从传统数据脱敏技术看《数据安全法》实施的挑战

本文作者:徐晓丽

随着高级威胁攻击的常态化,数据泄露和窃取已成为成功攻击的判断依据。从官宣“数据成为第五生产要素加快培育数据要素市场”到《数据安全法》的发布,数据安全的重要性成为不争的事实。传统的数据安全技术在《数据安全法》实施后会面临哪些挑战呢?

在最近一次数据安全产品发布会的访谈中,神州数码云业务集团安全技术总监徐元明针对传统数据脱敏技术在数字化转型中面临的挑战中提到:早期的数据脱敏是将数据中的敏感信息从A变形到B,实现对敏感隐私数据的可靠保护,在数据安全上要求较高的大型企业通常会购买一些数据脱敏工具,或者是使用数据库的脚本对数据进行脱敏处理,但是数字化转型后,整个数据脱敏的业务模式存在很多问题,主要表现在以下三个方面:

(一)数据安全合规问题,也是最关键的问题。

传统的数据脱敏工具只有工具的使用人员知道自己做了什么,但对于数据从产生到销毁整个过程的可视化不足,单一的工具不能解决数据安全合规的问题。

(二)传统脱敏技术的质量不能满足新智能场景化的需求

传统的脱敏技术把敏感信息去掉可以实现数据脱敏的结果,但如果需要将脱敏数据应用于开发测试、大数据分析、数据挖掘、BI、培训、科研等场景的话,对脱敏数据的质量以及数据的关联性提出更高的要求。

(三)业务流程一体化的问题

数字化转型环境下企业数字业务的复杂性在增加,数据安全不是只从合规管控的方面解决有和无的问题。更多需要将整个的数据脱敏业务,融入企业的整个IT架构管理体系里,单一的数据安全技术需要与用户权限对接、调度对接、流程对接、密码管理系统对接等,实现数据安全管理的自动化、智能化和一体化。

徐元明在数据脱敏技术发展中提到的问题,引起我们对传统数据安全技术面临的数字化转型挑战的思考。

供应市场和政策驱动的新需求

2021版的安全牛《中国网络安全行业全景图》,新版全景图中数据安全的细分子类从2020年的8类扩展到10类,去掉了勒索软件防护和数据平台安全,新增了数据库安全、保密检查、数据安全评估、数据安全管控平台4个二级子类。

图 1 2021中国网络安全行业全景图中的数据安全子类

政策驱动方面,6月份颁布的《中华人民共和国数据安全法》作为数据安全的最高纲领明确了数据处理的七个阶段,并从管理制度、保护义务和国家重要核心数据安全方面明确了监管职责。其中,数据安全保护义务中要求在网络安全等级保护制度(访问控制、数据加密和审计)的基础上,增加了下述数据安全保护义务:

  • 依法建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全;
  • 数据处理活动中应加强风险监测,具备相应的安全补救措施和应急处置措施,并按照规定及时告知用户并向有关主管部门报告;
  • 按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。

从市场发展和政策要求中看出,除了数据防护和审计,基于治理的数据安全评估和基于合规的全流程数据安全监管已成为法律监管的新要求。

图 2数据安全保护的义务

《数据安全法》的数据处理活动包括数据收集、存储、使用、加工、传输、提供、公开七大环节,在等保2.0的数据安全基本要求(审计、访问控制加密)及场景化要求(云、大、物、移)基础上又扩展了数据全生命周期管理的要求,企业不仅要分类分级识别重要数据,还要能监控数据的来源和去向、对数据进行确权。然而,后数字化时代企业的数据流是无边界的,全生命周期的数据监管给企业数据安全合规带来了另一个新的挑战。

图 3全流程数据监管

数字化转型驱动传统数据安全防护产品变革

传统的数据安全防护产品多应用于金融、生产等传统行业的数据加密、脱敏及防篡改。但在数字化转型和新型基础设施建设的变革中,数据防护产品与所有的传统安全设施一样正在面临着场景化变革的挑战。云计算、大数据、物联网、5G、人工智的场景对数据性能和精细化处理的要求远远高于传统数据中心,纯靠堆设备的方式已经不能满足新场景中数据处理的复杂度和时效性要求。比如,政务、税务希望调取自然人实体或企业的数据为贷款计算依据,数据在多方共享中如何同时保证数据计算过程中的隐私性和可用性?传统防护产品只有适配于新的环境,并用新的算法和算力才能解决新场景、全流程的数据安全问题。

数据安全相关政策和依据

数据安全法需要由工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担各自行业、领域数据安全的监管职责,并通过相关行业标准自上而下落实。从图 4统计数据中可以看出,数据处理安全规范、管理、评估的相关依据整体来看才刚刚起步,还在逐步完善。

图 4数据安全相关政策和依据

数据安全服务的挑战

除了安全防护能力,数据安全体制的建设、数据安全认证、检测评估、数据安全运维、数据泄露后应急响应等安全服务也是数据安全的一大挑战,从最新的行业全景图调研看数据安全的专业服务机构目前还很有限,专业的数据安全人才更是缺乏。

总结:数据脱敏技术面临的挑战毋庸置疑也是当下数字化转型中所有企业在数据安全方面面临的挑战,仅工具化的数据安全防护已不能满足《数据安全法》对数据安全的要求,《数据安全法》的实施除了等保合规要求的审计、访问控制和加密外,企业还要完善数据安全的管理制度、构建有效的全流程数据监管体系、做好数据安全的服务支撑。

根据当前市场在数据安全产品领域的覆盖能力,安全牛进一步探索了数据安全法后的数据安全新视角如图 5所示,传统的数据安全防护在持续迭代和演进,数据治理和数据监管成了企业的刚需,数据安全服务或会成为网络安全的一个新赛道。

图5 数据安全的新视角

来源:安全牛

上一篇:亚信安全入围工信部车联网身份认证和安全信任试点项目

下一篇:美国白宫组织网络安全密会,微软谷歌投资300亿美元