供水技術(shù)標(biāo)準(zhǔn)轉(zhuǎn)型中的數(shù)據(jù)安全,如何做到風(fēng)險(xiǎn)控制?
2023(第八屆)供水高質(zhì)量發(fā)展論壇上,合肥供水集團(tuán)有限公司總經(jīng)濟(jì)師朱波以“供水技術(shù)標(biāo)準(zhǔn)轉(zhuǎn)型中的數(shù)據(jù)安全”為題做了分享。他表示,數(shù)據(jù)安全治理是數(shù)據(jù)治理的一個(gè)子集,安全治理既可在數(shù)據(jù)治理框架下進(jìn)行,也可獨(dú)立實(shí)施。欲速則不達(dá),數(shù)據(jù)的安全問題得不到妥善解決,那么寧愿數(shù)字化轉(zhuǎn)型慢一點(diǎn),或者不轉(zhuǎn)型,也不能在錯(cuò)誤的方向上漸行漸遠(yuǎn)。
?
朱波
合肥供水集團(tuán)始建于1954年,國有獨(dú)資大型企業(yè),注冊資本9億元,主要承擔(dān)合肥市區(qū)和巢湖、肥西、北城等區(qū)域的供水保障與服務(wù)工作。目前,集團(tuán)資產(chǎn)總額132億元,下轄制水廠9個(gè),日供水能力295.5萬立方米,直徑75毫米以上供水管網(wǎng)11277公里,用戶304萬戶,服務(wù)面積897平方公里。
數(shù)據(jù)安全領(lǐng)域的“三駕馬車”,深度解讀《數(shù)據(jù)安全法》
2021年6月10日,十三屆全國人大常委會第二十九次會議表決通過了《中華人民共和國數(shù)據(jù)安全法》,于2021年9月1日起施行?!稊?shù)據(jù)安全法》與《網(wǎng)絡(luò)安全法》、《個(gè)人信息保護(hù)法(草案)》一起成為數(shù)據(jù)安全領(lǐng)域基礎(chǔ)性法律體系“三駕馬車”,保證數(shù)據(jù)安全實(shí)踐有法可依,同時(shí)將數(shù)據(jù)安全提升至國家層面的新高度。
《數(shù)據(jù)安全法》的制定,是維護(hù)國家安全的必要要求,是維護(hù)人民群眾合法權(quán)益的客觀需要,同時(shí)也是促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展的重要舉措?!稊?shù)據(jù)安全法》的價(jià)值定位包括堅(jiān)持安全與發(fā)展并重、加強(qiáng)具體制度與法律框架銜接、回應(yīng)實(shí)踐問題及社會關(guān)切。
《數(shù)據(jù)安全法》是數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律,基礎(chǔ)性法律的功能更多注重的不是解決問題,而是為問題的解決提供指導(dǎo)思路,問題的解決需要依靠相配套的法律法規(guī)。
監(jiān)管主體和工作機(jī)制方面,中央國家安全領(lǐng)導(dǎo)機(jī)構(gòu)作為總體統(tǒng)籌,國家網(wǎng)信部門、中央軍事委員會、公安/國家安全機(jī)關(guān)等部門、組織組成監(jiān)管執(zhí)行,為各行業(yè)制定數(shù)據(jù)行為規(guī)范,加強(qiáng)數(shù)據(jù)安全保護(hù)。
?
伴隨數(shù)據(jù)安全領(lǐng)域法律法規(guī)、合規(guī)政策的陸續(xù)頒布,監(jiān)管機(jī)制逐步完善,數(shù)據(jù)安全事件的影響已經(jīng)不局限于經(jīng)濟(jì)損失、聲譽(yù)損害,還可能面臨巨額罰款和刑事責(zé)任。
?
根據(jù)供水領(lǐng)域要求,制定數(shù)據(jù)安全標(biāo)準(zhǔn)體系
領(lǐng)域熱點(diǎn)方面,包括數(shù)據(jù)安全工具、數(shù)據(jù)安全治理、數(shù)據(jù)安全培訓(xùn)、數(shù)據(jù)安全咨詢四部分。
數(shù)據(jù)安全工具:數(shù)據(jù)資產(chǎn)體量巨大、分布廣泛、動(dòng)態(tài)流轉(zhuǎn),高效的數(shù)據(jù)安全工具是數(shù)據(jù)安全保護(hù)的戰(zhàn)略制高點(diǎn)。在數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)分類分級、隱私計(jì)算、數(shù)據(jù)脫敏、數(shù)據(jù)安全運(yùn)營等方向,數(shù)據(jù)安全廠商正在積極布局。
數(shù)據(jù)安全治理:圍繞數(shù)據(jù)生命周期,建立數(shù)據(jù)安全治理體系是數(shù)據(jù)安全保障的基礎(chǔ)。DSMM作為國內(nèi)探索、實(shí)踐多年的數(shù)據(jù)安全治理抓手,助力持續(xù)提升數(shù)據(jù)安全治理成熟度水平,確保數(shù)據(jù)安全合規(guī)運(yùn)營。
數(shù)據(jù)安全培訓(xùn):場景化宣貫提高數(shù)據(jù)安全理論水平,實(shí)戰(zhàn)化培訓(xùn)驗(yàn)證數(shù)據(jù)安全技術(shù)能力。數(shù)據(jù)安全意識的普及,有利于規(guī)范數(shù)據(jù)保護(hù)理念與行為,營造數(shù)據(jù)安全氛圍與生態(tài),幫助數(shù)據(jù)安全保障工作持續(xù)、有序、穩(wěn)定開展。
數(shù)據(jù)安全咨詢:數(shù)據(jù)價(jià)值凸顯,數(shù)據(jù)安全意識覺醒。數(shù)據(jù)安全風(fēng)險(xiǎn)通過數(shù)據(jù)流轉(zhuǎn),形成難以分割的動(dòng)態(tài)風(fēng)險(xiǎn)整體,增加數(shù)據(jù)安全保障的難度。數(shù)據(jù)安全咨詢成為破局的關(guān)鍵,市場需求與日俱增。
朱波表示,維護(hù)數(shù)據(jù)安全,應(yīng)當(dāng)堅(jiān)持總體國家安全觀,建立健全數(shù)據(jù)安全治理體系,提高數(shù)據(jù)安全保障能力。
?
數(shù)據(jù)安全制定方面,根據(jù)國家對供水行業(yè)的要求,共分為數(shù)據(jù)分類分級、數(shù)據(jù)安全風(fēng)險(xiǎn)評估、數(shù)據(jù)安全應(yīng)急處置、數(shù)據(jù)安全審查、數(shù)據(jù)出口管制、數(shù)據(jù)反歧視、數(shù)據(jù)安全管理、數(shù)據(jù)交易管理共八個(gè)方面。
?
數(shù)據(jù)安全發(fā)展主要包括數(shù)據(jù)安全標(biāo)準(zhǔn)、數(shù)據(jù)安全服務(wù)、數(shù)據(jù)應(yīng)用創(chuàng)新三方面。
?
朱波表示:“數(shù)據(jù)安全國家標(biāo)準(zhǔn)方面,從數(shù)據(jù)安全方向、個(gè)人信息保護(hù)方向出發(fā),頒布了安全及技術(shù)要求標(biāo)準(zhǔn)、管理指南類標(biāo)準(zhǔn)以及測試評估規(guī)范類標(biāo)準(zhǔn)三類標(biāo)準(zhǔn)。電信行業(yè)、金融行業(yè)等都有相應(yīng)的數(shù)據(jù)標(biāo)準(zhǔn),但供水領(lǐng)域數(shù)據(jù)安全標(biāo)準(zhǔn)體系尚未建立,這將是供水企業(yè)今后努力的方向及目標(biāo)?!?/span>
針對數(shù)據(jù)安全治理難點(diǎn),分享實(shí)踐經(jīng)驗(yàn)
數(shù)據(jù)安全治理路徑主要是以數(shù)據(jù)為中心,圍繞數(shù)據(jù)生命周期全過程,融合技術(shù)、管理和運(yùn)營,打造涵蓋“云、網(wǎng)、端”的時(shí)空一體化動(dòng)態(tài)安全防護(hù)體系,確保數(shù)據(jù)流轉(zhuǎn)全過程持續(xù)處于有效保護(hù)、合法利用的狀態(tài),保障數(shù)據(jù)安全釋放價(jià)值。
數(shù)據(jù)安全治理難點(diǎn)可以總結(jié)為數(shù)據(jù)是否泄漏無感知、泄漏途徑難確認(rèn)、泄漏事件難溯源、數(shù)據(jù)資產(chǎn)不清晰、數(shù)據(jù)分級分類無法落地、數(shù)據(jù)訪問控制難落地、數(shù)據(jù)安全人才缺失七個(gè)方面。
朱波介紹,核心技術(shù)能力主要包括智能數(shù)據(jù)分類分級、數(shù)據(jù)風(fēng)險(xiǎn)監(jiān)測、數(shù)據(jù)泄密溯源、數(shù)據(jù)安全管控四方面。
智能數(shù)據(jù)分類分級:通過人工智能和機(jī)器學(xué)習(xí)技術(shù),自動(dòng)提取數(shù)據(jù)特征,進(jìn)行數(shù)據(jù)分類分級標(biāo)簽推薦,從而大幅提升數(shù)據(jù)分類分級的效率。
數(shù)據(jù)風(fēng)險(xiǎn)檢測:基于大數(shù)據(jù)計(jì)算以及用戶行為分析技術(shù),對用戶數(shù)據(jù)訪問流量進(jìn)行建模,自動(dòng)生成安全基線;基線內(nèi)容如誰在訪問數(shù)據(jù),訪問什么數(shù)據(jù),通過何種途徑,什么時(shí)間,訪問了多少數(shù)據(jù)等;基于安全基線以及異常行為特征模型對數(shù)據(jù)訪問行為進(jìn)行研判,感知風(fēng)險(xiǎn),上報(bào)告警,如:數(shù)據(jù)越權(quán)使用、API異常調(diào)用、運(yùn)維人員批量讀取敏感數(shù)據(jù)等。
數(shù)據(jù)泄密溯源:當(dāng)前主流數(shù)據(jù)共享方式中,傳統(tǒng)的嵌入追溯水印方式不再有效。通過可疑第三方檢測模型對數(shù)據(jù)泄露內(nèi)容進(jìn)行數(shù)據(jù)檢測,快速定位出可能的數(shù)據(jù)泄露源頭,大大提升數(shù)據(jù)泄露溯源的速度。
數(shù)據(jù)安全管控:基于智能數(shù)據(jù)分類分級結(jié)果,對不同角色用戶訪問數(shù)據(jù)進(jìn)行不同數(shù)據(jù)安全訪問策略控制。
會上,朱波也將合肥供水集團(tuán)的實(shí)踐經(jīng)驗(yàn)進(jìn)行了分享。
在高度重視下,數(shù)據(jù)安全事件仍然頻發(fā)。內(nèi)因是獲取數(shù)據(jù)有利可圖,數(shù)據(jù)憑借自身價(jià)值,擁有“內(nèi)泄外竊/越權(quán)使用”的天然驅(qū)動(dòng)力。外因是數(shù)據(jù)安全保護(hù)不力,涉及數(shù)據(jù)權(quán)責(zé)不明確、數(shù)據(jù)狀況不清晰、制度策略不完備、防護(hù)理念不匹配等層面的問題。各行業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)大、泄露事件頻發(fā)。
在此背景下,合肥供水集團(tuán)建立數(shù)據(jù)安全助力框架。
?
管理體系方面,定目標(biāo)、規(guī)框架,建立企業(yè)級數(shù)據(jù)中心。合肥供水集團(tuán)詳細(xì)調(diào)研31個(gè)主要業(yè)務(wù)系統(tǒng)、16個(gè)業(yè)務(wù)部門,進(jìn)行數(shù)據(jù)規(guī)劃,形成9大標(biāo)準(zhǔn)規(guī)范,數(shù)據(jù)中心已采集數(shù)據(jù)18億條,已治理數(shù)據(jù)8.9億條。數(shù)據(jù)共享交換具有8.3億條共享能力,共享至表務(wù)系統(tǒng)2500萬條、管網(wǎng)運(yùn)維系統(tǒng)58萬條、超等額累進(jìn)加價(jià)系統(tǒng)233萬條、合肥市數(shù)據(jù)資源局1100萬條等。
?
數(shù)據(jù)安全治理制度框架方面,合肥供水集團(tuán)為決策者、管理層、執(zhí)行層分別制定了相應(yīng)匹配的制度,并建立了相應(yīng)的32個(gè)一類到四類的數(shù)據(jù)安全辦法、規(guī)范、細(xì)則和手冊。
?
技術(shù)體系方面,基于零信任構(gòu)筑的數(shù)據(jù)安全。采用SDP(軟件定義邊界)架構(gòu)打造的新一代終端安全接入架構(gòu),由零信任安全網(wǎng)關(guān)、管理平臺、客戶端及終端安全監(jiān)測四個(gè)部分構(gòu)成,提供多種認(rèn)證、終端環(huán)境檢查、跨網(wǎng)隔離、非法外聯(lián)檢測、NAT溯源等能力的端到端安全防護(hù),構(gòu)建安全、易用、易管、穩(wěn)定的可控可管的 “一機(jī)兩網(wǎng)” 安全環(huán)境。
?
?技術(shù)體系:合肥供水集團(tuán)數(shù)據(jù)安全體系
?
技術(shù)體系:數(shù)據(jù)全生命周期安全體系建設(shè)
朱波最后表示,數(shù)據(jù)安全治理是數(shù)據(jù)治理的一個(gè)子集,安全治理既可在數(shù)據(jù)治理框架下進(jìn)行,也可獨(dú)立實(shí)施。欲速則不達(dá),數(shù)據(jù)的安全問題得不到妥善解決,那么寧愿數(shù)字化轉(zhuǎn)型慢一點(diǎn),或者不轉(zhuǎn)型,也不能在錯(cuò)誤的方向上漸行漸遠(yuǎn)。理想的方案是獲取全量數(shù)據(jù)安全指標(biāo);經(jīng)濟(jì)的方案是能夠滿足當(dāng)前業(yè)務(wù)的風(fēng)險(xiǎn)控制需求。把未知的風(fēng)險(xiǎn)轉(zhuǎn)變?yōu)橐阎娘L(fēng)險(xiǎn),再去尋找抵御風(fēng)險(xiǎn)和提升防御能力的方法。
數(shù)據(jù)安全治理只有起點(diǎn)沒有終點(diǎn),數(shù)據(jù)安全保護(hù)永遠(yuǎn)在路上。