穿行数字经济时代,数据如何找到“安全感”?
科技云报道数据作为数字经济时代的新型生产要素,正快速融入经济社会的方方面面,甚至常常被形容为“未来的石油”。
在数字经济时代,数据安全与数据流通同等重要。但随着我国数字经济驶入快车道,数据流动和安全发展的矛盾也逐渐显现。数字化程度越高,安全风险就越大。节点越来越多,各业务系统产生的数据呈指数增长,这都将为数据信息安全防护带来巨大的难度。
对于“未来的石油”的数据来说,如何既保障数据的安全,又能充分释放其价值,既是一个重要的时代命题,也将一个巨大的产业机遇。
数据安全威胁向各领域渗透
在数字化的新发展格局下,数据已成为重要的国家战略资源,5G、人工智能等新一代数字技术与社会生产生活深度融合,随之而来的是网络安全威胁进一步向各个领域渗透,网络安全形势日益复杂。
IBM和Ponemon研究所联合发布的一份全球性的研究报告显示,2022年全球数据泄露规模和平均成本均创下历史新高,数据泄露事件的平均成本高达435万美元,比2021年增长了2.6%,自2020年以来增长了12.7%。
数据安全风险也呈现多样性。在数据采集侧:2020年滴滴违规采集和使用个人信息,被罚款80亿;数据存储侧:2021年GetHealth子公网数据库位置密码保护没导致6100多万条健康数据泄露;数据传输侧:2022年Accellion文件传输系统遭到黑客攻击,导致多家企业数据泄露;数据使用与加工侧:2023年日产汽车北美公司的第三方服务提供商在使用客户数据开发软件时,发生了数据泄露事件,约18000名客户受到影响;数据销毁侧:2018年,链家删库事件,导致链家大部分业务瘫痪。
数据安全向3.0阶段进化
从技术发展角度看,数据安全的发展历程可大致分为三个阶段,从早期的以数据库为主的单系统安全,到数据生命周期的安全,再到数据基础设施安全,当前正在由第二阶段向第三阶段发展和演变。
在行业发展早期主要以数据库等单系统的安全为核心。
这一时期数据安全主要强调针对数据的边界防护以及内容审计,特别是数据库系统作为数据的重要载体,数据库安全是数据安全最重要的组成部分,数据库安全也与网络边界安全在思想上也形成了直接的对应关系,数据库加密对应磁盘加密,数据库防火墙对应防火墙/UTM,数据库审计对应IDS入侵检测,数据库漏扫对应漏洞扫描等。这一阶段数据安全产品主要以数据库安全、DLP 等产品为主。
随着数据的使用与流转不再局限于单个业务部门,跨业务部门跨网络边界的数据流动成为常态,数据安全开始逐渐以企业整体的安全为核心。
这一时期随着网络架构和IT架构的演变,数据也从过去以数据库为载体的单一场景向云、大、物、移等其他场景不断延伸。
在这一阶段,数据安全的重心不再仅是针对数据库等单一系统,而是针对数据的整个生命周期进行体系化治理,因此数据安全的产品也开始迅速丰富,同时更强调对技术的综合应用,包括数据分级分类,数据安全平台、数据监控与审计、IAM等技术得以快速发展。
随着数字经济时代的到来,数据资产成为了国家的战略资源和核心资产,数据安全脱离了单独的个人或企业层面,开始以数字经济基础设施的安全为核心。
这一时期,数据交易市场开始逐渐形成,对于银行、电信、能源等关键基础设施机构以及阿里、腾讯等大型互联网公司而言,数据泄露不仅对企业造成严重损失,同时也将威胁到公共安全乃至国家安全。
因此在这一时期,数据已经脱离的单个企业层面,成为了国家的战略性资源。从2021年数据安全政策的密集出台可以看出,国家监管部门对数据安全的高度重视。在这一时期数据治理、隐私计算等技术将开始得到广泛应用。
从法规到技术筑牢数据安全防线
随着数据安全建设体系化需求的不断提升,未来下游用户的需求更多的将是整体的解决方案,而非单点的技术和产品,需要将各类数据安全产品和工具进行有机组合,并建立贯穿业务、制度、流程的数据安全框架,这也将导致行业门槛的不断提高。
首先,事前需要对数据资产进行全面的分类分级,结合企业的业务和系统的特点进行风险评估,明确未来数据安全需要达到的目标,并针对不同风险等级的数据在不同场景下进行相应的管控措施。
其次,过去单点作战的模式已经不适应当前数据安全建设需求,现在更多的是需要将各类数据安全技术和产品有机组合起来,通过整体解决方案来实现对数据采集、传输、存储、处 理、交换、销毁的全生命周期的管理。
第三,数据安全不仅仅是工具和技术的组合,更是需要从决策流程到管理制度到全面支撑。因此一个数据安全项目往往需要从企业管理层和单位一把手开始,从管理制度、业务流程出发,才能自上而下建立一套完善的数据安全管理框架。
在第六届中国数据安全治理高峰论坛上,中国科学院院士冯登国指出,数字身份是数据安全治理的关键抓手,全面建设实施我国网络空间可信身份战略任重道远。个人用户身份管理体系需进一步优化结构、AI实体管理必须提上日程、数据身份需要数据标签和各类身份管理支撑等均需尽快落实。只有真正实现数字身份服务的自主可控和韧性,才能保障网络信任体系正常运转。
中国科学院院士冯登国安华金和创始人兼CEO刘晓韬表示,数据安全需要多元共治,协同治理。新技术赋能治理能力不断创新、技术创新与对抗博弈推动安全治理日趋深化、数据安全治理从被动到主动转移、跨境流动治理有序推动数字经济全球化,数据安全治理将一步步迈向坦途。
安华金和创始人兼CEO刘晓韬
峰会期间,《数据安全治理白皮书5.0》同期发布。从近年来我国数据战略及数据安全形势研判、数据安全治理概念与治理理念及框架、数据安全关键技术到多行业的场景化治理实践等多元视角,综合解读政策法规及安全事件,剖析数据安全治理面临的挑战与治理方法论,并提出数据安全治理未来的发展和倡议,成为数据安全治理领域的重要参考和指引。
如今,数据安全已经成为网络行业景气度最高的赛道之一。从当前国家对数据安全的重视程度和政策出台的频率来看,未来将会有相关政策的持续落地。无论是数据安全整体解决方案,还是数据防泄漏、APP隐私合规、大数据交易沙箱、数据信托等细分赛道均存在较大机会,产业提速将成为大概率事件。
相关阅读
“暴风骤雨”之下,企业数据安全能力建设迎来“觉醒年代”
数据如水海纳百川,数据湖如何成为数据治理的新范式?
解码2022中国网安强星丨 让数据使用自由而安全,安华金和“三驾马车”驱动数据安全治理
数据安全法之下,数据确权有法可依吗?
用户信息泄露事件频现,数据安全建设该如何升级?
【科技云报道原创】
转载请注明“科技云报道”并附本文链接