3月10日,十四届全国人大一次会议表决通过了关于国务院机构改革方案的决定。方案中包括组建国家数据局,由国家发展和改革委员会管理,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等。
国家数据局的组建,再次肯定了数据资源在国家发展战略中的重要地位,标志着数字中国、数字经济、数字社会建设将得到更加有序的环境和更加常态化的制度保障,数据安全和数字化发展也将得到更好的统筹与推进。
数据安全上升至国家安全高度
2020年4月,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,首次明确将数据作为一种新型生产要素写入文件,与土地、劳动力、资本、技术等传统要素并列,标志着数据成为数字经济时代的基础性资源和重要生产力。
近年来,数据安全重要性凸显,《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《数据出境安全评估办法(征求意见稿)》和《网络数据安全管理条例(征求意见稿)》等数据安全相关法律法规相继出台、实施,填补了我国数据安全保护立法的空白,数据安全市场规模不断增长。
工业和信息化部与国家互联网信息办公室等十六部门联合印发《关于促进数据安全产业发展的指导意见》,提出到2025年数据安全产业规模超过1500亿元,年复合增长率超过30%。
中共中央、国务院印发《数字中国建设整体布局规划》,提出,到2025年,数字基础设施高效联通,数据资源规模和质量加快提升,数据要素价值有效释放,并强调要增强数据安全保障能力。
作为数字经济时代的基础及战略性资源,数据安全得到全球的共同关注。各国陆续将数据安全上升到国家安全的高度。2017年12月,美国发布首份《国家安全战略报告》,便将数据资源视为美国保持其技术优势的重要凭据。根据联合国贸易发展组织(UNCTAD)统计,截至2022年2月21日,全球约80%的国家已完成数据安全和隐私立法,或已提出法律草案。
数据安全面临严峻风险挑战
数据要素价值进一步凸显的同时,也因频繁发生的勒索病毒、特种攻击等事件而面临严峻的泄露风险。根据IBM Security《2022年数据泄露成本报告》显示,全球数据泄露的平均成本创下435万美元的历史新高,并首次发现,83%受访组织已经不是第一次发生数据泄露事件。
与此同时,全球多个权威咨询机构发布2023年网络安全趋势预测,数据保护投资将持续增加、数据泄漏事件将会持续不断发生、数据安全受到高度重视等观点被频繁提及。加强数据安全保护已成为全球命题。
然而,随着数据信息量的快速增长、数据应用场景规模的不断扩大以及数据安全风险挑战的持续升级,数据安全保障工作主要面临以下困局:
1、各方对数据安全认知不统一:数据作为新事物,数据所有者、使用者、生产者等对数据安全的认知不太一致;
2、数据安全从战略到落地任重道远:从国家战略、社会责任到企业战略和个人权益保护,数据安全治理需兼顾各层级战略要求,落地步骤既要统筹考虑又要分层设计还要灵活调整;
3、数据安全工作急需合适思路:在思路方面,虽然数据安全与网络安全治理有一定交叉,但数据安全治理范围更广,所以不能照搬照抄,需要“量身定做”;
4、数据安全工作需要成效推动:数据安全工作面临的问题不仅是工作成效很难定义的困局,还要在这种局面中逐步通过一些可量化和评价的成效反向推动工作开展;
5、数据安全治理手段需重新梳理:数据安全治理需要的技术支撑手段和机制存在一些空白,需要边设计边测试边验证;
6、数据安全工作需找准着力点:数据安全工作千头万绪,需要找到合适的着力点,便于快速落地,以形成效果推动工作全面开展。
测试评估是保障数据安全的核心基础
如何打破重重困局,找准发力点,统筹安全和发展,推动数据安全产业高质量发展,迈入数据安全治理新阶段?
参照《数据安全法》《网络数据安全管理条例(征求意见稿)》《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》等数据安全法律法规,“促进数据安全检测评估”“定期组织开展数据安全宣传教育培训、风险评估”“建立数据安全检测评估体系”等标准要求被多次并重点提及。
从具体的指引来看,构建以安全检测评估为核心,以防范化解重大数据安全风险为目标的数据安全测试评估标准平台,是保障数据安全的核心基础。
《数据安全法》
国家互联网信息办公室《网络数据安全管理条例(征求意见稿)》
《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》
永信至诚数字风洞守护数据安全
作为网络靶场和人才建设领军企业,永信至诚充分结合国家及行业数据安全法律法规要求和数据安全治理现状,依托“数字风洞”产品体系打造全场景、全要素、全生命周期的数据安全测试评估解决方案。
具体到数据安全测试评估工作的开展,永信至诚以3×3×3×(产品×服务)安全感公式为方法论,从数据安全治理要素、数据处理活动和数据安全工作成效等维度综合考虑,重点基于六个方向开展,全面覆盖人、系统、流量、方案等,有效支撑数据收集、存储、使用、加工、传输、提供、公开等数据处理各阶段的安全合规检验及数据分类分级验证与监控审计,助力各行业建立安全测试评估体系,验证数据安全工作成效,提高数据安全保障能力。
1、数据安全检测评估
以《数据安全法》和《网络安全法》为基本,将等级保护、风险评估等标准规范作为关键指标,充分借鉴信息安全实践和成熟的理论模型,全面识别网络及数据在技术层面和管理层面存在的不足,有效达成安全检测的控制和审核。同时,针对数据安全检测、信息系统风险评估检验、软硬件检测分析等主要业务,实现对信息系统安全性的全方位检测评估。
2、数据安全防护验证
着眼于对重要数据安全防护能力有效性开展验证评估,构建相应的测评方案、仿真环境、工具及数据集,结合安全服务赋能,识别并验证其策略存在的风险点位,并提供对应的风险评估模型,为数据安全能力建设和实施提供数字化、流程化和智能化解决方案。
3、数据安全人才培养
人才安全技能培训:为数据安全专业运维人员提供体系化的模拟训练环境和训练科目,为实施日常学习、技能考评、实践强化提供支撑条件,填补“人员进入岗位”到“掌握数据安全运维能力”之间的空白。
数据安全意识提升:设计体系化视频课程、场景案例、虚拟实验等专项内容,为企业员工建立数据安全思维,并对员工数据安全知识进行综合考核,评价员工数据安全掌握水平,评估员工是否达到企业规定的数据安全管理各项要求。
4、数据安全攻防演练
定制专线的数据安全演练规则,面向典型的数据安全应用场景,以演练的方式对数据在收集、存储、使用、加工、传输、提供、公开等全生命周期的安全风险进行筛查。以攻促防,推动安全漏洞隐患、安全时间预警处置闭环,全面检验并提升关键信息基础设施行业数据安全保护能力和水平。
5、数据安全风险诱捕
在数据应用环节,风险来自于外部因素、内部因素、系统安全等各个维度。通过数据仿真技术的数据风险诱捕,及时发现外部入侵、内部违规、系统脆弱性等数据安全问题。
6、异常数据流量监测
对企事业单位网络流量进行分析,及时发现跨网通讯、勒索攻击、后门攻击、非法访问等数据安全威胁和泄露敏感信息等违规行为,防患于未然。同时,基于网络协议承载的敏感数据情况,对敏感行为及内容记录并进行分类分级打标,帮助用户提升敏感数据泄露的监测能力。
在这个“网络与数据无处不在”的数字时代,筑牢网络和数据安全防线对于夯实数字中国建设基础至关重要。
作为网络靶场和人才建设领军者,永信至诚将始终围绕国家需要和市场需求,以规模化发展引领百亿市场空间赛道,为政企用户数字化转型提供专业的网络和数据安全测试保障及专有人才支撑,为我国数字经济安全稳健发展保驾护航,致力于成为中国网络空间与数字时代安全基础设施关键建设者,实现“带给世界安全感”的愿景。