供水技術(shù)標準轉(zhuǎn)型中的數(shù)據(jù)安全,如何做到風險控制?
2023(第八屆)供水高質(zhì)量發(fā)展論壇上,合肥供水集團有限公司總經(jīng)濟師朱波以“供水技術(shù)標準轉(zhuǎn)型中的數(shù)據(jù)安全”為題做了分享。他表示,數(shù)據(jù)安全治理是數(shù)據(jù)治理的一個子集,安全治理既可在數(shù)據(jù)治理框架下進行,也可獨立實施。欲速則不達,數(shù)據(jù)的安全問題得不到妥善解決,那么寧愿數(shù)字化轉(zhuǎn)型慢一點,或者不轉(zhuǎn)型,也不能在錯誤的方向上漸行漸遠。
?
朱波
合肥供水集團始建于1954年,國有獨資大型企業(yè),注冊資本9億元,主要承擔合肥市區(qū)和巢湖、肥西、北城等區(qū)域的供水保障與服務工作。目前,集團資產(chǎn)總額132億元,下轄制水廠9個,日供水能力295.5萬立方米,直徑75毫米以上供水管網(wǎng)11277公里,用戶304萬戶,服務面積897平方公里。
數(shù)據(jù)安全領(lǐng)域的“三駕馬車”,深度解讀《數(shù)據(jù)安全法》
2021年6月10日,十三屆全國人大常委會第二十九次會議表決通過了《中華人民共和國數(shù)據(jù)安全法》,于2021年9月1日起施行?!稊?shù)據(jù)安全法》與《網(wǎng)絡安全法》、《個人信息保護法(草案)》一起成為數(shù)據(jù)安全領(lǐng)域基礎(chǔ)性法律體系“三駕馬車”,保證數(shù)據(jù)安全實踐有法可依,同時將數(shù)據(jù)安全提升至國家層面的新高度。
《數(shù)據(jù)安全法》的制定,是維護國家安全的必要要求,是維護人民群眾合法權(quán)益的客觀需要,同時也是促進數(shù)字經(jīng)濟健康發(fā)展的重要舉措。《數(shù)據(jù)安全法》的價值定位包括堅持安全與發(fā)展并重、加強具體制度與法律框架銜接、回應實踐問題及社會關(guān)切。
《數(shù)據(jù)安全法》是數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律,基礎(chǔ)性法律的功能更多注重的不是解決問題,而是為問題的解決提供指導思路,問題的解決需要依靠相配套的法律法規(guī)。
監(jiān)管主體和工作機制方面,中央國家安全領(lǐng)導機構(gòu)作為總體統(tǒng)籌,國家網(wǎng)信部門、中央軍事委員會、公安/國家安全機關(guān)等部門、組織組成監(jiān)管執(zhí)行,為各行業(yè)制定數(shù)據(jù)行為規(guī)范,加強數(shù)據(jù)安全保護。
?
伴隨數(shù)據(jù)安全領(lǐng)域法律法規(guī)、合規(guī)政策的陸續(xù)頒布,監(jiān)管機制逐步完善,數(shù)據(jù)安全事件的影響已經(jīng)不局限于經(jīng)濟損失、聲譽損害,還可能面臨巨額罰款和刑事責任。
?
根據(jù)供水領(lǐng)域要求,制定數(shù)據(jù)安全標準體系
領(lǐng)域熱點方面,包括數(shù)據(jù)安全工具、數(shù)據(jù)安全治理、數(shù)據(jù)安全培訓、數(shù)據(jù)安全咨詢四部分。
數(shù)據(jù)安全工具:數(shù)據(jù)資產(chǎn)體量巨大、分布廣泛、動態(tài)流轉(zhuǎn),高效的數(shù)據(jù)安全工具是數(shù)據(jù)安全保護的戰(zhàn)略制高點。在數(shù)據(jù)資產(chǎn)梳理、數(shù)據(jù)分類分級、隱私計算、數(shù)據(jù)脫敏、數(shù)據(jù)安全運營等方向,數(shù)據(jù)安全廠商正在積極布局。
數(shù)據(jù)安全治理:圍繞數(shù)據(jù)生命周期,建立數(shù)據(jù)安全治理體系是數(shù)據(jù)安全保障的基礎(chǔ)。DSMM作為國內(nèi)探索、實踐多年的數(shù)據(jù)安全治理抓手,助力持續(xù)提升數(shù)據(jù)安全治理成熟度水平,確保數(shù)據(jù)安全合規(guī)運營。
數(shù)據(jù)安全培訓:場景化宣貫提高數(shù)據(jù)安全理論水平,實戰(zhàn)化培訓驗證數(shù)據(jù)安全技術(shù)能力。數(shù)據(jù)安全意識的普及,有利于規(guī)范數(shù)據(jù)保護理念與行為,營造數(shù)據(jù)安全氛圍與生態(tài),幫助數(shù)據(jù)安全保障工作持續(xù)、有序、穩(wěn)定開展。
數(shù)據(jù)安全咨詢:數(shù)據(jù)價值凸顯,數(shù)據(jù)安全意識覺醒。數(shù)據(jù)安全風險通過數(shù)據(jù)流轉(zhuǎn),形成難以分割的動態(tài)風險整體,增加數(shù)據(jù)安全保障的難度。數(shù)據(jù)安全咨詢成為破局的關(guān)鍵,市場需求與日俱增。
朱波表示,維護數(shù)據(jù)安全,應當堅持總體國家安全觀,建立健全數(shù)據(jù)安全治理體系,提高數(shù)據(jù)安全保障能力。
?
數(shù)據(jù)安全制定方面,根據(jù)國家對供水行業(yè)的要求,共分為數(shù)據(jù)分類分級、數(shù)據(jù)安全風險評估、數(shù)據(jù)安全應急處置、數(shù)據(jù)安全審查、數(shù)據(jù)出口管制、數(shù)據(jù)反歧視、數(shù)據(jù)安全管理、數(shù)據(jù)交易管理共八個方面。
?
數(shù)據(jù)安全發(fā)展主要包括數(shù)據(jù)安全標準、數(shù)據(jù)安全服務、數(shù)據(jù)應用創(chuàng)新三方面。
?
朱波表示:“數(shù)據(jù)安全國家標準方面,從數(shù)據(jù)安全方向、個人信息保護方向出發(fā),頒布了安全及技術(shù)要求標準、管理指南類標準以及測試評估規(guī)范類標準三類標準。電信行業(yè)、金融行業(yè)等都有相應的數(shù)據(jù)標準,但供水領(lǐng)域數(shù)據(jù)安全標準體系尚未建立,這將是供水企業(yè)今后努力的方向及目標。”
針對數(shù)據(jù)安全治理難點,分享實踐經(jīng)驗
數(shù)據(jù)安全治理路徑主要是以數(shù)據(jù)為中心,圍繞數(shù)據(jù)生命周期全過程,融合技術(shù)、管理和運營,打造涵蓋“云、網(wǎng)、端”的時空一體化動態(tài)安全防護體系,確保數(shù)據(jù)流轉(zhuǎn)全過程持續(xù)處于有效保護、合法利用的狀態(tài),保障數(shù)據(jù)安全釋放價值。
數(shù)據(jù)安全治理難點可以總結(jié)為數(shù)據(jù)是否泄漏無感知、泄漏途徑難確認、泄漏事件難溯源、數(shù)據(jù)資產(chǎn)不清晰、數(shù)據(jù)分級分類無法落地、數(shù)據(jù)訪問控制難落地、數(shù)據(jù)安全人才缺失七個方面。
朱波介紹,核心技術(shù)能力主要包括智能數(shù)據(jù)分類分級、數(shù)據(jù)風險監(jiān)測、數(shù)據(jù)泄密溯源、數(shù)據(jù)安全管控四方面。
智能數(shù)據(jù)分類分級:通過人工智能和機器學習技術(shù),自動提取數(shù)據(jù)特征,進行數(shù)據(jù)分類分級標簽推薦,從而大幅提升數(shù)據(jù)分類分級的效率。
數(shù)據(jù)風險檢測:基于大數(shù)據(jù)計算以及用戶行為分析技術(shù),對用戶數(shù)據(jù)訪問流量進行建模,自動生成安全基線;基線內(nèi)容如誰在訪問數(shù)據(jù),訪問什么數(shù)據(jù),通過何種途徑,什么時間,訪問了多少數(shù)據(jù)等;基于安全基線以及異常行為特征模型對數(shù)據(jù)訪問行為進行研判,感知風險,上報告警,如:數(shù)據(jù)越權(quán)使用、API異常調(diào)用、運維人員批量讀取敏感數(shù)據(jù)等。
數(shù)據(jù)泄密溯源:當前主流數(shù)據(jù)共享方式中,傳統(tǒng)的嵌入追溯水印方式不再有效。通過可疑第三方檢測模型對數(shù)據(jù)泄露內(nèi)容進行數(shù)據(jù)檢測,快速定位出可能的數(shù)據(jù)泄露源頭,大大提升數(shù)據(jù)泄露溯源的速度。
數(shù)據(jù)安全管控:基于智能數(shù)據(jù)分類分級結(jié)果,對不同角色用戶訪問數(shù)據(jù)進行不同數(shù)據(jù)安全訪問策略控制。
會上,朱波也將合肥供水集團的實踐經(jīng)驗進行了分享。
在高度重視下,數(shù)據(jù)安全事件仍然頻發(fā)。內(nèi)因是獲取數(shù)據(jù)有利可圖,數(shù)據(jù)憑借自身價值,擁有“內(nèi)泄外竊/越權(quán)使用”的天然驅(qū)動力。外因是數(shù)據(jù)安全保護不力,涉及數(shù)據(jù)權(quán)責不明確、數(shù)據(jù)狀況不清晰、制度策略不完備、防護理念不匹配等層面的問題。各行業(yè)數(shù)據(jù)安全風險大、泄露事件頻發(fā)。
在此背景下,合肥供水集團建立數(shù)據(jù)安全助力框架。
?
管理體系方面,定目標、規(guī)框架,建立企業(yè)級數(shù)據(jù)中心。合肥供水集團詳細調(diào)研31個主要業(yè)務系統(tǒng)、16個業(yè)務部門,進行數(shù)據(jù)規(guī)劃,形成9大標準規(guī)范,數(shù)據(jù)中心已采集數(shù)據(jù)18億條,已治理數(shù)據(jù)8.9億條。數(shù)據(jù)共享交換具有8.3億條共享能力,共享至表務系統(tǒng)2500萬條、管網(wǎng)運維系統(tǒng)58萬條、超等額累進加價系統(tǒng)233萬條、合肥市數(shù)據(jù)資源局1100萬條等。
?
數(shù)據(jù)安全治理制度框架方面,合肥供水集團為決策者、管理層、執(zhí)行層分別制定了相應匹配的制度,并建立了相應的32個一類到四類的數(shù)據(jù)安全辦法、規(guī)范、細則和手冊。
?
技術(shù)體系方面,基于零信任構(gòu)筑的數(shù)據(jù)安全。采用SDP(軟件定義邊界)架構(gòu)打造的新一代終端安全接入架構(gòu),由零信任安全網(wǎng)關(guān)、管理平臺、客戶端及終端安全監(jiān)測四個部分構(gòu)成,提供多種認證、終端環(huán)境檢查、跨網(wǎng)隔離、非法外聯(lián)檢測、NAT溯源等能力的端到端安全防護,構(gòu)建安全、易用、易管、穩(wěn)定的可控可管的 “一機兩網(wǎng)” 安全環(huán)境。
?
?技術(shù)體系:合肥供水集團數(shù)據(jù)安全體系
?
技術(shù)體系:數(shù)據(jù)全生命周期安全體系建設(shè)
朱波最后表示,數(shù)據(jù)安全治理是數(shù)據(jù)治理的一個子集,安全治理既可在數(shù)據(jù)治理框架下進行,也可獨立實施。欲速則不達,數(shù)據(jù)的安全問題得不到妥善解決,那么寧愿數(shù)字化轉(zhuǎn)型慢一點,或者不轉(zhuǎn)型,也不能在錯誤的方向上漸行漸遠。理想的方案是獲取全量數(shù)據(jù)安全指標;經(jīng)濟的方案是能夠滿足當前業(yè)務的風險控制需求。把未知的風險轉(zhuǎn)變?yōu)橐阎娘L險,再去尋找抵御風險和提升防御能力的方法。
數(shù)據(jù)安全治理只有起點沒有終點,數(shù)據(jù)安全保護永遠在路上。