随着《中华人民共和国数据安全法》、《数据出境安全评估办法》、《网络数据分类分级要求》等法律法规和标准的陆续颁布,数据安全发展的政策趋势越来越明朗,但要落实到企业实践当中,还必须有科学的方法做为指导,才能让数据安全和业务融合在一起,数据跑的放心,安全做的有价值。

数据安全是业务安全,不能脱离业务场景谈数据安全,数据安全和业务的关系,往大了比就像行政权和市场的关系,2015年国务院提出“放管服”的改革理念,从简政放权、放管结合、优化服务三个方面梳理行政权和市场的关系。“放管服”简明扼要,浅显易懂,但道理深刻,完全可以用在数据安全管理上:1、可以认为企业数据安全管理就是架在企业业务之上的一项行政管理职能,又跟业务融合在一起,存在业务顺畅与安全的对立和统一。2、“放管服”明确要利用新技术新体制加强监管创新,同样,数据安全管理也需要依靠数据安全技术和数据安全制度体系来落实。3、“放管服”改革以能否为群众生活及办事增加便利为重要标准来衡量政府管理效能,数据安全的建设应以数据能否安全流转来衡量企业的数据安全管理效能。这是因为数据做为重要的信息资产,不论在企业内部还是到外部,安全流转是数据价值产生的重要方式,同时安全流转是数据应用的前提,数据产生、采集、使用、存储直至销毁阶段的数据安全防护都是为了数据安全流转应用这一最终目标,所以衡量数据安全效果的标准应该以数据是否安全流转为重要依据。

“放管服”可以适用指导从制度和技术层面来建设数据安全,但还有一个前提是必须确定管理对象,很多人提到数据安全自然而然的想到安全的管理对象是数据,这也是数据安全的字面意思,但是不能忘记数据安全还有一个重要的管理对象是人。从违规角度讲,数据本身不会违规,所有的流动都是人的意志,违规的一定是人,所以也要把对数据进行操作的人管理好。那么做好数据安全就要增加一个“分”字,分清人的行为和数据这两个管理对象,这样就形成了“分放管服”的数据安全建设理念。

 具体来看,“分”有多重含义,首先要把管人和管数据分开,制定不同的制度,应用不同的技术。对于数据要进行分类分级,识别数据属性、所有权,依法并依据企业实际业务归类,根据敏感或重要程度分级,逐渐形成重要数据资产化,重要信息敏感化,然后根据类和级定策略进行保护。不同行业数据模型有很大差别,基本原则是一样的。对于人要区分对象,分清职责和权限,权责对等,并减少特权账户,根据职责和权限匹配业务策略,匹配数据策略,确保权责和数据重要程度匹配,和业务的重要性匹配,有利于保障业务在保证数据安全的情况下畅通运行。“分”是源头,非常重要。数据分类分级没做好就会导致乱管,越管越乱,限制了业务发展,阻碍了数据流转,最后业务部门抵制;或者对人的权限职责没有分好,造成突破规则、侵占公共数据、滥用或者泄露重要数据等行为,数据安全得不到落实。对数据和人的“分”做好了,就为后面的“放”和“管”打好了基础。

再来看看“放”,“放”其实是明确数据自由流动程度及合规账户能做什么,“放”的目的是为了业务的便利性,让数据快速高效的运转服务于业务。最基本的安全意识告诉我们不能随便对任何数据和行为进行放行,一定建立在“分”的基础上,即做好了数据分类分级、账户分权分责之后制定“放”的策略,并且配备有识别机制根据策略选择放行,不是无脑放行。“放”一定是有规则和标准以及事后管理的,一般数据和合规行为可以放行,但要配备事后要进行审计,发现问题要追溯,就像道路通行有标线有红绿灯也要配备摄像头一样。审计的目的有三个,一是防止新的数据和账户未做好合适的分类分级和分权分责,二是防止特殊审批造成数据和账户权限超出安全底线,第三更重要的是审计由量变到质变引发的安全问题,一个合规账户下载一条业务信息是正常处理,下载一百条有可能就超出了正常业务的范围,就需要预警和处置了。一个网络平台拿到你少量个人信息能做出的东西有限,拿到你大量个人信息,就能准确的对你进行全方位画像。从少量数据到大量数据,到多视角的数据,形成量变到质变,一定会引发安全问题。所以“放”是相对的,要和后面的“管”结合来做。

“管”就更好理解了,制定制度是“管”的依据和行政工具,上安全产品是“管”的技术工具,分类分级和分权分责是确定对象和范围,用行政工具和技术工具管确保对象(数据和人)在约定的范围内按制度运作就是“管”。以数据对象为例,首先对数据的分类分级要合适,定级要准,然后采用合适的技术手段来管。不能一般数据定成重要数据,会增加流转难度影响业务;当然更不能重要数据定成一般数据,会造成数据泄露。“管”的技术工具有很多种,比如DLP、加密、合规审查工具、脱敏、隔离交换、血缘分析工具等等,管理工具和业务场景及业务重要性匹配非常重要,“管”最大的问题是适度,不能一管就死,影响业务发展,影响数据流转,也不能太松,等于没管。所以做好数据安全必须充分了解业务,管控强度和业务重要性进行适配,一般数据进行放行和弱管控,重要数据需要强管控,合法合规行为可以弱管控,合法合规行为滥用必须强管控。

“放”和“管”是动态的,面对复杂的业务场景、多种类大批量的数据以及频繁变化的接触数据的人,需要及时调整“放”和”管”的策略,通过放管结合化被动为主动。数据爆炸性增长,由静态数据安全管理做到动态数据安全管理,由被动数据安全管理做到主动数据安全管理,由单一数据安全管理手段做到智慧综合数据安全管理,是非常难的,需要一个不断持续加强的过程。这就需要能够时时监测到数据状态的变化以及针对数据的行为,需要”服”来完成。

“服”指的是数据安全制度体系和技术手段都是为企业业务服务的,业务数据是核心,确定数据的所有权、使用权和经营权,让数据能够合理合法的被使用和交易,确保数据信息不泄露、数据资产不流失,让数据在保证安全的情况被使用和交易,这就是围绕数据做安全在业务层面的意义。当然数据确权还在国家层面的积极推进当中。那么如何能更好的为业务本身服务呢?就需要搭建数据安全运营管理平台,建立数据识别能力、防护能力、监测处置能力,搭配安全策略,形成综合运营能力。事前能了解每一条敏感数据从产生到存储使用到流转销毁的全生命周期过程,能了解用户对数据的所有操作,实现数据资产的时时动态分析;事中定期扫描敏感数据和高危行为,及时发现风险,并预警及处置,事后能做溯源取证、关联分析。对于跨境跨域数据,具备跨域合规审查能力、安全交换以及追溯能力。通过”服”发现的问题,可以为“分放管”提供更好的实战经验和依据,从而优化“分放管”,形成闭环。

总体来说,“分放管服”数据安全建设理念是一个以“数据和人”为对象构建的数据治理、防护、流转、运营的双闭环体系,帮助企业形成扎实可靠的综合数据安全能力。第一个闭环是从业务源头落实对数据分类分级、对人分权分责,制定和实施不同的策略,通过放管结合,构建动态的、主动的、智慧的、可运营的数据安全服务于业务的体系,形成“分放管服”的正反馈闭环。第二个闭环是从制度层和技术层同时入手,制度主建指导数据安全体系建设,做到有规可依,技术主战保障制度实施,做到有规必依,违规必纠;通过技术不断发现风险补制度漏洞,优化制度,通过制度对技术创新提要求,形成制度和技术的循环优化闭环。制度和技术必须呼应,制度落后于技术,发现问题也无法纠正,制度领先于技术,则制度不一定能完全落地实施。数据无处不在,接触数据的人员纷杂众多,造成暴露面非常多,制度和技术还要坚持和数据同步的原则,即数据出现在哪里,制度要定在哪里,产品技术要跟踪落实到哪里。这样的双闭环体系非常具有可操作性,并且非常高效,可以让企业步步为营,快速提升自身综合数据安全能力,达到数据安全治理、防护、流转和运营的目标,保障涉数据业务合法合规,业务安全可持续运营。

亿赛通提出的“分放管服”和“制度技术循环优化”双闭环建设理念,学习了政府治理的国家级智慧,结合自身多年的数据安全建设经验,在实战中总结提炼而来,希望能为数据安全的发展起到借鉴作用。

——北京亿赛通科技发展有限责任公司总经理 崔培升