談談資料安全常見的誤區

資料安全對企業的生存發展舉足輕重，資料資產的外洩、破壞都會導致無可挽回的經濟損失和核心競爭力缺失。而絕大多數中小企業注重業務的快速發展，往往忽略了資料安全重要性。近年來，企業由於自身的安全防護機制不嚴謹，資料安全事件頻發。拋開事件本身的人為因素不談，如何從技術角度避免重蹈覆轍，才是我們需要深度剖析的，但也有很多人對資料安全存在認知上的誤區。

誤區一：資料安全要求太多，要謹慎開展資料共享與開發

2021年，我國先後頒佈並施行了《資料安全法》、《個人資訊保護法》，不少人對這兩部法律的理解有一個誤區：兩部法律的施行是為了制約資料的使用。事實上恰恰相反，這兩部法律本質上是為了促進資料的開發利用和相關產業的發展。

“十四五”規劃綱要將“加快數字化發展建設數字中國”單獨成篇，並首次提出數字經濟核心產業增加值佔GDP比重這一新經濟指標，明確要求我國數字經濟核心產業2025年增加值佔GDP的比重要由2020年的7.8%提升至10%。

去年全國兩會上，一個數字被反覆提及——48.6ZB，這是預計到2025年我國將產生的資料總量，佔全球總量的27.8%。如此規模的“資料富礦”，其潛力極其巨大，《資料安全法》、《個人資訊保護法》作為資料安全和隱私保護的法律依據，對資料合理利用，有序自由流動，促進數字經濟發展有著極其重要意義。

藉助相關要求，組織對資料要更加“以共享為前提、不共享為例外”、“敢開發、敢利用”、“讓資料多跑路，產生更大的業務價值”。

誤區二：資料安全和網路安全是同一賽道，二者沒有區別

從狹義來說，網路安全指網路系統的硬體、軟體及其系統中的資料受到保護，不因偶然的或惡意的原因遭到破壞、更改、洩露，系統連續可靠地執行，網路服務不中斷，保障網路資訊的儲存安全，以及資訊的產生、傳輸和使用過程中的安全。

從廣義來說，凡是涉及網路上資訊的保密性、完整性、可用性、真實性、可控性的技術和理論，都是網路安全的研究領域。所以廣義的網路安全還包括裝置的物理安全性，如場地環境保護、防火、防靜電、防水防潮、電源保護等。

資料安全也有兩方面的含義：

一是資料本身的安全。主要是採用現代密碼演算法對資料進行主動保護，如資料保密、資料完整性、雙向強身份認證等。

二是資料防護的安全。主要是採用現代資訊儲存手段對資料進行主動保護，如透過磁碟陣列、資料備份、異地容災等手段保證資料安全。

簡單來說，網路安全偏向於“動態”安全，即資訊系統和資訊傳遞過程中的安全;而資料安全側重於“靜態”的資料自身安全狀態。在資料完整生命週期保護的角度，兩者既有交集，又有各自的偏重。

誤區三：資料安全是網路安全的一部分，交給網路安全部門就行了

過去，承接網路安全工作的往往是網路安全團隊。碰到複雜的問題時，也只需網路安全部門與相關部門聯動便可實現問題的閉環處理。

而資料安全與之最大的區別，在於資料散落在組織各處，企業很多部門都是資料處理活動的參與者，所以這些參與者都需要承擔一定的資料安全職責。

以某大型企業為例，其擁有銷售部門、採購部門、財務部門、資訊化執行維護部門和應用開發部門等多個業務單元，每個業務單元都獨立運轉並管理或參與管理著大量的部門資料，這些資料在組織內有序流轉，併產生多樣的交匯與共享，其中業務部門是資料的所有者，IT部門只有在和業務部門高效協同的背景下，才能真正保障好資料安全。

所以要做好資料安全工作，就需要組織內多個部門共同參與，網路安全部門是組織內承擔基礎設施及公共安全能力建設的主要部門，但其缺乏對各個業務部門資料的深入理解，另一方面也難於直接參與到資料資源管理和應用開發建設的過程中，所以在資料安全上能發揮的作用相對有限。

因此，資料安全絕不僅是資訊化組織或網路安全部門的獨立工作任務，而是一項由組織決策層到執行層，自上而下覆蓋組織整體架構的完整任務。網路安全部門在資料安全上的工作更多應集中在資料安全風險監測與公共能力建設上。

資料安全保護需要組織自上而下，統籌開展

什麼是自上而下，統籌開展?就是要把組織作為一個整體進行資料安全工作佈局，而非依靠某個人或某個部門的力量來獨立處理資料安全問題。

從法律的角度來說，擁有或使用資料的組織才是承擔資料安全責任的主體。所以，資料安全工作需要統籌各個部門參與，保障資料在特定組織內全生命週期的安全。不論資料在這個組織中的生命週期涉及多少產品業務或人員，最終衡量資料是否安全，都需要把組織作為整體來考慮。

資料安全保護工作需要建立牽頭+認責體系

資料安全與每個部門都息息相關，那是不是所有部門、所有人都該對組織的資料安全負責呢?為了釐清責任主體，資料安全保護工作需要建立牽頭+認責體系，由一個組織單元牽頭負責，再由資料的其他相關角色(生產者、使用者等)共同認責。

核心牽頭者的職能是推進資料安全治理工作，完善資料標準化管理，實施常態化指導監督等。認責則是基於“誰生產、誰擁有、誰負責”的資料認責原則，確定資料安全保護工作的相關各方的角色、責任和關係，典型如資料安全保護過程中的決策、執行、解釋、彙報、協調等角色和職責。

2021年8月，深圳釋出的《深圳市推行首席資料官制度試點實施方案》(以下簡稱《方案》)，就是牽頭+認責體系的一個範例。

根據《方案》，首席資料官有六個方面的主要職責，分別為推進智慧城市和數字政府建設、完善資料標準化管理、推進資料融合創新應用、實施常態化指導監督、加強人才隊伍建設和開展特色資料應用探索等。

有了政府部門的率先嚐試，企業資料首席官制度是不是也可以做一些試驗呢?

誤區四：資料安全關鍵是體系化建設，要主抓建設，看看還有啥沒買

資料安全保護工作不是一勞永逸的事，需要結合業務需求和技術發展不斷夯實、加固、完善資料安全的保護能力。

以資料分類分級為例——資料分類分級並非一次性工作，只要有新資料的產生，分類分級工作就需要不斷重複進行，資料分類分級越細，需要投入的資源就越多。

在IT時代，企業的資訊化建設是以系統和網路為中心的，對應的安全防護也是以系統和網路邊界的防護為重心，更多關注邊界處的資料洩露和外部攻擊，只要攔住了，就沒事了。

但現在，資料的種類極其豐富，資料儲存、流轉及使用已構成一個複雜的資料生態。資料安全的風險更多在內部積聚，內部敏感資料的儲存、擴散風險到了失控的狀態時，邊界的防護壓力就會增大，防護效果顯著降低。而且，敏感資料違規濫用本身就不是發生在邊界處，大部分產品對於這種風險既無檢測感知能力，也沒有響應保護能力。

因此，增加資料安全運營視角為解決資料安全問題提供了一個新的解題思路。既然安全風險產生於資料運營的各個環節，那防護就不應該再盯著各個系統和網路，而是回到問題的本質，以資料為核心，圍繞資料的全流程來展開安全的防護和運營工作。

資料安全也有和網路安全相似的一面，需要持續的風險監測與運營改進，透過不斷發現、分析、研判可疑的資料安全事件，並積極響應、快速處置，推動資料安全的保護工作不斷進行改進。持續監測、不斷響應是資料安全工作永恆不變的主題。