购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

第1章
数字化转型驱动数据安全建设

数字化时代,数据已经成为政府和企业的核心资产。经济全球化带来商品、技术、信息、服务、货币、人员、资金、管理经验等生产要素的全球化流动,数据这个重要的生产要素在企业与企业、政府与企业、国与国之间快速流转、处理和使用,数据资源的作用、影响和价值变得越来越重要。与此同时,数据泄露事件造成的影响也逐步增加。

对数据掌控、利用和保护的能力已成为衡量国家之间竞争力的核心要素。

1.1 数据安全相关法律简介

从2015年开始,我国陆续发布多项与数据相关的法律法规。2015年8月,国务院印发《促进大数据发展行动纲要》;2018年3月,国务院办公厅印发《科学数据管理办法》;2020年3月,印发《中共中央 国务院关于构建更加完善的要素市场化配置机制的意见》;2021年3月,新华社刊发《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》(简称“十四五”规划);2021年6月,国家颁布《中华人民共和国数据安全法》,在我国数据安全法律方面增添了重要的一块拼图。

《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规共同构成更加完整的信息领域法律体系,为维护我国的数据主权,保障国家的安全、促进经济健康发展起到重要的支撑和保障作用。

近年来数字经济的高速增长也证明数字经济发展空间巨大。中国信息通信研究院发布的《中国数字经济发展白皮书(2021年)》数据显示,我国数字经济的总体规模已从2005年的2.62万亿元增长至2019年的35.84万亿元;数字经济总体规模占GDP的比重也从2005年的14.20%提升至2019年36.20%(图1-1)。可见,数字经济已成为我国国民经济增长要素的重要一员。

大力发展以创新为主要引领和支撑的数字经济,不仅要充分了解数据资源的基础资源和创新引擎的作用,还要防范滥用数据资源、忽视数据安全所带来的负面效应。

纵观数据产业发展的历史,我们发现随着“烟囱式”系统的逐渐重构,信息系统之间开始打通、共享、协同,数字经济时代重要的生产要素——“数据”在企业内外部快速流转。企业在享受数字化转型带来的红利的同时,业务中的数据安全隐患、冲突和造成的损失也日益严重。在数字化转型的大背景下,政企需要将数据安全架构当成组织架构的核心问题,在保障业务发展和业务敏捷度之间找到可行且有效的平衡策略与方案,有效护航政企数字化转型。

图1-1 2005—2019年我国数字经济总体规模及占GDP比重

资料来源:中国信息通信研究院前瞻产业研究院

1.2 数据安全的市场化价值挖掘

1.数据安全的市场化发展趋势

数据是现代信息化社会的重要核心资源,是企业乃至国家全面、快速发展的重要保障性资源。2021年,中国信息通信研究院等组织公布的数据显示,我国数据安全市场规模预计将在2023年预计达到97.5亿元,在整体数据安全市场占比达到12.1%,核心客户购买实力雄厚,可贡献约40亿元收入。根据IDC(中国)在2021年发表的《IDC全球网络安全支出指南》中的预测数据,中国网络安全市场投资规模有望在2025年增长至187.9亿美元,增速持续领跑全球。预计未来,政府、金融、医疗卫生及能源行业在数据安全领域的投入有望增加1至3倍,整体数据安全领域仍有近1倍的弹性增长空间(图1-2)。

图1-2 中国IT安全市场支出预测(2020—2025年)

资料来源:IDC中国,2021

当前,数据产业规模为万亿元级,其中的数据安全产业尚处于发展初期,仅占据总产业规模的5%~10%。而随着数据安全技术与行业的结合更密切,应用场景更丰富,这个市场将迎来更大的机遇。

2.数据安全的技术发展趋势

2021年,美国Gartner公司(以下简称Gartner)发布的2021年安全运营技术成熟度曲线涵盖了31种数据安全技术,其中超过70%技术处在“稳步爬升期”之前,说明该领域创新技术活跃,有着巨大的发展空间(图1-3)。

图1-3 2021年安全运营技术成熟度曲线

资料来源:Gartner,2021(作者译)

1.3 政企数字化转型的战略意义和核心能力

1.3.1 政企数字化转型的战略意义

传统产业如果未能积极利用新技术、新设备和新的管理思想,其发展情况和经营状况会普遍落后,这也显示出信息技术的重要作用,体现了数字经济的巨大活力。近年来,传统产业发展遭遇严重制约,数字经济开始崭露头角。《数字中国发展报告(2020年)》的数据显示,至2019年,我国数字经济发展活力不断增强,数字经济核心产业增加值占GDP的比重达到7.8%。

数字化转型通常被定义为对组织的工作内容、生产流程、业务模式和人员与资源管理等全部实现计算机化、数字化、网络化,并与上下游的供应商和客户建立有效的网络化、数字化连接。由于数字化转型不是简单地从“非数字化”到“数字化”的过程,其本质是从业务需求出发最终回归到完整的业务数字化解决方案,因此不同机构的数字化转型路径各不相同。近年来,数字化转型也可以理解为利用移动互联网、大数据、云计算、人工智能等数字化技术来推动组织转变业务模式和组织架构等的变革措施,例如近年来衍生的智能制造、智慧城市等概念。数字化转型是新时代的新需求,一些行业先行者的数字化转型案例已经充分说明,传统专业需要数字化转型来达到质的改变,数字化转型的市场需求是巨大的。虽然数字化转型浪潮已至,但“数字化”这三个字对很多传统企业来说,却一直是机遇和挑战并存。数字化转型的意义是通过数字化技术来大幅提高创新的能力,重塑业务,以获取更为快速的商业成功。由于很多传统企业不具有天然的数字化基因,所以在数字化的进程中往往更需要第三方的服务机构帮助完成,这也被称为“数字化护航”。

对于中小型企业,特别是数据安全能力建设较为薄弱的企业,建议考虑采用“零信任”合作模式进行信息化建设。企业将着眼于数据管理的整个生命周期,并将关注点从数据安全本身扩展到企业整体信息安全框架。

1.金融行业数字化转型

在金融行业数字化转型带来正面效益的同时,金融业务中的数据安全的种种问题也成为金融业数字化转型中亟须解决的问题。2020年国内某商业银行在未经用户允许的情况下泄露用户个人信息案件、一些电商平台的“大数据杀熟”事件,以及2021年中央电视台“3.15”晚会爆出的各种个人隐私泄露事件……似乎在告诉我们一个我们不愿意相信但确实已经存在的事实:经营者在数字技术上应用得越专业、纯熟,消费者就越处于不利地位;个人隐私有可能成为经营者手中用于利益交换的廉价甚至免费的筹码。

金融行业在数字化转型的过程中,需要营造良好的安全生态。国家和行业层面需要完善相关法律法规,加强监管;企业层面需要从制度、技术、业务、架构各个维度加强自身建设。未来,数据安全能力将成为数字化转型成果的“试金石”之一,即数字化的成功必须有数据安全作为基本保障。

2.医疗行业数字化转型

医疗数字化转型拉动了整个医疗信息系统的架构升级,从传统的“医院—卫生健康委员会”转向“企业—医院—卫生健康委员会”“三方式”的平台架构,这种架构逐渐成为医疗升级的基础保障。随着医疗大数据体系建设的逐渐深入,医院和患者享受到了数字化挂号、化验、检查、病历数字档案、医院间信息共享等种种便利,但是也陆续暴露出医疗数据保护的问题和难点。目前,我国尚缺明确的法律、法规或行业管理规定来确定医疗数据的归属,因此许多AI医疗组织只需通过与医院或主管负责人员合作科研项目,就可获得医院海量的医疗数据,这些科研数据的安全已成为医疗行业亟须解决的问题。如何在更好地保护患者健康隐私的前提下,实现医疗数据安全、高效的共享开放?随着多方数据安全融合计算、联邦学习、同态加密、区块链等技术的发展,这一问题相信会得到解决。

3.电信运营商数字化转型

电信运营商(指提供固定电话、移动电话和互联网接入的通信服务公司)在数字化创新的过程中逐渐转型为数据运营驱动型企业,如何保障并进一步提升数字化转型成果?建议从数据安全保障能力和数据安全运营能力两个层面进行建设,数据安全是保障企业数字化转型的前提,数据运营是企业数字化转型的驱动,二者如一体双翼,缺一不可。

电信运营商拥有大量的客户数据,且数据准确性高,每天实时更新,国内能大规模掌握此类精准数据的,只有电信运营商和大型互联网公司。互联网公司通过介入支付领域,拥有了部分用户的电信和金融两类数据,电信运营商的数据有2000余个标签,而互联网公司针对客户的标签会有2~5万个,具体到企业或个人可能有近百或上千个。因此,电信运营商在数字化转型浪潮中需要考虑开放数据与第三方合作,这对电信运营商的数据安全管控能力和数据开放共享能力提出了很高的要求。

4.教育行业数字化转型

近年来很多学校的教学方式从面授向线上转型,与此同时,大量教育组织也获取和存储了大量学生及家长的个人敏感信息,如姓名、地址、电话、身份证号码等信息,这些都是最重要的核心敏感数据。

然而,近几年数据泄密事件时有发生,在造成学生个人隐私信息泄露的同时,也给学生心理带来打击,甚至酿成悲剧。这虽属个别的极端事件,但也必须引起相关组织、管理者及用户个人的警觉。

如何做好数据信息防护已成亟须解决的问题。在预防外部攻击的同时,也要严防内部泄露,通过对数据进行有效分类分级、敏感数据脱敏显示、精细化的访问控制,对数据访问行为进行完整审计,并基于用户行为分析进行全面预警,保证数据安全的全程防护。

1.3.2 政企数字化转型的核心竞争力

我国政企数字化转型,应始终坚持以客户为中心,以数据安全能力为基础。努力构建数字洞察、数字营销、数字创新、数字风控和数字运营五大核心竞争力。

数字洞察。数字洞察指以数字化方式深入了解客户,是数字化运营最基本的能力,也是数字化转型需要优先培养的能力。谁最了解客户,谁能提供符合客户需求的产品和服务,谁就能拥有更多的获客量,要做到这些,数字洞察是一个重要的前提和手段。因此,必须加强客户信息系统和数据平台建设,加强对外部数据资源的采集和整合,建立统一的客户标签体系,提高客户聚类和客户画像能力。

数字营销。数字营销对于实现“团队—渠道—客户—产品”的良好匹配,实现团队与渠道的对接,实现人员能力提升,实现企业快速发展均具有重要作用。数字营销涉及客户洞察、产品与服务匹配、内容操作、营销策略管理、营销活动管理、人员培训和绩效管理等多个方面,是一个多功能的数字闭环系统。

数字创新。大数据时代为个性化、差异化、定制化的产品和服务创新开辟了广阔空间。通过数据驱动的客户洞察,精准把握和细分客户的需求,通过大数据进行趋势分析和产品设计,实现产品定制和个性化定价。

数字风控。通过对大数据建模和机器学习技术的分析,对风险和违规进行预判和把控。比如:对直播营销中不合法、不合规的内容,违反公序良俗或基本道德规范的话题,当前热点事件或敏感话题等进行舆情把控。在数字化合法合规运维中,审计和风险预警等也发挥着重要作用。

数字运营。通过数字化升级带动流程再造和业务模式变革,实现业务、财务、人力资源管理的数字化、智能化升级,降低运营成本,提高运营效率,推动组织经营管理和决策向以数据为支撑的科学管理转变。

1.4 数字化发展带来的安全威胁

1.4.1 数据安全形势日趋严峻

数字化发展带来全新的网络威胁和安全需求,安全不仅是指信息和网络的安全,更是国家安全、社会安全、基础设施安全、城市安全、人身安全等更广泛意义上的安全,安全发展进入大安全时代。

在当前数字化社会、数字政府建设、现代化国防建设、智能化转型的趋势下,筑牢国家数据、个人信息、智能应用服务、新型信息基础设施网络安全防护屏障,是统筹安全与发展双向驱动的必然之路。网络空间作为继陆、海、空、天之后的第五维空间,已成为信息时代国家间博弈的新舞台和战略利益拓展的新疆域。

2021年8月发布的第48次《中国互联网络发展状况统计报告》数据显示,截至2021年6月,我国网民规模达10.11亿户,较2020年12月增长2175万户,互联网普及率达71.6%。十亿用户接入互联网,形成了全球最为庞大、生机勃勃的数字化社会。

我国建立了全球最大的信息通信网络,在新基建不断发展的同时,网络空间的安全形势非常严峻。安全漏洞的普遍性、后门的易安插、网络空间构架基因的单一性、攻防双方的不对称性使得安全漏洞无法被根除且容易被利用,从而导致安全事件频发,给数字经济的发展带来隐患。

近年来,全球针对政府组织大规模、持续性的网络攻击层出不穷,成为国家安全的重要隐患,常见的攻击类型包括数据泄露、勒索软件、DDoS攻击、APT攻击、钓鱼攻击及网页篡改等。国家互联网应急中心发布的《2019年中国互联网网络安全报告》数据显示,2019年我国境内遭篡改的网站约有18.6万个,其中被篡改的政府网站有515个。

在国家计算机网络应急技术处理协调中心发布的《2020年中国互联网网络安全报告》中,对通过联网造成的数据泄露行为进行分析。报告显示,2020年累计监测并通报联网信息系统数据存在安全漏洞、遭受入侵控制、个人信息遭盗取和非法售卖等重要数据安全事件3000余起,涉及电子商务、互联网企业、医疗卫生、校外培训等众多行业组织。

近年来,我国以数据为新生产要素的数字经济蓬勃发展,数字经济已成为国际竞争的重要指标。数据被盗、数据端口对外网开放、数据违规收集等数据安全问题,也愈发突出。《中华人民共和国数据安全法》的实施使得企业在进行数据的获取、使用、处置及侵权或争议处理时有法可依。随着法律法规越来越完善、监管越来越严格,企业在数据安全管理方面的合法合规刻不容缓。

1.4.2 数据安全事件层出不穷

第47次《中国互联网络发展状况统计报告》数据显示,2020年国家信息安全漏洞共享平台收集整理信息系统安全漏洞20721个,同比2019年增长28.0%,高危漏洞数量为7422个,同比增长52.2%。表现在三个方面,全球网络空间局部冲突不断,国家级网络攻击频次持续增加,攻击复杂性呈上升趋势;国家级网络攻击正与私营企业技术融合发展,网络攻击私有化趋势明显增强;网络攻击与社会危机交叉结合,国际上陆续发生多起有重大影响的网络攻击事件。

根据IBM公司在2020年和2021年《数据泄露成本报告》的调查和数据,数据泄露有23%是由于人为失误造成,52%是恶意攻击带来,25%是由于系统故障导致。2020年到2021年间,数据泄露成本增加了10%,其中医疗保险行业的数据泄露成本连续11年位居首位,从2020年的713万美元增加到2021年的923万美元,增幅为29.5%。

综合网络媒体的报道,2021年国际上发生了多起重大网络安全事件。

2021年8月,美国某公司旗下的一家生育诊所的网络被攻击,不仅仅泄露了大量用户个人信息,包括姓名、地址、电话号码、电子邮件地址、出生日期和账单等;同时还泄露了大量健康信息,包括CPT代码、诊断代码、测试申请和结果、测试报告和病史信息等。该公司还承认,在此次攻击事件中,被泄露驾驶执照号码、护照号码、社会安全号码、金融账户号码和信用卡号码等信息的人不计其数。

2021年10月,加拿大某省卫生网络遭到网络攻击造成瘫痪,导致全省数千人的医疗预约被取消。黑客窃取了近14年以来众多东部卫生系统患者与员工的个人信息,包括患者的姓名、地址、医保编号、就诊原因、主治医师与出生日期等,员工信息则可能包括姓名、地址、联系信息与社会保险号码。医疗数据泄露的严重性可上升到国家安全层面。

在国际赛事活动中也发生过数据泄露事件。2018年2月,平昌冬奥会开幕式遭遇网络袭击,当晚,互联网、广播系统和奥运会网站都出现问题,致使许多观众无法打印入场券,导致座位空置。2021年7月,东京奥运会(包括东京残奥会)部分购票人的ID和密码遭到泄露,包括购票人的姓名、地址、银行账户等信息。

核心数据资产泄露不仅发生在医疗网络、企业、国际性赛事活动中,更是在某些国家的政府机构中出现。如:2018年10月,非洲某国家70多个政府网站遭受黑客的DDoS攻击;2019年9月联合国信息和技术办公室共42台服务器遭受APT组织攻击,导致约400GB的文件被盗,据报道其中包括员工记录、健康保险和商业合同等数据。

2020年1月,英国教育部数据的信息访问权被一家博彩公司非法获取,该数据库包含2800万儿童的记录,包括学生姓名、年龄及详细地址等信息。这是英国政府近年来发生的最大的一起数据泄露事件。

2020年4月,德国某州政府网站遭遇钓鱼软件的攻击,黑客利用钓鱼电子邮件吸引用户注册以窃取个人详细信息,粗略估计至少造成3150万欧元的损失。

2020年6月,美国某政府组织被“激进组织”窃取了296GB的数据文件,这些数据包含了美国200多个警察部门和执法融合中心(Fusion Centers)的报告、安全公告、执法指南等。

政府机构拥有的数据被泄露不仅危害自身业务,同时还会导致民众个人隐私信息遭到泄露。

大数据时代,数据作为数字经济最核心、最具价值的资源,正深刻地改变着人类社会的生产和生活方式。据统计,2020年全球公开范围报告了将近4000起重要的安全泄露事件,泄露的记录数量达到惊人的370亿条。其中,政务数据、医疗数据及生物识别信息等高价值特殊敏感数据泄露风险加剧,云、端等数据安全威胁在各类风险中处于高位。数据安全已经上升到国家主权的高度,是国家竞争力的直接体现,是数字经济健康发展的基础。

1.4.3 数据安全问题制约数字经济发展

2020年以来,网络教学、视频会议、直播带货、在线办公等新业态迅速成长,数字经济显示了拉动内需、扩大消费的强大带动效应,促进了我国经济的稳定与增长。保障数字经济的健康发展对世界经济发展意义重大。

当前,我国的数字经济具有巨大的发展空间,数字经济深刻融入了国民经济的各个领域。从全球范围来看,随着新一轮科技革命和产业变革的加快推进,数字经济为各国经济发展提供了新动能,并且已经成为世界各国竞争的新高地。

数据安全已经成为国家安全的重要组成部分。《促进大数据发展行动纲要》提出了“数据已成为国家基础性战略资源”的重要判断。《关于构建更加完善的要素市场化配置体制机制的意见》,分类提出了土地、劳动力、资本、技术、数据五个要素领域改革的方向,明确了完善要素市场化配置的具体举措,数据作为一种新型生产要素被写入文件。与此同时,由于数据广泛使用而衍生的新问题也层出不穷。一方面,碎片化的海量数据被挖掘、整合、分析,不断产生着新价值,让人们工作与生活日益便捷高效;另一方面,数据泄露、数据贩卖、数据勒索事件时有发生,也给人们的生产生活带来新困扰。

随着数据量激增和数据跨境流动日益频繁,有效的数据安全防护和流动监管将成为国家安全的重要保障。数据与国家的经济运行、社会治理、公共服务、国防安全等方面密切相关,一些个人隐私信息、企业核心数据甚至国家重要信息的泄露,给社会安全甚至国家安全带来隐患。

除此之外,在全球范围内,以数据为目标的跨境攻击也越来越频繁,并成为挑战国家主权安全的跨国犯罪新形态。除了数据本身的安全,对数据的合法合规使用也是数据安全的重要组成部分,违规使用数据或进行数据垄断,不合法合规地保存或移动数据,也将对数据安全产生威胁。 kcuJhwObMmSIcliKEVYhi01cjGNhrWg/eufkzrk6tgHTOtcHLcGRKSVZQIH5peuO

点击中间区域
呼出菜单
上一章
目录
下一章
×