提出了如圖3所示的評估框架[7]。

圖3 數據安全風險評估內容框架

企業可以根據該評估框架按照評估準備、信息調研、風險評估、綜合分析、評估總結五個階段開展數據安全風險評估工作[7]。

1)評估準備階段主要工作包括確定評估目標及范圍，組建評估隊伍，開展評估準備并制定評估方案。

2)信息調研階段主要工作包括對數據處理者、數據處理活動、業務和信息系統、數據資產以及安全防護措施進行調研。

3)風險評估階段主要工作是依據圖4的評估框架，按照評估方案開展具體評估活動。

4)綜合分析階段主要工作是根據評估情況形成問題清單，提出整改建議等。

5)評估總結階段主要工作是編制評估報告，企業側根據實際情況開展整改工作。

4.4 制定并實施業務場景解決方案

結合業務場景的數據安全風險評估結果，業務方需要明確進行整改的風險點，并根據相關政策及標準要求，申請充分的資源保障，制定可落地的解決方案。目前，對于部分場景，業界已經形成了一些公認的典型解決方案，例如在數據加密存儲場景中使用加解密系統，并在算法的選擇上避開不安全的MD5、AES-ECB、SHA1等算法，本文以數據分類分級為例，闡述該場景下的解決方案。

1)建立組織保障：數據分類分級作為一項復雜的長期工作，涉及的部門較多，這就需要具備明確的組織架構，為此項工作的協同開展提供有力支撐。

2)進行數據資源梳理：借助數據識別或資產盤點等工具，對企業內部的數據資源進行梳理，明確數據基本信息、數據存儲位置、數據屬主等內容，形成數據資源清單。在實際操作中，可以直接基于全量數據進行梳理，也可以根據數據敏感程度，先進行敏感數據盤點，再逐漸擴展至全量數據范圍。

3)明確數據分類定級的策略：結合國家要求和行業屬性，對類別和級別的劃分方法進行明確，輸出分類分級的工作策略，形成初步的數據分類分級規范。

4)完成分類定級：根據已經形成的分類分級規范，對數據資源清單中的數據逐個進行分類，分類完成后再對每個類別的數據進行定級，并最終輸出分類分級目錄。一般來說，數據類別根據企業實際情況劃分，級別通常是3~5級的劃分方式。

5)制定安全策略：數據分類分級的目的是實現數據安全的精細化管理，因此需要根據數據的級別情況，制定相應的安全管控措施。

6)分類分級結果的持續運營：受到業務發展及監管要求的影響，數據本身及分類分級策略也會相應變化，因此需要持續運營，保持結果的合規性和科學性。

4.5 完善業務場景操作規范

為規范業務場景日常的數據安全管理和運營工作，企業應督促業務部門在實施具體的技術措施后，及時完善該場景下的數據安全操作規程，如《遠程訪問操作規范》《數據備份操作規范》《數據防泄露操作規范》《堡壘機操作規范》等。這些操作規程將作為企業現有數據安全制度體系的補充規范，一方面，可以固化操作流程，保持業務執行的一致性；另一方面，可以在相似業務場景中進行下沉指導，緩解管理與落地的差距。

5 結語

作為數字經濟健康發展的重要基石，數據安全的重要性不言而喻。受國家、行業、地方等數據安全管理政策驅動及企業自身發展的需要，數據安全體系建設進程明顯提速，數據安全供應能力不斷增強，數據安全產業生態各方面都呈現快速發展態勢。然而，隨著數據安全建設工作的逐步啟動，管理與技術兩張皮、數據安全在業務場景的下沉力度不足等問題逐漸浮現，本文通過梳理場景化數據安全建設思路，形成五步走建設思路，能夠與當前體系化數據安全主流建設思想形成互補以應對相關挑戰。