供水技术标准转型中的数据安全,如何做到风险控制?
2023(第八届)供水高质量发展论坛上,合肥供水集团有限公司总经济师朱波以“供水技术标准转型中的数据安全”为题做了分享。他表示,数据安全治理是数据治理的一个子集,安全治理既可在数据治理框架下进行,也可独立实施。欲速则不达,数据的安全问题得不到妥善解决,那么宁愿数字化转型慢一点,或者不转型,也不能在错误的方向上渐行渐远。
朱波
合肥供水集团始建于1954年,国有独资大型企业,注册资本9亿元,主要承担合肥市区和巢湖、肥西、北城等区域的供水保障与服务工作。目前,集团资产总额132亿元,下辖制水厂9个,日供水能力295.5万立方米,直径75毫米以上供水管网11277公里,用户304万户,服务面积897平方公里。
数据安全领域的“三驾马车”,深度解读《数据安全法》
2021年6月10日,十三届全国人大常委会第二十九次会议表决通过了《中华人民共和国数据安全法》,于2021年9月1日起施行。《数据安全法》与《网络安全法》、《个人信息保护法(草案)》一起成为数据安全领域基础性法律体系“三驾马车”,保证数据安全实践有法可依,同时将数据安全提升至国家层面的新高度。
《数据安全法》的制定,是维护国家安全的必要要求,是维护人民群众合法权益的客观需要,同时也是促进数字经济健康发展的重要举措。《数据安全法》的价值定位包括坚持安全与发展并重、加强具体制度与法律框架衔接、回应实践问题及社会关切。
《数据安全法》是数据安全领域的基础性法律,基础性法律的功能更多注重的不是解决问题,而是为问题的解决提供指导思路,问题的解决需要依靠相配套的法律法规。
监管主体和工作机制方面,中央国家安全领导机构作为总体统筹,国家网信部门、中央军事委员会、公安/国家安全机关等部门、组织组成监管执行,为各行业制定数据行为规范,加强数据安全保护。
伴随数据安全领域法律法规、合规政策的陆续颁布,监管机制逐步完善,数据安全事件的影响已经不局限于经济损失、声誉损害,还可能面临巨额罚款和刑事责任。
根据供水领域要求,制定数据安全标准体系
领域热点方面,包括数据安全工具、数据安全治理、数据安全培训、数据安全咨询四部分。
数据安全工具:数据资产体量巨大、分布广泛、动态流转,高效的数据安全工具是数据安全保护的战略制高点。在数据资产梳理、数据分类分级、隐私计算、数据脱敏、数据安全运营等方向,数据安全厂商正在积极布局。
数据安全治理:围绕数据生命周期,建立数据安全治理体系是数据安全保障的基础。DSMM作为国内探索、实践多年的数据安全治理抓手,助力持续提升数据安全治理成熟度水平,确保数据安全合规运营。
数据安全培训:场景化宣贯提高数据安全理论水平,实战化培训验证数据安全技术能力。数据安全意识的普及,有利于规范数据保护理念与行为,营造数据安全氛围与生态,帮助数据安全保障工作持续、有序、稳定开展。
数据安全咨询:数据价值凸显,数据安全意识觉醒。数据安全风险通过数据流转,形成难以分割的动态风险整体,增加数据安全保障的难度。数据安全咨询成为破局的关键,市场需求与日俱增。
朱波表示,维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。
数据安全制定方面,根据国家对供水行业的要求,共分为数据分类分级、数据安全风险评估、数据安全应急处置、数据安全审查、数据出口管制、数据反歧视、数据安全管理、数据交易管理共八个方面。
数据安全发展主要包括数据安全标准、数据安全服务、数据应用创新三方面。
朱波表示:“数据安全国家标准方面,从数据安全方向、个人信息保护方向出发,颁布了安全及技术要求标准、管理指南类标准以及测试评估规范类标准三类标准。电信行业、金融行业等都有相应的数据标准,但供水领域数据安全标准体系尚未建立,这将是供水企业今后努力的方向及目标。”
针对数据安全治理难点,分享实践经验
数据安全治理路径主要是以数据为中心,围绕数据生命周期全过程,融合技术、管理和运营,打造涵盖“云、网、端”的时空一体化动态安全防护体系,确保数据流转全过程持续处于有效保护、合法利用的状态,保障数据安全释放价值。
数据安全治理难点可以总结为数据是否泄漏无感知、泄漏途径难确认、泄漏事件难溯源、数据资产不清晰、数据分级分类无法落地、数据访问控制难落地、数据安全人才缺失七个方面。
朱波介绍,核心技术能力主要包括智能数据分类分级、数据风险监测、数据泄密溯源、数据安全管控四方面。
智能数据分类分级:通过人工智能和机器学习技术,自动提取数据特征,进行数据分类分级标签推荐,从而大幅提升数据分类分级的效率。
数据风险检测:基于大数据计算以及用户行为分析技术,对用户数据访问流量进行建模,自动生成安全基线;基线内容如谁在访问数据,访问什么数据,通过何种途径,什么时间,访问了多少数据等;基于安全基线以及异常行为特征模型对数据访问行为进行研判,感知风险,上报告警,如:数据越权使用、API异常调用、运维人员批量读取敏感数据等。
数据泄密溯源:当前主流数据共享方式中,传统的嵌入追溯水印方式不再有效。通过可疑第三方检测模型对数据泄露内容进行数据检测,快速定位出可能的数据泄露源头,大大提升数据泄露溯源的速度。
数据安全管控:基于智能数据分类分级结果,对不同角色用户访问数据进行不同数据安全访问策略控制。
会上,朱波也将合肥供水集团的实践经验进行了分享。
在高度重视下,数据安全事件仍然频发。内因是获取数据有利可图,数据凭借自身价值,拥有“内泄外窃/越权使用”的天然驱动力。外因是数据安全保护不力,涉及数据权责不明确、数据状况不清晰、制度策略不完备、防护理念不匹配等层面的问题。各行业数据安全风险大、泄露事件频发。
在此背景下,合肥供水集团建立数据安全助力框架。
管理体系方面,定目标、规框架,建立企业级数据中心。合肥供水集团详细调研31个主要业务系统、16个业务部门,进行数据规划,形成9大标准规范,数据中心已采集数据18亿条,已治理数据8.9亿条。数据共享交换具有8.3亿条共享能力,共享至表务系统2500万条、管网运维系统58万条、超等额累进加价系统233万条、合肥市数据资源局1100万条等。
数据安全治理制度框架方面,合肥供水集团为决策者、管理层、执行层分别制定了相应匹配的制度,并建立了相应的32个一类到四类的数据安全办法、规范、细则和手册。
技术体系方面,基于零信任构筑的数据安全。采用SDP(软件定义边界)架构打造的新一代终端安全接入架构,由零信任安全网关、管理平台、客户端及终端安全监测四个部分构成,提供多种认证、终端环境检查、跨网隔离、非法外联检测、NAT溯源等能力的端到端安全防护,构建安全、易用、易管、稳定的可控可管的 “一机两网” 安全环境。
技术体系:合肥供水集团数据安全体系
技术体系:数据全生命周期安全体系建设
朱波最后表示,数据安全治理是数据治理的一个子集,安全治理既可在数据治理框架下进行,也可独立实施。欲速则不达,数据的安全问题得不到妥善解决,那么宁愿数字化转型慢一点,或者不转型,也不能在错误的方向上渐行渐远。理想的方案是获取全量数据安全指标;经济的方案是能够满足当前业务的风险控制需求。把未知的风险转变为已知的风险,再去寻找抵御风险和提升防御能力的方法。
数据安全治理只有起点没有终点,数据安全保护永远在路上。