• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看

      ?

      數(shù)據(jù)安全治理體系與技術(shù)研究

      2021-09-03 02:46:32李曉偉吳迎鄒彧白云飛
      信息通信技術(shù)與政策 2021年8期
      關(guān)鍵詞:數(shù)據(jù)安全生命周期框架

      李曉偉 吳迎 鄒彧 白云飛

      (興唐通信科技有限公司,北京 100191)

      0 引言

      《中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》明確提出數(shù)據(jù)是推動數(shù)字化發(fā)展的關(guān)鍵要素,必須加快數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)數(shù)字化,推進(jìn)數(shù)字化發(fā)展。為更好地發(fā)揮數(shù)據(jù)的基礎(chǔ)資源作用和創(chuàng)新引擎作用,要做好數(shù)據(jù)資源的開發(fā)、利用和保護(hù):一方面要使數(shù)據(jù)連起來、跑起來、用起來;另一方面要強(qiáng)化數(shù)據(jù)的安全保障[1]。

      數(shù)據(jù)安全治理是“圍繞數(shù)據(jù)安全使用”的愿景,以“讓數(shù)據(jù)使用更安全”為目的的安全體系構(gòu)建方法論,覆蓋了敏感信息管理、安全防護(hù)、合規(guī)三大目標(biāo)構(gòu)建而成的技術(shù)體系。它不僅是一套多種數(shù)據(jù)安全工具協(xié)同組合的產(chǎn)品級解決方案,而且是從管理制度到工具支撐,從決策層到技術(shù)層,自上而下貫穿整個(gè)組織架構(gòu)的完整體系鏈條[2-4]。

      1 數(shù)據(jù)安全治理的必要性

      數(shù)據(jù)的安全和使用是相互矛盾需要調(diào)和的兩個(gè)方面,既要確保數(shù)據(jù)的高效使用,又要保證數(shù)據(jù)的安全管理,成為一個(gè)值得關(guān)注的問題。

      (1)數(shù)據(jù)規(guī)模暴漲,戰(zhàn)略價(jià)值提升。根據(jù)《大數(shù)據(jù)白皮書(2020年)》統(tǒng)計(jì)[5],2020年全球共產(chǎn)生數(shù)據(jù)量達(dá)到47 ZB,預(yù)計(jì)到2035年這一數(shù)據(jù)量將達(dá)到2142 ZB,全球數(shù)據(jù)量逐年迎來爆發(fā)式的規(guī)模增長,數(shù)據(jù)己成為一種能夠影響國家戰(zhàn)略決策的戰(zhàn)略資源,誰掌握了更多、更有價(jià)值的數(shù)據(jù),誰就掌握了未來的主動權(quán)。

      (2)數(shù)據(jù)泄露頻繁,安全需要治理。根據(jù)ForgeRock《消費(fèi)者身份信息違規(guī)報(bào)告》2020年公布的數(shù)據(jù)[6],網(wǎng)絡(luò)犯罪分子在2019年暴露了超過50 億條數(shù)據(jù)記錄,給美國造成了超過1.2 萬億美元的損失。隨著數(shù)據(jù)泄露問題的日趨嚴(yán)重,對數(shù)據(jù)安全治理的需求越來越迫切。

      (3)政策要求明確,推進(jìn)治理實(shí)施。我國已發(fā)布《中華人民共和國數(shù)據(jù)安全法》,明確了數(shù)據(jù)安全的重要性,對數(shù)據(jù)安全防護(hù)提出了基本要求。隨著網(wǎng)絡(luò)安全戰(zhàn)略地位的上升和國家大數(shù)據(jù)戰(zhàn)略的加快實(shí)施,數(shù)據(jù)安全已經(jīng)成為我國重點(diǎn)關(guān)注的問題。

      2 數(shù)據(jù)安全治理發(fā)展現(xiàn)狀

      2.1 國際發(fā)展

      在國際上,Gartner對數(shù)據(jù)安全治理進(jìn)行了一系列研究,近年來推出了一系列研究報(bào)告和框架模型[2]:2015年,提出數(shù)據(jù)安全治理的概念和相應(yīng)的原則與框架;2017年,提出適用于數(shù)據(jù)安全評估與控制的持續(xù)自適應(yīng)安全風(fēng)險(xiǎn)和信任評估模型(CARTA);2018年,發(fā)布研究報(bào)告《如何使用數(shù)據(jù)安全治理框架》,正式提出數(shù)據(jù)安全治理(DSG)框架;2020年4月,提出安全和風(fēng)險(xiǎn)管理者應(yīng)借助DSG框架,在兩種數(shù)據(jù)泄露防護(hù)(DLP)方案之間做選擇。

      2.2 國內(nèi)發(fā)展

      2017年,中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟成立數(shù)據(jù)安全治理工作組,組織召開首屆數(shù)據(jù)安全治理高峰論壇[7];2018年,在第二屆數(shù)據(jù)安全治理高峰論壇上成立全國首個(gè)數(shù)據(jù)安全領(lǐng)域的專項(xiàng)委員會——數(shù)據(jù)安全治理委員會,并發(fā)布《數(shù)據(jù)安全治理白皮書》[8];2019年,在第三屆數(shù)據(jù)安全治理高峰論壇上數(shù)據(jù)安全治理委員會發(fā)布《數(shù)據(jù)安全治理建設(shè)指南》及《數(shù)據(jù)安全治理白皮書2.0》[9]。

      3 數(shù)據(jù)安全治理體系框架設(shè)計(jì)

      圍繞數(shù)據(jù)安全治理需求,本文借鑒國內(nèi)外數(shù)據(jù)安全治理研究成果,基于“標(biāo)識數(shù)據(jù)、梳理資產(chǎn)、動態(tài)防護(hù)、精確管控、持續(xù)提升”理念,從組織建設(shè)、過程管理、技術(shù)支撐、治理評價(jià)和制度體系五個(gè)維度構(gòu)建以數(shù)據(jù)為中心、安全標(biāo)識為基礎(chǔ),以組織管理為核心的數(shù)據(jù)安全治理體系框架(見圖1)。

      圖1 數(shù)據(jù)安全治理體系框架

      (1)組織建設(shè):成立專門的安全治理組織和團(tuán)隊(duì),承擔(dān)體系建設(shè)、決策、執(zhí)行和監(jiān)督的職能,保證數(shù)據(jù)安全治理工作的穩(wěn)定、持續(xù)、高效執(zhí)行。數(shù)據(jù)安全治理工作的組織架構(gòu)需與數(shù)據(jù)安全治理的體系框架相匹配,可分為決策層、管理層、執(zhí)行層和監(jiān)督層4個(gè)邏輯層。

      (2)過程管理:為達(dá)到治理目標(biāo)和效果,通過明確的標(biāo)準(zhǔn)步驟執(zhí)行并輸出成果的系列管理流程,主要包括資產(chǎn)梳理管理、治理流程管理、評價(jià)流程管理、監(jiān)督流程管理等。

      (3)技術(shù)支撐:以數(shù)據(jù)安全標(biāo)識技術(shù)為基礎(chǔ),基于數(shù)據(jù)全生命周期安全管控、數(shù)據(jù)資產(chǎn)綜合管理、數(shù)據(jù)安全審計(jì)與稽核等技術(shù),為數(shù)據(jù)安全治理體系提供技術(shù)支撐。

      (4)治理評價(jià):采用監(jiān)督、審計(jì)、分析等手段對數(shù)據(jù)安全治理體系的建設(shè)、管理和運(yùn)行情況進(jìn)行評價(jià),推動體系持續(xù)優(yōu)化,主要包括數(shù)據(jù)安全能力評價(jià)、數(shù)據(jù)安全合規(guī)性評價(jià)、數(shù)據(jù)安全防護(hù)水平評價(jià)等。

      (5)制度體系:為維護(hù)內(nèi)部紀(jì)律和公共利益制定的、治理相關(guān)參與者遵守的政策規(guī)范、標(biāo)準(zhǔn)要求、實(shí)施指南、操作規(guī)程等。

      4 基于數(shù)據(jù)安全標(biāo)識的數(shù)據(jù)安全治理技術(shù)

      4.1 數(shù)據(jù)安全治理技術(shù)架構(gòu)

      在數(shù)據(jù)安全治理體系框架的基礎(chǔ)上,構(gòu)建基于安全標(biāo)識技術(shù)的數(shù)據(jù)安全治理技術(shù)架構(gòu),提供流動中數(shù)據(jù)的全生命周期安全防護(hù)(見圖2)。

      圖2 數(shù)據(jù)安全治理技術(shù)架構(gòu)

      數(shù)據(jù)安全治理技術(shù)架構(gòu)以數(shù)據(jù)安全標(biāo)識技術(shù)為基礎(chǔ),以數(shù)據(jù)資產(chǎn)管理與數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范為基準(zhǔn),依托安全標(biāo)識的生成、編碼、綁定、保護(hù)等技術(shù)手段,圍繞數(shù)據(jù)采集、傳輸、存儲、使用、共享、銷毀等全生命周期處理流程,從數(shù)據(jù)資產(chǎn)綜合管理與分級分類、數(shù)據(jù)全生命周期安全管控、數(shù)據(jù)安全審計(jì)與稽核三方面展開數(shù)據(jù)的安全防護(hù)與治理,實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)安全態(tài)勢可展現(xiàn)、數(shù)據(jù)安全風(fēng)險(xiǎn)可感知、數(shù)據(jù)細(xì)粒度安全策略可運(yùn)維、數(shù)據(jù)安全保密防護(hù)可協(xié)同、數(shù)據(jù)防護(hù)水平可評估、數(shù)據(jù)安全事件可追溯,為加快數(shù)據(jù)資源層形成和應(yīng)用創(chuàng)新能力形成提供技術(shù)保障。

      4.2 數(shù)據(jù)安全治理技術(shù)

      4.2.1 數(shù)據(jù)安全標(biāo)識技術(shù)

      面向數(shù)據(jù)安全治理的數(shù)據(jù)安全標(biāo)識技術(shù)是一種基于密碼技術(shù)的高安全、高可信和高可用的數(shù)據(jù)屬性標(biāo)注與識別技術(shù),為數(shù)據(jù)全生命周期管控提供支撐。數(shù)據(jù)安全標(biāo)識是與數(shù)據(jù)對象安全性相關(guān)的屬性,包括數(shù)據(jù)密級、數(shù)據(jù)種類、數(shù)據(jù)保護(hù)方式、數(shù)據(jù)摘要值、數(shù)據(jù)責(zé)任人等,將數(shù)據(jù)安全標(biāo)識屬性分為基礎(chǔ)屬性和可擴(kuò)展屬性。數(shù)據(jù)密級、數(shù)據(jù)種類是最基本的安全標(biāo)識,是數(shù)據(jù)對象安全防護(hù)措施、知悉范圍控制的基本依據(jù)。數(shù)據(jù)安全標(biāo)識處理包括安全標(biāo)識生成、標(biāo)識編碼、標(biāo)識綁定和標(biāo)識保護(hù)。

      4.2.2 數(shù)據(jù)資產(chǎn)綜合管理與分級分類

      為讓數(shù)據(jù)安全、健康、高效的使用和共享,對多種來源的數(shù)據(jù)進(jìn)行數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)分級分類,對安全風(fēng)險(xiǎn)進(jìn)行動態(tài)度量和評估,針對不同級別的數(shù)據(jù)資產(chǎn)和安全風(fēng)險(xiǎn)采取差異化安全管控措施。在確保數(shù)據(jù)合理合規(guī)流動的前提下,通過數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)分級分類標(biāo)記、數(shù)據(jù)協(xié)同防護(hù)等安全措施為數(shù)據(jù)全生命周期安全保障提供支撐,促進(jìn)數(shù)據(jù)安全高效的開發(fā)利用和共享。

      4.2.3 數(shù)據(jù)全生命周期安全管控

      圍繞數(shù)據(jù)采集、傳輸、使用、存儲、共享、交換和銷毀全生命周期,提供安全標(biāo)識生成/綁定/保護(hù)、數(shù)據(jù)傳輸保護(hù)、數(shù)據(jù)存儲保護(hù)、數(shù)據(jù)防泄漏、數(shù)據(jù)脫敏、細(xì)粒度訪問控制等安全防護(hù)功能。

      圖3 數(shù)據(jù)安全標(biāo)識技術(shù)

      (1)數(shù)據(jù)采集安全:為業(yè)務(wù)系統(tǒng)和用戶提供透明訪問接口、API接口認(rèn)證、設(shè)備認(rèn)證、用戶身份認(rèn)證等多種認(rèn)證方式,對源系統(tǒng)訪問數(shù)據(jù)資源進(jìn)行可信認(rèn)證、資源訪問控制,確保用戶和設(shè)備身份的合法性及未超出授權(quán)使用范圍。

      (2)數(shù)據(jù)傳輸安全:確保數(shù)據(jù)(流式數(shù)據(jù)、數(shù)據(jù)庫、文件、服務(wù)接口等類型的數(shù)據(jù))通過不同采集、傳輸方式時(shí)的完整性、機(jī)密性,主要采取數(shù)據(jù)傳輸加密、數(shù)據(jù)完整性保護(hù)等技術(shù)。

      (3)數(shù)據(jù)使用安全:為數(shù)據(jù)資源訪問、數(shù)據(jù)加工/計(jì)算過程提供細(xì)粒度權(quán)限管控、異常數(shù)據(jù)訪問行為監(jiān)控與阻斷。通過脫敏、訪問代理等技術(shù),降低外部攻擊、內(nèi)部數(shù)據(jù)違規(guī)使用過程中數(shù)據(jù)的泄漏風(fēng)險(xiǎn)。

      (4)數(shù)據(jù)存儲安全:為存儲在各類關(guān)系型數(shù)據(jù)庫、分布式數(shù)據(jù)倉庫、非關(guān)系型數(shù)據(jù)庫和非結(jié)構(gòu)化數(shù)據(jù)源中的重要業(yè)務(wù)數(shù)據(jù)提供加密存儲和密文訪問控制服務(wù),避免外部攻擊、內(nèi)部違規(guī)導(dǎo)致的數(shù)據(jù)泄露風(fēng)險(xiǎn)。

      (5)數(shù)據(jù)共享與交換安全:為數(shù)據(jù)中心外部和內(nèi)部的縱向流通和橫向共享提供認(rèn)證授權(quán)、按需脫敏、數(shù)據(jù)安全標(biāo)識、流轉(zhuǎn)跟蹤等數(shù)據(jù)安全可控技術(shù)。確保數(shù)據(jù)共享發(fā)布時(shí)的數(shù)據(jù)來源真實(shí),重要業(yè)務(wù)數(shù)據(jù)、涉敏等重要數(shù)據(jù)內(nèi)容合規(guī),交換實(shí)體可信、交換行為可查。

      (6)數(shù)據(jù)銷毀安全:在數(shù)據(jù)使用完成后采用全自動、半自動和手工擦除方式,對數(shù)據(jù)內(nèi)容進(jìn)行安全銷毀,防止數(shù)據(jù)被惡意竊取和利用。

      4.2.4 數(shù)據(jù)安全審計(jì)與稽核

      收集數(shù)據(jù)全生命周期安全管控和數(shù)據(jù)資產(chǎn)綜合管理過程中各個(gè)環(huán)節(jié)的數(shù)據(jù)加密狀態(tài)、數(shù)據(jù)脫敏狀態(tài)、應(yīng)用通道、數(shù)據(jù)使用行為等信息,利用人工智能技術(shù)進(jìn)行智能關(guān)聯(lián)和分析,實(shí)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)分析與告警、數(shù)據(jù)融合與安全事件溯源取證、分布式數(shù)據(jù)泄露稽查取證、數(shù)據(jù)共享安全性評估仲裁和數(shù)據(jù)安全防護(hù)失效性分析能力,并根據(jù)以上能力進(jìn)一步優(yōu)化數(shù)據(jù)安全策略。

      5 結(jié)束語

      隨著數(shù)字化轉(zhuǎn)型發(fā)展,數(shù)據(jù)呈現(xiàn)“爆炸式”的增長和積累,大數(shù)據(jù)已經(jīng)成為各國爭取的戰(zhàn)略制高點(diǎn),數(shù)據(jù)安全也被提到了新的高度。面向“讓數(shù)據(jù)使用更安全”的目標(biāo),本文介紹了數(shù)據(jù)安全治理的背景、概念、必要性及發(fā)展,提出了一種以安全標(biāo)識為基礎(chǔ)的數(shù)據(jù)安全治理體系框架和技術(shù)架構(gòu),分析了以密碼為核心基于數(shù)據(jù)安全標(biāo)識的數(shù)據(jù)安全治理技術(shù),為信息時(shí)代數(shù)字化轉(zhuǎn)型升級提供安全保障。

      猜你喜歡
      數(shù)據(jù)安全生命周期框架
      動物的生命周期
      全生命周期下呼吸機(jī)質(zhì)量控制
      框架
      廣義框架的不相交性
      從生命周期視角看并購保險(xiǎn)
      中國外匯(2019年13期)2019-10-10 03:37:46
      云計(jì)算中基于用戶隱私的數(shù)據(jù)安全保護(hù)方法
      電子制作(2019年14期)2019-08-20 05:43:42
      民用飛機(jī)全生命周期KPI的研究與應(yīng)用
      建立激勵相容機(jī)制保護(hù)數(shù)據(jù)安全
      大數(shù)據(jù)云計(jì)算環(huán)境下的數(shù)據(jù)安全
      電子制作(2017年20期)2017-04-26 06:57:48
      WTO框架下
      法大研究生(2017年1期)2017-04-10 08:55:06
      博罗县| 开封市| 肇东市| 萍乡市| 黄浦区| 双江| 万安县| 页游| 阳城县| 成安县| 桦川县| 利津县| 石家庄市| 甘肃省| 乐业县| 景洪市| 灌阳县| 雷州市| 镇远县| 台北市| 澳门| 青冈县| 历史| 民丰县| 仙桃市| 勃利县| 东明县| 清流县| 鄂尔多斯市| 大理市| 霍山县| 迁西县| 塔城市| 富川| 恭城| 织金县| 习水县| 景宁| 五寨县| 兰西县| 凌云县|