Bootstrap

数据安全前沿技术研究数据安全

合规驱动下的数据安全

在隐私合规 / 数据安全合规视角下,数据安全的需求和驱动力发生了根本性的改变,同时导致数据 安全的内涵在不断外延和扩展。为了更好地理解其演变过程,本文将其分为两个阶段:无合规性
需求与 有合规性需求的数据安全建设,并将其分别定义为数据安全 1.0 与 2.0 阶段。

数据安全

当数据的价值被足够重视的时候,企业就已经开始着手数据安全建设,在这一个阶段将它看作主动 的、数据资产驱动的、投入成本小的数据安全防护。企业的数据安全保护对象是企业定义的敏感数据和 重要资产。一个主要的场景是企业围绕着各类资产数据库的数据展开一系列防护,利用加密、访问控制、 审计和数据库防火墙等传统网络安全
的管控措施,因此这一阶段的数据安全通常归属为网络安全的一个 分支。此外,对于敏感文档和核心技术材料等的保护,通常企业也会采用透明加密、数据防泄漏(DLP) 产品进行安全防护,主要是防止内部人员的非法拷贝和黑客的窃取。
图 2-1 数据安全 1.0:企业重要资产视角下的数据安全防护

数据安全

随着相关法规的逐步实施与完善,那么数据安全问题就已经不再仅仅是企业“关起门”来处理的内 部问题,同时也是国家监管部门参与进来的监管问题。现阶段的数据安全(数据安全 2.0)可以看作 1.0

的升级版,企业的数据安全建设在满足内部数据安全需求的同时,也必须遵循法律法规的合规性条款。 这个过程是被动合规驱动为主、主动数据安全建设为辅、投入成本比较高昂的数据安全建设。数据安全 2.0 相比 1.0 有哪些根本性改变,我们从以下几个维度进行解析:

🅙 数据安全 2.0 保护的数据对象范畴变得更大。
在数据安全 1.0 阶段,企业以重要资产的数据安

全防护为视角,重点保护的数据对象是企业敏感数据,同时也包括一小部分个人隐私数据, 比如用户的登录密码与口令等。在数据安全 2.0 阶段,企业需要保护三类敏感数据,包括企业 敏感数据、个人隐私数据和国家敏感数据,如图 2-2 所示。后两者受法规的监管与保护:欧盟 GDPR、美国 CCPA的法规中明确表示公民的个人隐私数据受保护;我国法规监管对象不仅包括 个人隐私数据,还包括各类国家敏感数据,法规上也称为“重要数据”,比如未公开的政府信息, 大面积人口、基因健康、地理、矿产资源等 [7]。需要强调的是,法规定义的个人数据 / 个人信 息不是传统意义上的身份证号、手机号、地址等个人基本信息,还包括设备的 IP 地址、MAC 地址、Cookie 信息,范围非常宽广(可参考国标《个人信息安全规范》的个人信息举例),这 给企业的敏感数据识别和保护构成巨大的挑战。

图 2-2 数据安全保护的敏感数据对象与范畴

🅙 数据安全 2.0 覆盖的应用场景更加丰富多样。 在 1.0 时代,企业以重要资产的数据为数据安全

保护对象,主要的面向的是数据库和机密文档等环境;而在 2.0 时代,法规监管的基本单位是 数据,而不仅是数据库和文档的数据,还包括大数据平台、文档、云、终端,甚至发展中的 5G、区块链等新型环境的符合法规定义的个人隐私与重要数据,如图 2-3 所示。

🅙 数据安全 2.0 覆盖数据的全生命周期。 1.0 时代,数据安全主要面向数据传输和数据存储过程。2.0

时代,数据安全覆盖数据的全生命周期的各个环节,包括数据采集、传输、存储、处理、交换

和销毁,如图 2-4 所示。比如在数据采集时,必须遵循最小可用、征得用户同意等合规性原则, 进行相应数据安全建设。

图 2-3 数据安全覆盖的各种环境

图 2-4 数据安全的全生命周期

由于合规性、业务增长和数据规模的多重原因,数据安全 2.0 从 1.0 发生迁⸺从小范畴的数据 安全,变成大范畴的数据安全;从单点的数据安全建设,变成体系化的数据安全建设。对于体系化的数 据安全建设,Gartner 认为它是一个数据安全治理的过程 [8]:从上至下,由决策层到技术层,从管理制 度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的 目标达成共识,确保采取合理和适当的措施,以最有效的方式保护数字资产。

绿盟科技的数据安全解决方案在 Gartner 数据治理框架基础上,结合客户的数据安全防护需求,对 实际情况进行研究和实践,建立一套完整科学的数据安全治理方法体系。该体系分为五个基本治理步 骤⸺ “知”、“识”、“控”、“察”、“行”[9-10]。数据安全的体系化建设,一方面意味着企业需 要增加数据安全相关的预算,但另一方面意味着更好地满足合规性和业务需求,收获新的收益。

拥抱合规、超越合规

根据企业的应用场景与数据域分布,可将数据安全合规场景分为用户隐私数据安全合规、企业内部 数据安全治理、企业间数据安全共享与计算三类,这些场景包括一系列子场景,在这些子场景中由于合 规性与数据安全需求的升,给传统的数据安全技术带来了巨大的挑战。如何能更好破局?引入数据安

全前沿与创新技术,为企业的安全场景赋能,成为行业认同的共识。本文后续将从三类场景的多个子场 景的问题挑战出发,阐述相应的数据安全前沿技术,以助力企业更好地应对合规性问题⸺拥抱合规、 超越合规。图 2-5 具体给出超越合规:数据安全场景 -前沿技术图谱,后续三章将从三类场景具体阐述 其涵盖的十种前沿技术。

图 2-5 超越合规:数据安全场景 -前沿技术图谱

参考资料

绿盟 2020 数据安全前沿技术研究报告

友情链接

GB-T 37002-2018 信息安全技术 电子邮件系统安全技术要求

;