数字经济背景下的数据安全建设思路
来源:电子政务网 更新时间:2022-10-09

 

数字经济的概念和分类
数字经济这个概念最早产生于国外。据已有资料记载,1996年,美国学者唐·泰普斯科特(Tapscott)在《数字经济:网络智能时代的前景与风险》中首次提出了数字经济的概念。我国数字经济的权威定义产生于2016年的G20杭州峰会,会上发布的《二十国数字经济发展与合作倡议》中提到,“数字经济是以使用数字化的知识和信息作为关键生产要素、以现代信息网络作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的一系列经济活动。”
去年5月,发改委发布《数字经济及其核心产业统计分类(2021)》,将数字经济的关键生产要素从原有的“数字化的知识和信息”改为了“数据资源”,并将数字经济的产业范围按照产业数字化和数字产业化两个维度确定为5个大类,分别为01数字产品制造业、02数字产品服务业、03数字技术应用业、04数字要素驱动业、05数字化效率提升业。其中01-04是数字产业化,属于数字经济核心产业,是指为产业数字化发展提供数字技术、产品、服务、基础设施和解决方案,以及完全依赖于数字技术、数据要素的各类经济活动,主要包括计算机通信和其他电子设备制造业、电信广播电视和卫星传输服务、互联网和相关服务、软件和信息技术服务业等,是数字经济发展的基础;05是产业数字化,指应用数字技术和数据资源为传统产业带来的产出增加和效率提升,是数字技术与实体经济的融合。

 

近年来,我国数字经济蓬勃发展,产业规模持续快速增长。新型基础设施建设提速,数字产业化深入推进。大数据、云计算、人工智能加速融入工业、能源、医疗、交通、教育、农业等行业。据工信部统计数据显示,从2012年至2021年,我国数字经济规模从11万亿元增长到超45万亿元,数字经济占国内生产总值比重由21.6%提升至39.8%。
数字经济相关重要政策
自2019年十九届四中全会以来,中央和各级政府先后发布多项政策文件,围绕数据要素发展进行谋篇布局并逐步细化。2019年10月,中共中央《中国共产党第十九届中央委员会第四次全体会议公报》将数据明确纳入生产要素;2020年4月,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,首次提出培育数据要素市场;2021年3月,全国人大通过“十四五”时期的发展目标,即要建立健全数据要素市场规则;2022年1月,国务院办公厅《要素市场化配置综合改革试点总体方案》细化“十四五”时期探索建立数据要素市场规则的具体要点;2022年6月,中央全面深化改革委员会第二十六次会议强调“加快构建数据基础制度”,提出要建立数据产权制度,推进数据分类分级、确权授权使用,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制。科学认识、统筹谋划、有序推进数据要素统一大市场的建设势在必行。

 

在2022年1月发布的《“十四五”数字经济发展规划》中,国家确立了2025年的发展目标,明确了信息网络基础设施优化升级、数据质量提升、数据要素市场培育等11项重要工程,并从增强网络安全防护能力、提升数据安全保障水平、有效防范各类风险三个方面,明确提出了数字经济安全体系的具体建设要求。
数字经济背景下的数据安全建设
数据资源作为数字经济的关键要素,与土地、劳动力、资本等传统生产要素存在很大区别。中国工程院院士邬贺铨指出,数据要素具有“可见性、易理解性、可连接性、可信性、互操作性、安全性、资产性、归属性、开放性”九大特征,每个特征在数字经济中发挥作用的同时都伴随着数据安全风险。以数据的资产性为例,数据在发挥资产属性的过程中,涉及元数据管理、数据资产开发、数据资产流动、数据资产运维等阶段,将需要身份认证、数据加密、脱敏、差分隐私、数据水印、安全审计、运维监控等手段来保障各阶段数据要素的安全。另外,在数据采集、整合、服务鉴权、数据应用环节,也需要采用去隐私化、数据库审计、访问控制、数字水印等手段,进行数据资产的安全管理。
当前,国家开启“东数西算”工程、多地建立数据交易所、企业加快“数字化转型”进程,数据连接和访问频繁,数据应用范围扩大,业务系统加速融合,网络安全和数据安全风险随之加大。云计算、大数据、人工智能等新技术的应用,提高数据流通效率,扩大数据价值发挥空间的同时,数字基础设施成为网络攻击的重要目标;物联网等新场景将传感网络、移动通信网络和互联网融合于一体的异构网络,打破了传统的网络边界,也导致安全风险叠加。
为应对这些新挑战,数据安全工作势必要采取新的思路,用新的方法解决新的问题。在这个背景下,数据安全产业从基于具体应用进行单一防护的1.0阶段,迈入了基于数据处理活动场景进行生命周期防护的2.0阶段,并正在加速向为数据和业务体系化融合提供安全保障的3.0阶段迈进。数据安全建设也从以技术防护为主,到管理和技术并重,再发展成基于用户场景和具体业务提供定制服务,通过组织、管理、技术、运营四大体系的同步规划、同步建设、同步运行,共同保障数据安全:
数据安全组织体系,由决策层、管理层、监督层和执行层构成。将组织高层纳入决策层,负责制定数据安全目标和愿景,在业务发展和数据安全之间做好平衡;将IT线、安全线、业务线的管理人员纳入管理层,制定数据安全规划和策略,以及管理制度和操作规范;将数据安全技术人员和各部门接口人纳入执行层,负责安全策略和规范的具体执行;将法务部门、风控部门以及部分高层人员纳入监督层,负责执行情况的监督,并对合规情况、策略有效性进行评估以备后续改进。
数据安全管理体系,由战略方针、标准基线、指南细则三个层次的管理制度构成。在数据安全组织体系搭建完备,各层组织人员履行职责的前提下,通过规划总体战略目标和阶段性行动方针,制定管理制度和合规基线,落实指南细则并监督运行效果,保障数据安全管理体系的高效运转和持续优化。
数据安全技术体系,是针对数据从采集、传输、存储、使用到销毁的全流程,制定的数据安全防护策略和落地方案。技术体系既需要DLP、数据库审计、数据脱敏等较为成熟的数据安全技术和能力,又需要统一管控平台、零信任、分类分级、隐私计算等较新的理念和手段来实现数据共享开放的安全性。此外,防火墙、身份认证、访问控制等传统的网络安全手段同样不可或缺,以保障底层数字基础设施的安全运行。
数据安全运营体系,由数据资产识别、数据安全评估、数据安全监测、应急响应、灾难恢复、溯源分析等关键活动构成。运营体系将通过与技术体系相配合,保障数据安全策略的合理部署和高效运转,并通过对大量运营数据的分析,总结经验和不足,最终作用于组织、管理、技术体系,促进整个数据安全建设体系的可持续优化。

为实现四大体系的同步运行,企业需要建立数据安全综合管理平台,集成覆盖数据识别、防护、监测、响应、恢复(IPDRR)各阶段的安全能力模块,向上为组织制度统一贯彻提供能力支撑,向下作为统一调度中心,联动各项安全能力,保证子系统数据的统一汇聚和统筹管理。平台以数据发现和数据分类分级为基础,汇集数据扫描、文件加密、数据访问控制、数据水印、数据脱敏等技术,通过全平台数据采集和协议内容还原,进行数据资产管理及分类分级、数据安全策略联防联控、数据安全事件综合分析、数据追踪溯源分析、数据安全风险应急响应急处置,最终实现合规有序、有效保护、高效运营的数据安全体系构建。
随着业务数据化和数据资产化,大规模数据共享和业务协同的需求激增。为适应数据安全保障新需求,需要从全局层面整合资源,结合管理、技术和服务,形成符合企业现实需要,逐步落地、持续深化的数据安全保障体系。管理层面,开展组织人员搭建、制度流程建设、安全策略制定等工作,明确数据安全工作的责任、分工和方法;技术层面,统筹落实数据梳理、分类分级、风险评估、防护策略等内容的基础上,以数据和身份为中心,执行数据流转和访问行为的动态监控、综合分析、智能响应,建立及时高效、可持续优化的安全防护和运营体系;服务层面,通过访谈调研、安全咨询、安全培训,帮助企业摸清数据安全现状,提升数据安全意识,夯实数据安全能力。最终随着实践经验的积累,以及创新技术和应用的成熟,持续加强安全与业务的深层融合。(中国数据安全产业网)


作 者系北京亿赛通科技发展有限公司