数据安全治理的几个基本问题
數據安全治理的幾個基本問題
杜躍進
論文引用格式:
杜躍進.?數據安全治理的幾個基本問題. 大數據[J], 2018, 4(6): 85-91DU YueJin.?Several basic questions about data security governance. Big data research[J], 2018, 4(6): 85-91
1 引言
數據安全如今在全球受到極大的關注,大家都在討論這個話題。但對于什么是數據安全、該如何做數據安全等基本問題,大家還存在很多混亂甚至誤解。本文圍繞與當前數據安全相關的一些基本概念進行探討。
2 為何強調“數據安全”,而非“大數據安全”
很多人在討論大數據安全這個話題的時候,會糾結于“這是不是大數據”或者“這是不是大數據系統”。這會讓人們忽略現在面臨的真正問題:在數據無處不在、無處不用的情況下,如何保證數據安全。如果用大數據的定義限定大數據安全的范圍,而忽略非大數據系統更加容易成為壞人得手的重災區這一現實,那么就不會讓數據安全的現狀有任何改善。例如讓全社會開始高度重視數據安全的“徐玉玉”案件,顯然和大數據以及大數據系統都無關系。如果大家搞了半天所謂“大數據安全”,卻不能降低下一個“徐玉玉”事件的發生概率,那么這樣的“大數據安全”并沒有什么意義。因此當前全社會需要關注的其實是“大數據時代下的數據安全”。當人們今天討論數據安全問題的時候,不能用是否是“大數據”或“大數據系統”來限定范圍。而且,大數據時代下數據的存在形式、使用方式、流轉共享模式等都和原來極為不同,因此大數據時代下的數據安全是個新問題,而不是傳統的數據安全概念。
3 “數據安全”不僅僅是防竊取
現在很多人說的數據安全問題僅僅是實際要解決的問題的一小部分。從用戶的角度來看,當前數據安全至少包括以下三方面問題。
一是數據被竊取,即擔心自己的數據被壞人偷走。實際上壞人可能從外面偷數據,也可能從內部偷數據。按照以往安全行業的基本共識,來自外界的安全威脅只占三分之一左右,三分之二的安全威脅是從組織內部發起的。根據筆者團隊的調查,在一些特定行業中,內鬼竊取數據的比例比外界竊取數據的比例更高。然而迄今依然有很多人把防范外部數據竊取作為數據防竊取的全部內容,而忽視對內部攻擊的應對。僅僅強調用戶側應用軟件的安全、數據通信過程加密、防火墻設個大門等,以為門外管好就行了,這是遠遠不夠的。
二是數據被濫用,即用戶對擁有數據的服務方不放心,擔心他們會濫用自己的數據。用戶的數據在服務提供方那里,他們的員工會不會濫用權限、隨便訪問用戶數據?他們會不會因為好奇或者朋友要求查看某個用戶的個人信息?他們會不會把用戶的個人信息倒賣出去?與通過內部網絡攻擊竊取數據的行為不同,這里說的是服務方工作人員在授權范圍內從事了不符合業務場景的數據訪問。例如,用戶要求客服幫忙,客服人員在這種場景下訪問該用戶的數據解決其問題,這是正常的業務場景。但是如果沒有用戶請求,客服人員擅自訪問用戶數據,就屬于濫用行為。在大數據時代,數據和業務都在高頻率地產生和變化,若對每一次數據訪問行為都重新進行權限申請與審核,將直接扼殺業務,用戶也無法接受這樣的效率。因此數據安全的工作需要包括對數據濫用行為的識別、報警甚至阻止,并且應建立制度,保障對實施濫用行為的員工進行嚴厲制裁。從目前曝光的數據“黑灰產”案件中可以看到,大量案件是通過買通內部人員濫用數據權限,從而進行數據倒賣的。而這些情況都是案發之后才被調查發現的,說明這方面能力比較欠缺。
三是數據被誤用,即在大數據加工使用的過程中會不會侵犯用戶利益,也就是很多人談之色變的“用戶畫像”“精準營銷”等。在各種描繪大數據給人類帶來美好機會的故事中,實際上都離不開精準的個性化服務。而這些故事已經在金融、健康、醫療、教育等很多領域中開始切實發生,甚至在制造領域也在快馬加鞭地發展,未來所有的領域都會走到這一天。這種精準的個性化服務的背后其實就是“用戶畫像”“精準營銷”這些大數據加工技術。技術本身是中立的,關鍵在于技術被如何應用。“精準營銷”是被用來“殺熟”還是被用來更好地滿足用戶的個性化需求?“用戶畫像”是用在支持個性化服務或者保護用戶安全,還是用在滿足其他不良動機?在大數據分析加工的過程中,有沒有人能夠從中窺探到某個特定人的個人信息或者隱私?這些是防誤用的內容。當前的技術和管理總體上能夠控制大數據加工過程中的誤用,使人們在享受大數據帶來的好處的同時,把危險“關在籠子里”。但是現實中,還有很多企業和組織在發展的過程中忽略了這個問題,讓用戶感到大數據是個“恐怖的惡魔”。數據防誤用的問題,現在被關注得更少。
4 數據安全為何必須“以組織為單位”
目前有一個比較常見的誤區是把手機上的移動應用軟件(App)安全等同于數據安全,例如通過評估手機上的移動應用軟件安全來判斷個人數據是否得到保護。手機App一直都是安全的重災區之一,很多App確實存在不經用戶許可秘密采集用戶數據、植入廣告、秘密產生費用或者自身安全做得不好導致其數據被竊取等情況。但是App就算不存在這些問題,也不等于用戶的數據就是安全的。
如今,用戶的數據并不都是沉淀在移動應用軟件內部、存在用戶終端上的。移動應用軟件背后連接的是云端,而且可能連接不同業務。因此即便是在“知情同意”“最小夠用”等原則下取得了用戶的授權,用戶數據還是會存在后端,并且在今天的社會化大協作的模式下共享使用。因此,大數據時代下數據的邊界是在產品、設備、業務、人員還是系統?顯然都不是。數據至少會在提供服務的組織內部的不同產品、業務、設備、系統、人員中流動,甚至為了完成用戶的一個服務需求,數據還必須在產業鏈上的不同組織之間流動。例如,為了完成用戶的一個購物需求,數據就必須在商家、平臺、物流、獨立軟件供應商、金融等多個環節中流動。
因此,更合理的方式是以一個組織為單位來衡量數據安全的情況。這里的“組織”指的是擁有數據、提供服務的企業或者機構,其具有相對獨立和完整的管理,也能夠對業務和安全負責。數據在一個組織內的不同產品業務中形成流轉閉環,組織是數據流動的最小邊界。組織與組織之間通過可控的制度程序或者接口實現數據的跨組織流動、共享、交易等,這時候也可以以單個組織的數據安全能力為基礎,進行責任的劃分或者數據流動風險的控制。
如今,政府在大力推動多部門數據打通和共享利用,很多企業也在進行組織變革,建立更強大的平臺能力,其原因是數據只有打通和流動起來,才能更好地發揮價值。在這個過程中,單個產品或者技術平臺的安全都不代表數據本身就是安全的。只有以組織為單位,才可以跳出頻繁變化的產品、業務、人員等帶來的困惑,尋找到支撐今天數據安全需求的方法。
5 為何傳統安全方法不適用于大數據時代下的數據安全
大數據時代下的數據安全是一個全新的問題,無法簡單地用原來的安全方法解決。這主要體現在以下兩個層面。
一是不能用“以系統為中心的安全”思路解決問題。以系統為中心的安全是大家熟悉的安全方法,例如看某個軟件、某個服務器或某個手機終端安全與否。這主要是看這些系統在各種人為干預下是否會出現與預期設計不符合的功能,從而導致運行狀態失控。如今,數據要在不同的系統之間流動,若某個系統出了問題,可能影響到當時在這個系統中的數據(包括被竊取),但這些數據也可能在別的系統中出問題。數據本身并不存在運行狀態,數據出問題的概念和系統出問題的概念也不同。這兩者的關系,有點像醫院里“心血管科”和“血液科”一樣,前者解決的是血液循環系統本身的安全(運轉正常),后者則是要保障血液自己的安全。兩者顯然有關系,但又有很大不同。單個系統的安全并不等價于數據的安全,系統被入侵也不等于數據一定會被偷走,每個系統都固若金湯也不等于數據就不會被濫用或誤用。解決數據自身的安全問題,需要切換到“以數據為中心”的安全思路上來。
二是不能用傳統的“數據安全”方法解決問題。數據安全是最古老的安全概念。從古代戰場上就產生了數據安全的需求,并推動了相關技術的不斷發展。對一個文件、一個數據庫的記錄的保護等都是數據安全的概念。但是,如今的數據安全的概念和方法已經和過去完全不一樣了,數據的存在形式、使用方式和共享模式與過去有了極大的變化,數據的權屬也不都是數據處理者的。數據可能以文件、記錄、字段等方式在不同的環節中被快速打散、重組、流動,在這個過程中還會源源不斷地產生新的數據。在一個業務里,數據可能涉及很多設備、服務器、產品、用戶和不同部門的人的信息,然而真正需要回答的是數據在這么復雜的全過程中,從用戶的角度來說安全不安全?顯然,這和傳統的“數據安全”概念有很大區別。
6 數據安全為什么需要強調治理而非管理
這里說的管理,指的是根據事務的規律制定一整套規則,然后自上而下地進行規則的執行落地,控制系統達到預期狀態。而治理指的是找到若干關鍵抓手和基本邏輯,調動多方力量和資源形成某種協同或者生態,通過社會協同引導整個系統達到預期狀態。大數據時代下的數據安全治理無法使用傳統的管理模式達到目標,必須走協同治理的道路。
全社會所有的行業都在進行數字化轉型,一切都將步入數據驅動,數據將成為所有領域的基本生產資料。因此數據安全問題也將涉及所有行業,并且涉及產品、業務、人員、共享機制等,并不是某個垂直領域的知識或者某個層面的單一方法就可以解決的。如果按照過去管理某個垂直特定行業的方式,設立若干部門,自上而下進行管理,不但成本無法承擔,效率也無法適應今天的實際情況。因此,政府、行業、企業、第三方機構、安全等需要發揮各自的優勢形成有效的配合,才能建立適應當今數字時代的協同治理模式,共同提升全社會的數據安全水平。
7 數據安全治理的關鍵目標是讓安全成為競爭力
人們不希望數據安全工作堵住所有行業的“血管”,阻礙大數據時代的創新和發展。如果簡單化地看如何“消除數據安全問題”的話,那么不要有數據、不要有數據流動和應用是最安全的。數據安全治理的最終目標是實現數據安全和數字經濟發展之間的平衡,甚至是二者的相互促進。人們通過法律法規、政策標準、技術產品、產業發展、測評培訓、監督機制等進行綜合數據安全治理模式設計的時候,如果能夠瞄準以下兩個關鍵目標,就可以推動數據安全治理最終目標的實現。
一是讓數據安全成為組織的競爭力而不是成本,實現“能者多得”,即數據安全做得好,意味著有資格得到更多的業務機會。安全在過去一直是成本,因此幾乎毫無例外,每一個創新業務、每一個創業公司、每一個創新產品一開始都不愿意做安全,因為大家首先考慮的是活下來的問題,沒有精力和資源管活得好不好的問題,而且若對安全進行投入,可能在競爭中由于開發速度更慢、開發成本更高而失敗。甚至很多大型項目系統的建設也不愿意做安全。于是等產品逐漸成熟、業務逐漸做大、工程項目投入運行之后,慢慢發現很多安全的坑已經難以填補了。
誰不做安全或者少做安全,誰就更可能贏得競爭,從安全的角度來說,這就是“劣幣驅逐良幣”。在數據安全領域通過建立科學的治理模式可以改變這個現象,要點是讓一個組織能處理數據的類型和規模與其數據安全能力水平掛鉤。例如健康醫療行業迫切需要利用大數據技術大幅提升技術和業務水平,造福百姓,但是這類數據又非常敏感,那么行業主管部門可以規定:處理哪些類型或多大數量的數據的組織必須證明其達到相應的數據安全能力級別要求。這樣,當一個組織想要使用健康醫療數據開展研究或業務之前,就需要先具備足夠的數據安全能力。于是數據安全能力越高的企業,意味著有權處理更多類型和數量的數據。這樣企業才會積極而且認真地提升自己的數據安全能力,實現業務競爭力與安全的正向掛鉤,這樣才會帶動整個數據安全產業發展。
二是讓提升數據安全水平成為自發需求,而不是被動合規。2015年講數據安全的人還不多,今天忽然全世界都在講數據安全了。這主要是由很多相關法律出臺帶來的合規要求導致的。滿足合規的要求是一種被動需求,即便做到合規要求,也不代表一個組織能夠很好地應對不斷變化的新風險。而真正從自身內在需求出發,不斷提升數據安全能力的組織,才能夠更好地應對不斷變化的風險。如今,越來越多的企業開始認識到了數據安全的重要性,意識到這是數字經濟時代保護企業自身利益以及建立用戶對企業信任的重要工作,從而形成了內生需求。如果數據安全治理能讓更多組織產生內生的、實實在在提升數據安全能力的動力,而不僅僅是被動滿足安全檢查時的合規要求,才會讓大家真正直面數據安全威脅,降低數據安全風險。
8 數據安全治理的基本抓手是數據安全能力成熟度
用數據安全的“能力成熟度”而不是安全風險衡量一個組織的數據安全能力,能夠更好地適應風險的變化情況。如果能力不夠,即便今天做到了合規或解決了已知風險,若明天出現新規或者產品或威脅手段發生變化,還是會導致不合規或風險失控。因此,能力成熟度是更加內在的指標。通過科學的方法衡量一個組織的數據安全能力成熟度等級,用這個等級決定一個組織能夠做什么、不能夠做什么。當用戶選擇一個服務的時候,可以根據服務方數據安全能力的等級,判斷把自己的數據給到對方的風險大小,在可以獲得同樣功能的情況下,用戶會更愿意選擇數據安全能力成熟度等級更高的服務方。在數據共享、交換、交易、流通的過程中,可以通過雙方數據安全能力成熟度等級的情況分析數據風險的變化,發起方可以據此決定是否要繼續與對方進行數據流動。政府建立多部門數據共享流通促進大數據利用的機制時,可以通過組織的數據安全能力成熟度級別決定允許數據流動的方向,從而實現總體數據安全風險可控。
能力成熟度的概念如今在很多領域中被使用,而數據安全能力成熟度模型(data security maturity model,DSMM)標準已經是國家標準化管理委員會的報批稿,并且也在ITU、ISO等國際標準化組織中通過或者立項。
9 結束語
大數據時代的數據安全是“舊瓶裝新酒”。看上去是一個老的概念,但實際上是完全不同的東西。因此不能用過去的經驗解決今天的數據安全問題,需要創新。
今天數據安全的基本思想是,技術上以數據為中心,管理上以組織為單位,治理的基本抓手是能力成熟度。數據安全治理的關鍵是讓數據安全能力和組織所能處理的數據類型和規模掛鉤,讓數據安全成為競爭力而不是成本,讓數據安全成為內生需求而不是被動合規。
數據安全需要多方面工作的協同。僅僅靠法律法規解決不了數據安全問題,因為無論怎么樣都會有數據進入服務方,法律能解決數據來源的合法性問題,但不能解決這些合法獲得的數據是否會被安全保存或安全使用的問題,過去的信息安全行業管理經驗不適用。今天的數據安全是全社會、全行業的事,過去把安全行業當作特種行業進行管理的思路是行不通的,很多數據安全前沿技術還有待突破。
數據安全需要政策、技術、學術的結合,需要多方參與,形成治理模式。另外,這個領域才剛起步,需要創新和持續改進。在今天的發展速度下,沒有辦法在給出一個完美的方案以后再執行,只能是小步快跑,不斷迭代。DSMM中最高能力級別要求的也是持續改進的能力,即不斷發現新的問題,不斷調整自己的能力。
作者簡介
杜躍進(1972-),男,博士,阿里巴巴集團技術副總裁、首席安全專家、數據安全研究院負責人,中國網絡空間安全協會副理事長,中國通信協會副主席,中國保密協會個人隱私保護專家委員會副主任,中國計算機學會計算機安全專業委員會常務委員,中國互聯網協會網絡與信息安全工作委員會副主任委員。
《大數據》期刊
《大數據(Big Data Research,BDR)》雙月刊是由中華人民共和國工業和信息化部主管,人民郵電出版社主辦,中國計算機學會大數據專家委員會學術指導,北京信通傳媒有限責任公司出版的中文科技核心期刊。
關注《大數據》期刊微信公眾號,獲取更多內容
往期文章回顧
新工科背景下的計算機類專業人才培養探討
基于主動學習和克里金插值的空氣質量推測
從數據的屬性看數據資產
綜合交通大數據應用技術創新平臺
總結
以上是生活随笔為你收集整理的数据安全治理的几个基本问题的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: STM32单片机工作日记
- 下一篇: python_文件处理