大数据背景下数据安全体系构建研究

　　一、研究背景

　　随着大数据、人工智能、云计算等新技术在数据中心广泛应用，数据中心成为数据的核心集散地。同时，数据本身具有易流动、易复制、易融合等不同于传统生产要素的特性，因此，无论是提供数据服务还是数据赋能业务，均面临数据本身的安全风险问题。针对上述问题，各数据中心应严格落实数据安全保护法律法规和标准规范，建立健全数据全生命周期安全管理长效机制和防护措施。因此，如何构建行之有效的数据安全体系是大数据背景下数据中心面临的重要问题。

　　二、现状分析

　　（一）数据风险事件多发，数据安全治理形势严峻

　　数据价值的释放过程存在诸多数据安全问题和风险，对经济社会发展和培育数据要素市场造成了一定的阻碍。一是数据泄露危害加剧。根据风险基础安全（Risk Based Security）报告显示，2021年发生4 145起数据违规事件，数据泄露达220亿条，是自2005年以来数据泄露量第二高的年份。二是数据违规收集与滥用情况严重。通过强制授权、过度索权等方式违规超范围收集数据的现象大量存在，移动互联网应用违法违规使用个人隐私数据的问题突出。相关报告指出，2021年第三季度有601款App仍存在违规收集使用个人信息及强制、频繁、过度索权等问题，其中有部分应用存在私自共享用户隐私信息、强制定向推送、引诱消费、暴力催收等数据滥用，侵害了用户的权益。对比传统安全威胁，数据安全威胁具有多样化、复杂化、黑产化和频发高发的特点。重要领域面临重大漏洞利用、App接口攻击、恶意软件感染、供应链攻击、权限滥用等严峻的数据安全威胁。

　　（二）数据权属关系模糊，数据流通面临多方障碍

　　数据是数字经济的第一生产要素，明确其权属关系是开发利用和共享流通的前提。传统的网络、信息系统和业务场景对于数据权属方面的管理与保护存在短板，历史累积及新采集数据本身的复杂属性很难参考传统生产要素的理论界定权属关系，数据权属不清是当前数据流通共享面临的主要问题。因此，各行业应以国家相关法律法规和标准规范为指导，明确本行业数据安全及保护义务，明确数据分级分类标准，对数据的日常安全保障、审查、跨境流动、境外机构调取等方面作出明确规定，并以此为核心构建数据安全管理体系框架，促进数据要素安全流通和共享。

　　（三）数据管理体系薄弱，数据风险规制逐步完善

　　当前大数据、人工智能、云计算、5G、区块链等新技术促进数据在新领域、新业态中广泛应用并快速发展，开发利用过程中虽然会打破数据孤岛、消除数据壁垒，但也使数据安全、隐私保护等问题逐渐凸显，原有的数据安全管理体系在新业态、新应用快速演化的情况下暴露出诸多薄弱环节，难以适应新的数据安全管理要求。因此，亟须考虑如何构建与应用场景相适应的数据安全管理与防护体系，保证重要数据、核心数据和个人隐私数据安全可控，确保敏感数据不发生泄露，做到在新技术、新场景和新应用不断涌现的同时，数据管理体系、技术架构和模式同步演进、发展与完善。

　　三、面临的风险及挑战

　　回顾信息技术的发展历程，数据安全始终是业务与科技深度融合应用的重要部分。从金融自动化、电子化时代对交易类系统强一致性数据保证，到网络化、移动化时代对移动支付、普惠金融以及互联网金融的线上化、App化、互动化的数据安全保证，再发展到数字化和智能化时代，数据生态不断突破创新，数据安全面临更加多样化和复杂化的风险和挑战。

　　（一）顶层设计欠缺，数据安全治理顶层战略规划有待提高

　　数据安全治理实践通常由单个部门（如科技部门）主导，缺少权威管理组织对重大数据安全治理事项和跨部门存在争议的数据安全问题进行决策和管理，难推动事项和问题的及时解决。一是缺少高层领导参与的数据安全治理决策组织。数据安全治理工作中跨部门问题的顺利解决离不开高层领导的决策支持，因此亟须建立明确数据安全治理的最高决策组织。二是数据安全治理执行层专职岗位缺失。数据安全治理的数据分级、数据分类、合规监管、应急处置、审计监督等领域存在专职岗位缺失问题，应加快设立和完善数据分级分类管理岗、数据合规管理岗、数据安全审计管理岗等专业化岗位。

　　（二）管理过程离散，数据安全生命周期管理体系有待完善

　　数据安全治理是涉及业务和技术的一项基础工作，需要通过制度明确工作流程和职责分工，确保业务部门和科技部门之间工作的有序协同、顺利开展。一是数据安全治理制度体系不够完善。以解决特定数据安全问题为导向，采用离散化、补丁化的管理方式开展的数据安全治理工作，缺少对管理体系的全局思考与规划。数据安全治理的有效实施离不开科学的规划与全员的深度参与，因此，亟须制定并发布相关的数据安全治理政策、制度，建立具有约束力的、统一的数据安全治理工作流程机制，完善数据安全生命周期管理体系，提高数据安全治理工作的管理效率和效果。二是数据安全治理制度的设计和执行过程存在“不接地气”的问题。在制定相关制度时缺少对前沿数据安全理念的充分考量，缺乏对数据安全治理实践“一线”工作的参考，导致数据安全能力在规划设计阶段缺失，往往需要在事后投入大量资源进行改造和补救，极大地增加了数据安全治理的难度。

　　（三）工具支撑不足，数据安全技术支撑保障能力有待提升

　　数据安全治理工作全面开展，需要与之相辅相成的数据安全治理工具体系。在实际数据安全治理工作中，数据安全治理初期通常采用手工的方式开展工作，效率低，耗费多，导致数据资源价值无法有效体现。一方面，在海量数据的处理场景中，依靠手工方式对数据全生命周期中的各项风险事件进行准确识别非常困难，需要依靠敏感数据识别、自动分级、自动分类等技术提升数据安全治理工作的时效性和准确性；另一方面，海量数据在全生命周期中的处理、共享、存储等过程中难以通过手工的方式实现动态安全防护，特别是敏感数据，需要依靠数据加密、数据脱敏、数据水印等技术手段实现数据的“专数专用”“高敏高保”以及“跟踪溯源”。如何兼顾数据安全和发展，在保障数据安全的前提下促进数据应用、挖掘数据价值、助力业务发展，是当前许多组织面临的问题，需要借助隐私保护和隐私计算相关技术的应用，实现敏感数据“可用不可见”“可算不可识”前提下的数据分析和价值挖掘。

　　四、数据安全体系构建研究

　　为解决数据中心面临的数据安全痛点问题，需要从数据安全战略体系、数据全生命周期安全管理以及数据基础安全3个层面开展研究和规划，构建更完善的数据中心数据安全体系，整体框架图如图1所示。

　　（一）数据安全战略体系框架

　　构建数据安全体系的主要目标是在保证合规性和降低安全风险的前提下，实现对数据的充分利用，确保安全和发展双向促进。因此，在启动数据安全体系构建之前必须制定相应的战略规划，明确数据安全体系建设的总体目标和具体任务，使数据安全战略体系构建工作能够有条不紊地开展。本文结合实际，综合考量在安全管理、监管业务发展等方面的总体要求，从数据安全顶层规划、组织架构、制度体系和技术体系等层面研究和构建符合新时代信息技术发展需要的数据安全战略体系框架。

　　1. 顶层规划

　　顶层规划通过梳理数据中心当前面临的数据安全风险现状，制定面向全局的方案规划，明确数据安全体系的建设目标和具体任务，合理配置对应的资源，进而指导各部门在合法合规及风险管控的前提下实现数据的开发利用，促进业务和数据服务的持续健康发展，确保数据安全和应用的协同发展。

　　2. 组织架构

　　组织架构是指建立负责数据安全体系建设、管理和维护的团队及人员，清晰且敏捷的组织架构是保障数据安全体系建设成功的必备条件之一。根据数据中心数据安全管理的实际情况，建立从各个领导决策层面至基层执行层面的自上而下的管理组织架构，可明确组织负责数据安全管理、数据安全执行、数据安全监督等工作的岗位及职责分工。按最小化原则管理权限并明确相应的数据安全追责机制，有助于强化业务、应用、数据权属方以及相关人员的安全责任和意识，推动数据安全战略有效执行与协同运作，组织架构框架如图2所示。

　　3. 制度体系

　　构建数据安全体系，稳步推进数据安全管理与开发利用，应建立标准先行、风险导向的制度体系，强化风险意识，加强制度保障。数据安全相关制度体系应从数据安全要求、风控要求以及合规要求3个方面进行构建，通过制度体系明确数据安全管理的目标、策略、标准、流程及规范等内容。

　　数据安全相关制度通常分为3类，第一类是数据安全管理的总体方针政策，其明确了数据安全管理的方针、政策、目标和原则，确定相关单位、部门的工作职责，是数据安全管理的管理总则。第二类是根据数据安全管理总则制定的一系列数据安全管理通用管理办法、制度、规范、标准以及操作指南，是数据安全管理过程中需要参照的可操作的管控策略。第三类是在执行第二类数据安全管理办法过程中产生的过程性文档，包括表单模版、日志文件、清单列表、审批记录等内容。

　　4. 技术体系

　　网络空间环境复杂，绝大多数网络攻击行为是为了获取高价值密度的数据资产。因此，在规划数据安全体系之初应梳理数据安全事件的风险类型，明确数据可能面临的风险，进而结合实际数据开发利用场景，构建完善的技术工具体系，才能够体系化地解决数据安全生命周期各阶段的安全隐患问题。

　　使用技术工具是落实各项数据安全管理要求、提高数据安全管理效率的有效手段，也是数据安全体系建设的基础保障措施。应持续丰富和完善所有适用于安全域的通用技术工具以及安全产品的功能，包括独立的安全系统平台、基础安全工具体系、数据全生命周期安全工具或算法等，使得数据安全防护能够全景、全生命周期洞悉数据资产安全风险，并可以及时定位、快速处置安全事件。

　　（二）数据全生命周期安全管理

　　《信息安全技术数据安全能力成熟度模型》（GB∕T 37988-2019）将数据按照生命周期分为采集、传输、存储、处理、交换、销毁6个阶段，每个阶段的管理是否达到相关安全管理要求直接关系到数据中心的数据安全水平。随着监管业务的发展，数据中心存储的数据越发复杂化和多样化。加强数据实施全生命周期安全管理，进一步明确数据生命周期各阶段的保护要求，有助于合理分配数据保护资源和成本，建立完善的数据生命周期防护机制。合理、准确、完善的数据全生命周期安全管理能够促进数据的开发利用和依法有序流通共享，有利于数据要素价值的挖掘与体现，实现数据赋能业务提档升位。

　　1. 数据采集安全

　　数据采集安全是指直接或间接从个人信息主体、业务发生机构或第三方外部数据供应方等外部数据源获取数据过程中的安全防护，主要包括合规性安全评估、技术性安全评估两方面。

　　合规安全性评估需要明确拟采集数据的数据主管部门并通过政策、通知、文件等形式明确采集依据，将待采集数据明细字段与数据资源目录清单进行比对，根据数据现状对清单进行更新并做好数据分级分类工作。在实现数据分级分类的基础上，数据主管部门需要明确数据的脱敏存储或加密存储方式。

　　技术性安全评估包括被采集端安全管理和采集端安全管理。被采集端接入需要依法依规提交审批材料，否则将不能接入，上传数据时需要通过用户名密码验证，只允许读写，不具备删除和执行的权限。同时，结合口令密码、设备指纹、设备物理位置、网络接入方式、设备风险情况等多种因素对数据采集设备或系统的真实性进行增强验证。采集端安全管理实行ACL访问控制，未经允许的终端地址将不能接入，同时根据相关文件开展安全加固工作，按要求对采集的数据进行脱敏或加密操作，实现数据采集全过程的数据审计与监控。同时，对数据采集的对象范围、频率以及接口规范进行定义，采用摘要、消息认证码、数字签名等密码技术确保采集过程数据的完整性等。

　　2. 数据传输安全

　　数据传输安全是指为防止数据传输过程中造成数据泄露而采取的一系列数据传输安全保护措施。数据传输安全保护一般从以下几个方面开展。一是开展接入数据传输通道双方的身份鉴别工作。二是根据拟采集数据的分级分类情况，有针对性地制定数据传输加密方案以及信道加密方案。三是对数据传输的全过程进行记录和审计工作。

　　针对不同的采集目标确定不同的传输模式，不同传输形式和不同传输对象采用不同的数据传输技术方式，加强数据传输过程中的网络和数据安全。通过采取适当的安全措施对传输对象进行身份鉴别、传输数据加密、传输脱敏、信道加密、接口认证等操作，确保数据传输具有完整性、私密性、源认证和不可否认性。

　　3. 数据存储安全

　　数据存储安全是将数据进行持久化存储的过程，对可能存在的数据泄露、篡改、丢失、不可用等安全风险采取一系列对应的安全防范措施，以确保保存在存储介质上的数据的安全性。应根据相关文件对存储介质的接入、维修、销毁等生命周期进行安全管理，通过搭建本地存储、同城存储和异地存储平台，采用如RAID、磁盘镜像、冷备、热备、存储双活等技术，采取增量备份或全量备份相结合的方式，构建数据存储安全及灾备体系。同时，需根据数据的分级分类情况对不同安全级别的数据实施有针对性的安全存储和控制策略，最大程度地提高数据存储的安全性。

　　数据存储安全防护过程中有一项重要的工作是数据的备份和恢复，指通过对存储在数据中心的数据开展冗余管理工作，确保数据的可用性。一方面，要明确数据备份和恢复的策略，根据数据资源目录制定与之相对应的数据备份与恢复清单，明确备份与恢复的操作过程；另一方面，要搭建功能完善的备份与恢复平台，按照数据备份和恢复策略以及清单，严格执行数据的定期备份，并对数据备份的完整性和可用性开展验证工作。

　　4. 数据处理安全

　　数据处理安全是在开展业务和数据服务进程中，进行数据访问、导出、加工、开发测试、汇聚融合等处理活动时，对可能发生的数据非授权访问、窃取、泄露、篡改、损毁等安全风险所采取的一系列安全防范措施。

　　在大数据背景下，越来越多的业务需要利用大规模数据开展关联性分析和深度挖掘工作。对数据进行处理时，开发、测试和生产环境要严格隔离，互不联通，资源隔离，开发、测试、上线过程实行严格的审批制度。开发测试过程中采用加密、脱敏等技术措施进行处理，防止测试过程中的数据泄露，保证数据开发利用过程的安全性。对数据开发利用结果进行可视化展示前，需要开展事前评估工作，包括展示的条件、环境、权限、内容等，确定展示内容的合规性、必要性和安全性。

　　5. 数据共享安全

　　数据共享安全是指在开展数据共享时，对可能发生的数据泄露、非法过度采集、分析和滥用等风险所采取的一系列防控措施。数据共享一般分为内部共享和外部共享。

　　数据需求部门申请使用数据时，应梳理数据应用的各类业务应用场景，明确场景的安全要求。基于数据共享审核批准机制，向数据主管部门提交审批报告并阐明数据的使用目的、内容、使用时间、技术防护措施以及数据使用后的处置方式。科技部门将配合数据主管部门持续对拟共享数据开展全生命周期安全影响评估，对拟共享的数据内容、数据范围、传输方式、数据用途、使用周期、安全管控手段等要素进行分析，严格执行数据分级分类管理要求。实际共享的数据不应超出授权范围，数据安全保护强度不因数据共享而降低，共享数据时应进行加密或脱敏处理，可以采取数据标记、数据水印等技术加强共享数据的全生命周期追溯，降低数据在共享期间被泄露、误用和滥用的风险，确保一旦发生风险能有效采取应急措施。针对外部数据共享，应明确数据共享双方的数据安全管理责任，尤其是数据接收方的安全管理责任，并在数据共享实际行为发生前对数据接收方的数据安全防护能力开展评估，避免数据安全事件的发生。

　　6. 数据销毁安全

　　数据销毁安全是指在监管业务和服务所涉及的系统及设备中清除数据时，通过建立针对数据的删除、销毁、净化机制，防止数据被恢复而采取的一系列防控措施。数据销毁工作要设立统一的管理组织，并根据相关法规要求制定数据销毁的处置规范，明确数据资源销毁目录。需要依据数据分级分类建立数据销毁策略和管理制度，依据销毁标准持续更新数据销毁的技术工具，能够根据销毁要求以不可逆的方式销毁相关数据及其副本。同时，数据主管部门还需要对所有管辖数据（包括对外共享的数据）的销毁实施全过程监督，明确销毁记录并评估和验证数据销毁效果。

　　（三）数据基础安全管理

　　基础安全管理能力作为数据安全体系的重要组成部分之一，是构建数据安全体系的基础支撑。基础安全管理能力主要包括数据分级分类、数据合规管理、合作方管理、监控审计、鉴别与访问、安全事件应急和数据安全监督评估7个方面。

　　1. 数据分级分类

　　依据数据分类分级结果加强对重要数据的安全保护，是建立统一、完善的数据生命周期安全保护框架的基础工作之一。通过开展数据分级分类工作，为数据的开发利用制定有针对性的数据安全管控措施。结合实际情况建立数据分类分级模型，以数据分级分类规则规范为指导，落实数据分类分级体系管控。在数据生命周期各个阶段进行安全管控，提升数据特性的深度识别、数据血亲关系抽取、数据链路关联关系识别以及数据自动分类等能力，再通过安全加密、脱敏等防护技术，为处于不同业务、不同环境、不同应用场景下的数据利用提供相应的安全防护，实现数据“可用不可见、能用不能动”等细粒度管制。统一的数据分级管理制度，能够促进数据在业务部门之间、机构之间、行业间安全共享，有利于挖掘与实现数据价值。

　　2. 数据合规管理

　　数据合规管理是指根据各机构内部的数据分析类业务需求和场景，明确涉及到的数据相关的法律法规要求，通过制定对应的管理措施来降低风险。数据中心要严格管控数据生命周期的各个环节，组织并管理敏感数据以满足法规要求，防止出现在未经授权、职责范围之外以及无法律法规支撑的情况下采集、访问、披露和处理数据，使其始终符合数据合规管理要求。

　　3. 合作方管理

　　合作方管理是指通过建立相应的管理机制，防止在与第三方开展数据合作的过程中出现数据安全风险的措施。数据中心要对参与数据全生命周期的合作方进行严格管理，确保与第三方机构合作或第三方应用的接入不危害数据安全。

　　一方面，建立规范的审查与评估机制，评估合作方数据安全保护能力是否达到法规、标准及数据安全的要求，对合作方参与人员传达数据安全要求、签署保密协议并且定期开展数据安全教育，并对协议履行情况进行全程监督；另一方面，在数据中心接入具备数据处理功能的第三方产品、服务和数据之前，必须对相关的产品和服务进行专门的数据安全评估和管理，确保不因第三方应用的接入而危害机构数据安全。合作关系结束后合作方不能以任何方式保存所获取数据及合作过程衍生的相关数据，且要求合作方按照要求删除数据并关闭相关数据接口。

　　4. 监控审计

　　数据安全监控审计是指在数据全生命周期安全管理的过程中，建立与管理要求相对应的监控及审计工作机制，明确数据处理各阶段的日志、监控和审计要求。通过该工作机制规范数据的采集、存储和处理等操作行为，降低数据安全风险。

　　应在数据生命周期各阶段持续开展安全监控和审计工作，实时掌握数据的安全状态，并防范数据安全风险。通过大数据平台、堡垒机以及漏洞扫描系统等对数据安全风险进行实时监测，可及时进行初步阻断并告警，降低数据安全风险事件发生的概率。通过定期对数据生命周期各阶段开展数据安全审计，将数据涉及的系统、主机、应用等各个模块可能存在的安全隐患进行深入分析，可提高数据安全监测和防护的整体水平，保障数据的安全利用，降低各类安全风险事件发生的概率。

　　5. 鉴别与访问

　　身份的鉴别与访问是数据安全管理过程中的关键环节，是防范数据被非法访问的有效手段之一。应基于数据安全需求和合规性要求建立成熟稳定的身份鉴别和数据访问控制机制，防止出现对数据的越权访问。应默认不信任网络内外的涉及数据管理和开发利用的所有用户、设备和系统，基于身份认证和分级分类授权构建访问控制的信任基础，并通过基础设施层用户身份验证、应用程序层身份验证、终端用户层身份管理、服务提供商身份管理等因素进行鉴别，确保身份可信、设备可信、应用可信和链路可信。访问数据资源按照“业务必需、最小权限、职责分离”的原则严格控制访问权限，依据数据分级分类要求实行粗粒度、细粒度等多种访问控制。

　　6. 安全事件应急

　　安全事件应急是指通过建立数据安全应急响应体系，确保在发生数据安全事件时可以及时止损，在保障业务连续性的基础上最大程度地降低数据安全事件所带来的影响。应建立以保障数据安全为首要目标的数据安全应急响应体系，覆盖数据生命周期各阶段的基础设施安全管理和数据系统应急响应和处置。数据安全事件应急响应体系应包括明确的制度流程、工作指南、技术工具和应急人员配置，适时制定和更新数据安全事件应急预案，并定期开展应急演练活动。

　　7. 数据安全监督评估

　　数据安全监督评估是指围绕数据生命周期各阶段，依据法规要求和业务需求，从顶层规划、组织架构、制度体系、工具体系和人才体系等角度评估数据安全现状和数据安全控制措施是否符合数据中心的数据安全需求。评估的方法包括内部评估和第三方评估。其中，内部评估方法主要包含评估自查、应急演练、对抗模拟等措施，围绕数据安全场景，以数据分级分类为核心，根据最新的数据安全法规、标准和业务提升要求，评估数据访问控制的现状差距、制定相应的数据安全控制措施，推进数据安全管理体系的不断优化，推动数据安全环境的持续改善。第三方评估是根据数据安全监督评估需要，委托专业机构定期开展数据安全评估，评估的范围包括但不限于数据安全管理规范、制度、流程、技术工具、安全防护策略、安全漏洞、安全事件应急等方面。

　　五、数据安全体系建设的趋势与展望

　　在大数据背景下，加强数据安全治理、保障数据安全是实现数据要素核心价值的关键基础。从开展数据安全治理工作的角度来看，当前大部分机构已充分认识到数据安全治理的必要性和重要性，在数据安全治理实践中积累了经验与能力，但总体仍存在较大的优化和提升空间。下一阶段，数据安全治理实践可以围绕以下几个方向持续推进。

　　（一）完善数据安全治理评价体系

　　面对不断改变的数据安全形势与网络安全总体要求，需不断完善数据安全治理的度量和评价机制，以度量和评价结果为依据，通过数据全生命周期安全治理的串联、互补、联动与反馈改进数据安全治理体系，促进数据安全治理能力持续优化。同时，应适时引入第三方测评、认证机构，以数据安全相关的政策法规为纲领，将数据安全相关标准作为执行准则，对数据中心自身以及第三方相关单位开展数据及个人信息保护能力、信息系统落实情况细化监管和评测，落实数据安全主体责任。

　　（二）推动隐私计算技术应用落地

　　产业数字化的本质是数据要素的融合，数据融合应用必然推动形成跨业、跨界、跨域的数据价值协同，在融合过程中如何解决商业机密泄露和个人隐私侵害问题是重点。凭借安全多方计算和其他隐私计算技术，可以在安全合规、客户授权、不泄露隐私数据的前提下，实现跨机构主体对于用户或企业数据资产的协同计算与价值判断，实现数据资产的统一视图。未来，通过推动隐私保护和隐私计算相关技术的应用，将实现数据中心敏感数据“可用不可见”“可算不可识”前提下的数据分析和价值挖掘，助力数据安全合规融合健康发展。

　　（三）培养数据安全治理人才队伍

　　新兴技术快速发展并在各行各业持续落地应用，数据在其中扮演着愈发重要的角色。随着各行各业数字化进程加快，以及数据安全相关法规标准相继落地，数据安全治理人才缺口日益凸显。相关数据统计显示，未来10年内，我国信息安全相关人才数量和质量与市场需求极不匹配。因此，数据中心应加快完善数据安全治理人才培养机制。一是研究制定数据安全人才体系的发展规划，制定多层次、多元化的人才招聘和培养计划，加快构建复合型数据安全治理人才队伍。二是完善科技人才激励机制，通过优化工资待遇、设置奖励基金等方式引进和留住高端专业人才，优化人才布局。