數(shù)據(jù)安全治理的行業(yè)實踐研究

王慶德 呂 欣 王慧鈞 劉海洋 秦天雄

1(國家信息中心 北京 100045)2(騰訊安全云鼎實驗室 北京 100086)3(騰訊研究院 北京 100086)(839084971@qq.com)

數(shù)據(jù)治理是數(shù)字時代經(jīng)濟和社會治理的基礎(chǔ)性問題，也是當(dāng)前國內(nèi)外學(xué)術(shù)界和產(chǎn)業(yè)界高度關(guān)注的重要議題.確立科學(xué)合理、切實可行的數(shù)據(jù)安全治理目標是數(shù)據(jù)安全治理的基石.近年來，隨著數(shù)據(jù)安全治理研究的不斷深入，對數(shù)據(jù)安全治理目標的理解更加注重協(xié)同性和發(fā)展性，注重把安全能力融入到業(yè)務(wù)流程中.即數(shù)據(jù)安全治理應(yīng)以保障數(shù)據(jù)本身完整性、保密性與可用性為基礎(chǔ)，以防范和控制因數(shù)據(jù)處理活動給個人、社會、國家等帶來的安全風(fēng)險為核心，以助力業(yè)務(wù)協(xié)同發(fā)展為重要方向.既在具體的場景中讓數(shù)據(jù)“遵規(guī)守序”，又能為數(shù)據(jù)發(fā)展利用提供適度空間.

1 數(shù)據(jù)安全治理的政策法規(guī)

根據(jù)國家法律法規(guī)和行業(yè)實踐，數(shù)據(jù)安全治理目標應(yīng)以滿足法律法規(guī)要求為前提，以符合行業(yè)特點為參考，以數(shù)據(jù)處理者的個性化需要為落腳點.目前我國在政策法規(guī)(如表1所示)、標準、技術(shù)等方面進行了積極探索，制定了大量的制度性規(guī)范.以《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)為例，其將數(shù)據(jù)治理分為促進數(shù)據(jù)開發(fā)利用和保障數(shù)據(jù)安全2方面.但由于數(shù)據(jù)安全治理作為一個新領(lǐng)域本身尚需摸索實踐，且數(shù)據(jù)安全治理過程中面臨諸多主體的利益平衡，治理難度和業(yè)務(wù)協(xié)調(diào)復(fù)雜程度均較高，導(dǎo)致對數(shù)據(jù)安全治理的內(nèi)涵、目標存在多種理解.目前行業(yè)內(nèi)已經(jīng)開展了一些探索：有的從戰(zhàn)略規(guī)劃、安全管理、安全技術(shù)維度構(gòu)建了數(shù)據(jù)安全保障技術(shù)方案[1]；有的提出了包括技術(shù)、用戶、法規(guī)、意識等內(nèi)容的治理維度[2]；有的提出了涵蓋管理、技術(shù)、評估和運營等內(nèi)容的分析框架[3]；有的從各國戰(zhàn)略規(guī)劃、政策制定、立法執(zhí)法等角度，梳理了主要國家的數(shù)據(jù)治理理念和治理方案[4].

表1 互聯(lián)網(wǎng)領(lǐng)域數(shù)據(jù)安全治理法律體系梳理

這些研究從不同角度推進了對數(shù)據(jù)安全治理的認識，但直接聚焦于行業(yè)數(shù)據(jù)安全治理頂層設(shè)計方面的研究還很少.為探索包容性更強、更科學(xué)、更可持續(xù)、對行業(yè)直接借鑒意義更強的數(shù)據(jù)安全治理體系，本文通過理論分析與行業(yè)實踐總結(jié)，對構(gòu)建數(shù)據(jù)安全治理體系有關(guān)的目標、架構(gòu)、具體內(nèi)容和行業(yè)實踐等進行了研究，以期為各行業(yè)數(shù)據(jù)安全監(jiān)管機關(guān)和數(shù)據(jù)處理者開展數(shù)據(jù)安全治理提供參考.

2 數(shù)據(jù)安全治理的技術(shù)標準

數(shù)據(jù)安全治理能力是保障企業(yè)數(shù)據(jù)安全的重要能力，如何認識、評估、建設(shè)這一能力是數(shù)據(jù)安全治理體系構(gòu)建的重要基礎(chǔ).基于上述數(shù)據(jù)安全治理目標，結(jié)合多年行業(yè)實踐，本文試圖構(gòu)建一套以描述數(shù)據(jù)安全決策體系為主要內(nèi)容的數(shù)據(jù)安全治理體系.

2.1 國家標準體系

《中華人民共和國數(shù)據(jù)安全法》第17條明確指出：“國家推進數(shù)據(jù)開發(fā)利用技術(shù)和數(shù)據(jù)安全標準體系建設(shè).國務(wù)院標準化行政主管部門和國務(wù)院有關(guān)部門根據(jù)各自的職責(zé)，組織制定并適時修訂有關(guān)數(shù)據(jù)開發(fā)利用技術(shù)、產(chǎn)品和數(shù)據(jù)安全相關(guān)標準.國家支持企業(yè)、社會團體和教育、科研機構(gòu)等參與標準制定.”目前在國家數(shù)據(jù)安全治理標準方面，已經(jīng)逐漸搭建起較為全面立體的國家標準體系(如表2所示)，而且在具體的行業(yè)領(lǐng)域還在繼續(xù)制定完善相應(yīng)的標準體系，比如2022年3月7日工業(yè)和信息化部發(fā)布了《車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標準體系建設(shè)指南》，提出到2023年底初步構(gòu)建起車聯(lián)網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全標準體系.

表2 數(shù)據(jù)安全治理的國家標準梳理

2.2 可量化數(shù)據(jù)安全指標體系

與數(shù)據(jù)安全密切相關(guān)的信息安全行業(yè)，多年來在借鑒從定性到定量綜合集成的系統(tǒng)科學(xué)思想中，不斷完善評價相關(guān)信息安全保障能力的指標體系，給出了相應(yīng)的測評方法，以提高認識的科學(xué)性和精確性[5].數(shù)據(jù)安全治理也有必要通過更直觀的方式對其能力進行評估，為決策者提供更清晰的判斷依據(jù).數(shù)據(jù)安全治理能力可量化的關(guān)鍵點和難點是對可觀察、可計量、可統(tǒng)計的指標體系的搭建.這一搭建過程除了準確理解國家法律法規(guī)要求以外，還需有較為豐富的行業(yè)實踐.本文通過不斷地構(gòu)建、調(diào)整、試錯、完善，提出了指標體系1.0版(如表3所示).

表3 數(shù)據(jù)安全治理能力可量化指標體系(部分)

具體而言，指標體系將數(shù)據(jù)安全治理能力細分為6個1級類別，分別是：數(shù)據(jù)資產(chǎn)管理能力、數(shù)據(jù)安全運營能力、數(shù)據(jù)安全管控能力、數(shù)據(jù)環(huán)境安全能力、數(shù)據(jù)安全感知能力、數(shù)據(jù)處理合規(guī)能力.同時在6個1級類別之下進一步區(qū)分了多項2級類別，并在此基礎(chǔ)上進一步細化具體的能力點.按照得分表進行打分，打分標準采用百分制.不同行業(yè)、企業(yè)，具體打分表不完全相同.在具體打分規(guī)則上，為提高科學(xué)性，將分數(shù)分為2部分：一部分是能力得分=已具備能力數(shù)量/應(yīng)具備能力數(shù)量×100，另一部分是能力有效性得分=(能力a得分+能力b得分+……)/總分數(shù)×100(能力有效性按1～10打分).其中通過前者可明確知悉自身當(dāng)前治理能力距離目標能力的差距；而后者則可清晰表達出當(dāng)前特定能力的上升空間，從而明確數(shù)據(jù)安全治理工作的方向和內(nèi)容.兩者分數(shù)相加，能力得分×50%+能力有效性得分×50%，即為該數(shù)據(jù)處理者的數(shù)據(jù)安全治理能力可量化得分.以某民航企業(yè)為例，經(jīng)過打分，其數(shù)據(jù)安全治理能力如圖1所示.該民航企業(yè)通過對其數(shù)據(jù)安全治理能力進行量化分析，對其目前具有的數(shù)據(jù)安全治理能力以及需要完善方向都清晰掌握，在此基礎(chǔ)上制定有針對性的數(shù)據(jù)安全治理能力提升方案.需要說明的是，該指標體系并非封閉的體系，不同企業(yè)、行業(yè)組織都可根據(jù)自己的情況進行調(diào)整，完善形成適合本組織的指標體系，并依據(jù)該指標體系清晰掌握自身的數(shù)據(jù)安全能力(如圖1所示).

圖1 某企業(yè)的數(shù)據(jù)安全治理能力圖

2.3 多元化數(shù)據(jù)治理體系

產(chǎn)業(yè)數(shù)字化的快速發(fā)展必將積累越來越多的數(shù)據(jù)，這些數(shù)據(jù)規(guī)模大、種類多、變化快、處理難度大，涉及的個人、組織眾多，安全問題復(fù)雜程度高、數(shù)據(jù)安全目標趨于多元化，協(xié)調(diào)數(shù)據(jù)安全治理的目標、手段就顯得愈加重要，也更加迫切需要用體系化的思維建立系統(tǒng)性的治理思路.具體而言，數(shù)據(jù)安全治理體系化的含義是：數(shù)據(jù)安全治理要利用各種制度建立銜接，從制度、人員、技術(shù)、審計、運營5個維度全面開展，并相互關(guān)聯(lián)和支撐，將數(shù)據(jù)安全治理相關(guān)能力進行統(tǒng)一管理，統(tǒng)一實施，從頂層進行統(tǒng)籌建設(shè)實現(xiàn)能力建設(shè)集中化、能力輸出標準化.具體而言，企業(yè)數(shù)據(jù)安全相關(guān)管理制度是企業(yè)開展數(shù)據(jù)安全治理工作的依據(jù)；企業(yè)的人員組織是保障數(shù)據(jù)安全治理順利開展的人力保障；數(shù)據(jù)安全技術(shù)是開展數(shù)據(jù)安全治理的重要手段；企業(yè)數(shù)據(jù)安全審計機制是各項制度要求正確執(zhí)行的重要保障；企業(yè)數(shù)據(jù)安全運營是通過隱患排查、風(fēng)險評估、模擬攻擊、規(guī)范流程等手段持續(xù)形成“業(yè)務(wù)-發(fā)展-安全”閉環(huán)管理，并對數(shù)據(jù)安全治理相關(guān)內(nèi)容持續(xù)完善，不斷提升治理體系化水平.總體來看，這5個維度相互促進，作為協(xié)調(diào)的整體缺一不可.

多元化的知識結(jié)構(gòu)和團隊構(gòu)成對于數(shù)據(jù)安全治理具有重要意義.國內(nèi)有研究人員提出：數(shù)據(jù)人才需要橫跨3個專業(yè)：數(shù)學(xué)、商科、計算機[6].國際數(shù)據(jù)管理協(xié)會所制定的數(shù)據(jù)管理知識體系中則包含11大類知識[7]，多元的知識結(jié)構(gòu)是數(shù)據(jù)安全治理領(lǐng)域的特殊要求.缺乏多元知識結(jié)構(gòu)很難全面達到數(shù)據(jù)安全治理綜合性的要求.

3 數(shù)據(jù)安全治理的行業(yè)實踐

在上述基礎(chǔ)上，本文從數(shù)據(jù)安全治理能力應(yīng)當(dāng)可量化、輕量化、體系化、知識結(jié)構(gòu)多元化、常態(tài)化5方面，并結(jié)合民航、汽車、金融、能源和零售行業(yè)實踐展開分析.

3.1 汽車行業(yè)實踐

數(shù)據(jù)安全治理能力在可量化實踐中已經(jīng)進行了諸多探索.汽車行業(yè)在數(shù)據(jù)安全相關(guān)法律法規(guī)頒布以前，并未形成系統(tǒng)化開展數(shù)據(jù)安全治理工作的思路，通常是以配置單個安全產(chǎn)品的方式應(yīng)對單點安全風(fēng)險.《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》等法律法規(guī)頒布以后，為滿足數(shù)據(jù)安全合規(guī)要求，通過引入可量化能力體系，開展了數(shù)據(jù)資產(chǎn)梳理和數(shù)據(jù)處理活動梳理等工作，并基于對汽車行業(yè)需要滿足的數(shù)據(jù)安全法規(guī)，進行安全風(fēng)險分析，采用自動化智能工具梳理數(shù)據(jù)資產(chǎn).不僅全面梳理出各類數(shù)據(jù)資產(chǎn)(包括數(shù)據(jù)庫、表、字段、賬號、權(quán)限等)，同時借助人工智能技術(shù)自動將敏感數(shù)據(jù)識別出來，形成敏感數(shù)據(jù)清單(汽車敏感數(shù)據(jù)包括車主身份證、手機號、行車軌跡、車牌號、地址等)，在此基礎(chǔ)上，形成特色鮮明、切實可行的量化指標體系，化解了業(yè)務(wù)便捷性和安全合規(guī)性之間的矛盾.根據(jù)量化清單和打分標準進行第1次合規(guī)體檢后，該企業(yè)發(fā)現(xiàn)了其治理能力的不足與短板，后據(jù)此制定數(shù)據(jù)治理能力提升方案，并確定了提升目標，實施以后達到預(yù)期效果.

3.2 民航業(yè)行業(yè)實踐

數(shù)據(jù)安全治理能力在實踐中對輕量化具有很強的訴求，數(shù)據(jù)安全治理最有效的手段是通過網(wǎng)關(guān)的模式、驗證等的手段，實現(xiàn)對數(shù)據(jù)處理風(fēng)險的攔截.但網(wǎng)關(guān)模式會造成數(shù)據(jù)業(yè)務(wù)的連續(xù)性和性能減弱問題，大多場景下都無法實際采用.按照輕量化的思路，可采取不改變網(wǎng)絡(luò)結(jié)構(gòu)、不改變數(shù)據(jù)流動過程、不進行定制開發(fā)和改造，采取旁路阻斷、面向應(yīng)用的加解密技術(shù)、畫像分析等方式.例如在旁路阻斷中，可通過數(shù)據(jù)訪問流量的分析，判斷是否予以攔截，并在數(shù)據(jù)訪問結(jié)束前進行干擾，采取屏蔽等措施實現(xiàn)阻斷的效果，未成功阻斷的則及時告警.再比如就數(shù)據(jù)加密而言，數(shù)據(jù)安全一方面是要通過加密技術(shù)對數(shù)據(jù)本身起到保護的作用，另一方面是對數(shù)據(jù)的操作行為進行管控；網(wǎng)關(guān)式的管控能夠攔截違規(guī)行為，但對數(shù)據(jù)業(yè)務(wù)影響很大；通過旁路數(shù)據(jù)安全審計的方式起不到攔截的作用.因此，需將2項技術(shù)的能力進行融合并對實現(xiàn)方式進行調(diào)整，做到既能攔截違規(guī)行為，又不影響數(shù)據(jù)業(yè)務(wù).通過流量抓取技術(shù)對所有數(shù)據(jù)訪問行業(yè)進行獲取，并通過協(xié)議解析技術(shù)拆解協(xié)議內(nèi)容，判斷該次數(shù)據(jù)訪問是否違規(guī).如果判斷屬違規(guī)行為，則會通過流量抓取技術(shù)對數(shù)據(jù)訪問的返回請求進行抓取并篡改，對其數(shù)據(jù)訪問過程進行干擾，最終實現(xiàn)攔截的效果.在民航業(yè)，為追求數(shù)據(jù)業(yè)務(wù)的便捷性和安全性，曾采用諸多非輕量的手段，產(chǎn)生了一些問題.例如：我國某民航企業(yè)，曾通過SDK接口與加密機進行交互來實現(xiàn)數(shù)據(jù)加密，并對各應(yīng)用均進行開發(fā)和改造，導(dǎo)致集成工作大幅增加，但由于加密運算依賴加密機，導(dǎo)致性能出現(xiàn)瓶頸，給業(yè)務(wù)連續(xù)性帶來負面影響.后來按照數(shù)據(jù)安全治理能力的運用應(yīng)當(dāng)輕量化的思路，該民航企業(yè)通過采用面向應(yīng)用的加解密等輕量化技術(shù)，只對應(yīng)用的中間件進行修改即可完成集成工作，免去了對應(yīng)用程序的改造.同時，加解密的運算基于應(yīng)用程序的服務(wù)器，將運算壓力進行分解，使性能達到最優(yōu).由于只對中間件進行少量輕量化改造，未對應(yīng)用和數(shù)據(jù)庫進行改動，因此不僅解決了業(yè)務(wù)連續(xù)性問題，而且投入少、性能高、見效快，取得了良好的治理效果.

3.3 金融行業(yè)實踐

隨著移動支付技術(shù)的發(fā)展，銀行業(yè)對數(shù)據(jù)安全治理體系化有了更高需求，但也開始出現(xiàn)數(shù)據(jù)安全制度和數(shù)據(jù)安全技術(shù)匹配不及時、銜接不力、協(xié)調(diào)性不足的問題，潛在的數(shù)據(jù)安全風(fēng)險遲遲未能有效解決.以某銀行為例，在發(fā)現(xiàn)上述問題后采用了體系化的思路，從制度、人員、技術(shù)、審計、運營5個維度開始同步建設(shè)，并結(jié)合數(shù)據(jù)業(yè)務(wù)和法規(guī)制訂制度與規(guī)范，委托第三方來增強組織人員的能力，以“人工+工具”的方式建立數(shù)據(jù)安全治理的審計能力，并不斷優(yōu)化管理制度和規(guī)范，從而形成較為體系化的數(shù)據(jù)安全治理能力，數(shù)據(jù)安全治理水平得到大幅提高.

3.4 能源行業(yè)實踐

能源行業(yè)同樣存在數(shù)據(jù)安全治理體系化能力不足的問題.在對數(shù)據(jù)安全治理能力進行統(tǒng)一管理和標準化輸出的過程中，實踐的難點在于如何使一套標準滿足所有應(yīng)用的需求，并將繁雜不一的各數(shù)據(jù)安全廠商產(chǎn)品進行統(tǒng)一接入，保障高擴展性，以適應(yīng)未來新安全技術(shù)的引入.實際上通過采用“上下游接口”的方式，在使用層面通過適應(yīng)應(yīng)用的架構(gòu)和調(diào)用方法，形成一套標準的接口，即“上游接口”；在能力接入方面，通過對各數(shù)據(jù)安全治理能力的研究，去異求同，形成統(tǒng)一的流程和方法，即“下游接口”，使得能力需求方和提供方在集成接入時快速改造即可實現(xiàn).以某能源企業(yè)為例，其曾存在諸如重復(fù)投入、數(shù)據(jù)安全治理能力統(tǒng)籌效果差等問題，導(dǎo)致資金投入居高不下，但數(shù)據(jù)治理效果卻遲遲未能見效.在采取體系化思路后，將所有數(shù)據(jù)安全產(chǎn)品的能力輸出形成統(tǒng)一標準，供業(yè)務(wù)使用，最終實現(xiàn)了運維工作減輕、集成工作簡易化、資金投入性價比增加的效果，從而有效控制了資金投入的大幅增長.

3.5 零售行業(yè)實踐

實踐中，數(shù)據(jù)安全治理工作往往需要法務(wù)、業(yè)務(wù)、數(shù)據(jù)安全等部門密切配合，需要數(shù)據(jù)處理者具備多元的知識結(jié)構(gòu)，但這方面人才非常稀缺.為此，一方面需加強對數(shù)據(jù)安全治理工作參與人員的綜合性培訓(xùn)，另一方面也需建立高效的溝通機制，加強信息的傳遞.以某知名零售企業(yè)為例，其經(jīng)過咨詢專門的團隊，加大了對數(shù)據(jù)安全治理機制的構(gòu)建和人才培養(yǎng).通過采用“統(tǒng)一目標、責(zé)任共擔(dān)、知識融合”策略，將具備這3方面能力的人員組成專班或?qū)ｍ椊M，制定頂層目標，即數(shù)據(jù)業(yè)務(wù)全部合規(guī).當(dāng)發(fā)生合規(guī)事件或安全事件時，由專班或?qū)ｍ椊M共同承擔(dān)責(zé)任，避免合規(guī)工作消極對待的現(xiàn)象發(fā)生.同時，通過不斷地溝通和磨合，相互融合知識，達到人員能力橫向發(fā)展的目的，使得各部門代表在專項組中知識結(jié)構(gòu)得到多元化發(fā)展，從而制定出既滿足合規(guī)要求，又切實可行的數(shù)據(jù)安全治理要求，在具體的數(shù)據(jù)安全治理中發(fā)揮了良好效果.

4 數(shù)據(jù)安全治理的建議對策

2022年1月，國家發(fā)展改革委發(fā)布了《“十四五”推進國家政務(wù)信息化規(guī)劃》，要求強化政務(wù)數(shù)據(jù)安全管理，這對政務(wù)數(shù)據(jù)常態(tài)化安全保障進一步指明了發(fā)展方向，是“十四五”期間政務(wù)數(shù)據(jù)安全管理的重要綱領(lǐng)性文件.除了政務(wù)領(lǐng)域以外，其他領(lǐng)域的數(shù)據(jù)安全工作亦是環(huán)環(huán)相扣，相互影響，建立內(nèi)部協(xié)調(diào)的體系化機制有助于提高數(shù)據(jù)安全治理的水平.具體建議如下：

1) 提升數(shù)據(jù)安全治理能力建設(shè)財力投入的體系化.在數(shù)據(jù)安全治理體系建設(shè)之初即從頂層設(shè)計層面統(tǒng)一調(diào)研、統(tǒng)一安排、統(tǒng)一支出、統(tǒng)一建設(shè)，從根本上提高治理的體系化水平，提高協(xié)同性，在具體的財力投入審批過程中，對投入的關(guān)聯(lián)性、重復(fù)性和有效性進行分析，避免重復(fù)財力投入，充分發(fā)揮數(shù)據(jù)安全治理能力的價值，提高數(shù)據(jù)安全治理經(jīng)濟投入的成效.

2) 提升數(shù)據(jù)安全治理手段的標準化.不同的安全產(chǎn)品具有不同的功能和不同的使用流程，很難適用于所有的數(shù)據(jù)安全治理，而且當(dāng)互相不兼容的安全產(chǎn)品集中以后，可能帶來流程不統(tǒng)一、治理效率低的問題.通過體系化的手段，不僅在流程層面實現(xiàn)流程標準化，而且在此基礎(chǔ)上進一步實現(xiàn)調(diào)用接口的標準化，通過填補流程缺陷，大幅提高治理效率.

3) 提升數(shù)據(jù)安全策略的統(tǒng)一化.不同企業(yè)、以及同一企業(yè)的不同產(chǎn)品都可能存在數(shù)據(jù)安全策略不統(tǒng)一的情況.可能帶來不法人員利用策略不統(tǒng)一、不銜接的問題實施網(wǎng)絡(luò)攻擊的隱患，導(dǎo)致數(shù)據(jù)安全風(fēng)險.建立統(tǒng)一協(xié)調(diào)的安全策略可避免各數(shù)據(jù)業(yè)務(wù)分支因安全人員能力差異導(dǎo)致的安全策略參差不齊的問題.

5 結(jié)束語

數(shù)字化治理以數(shù)據(jù)為依托，但數(shù)據(jù)不是目的而是手段.把握數(shù)據(jù)使用的尺度才能最大限度地保障公共利益.數(shù)據(jù)安全治理工作具有行業(yè)性和場景性，很難形成統(tǒng)一，因此，數(shù)據(jù)處理者開展數(shù)據(jù)安全治理工作需從自身數(shù)據(jù)業(yè)務(wù)出發(fā)，在借鑒產(chǎn)業(yè)實踐的基礎(chǔ)上，探索符合自身的數(shù)據(jù)安全治理實踐.隨著數(shù)據(jù)安全治理實踐的不斷豐富，必將形成具有我國特色，符合行業(yè)實踐，最大程度滿足個人、企業(yè)、社會、國家等多方需求的數(shù)據(jù)安全治理體系.加強數(shù)據(jù)安全治理是全球?qū)用娴墓餐厔?，任何一國對本文所涉問題提出的有效解決方案，都必將對他國產(chǎn)生影響，從而一定程度上實現(xiàn)對國際規(guī)則的貢獻.