一文读懂数据安全建设方法

序言

大数据时代，数据得到越来越多的重视。大数据和人工智能的深度融合深刻而广泛地影响了包括政府、金融、运营商、电力和互联网的各行各业，数据价值的流通与释放进一步促进经济和生产力的发展。2020年3月，我国中共中央、国务院对外发布《关于构建更加完善的要素市场化配置体制机制的意见》，将数据定义为新型的生产要素，被正式纳入到国家所定义的要素市场化配置中，数据的国家战略资源地位被正式确立。然而，大数据带来的机遇伴随着空前的安全挑战：近年来，大规模的数据泄露事件频频发生、“大数据杀熟”、数据歧视、个人信息非法采集和隐私窃取等安全问题愈发严峻，且这些问题对公民以及社会造成了不可忽视的负面影响与危害。

我国在2021年陆续发布两部重量级的法规：《数据安全法》和《个人信息保护法》。前者在总体国家安全观指导下，对数据进行全面的保护；后者对公民隐私和个人信息进行安全保护。

随着全球数据安全法规监管的不断强化，合规性问题不得不纳入企业数据安全建设考虑范围。可以说，合规性成为了企业数据安全建设与治理的重要驱动力。然而，法规向企业提出范围更广和约束更严的数据安全的相关要求，给传统的数据安全技术和产品带来了前所未有的巨大挑战。

以往的数据安全，企业以重要资产的数据安全防护为视角，重点保护的数据对象是企业敏感数据，同时也包括一小部分个人隐私数据，比如用户的登录密码与口令等。在新形势下的数据安全，企业需要保护三类敏感数据，包括企业敏感数据、个人隐私数据和国家敏感数据。我国法规监管对象不仅包括个人隐私数据，还包括各类国家敏感数据，法规上也称为“重要数据”，比如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。需要强调的是，法规定义的个人数据/个人信息不是传统意义上的身份证号、手机号、地址等个人基本信息，还包括设备的IP地址、MAC地址、Cookie信息，范围非常宽广（可参考国标《个人信息安全规范》的个人信息举例）

由于合规性、业务增长和数据规模的多重原因，数据安全从小范畴的数据安全，变成大范畴的数据安全；从单点的数据安全建设，变成体系化的数据安全建设。对于体系化的数据安全建设，Gartner认为它是一个数据安全治理的过程：从上至下，由决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标达成共识，确保采取合理和适当的措施，以最有效的方式保护数字资产。那么如何有效的管理企业数据安全呢，下面我们看一看具体的实践案例。

一、企业数据安全的现状

二、企业数据安全的挑战

三、企业数据安全的核心问题

四、数据安全的实施方法

1、核心资产的识别

2、核心资产的分布

3、设计数据安全架构

4、选择合适的数据安全工具

5、评价数据安全防护效果

6、找到数据安全防护弱的持续优化

五、数据安全管理展望

大数据技术引发的数据利用新需求、新模式、新业态与保护数据安全之间存在天然冲突，形成了数据利用与保护国家数据资源、数据利用与保护商业秘密、数据利用与保护个人隐私三个主要矛盾。解决这三个矛盾问题，不仅需要国家在顶层设计层面完善数据安全管理体系，加强数据安全法律法规建设，强化数据安全政府监管，还需要数据控制者，即掌握数据资源的企业或机构提升自身数据安全防护能力，切实保障数据机密性、完整性、可用性的同时，保护国家数据资源、企业商业秘密、公民个人信息免遭泄漏、窃取及毁损。

来源：数据驱动智能