随着大数据时代的到来,数据已经成为生产的核心要素,数据存储更加集中,数据类型更加复杂,数据流更加广泛,数据暴露迅速扩大,重要企业数据、个人隐私数据等敏感数据的泄露问题突出。传统的“一刀切”的静态单点防御手段,如数据加密、脱敏、访问控制等,已经不能满足业务快速变化下的安全需求,严重阻碍了数据的高速流通和利用。如何解决数据价值发掘和隐私保护相互间的矛盾,面对着巨大的挑战。
从行业监管角度,以数据安全管理为重点,建立健全数据分类和安全保护相关管理制度和规范,明确新形势下数据安全管理规定,不断推进合规监管。从安全体系的角度来看,数据安全应与业务深度融合,以数据资产为基础,以数据流为主线,以风险分析为动力,持续监控整个生命周期的数据流通情况,动态发现安全风险,及时应用防护性技术手段和管理措施。
一方面,人工智能技术如NLP和UEBA在数据安全保护中得到更广泛的应用,以准确识别敏感数据并发现数据操作风险。另一方面,人工智能系统本身也面对着数据中毒、模型窃取、样本攻击等新的攻击威胁,需要加以保护。隐私计算成为一项新技术。隐私计算,以联邦学习、安全多方计算、差分隐私、同态加密等为代表。,有效平衡了数据隐私保护和价值发掘,平衡了数据主体权利和用户义务,形成了“无形数据可用性”的新型合作模式。数据共享、大数据应用和数据规模的快速增长导致了数据安全和隐私保护的严峻形势。数据安全相关法律法规体系正在快速建设和完善,法律法规的有效落地成为瓶颈:数据安全合规性测试规则和技术手段不足,监管效率、覆盖面和力度不足;所有数据应用单位在合法合规地处理和共享数据方面都存在严重问题。加强数据安全合规检测和控制,建立合规生态是数据安全的重中之重。同时,在检测和控制中,自动数据识别和分类是难点,对信息系统的实时检测和统一监控提出了挑战。
一方面,数据安全法规和标准制定机构、监管机构、安全技术和服务提供商、信息系统运营商需要紧密合作,制定和完善各行业数据安全合规性测试、评估和保护指南,大力加强数据安全合规性治理,形成自上而下的数据安全合规性管控生态。另一方面,在专业法规解读的基础上,建立健全数据敏感度和系统合规性的判断规则,并在此基础上,形成有效的自动分类归类、合规性测试工具和统一的监控平台,为监管机构和被检查单位的检测、评估和控制提供有效的技术手段,实现有效的“合规”保障。
1)“合规”是数据安全领域的核心,“合规”保护、“违规”检测、“内生安全”保护是主题;
2)应用场景主要是信息系统对数据的合法合规处理,以及数据权限的分离和控制,尤其是跨机构、跨地区的传递、共享和使用;
3)数据安全检测与响应平台(XDR)是方向:在一个监控平台上,从合规性检测与评估延伸到控制与保护响应;
4)多层次联动(中央到地方)、统一风险管控(机密、商业秘密、个人等信息)的数据安全监管平台是趋势;
主动风险管控、安全治理、合规、风险管控将统一整合。