專題丨數(shù)據(jù)安全治理體系與技術(shù)研究

數(shù)據(jù)安全治理體系與技術(shù)研究

李曉偉  吳迎  鄒彧  白云飛

（興唐通信科技有限公司，北京 100191）

摘要：隨著數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化的快速推進(jìn)，數(shù)據(jù)已經(jīng)成為數(shù)字化轉(zhuǎn)型時(shí)代的核心競爭力。隨著數(shù)據(jù)成為資產(chǎn)，成為基礎(chǔ)設(shè)施，數(shù)據(jù)的安全受到前所未有的重視和保護(hù)。數(shù)據(jù)安全治理融合了數(shù)據(jù)安全技術(shù)和數(shù)據(jù)安全管理，是以“數(shù)據(jù)使用安全”為目標(biāo)的技術(shù)體系。通過對數(shù)據(jù)安全治理的必要性以及其發(fā)展現(xiàn)狀進(jìn)行分析，提出了一種以數(shù)據(jù)安全標(biāo)識為基礎(chǔ)的數(shù)據(jù)安全治理體系框架和技術(shù)架構(gòu)。

關(guān)鍵詞：數(shù)據(jù)安全；數(shù)據(jù)安全治理體系；數(shù)據(jù)安全標(biāo)識

中圖分類號：TN929.11      文獻(xiàn)標(biāo)識碼：A

引用格式：李曉偉, 吳迎, 鄒彧, 等. 數(shù)據(jù)安全治理體系與技術(shù)研究[J]. 信息通信技術(shù)與政策, 2021,47(8):51-55.

doi：10.12267/j.issn.2096-5931.2021.08.008

0  引言

《中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》明確提出數(shù)據(jù)是推動數(shù)字化發(fā)展的關(guān)鍵要素，必須加快數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化，推進(jìn)數(shù)字化發(fā)展。為更好地發(fā)揮數(shù)據(jù)的基礎(chǔ)資源作用和創(chuàng)新引擎作用，要做好數(shù)據(jù)資源的開發(fā)、利用和保護(hù)：一方面要使數(shù)據(jù)連起來、跑起來、用起來；另一方面要強(qiáng)化數(shù)據(jù)的安全保障^[1]。數(shù)據(jù)安全治理是“圍繞數(shù)據(jù)安全使用”的愿景，以“讓數(shù)據(jù)使用更安全”為目的的安全體系構(gòu)建方法論，覆蓋了敏感信息管理、安全防護(hù)、合規(guī)三大目標(biāo)構(gòu)建而成的技術(shù)體系。它不僅是一套多種數(shù)據(jù)安全工具協(xié)同組合的產(chǎn)品級解決方案，而且是從管理制度到工具支撐，從決策層到技術(shù)層，自上而下貫穿整個(gè)組織架構(gòu)的完整體系鏈條^[2-4]。

1  數(shù)據(jù)安全治理的必要性

數(shù)據(jù)的安全和使用是相互矛盾需要調(diào)和的兩個(gè)方面，既要確保數(shù)據(jù)的高效使用，又要保證數(shù)據(jù)的安全管理，成為一個(gè)值得關(guān)注的問題。

（1）數(shù)據(jù)規(guī)模暴漲，戰(zhàn)略價(jià)值提升。根據(jù)《大數(shù)據(jù)白皮書（2020年）》統(tǒng)計(jì)^[5]，2020年全球共產(chǎn)生數(shù)據(jù)量達(dá)到47 ZB，預(yù)計(jì)到2035年這一數(shù)據(jù)量將達(dá)到2142 ZB，全球數(shù)據(jù)量逐年迎來爆發(fā)式的規(guī)模增長，數(shù)據(jù)己成為一種能夠影響國家戰(zhàn)略決策的戰(zhàn)略資源，誰掌握了更多、更有價(jià)值的數(shù)據(jù)，誰就掌握了未來的主動權(quán)。

（2）數(shù)據(jù)泄露頻繁，安全需要治理。根據(jù)ForgeRock《消費(fèi)者身份信息違規(guī)報(bào)告》2020年公布的數(shù)據(jù)^[6]，網(wǎng)絡(luò)犯罪分子在2019年暴露了超過50 億條數(shù)據(jù)記錄，給美國造成了超過1.2 萬億美元的損失。隨著數(shù)據(jù)泄露問題的日趨嚴(yán)重，對數(shù)據(jù)安全治理的需求越來越迫切。

（3）政策要求明確，推進(jìn)治理實(shí)施。我國已發(fā)布《中華人民共和國數(shù)據(jù)安全法》，明確了數(shù)據(jù)安全的重要性，對數(shù)據(jù)安全防護(hù)提出了基本要求。隨著網(wǎng)絡(luò)安全戰(zhàn)略地位的上升和國家大數(shù)據(jù)戰(zhàn)略的加快實(shí)施，數(shù)據(jù)安全已經(jīng)成為我國重點(diǎn)關(guān)注的問題。

2  數(shù)據(jù)安全治理發(fā)展現(xiàn)狀

2.1  國際發(fā)展

在國際上，Gartner對數(shù)據(jù)安全治理進(jìn)行了一系列研究，近年來推出了一系列研究報(bào)告和框架模型^[2]：2015年，提出數(shù)據(jù)安全治理的概念和相應(yīng)的原則與框架；2017年，提出適用于數(shù)據(jù)安全評估與控制的持續(xù)自適應(yīng)安全風(fēng)險(xiǎn)和信任評估模型（CARTA）；2018年，發(fā)布研究報(bào)告《如何使用數(shù)據(jù)安全治理框架》，正式提出數(shù)據(jù)安全治理（DSG）框架；2020年4月，提出安全和風(fēng)險(xiǎn)管理者應(yīng)借助DSG框架，在兩種數(shù)據(jù)泄露防護(hù)（DLP）方案之間做選擇。

2.2  國內(nèi)發(fā)展

2017年，中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟成立數(shù)據(jù)安全治理工作組，組織召開首屆數(shù)據(jù)安全治理高峰論壇^[7]；2018 年，在第二屆數(shù)據(jù)安全治理高峰論壇上成立全國首個(gè)數(shù)據(jù)安全領(lǐng)域的專項(xiàng)委員會——數(shù)據(jù)安全治理委員會，并發(fā)布《數(shù)據(jù)安全治理白皮書》^[8]；2019年，在第三屆數(shù)據(jù)安全治理高峰論壇上數(shù)據(jù)安全治理委員會發(fā)布《數(shù)據(jù)安全治理建設(shè)指南》及《數(shù)據(jù)安全治理白皮書2.0》^[9]。

3  數(shù)據(jù)安全治理體系框架設(shè)計(jì)

圍繞數(shù)據(jù)安全治理需求，本文借鑒國內(nèi)外數(shù)據(jù)安全治理研究成果，基于“標(biāo)識數(shù)據(jù)、梳理資產(chǎn)、動態(tài)防護(hù)、精確管控、持續(xù)提升”理念，從組織建設(shè)、過程管理、技術(shù)支撐、治理評價(jià)和制度體系五個(gè)維度構(gòu)建以數(shù)據(jù)為中心、安全標(biāo)識為基礎(chǔ)，以組織管理為核心的數(shù)據(jù)安全治理體系框架（見圖1）。