供水技術標準轉型中的數據安全,如何做到風險控制?
2023(第八屆)供水高質量發(fā)展論壇上,合肥供水集團有限公司總經濟師朱波以“供水技術標準轉型中的數據安全”為題做了分享。他表示,數據安全治理是數據治理的一個子集,安全治理既可在數據治理框架下進行,也可獨立實施。欲速則不達,數據的安全問題得不到妥善解決,那么寧愿數字化轉型慢一點,或者不轉型,也不能在錯誤的方向上漸行漸遠。
?
朱波
合肥供水集團始建于1954年,國有獨資大型企業(yè),注冊資本9億元,主要承擔合肥市區(qū)和巢湖、肥西、北城等區(qū)域的供水保障與服務工作。目前,集團資產總額132億元,下轄制水廠9個,日供水能力295.5萬立方米,直徑75毫米以上供水管網11277公里,用戶304萬戶,服務面積897平方公里。
數據安全領域的“三駕馬車”,深度解讀《數據安全法》
2021年6月10日,十三屆全國人大常委會第二十九次會議表決通過了《中華人民共和國數據安全法》,于2021年9月1日起施行?!稊祿踩ā放c《網絡安全法》、《個人信息保護法(草案)》一起成為數據安全領域基礎性法律體系“三駕馬車”,保證數據安全實踐有法可依,同時將數據安全提升至國家層面的新高度。
《數據安全法》的制定,是維護國家安全的必要要求,是維護人民群眾合法權益的客觀需要,同時也是促進數字經濟健康發(fā)展的重要舉措?!稊祿踩ā返膬r值定位包括堅持安全與發(fā)展并重、加強具體制度與法律框架銜接、回應實踐問題及社會關切。
《數據安全法》是數據安全領域的基礎性法律,基礎性法律的功能更多注重的不是解決問題,而是為問題的解決提供指導思路,問題的解決需要依靠相配套的法律法規(guī)。
監(jiān)管主體和工作機制方面,中央國家安全領導機構作為總體統(tǒng)籌,國家網信部門、中央軍事委員會、公安/國家安全機關等部門、組織組成監(jiān)管執(zhí)行,為各行業(yè)制定數據行為規(guī)范,加強數據安全保護。
?
伴隨數據安全領域法律法規(guī)、合規(guī)政策的陸續(xù)頒布,監(jiān)管機制逐步完善,數據安全事件的影響已經不局限于經濟損失、聲譽損害,還可能面臨巨額罰款和刑事責任。
?
根據供水領域要求,制定數據安全標準體系
領域熱點方面,包括數據安全工具、數據安全治理、數據安全培訓、數據安全咨詢四部分。
數據安全工具:數據資產體量巨大、分布廣泛、動態(tài)流轉,高效的數據安全工具是數據安全保護的戰(zhàn)略制高點。在數據資產梳理、數據分類分級、隱私計算、數據脫敏、數據安全運營等方向,數據安全廠商正在積極布局。
數據安全治理:圍繞數據生命周期,建立數據安全治理體系是數據安全保障的基礎。DSMM作為國內探索、實踐多年的數據安全治理抓手,助力持續(xù)提升數據安全治理成熟度水平,確保數據安全合規(guī)運營。
數據安全培訓:場景化宣貫提高數據安全理論水平,實戰(zhàn)化培訓驗證數據安全技術能力。數據安全意識的普及,有利于規(guī)范數據保護理念與行為,營造數據安全氛圍與生態(tài),幫助數據安全保障工作持續(xù)、有序、穩(wěn)定開展。
數據安全咨詢:數據價值凸顯,數據安全意識覺醒。數據安全風險通過數據流轉,形成難以分割的動態(tài)風險整體,增加數據安全保障的難度。數據安全咨詢成為破局的關鍵,市場需求與日俱增。
朱波表示,維護數據安全,應當堅持總體國家安全觀,建立健全數據安全治理體系,提高數據安全保障能力。
?
數據安全制定方面,根據國家對供水行業(yè)的要求,共分為數據分類分級、數據安全風險評估、數據安全應急處置、數據安全審查、數據出口管制、數據反歧視、數據安全管理、數據交易管理共八個方面。
?
數據安全發(fā)展主要包括數據安全標準、數據安全服務、數據應用創(chuàng)新三方面。
?
朱波表示:“數據安全國家標準方面,從數據安全方向、個人信息保護方向出發(fā),頒布了安全及技術要求標準、管理指南類標準以及測試評估規(guī)范類標準三類標準。電信行業(yè)、金融行業(yè)等都有相應的數據標準,但供水領域數據安全標準體系尚未建立,這將是供水企業(yè)今后努力的方向及目標?!?/span>
針對數據安全治理難點,分享實踐經驗
數據安全治理路徑主要是以數據為中心,圍繞數據生命周期全過程,融合技術、管理和運營,打造涵蓋“云、網、端”的時空一體化動態(tài)安全防護體系,確保數據流轉全過程持續(xù)處于有效保護、合法利用的狀態(tài),保障數據安全釋放價值。
數據安全治理難點可以總結為數據是否泄漏無感知、泄漏途徑難確認、泄漏事件難溯源、數據資產不清晰、數據分級分類無法落地、數據訪問控制難落地、數據安全人才缺失七個方面。
朱波介紹,核心技術能力主要包括智能數據分類分級、數據風險監(jiān)測、數據泄密溯源、數據安全管控四方面。
智能數據分類分級:通過人工智能和機器學習技術,自動提取數據特征,進行數據分類分級標簽推薦,從而大幅提升數據分類分級的效率。
數據風險檢測:基于大數據計算以及用戶行為分析技術,對用戶數據訪問流量進行建模,自動生成安全基線;基線內容如誰在訪問數據,訪問什么數據,通過何種途徑,什么時間,訪問了多少數據等;基于安全基線以及異常行為特征模型對數據訪問行為進行研判,感知風險,上報告警,如:數據越權使用、API異常調用、運維人員批量讀取敏感數據等。
數據泄密溯源:當前主流數據共享方式中,傳統(tǒng)的嵌入追溯水印方式不再有效。通過可疑第三方檢測模型對數據泄露內容進行數據檢測,快速定位出可能的數據泄露源頭,大大提升數據泄露溯源的速度。
數據安全管控:基于智能數據分類分級結果,對不同角色用戶訪問數據進行不同數據安全訪問策略控制。
會上,朱波也將合肥供水集團的實踐經驗進行了分享。
在高度重視下,數據安全事件仍然頻發(fā)。內因是獲取數據有利可圖,數據憑借自身價值,擁有“內泄外竊/越權使用”的天然驅動力。外因是數據安全保護不力,涉及數據權責不明確、數據狀況不清晰、制度策略不完備、防護理念不匹配等層面的問題。各行業(yè)數據安全風險大、泄露事件頻發(fā)。
在此背景下,合肥供水集團建立數據安全助力框架。
?
管理體系方面,定目標、規(guī)框架,建立企業(yè)級數據中心。合肥供水集團詳細調研31個主要業(yè)務系統(tǒng)、16個業(yè)務部門,進行數據規(guī)劃,形成9大標準規(guī)范,數據中心已采集數據18億條,已治理數據8.9億條。數據共享交換具有8.3億條共享能力,共享至表務系統(tǒng)2500萬條、管網運維系統(tǒng)58萬條、超等額累進加價系統(tǒng)233萬條、合肥市數據資源局1100萬條等。
?
數據安全治理制度框架方面,合肥供水集團為決策者、管理層、執(zhí)行層分別制定了相應匹配的制度,并建立了相應的32個一類到四類的數據安全辦法、規(guī)范、細則和手冊。
?
技術體系方面,基于零信任構筑的數據安全。采用SDP(軟件定義邊界)架構打造的新一代終端安全接入架構,由零信任安全網關、管理平臺、客戶端及終端安全監(jiān)測四個部分構成,提供多種認證、終端環(huán)境檢查、跨網隔離、非法外聯(lián)檢測、NAT溯源等能力的端到端安全防護,構建安全、易用、易管、穩(wěn)定的可控可管的 “一機兩網” 安全環(huán)境。
?
?技術體系:合肥供水集團數據安全體系
?
技術體系:數據全生命周期安全體系建設
朱波最后表示,數據安全治理是數據治理的一個子集,安全治理既可在數據治理框架下進行,也可獨立實施。欲速則不達,數據的安全問題得不到妥善解決,那么寧愿數字化轉型慢一點,或者不轉型,也不能在錯誤的方向上漸行漸遠。理想的方案是獲取全量數據安全指標;經濟的方案是能夠滿足當前業(yè)務的風險控制需求。把未知的風險轉變?yōu)橐阎娘L險,再去尋找抵御風險和提升防御能力的方法。
數據安全治理只有起點沒有終點,數據安全保護永遠在路上。