安全跟我学｜数字化时代数据安全风险分析思考

数字化时代，数据信息呈爆发式增长，数据信息的传播更加频繁，数据已经成了经济社会发展的核心动力，对人们生活的便利度、经济发展等方面产生了积极的影响。与此同时，随着数字化转型的持续深入，由此带来的数据安全风险也越来越多，如个人信息过度采集、数据权限分配不当等问题，给数据安全风险防控以及数字经济的健康有序发展带来新的风险与挑战。因此，对数据安全风险分析以及应对策略的研究十分必要。

1.法律制度成为数据安全的重要保障

近年来，我国数据安全法律法规建设发展突飞猛进。国家层面相继出台数据安全法、个人信息保护法等法律法规，立足于数据安全实际现状，从法律层面规范了数据安全保护相关信息，为公众传播数据、处理数据等活动提供了有效参考和指导。从行业监管以及地方政府落实层面来看，各行业各部门积极推动数据安全相关政策的制定，总结经验做法，全力推动数据安全健康有序发展。

2.数据安全威胁日益严峻

与传统的网络安全威胁相比，信息化时代数据安全面临的威胁种类更加多样，除了常见的安全漏洞、病毒木马等，还体现在数据权限使用不当、API接口攻击、个人信息过度采集、隐私泄露等方面。由于缺乏相应的技术防护手段，数据安全带来的一系列问题，已经成为影响公众个人甚至国家安全的重要原因。

3.数据应用场景随技术转变

随着信息技术的快速发展，传统技术逐渐开始向以数据和业务为核心的新技术转变。数据的应用场景和参与的主体逐渐丰富，数据在不同载体之间的传播和共享更加便利。

1.个人信息收集使用监管难度加大

近年来，国内外关于个人信息的过度收集、个人信息滥用等方面的案例层出不穷。被收集的个人信息虽已匿名化，但是通过大数据技术分析，这些数据还是能够被有效还原，用户的数据隐私安全受到了一定的威胁，建立相应的个人信息保护管理体系，确保个人信息合法使用，成为数据安全发展面临的重要问题之一。

2.数据权限、账号以及API安全风险加大

随着系统和应用程序的增加、访问方式的多样化，账号的共享、弱口令等问题频发，数据权限也出现使用情况不明、违规访问等问题。账号作为主体访问客体的重要凭证，窃取凭证、盗用权限成为数据泄露事件最常见的攻击路径。同时，随着业务场景的变化，API协议和格式也发生了变化，API也面临着重要的安全问题，如失效的身份验证、功能授权等。

3.数据安全保障不全面

数据化时代，数据爆发式增长，各类数据呈现特征多、分布散、关系复杂、流转快等特点，这给数据资产的梳理带来极大的难度，对这些数据的全局性、体系化安全保障更是难上加难。

1.完善法律法规，加大监督力度

结合现状，着力完善有关数据安全以及个人信息保护等方面的法律法规，从法律层面对数据的非法采集、传输、处理等违法行为进行有效约束。加强不同部门间联系，在执法层面加强执法力度，对相关违法行为加大惩戒力度，提升管理水平。 

2.加强行业监管，落实主体责任

依照相关法律法规，开展数据安全与个人信息保护检查评估，以评促改，防范、减少数据安全隐患。同时，对可能涉及违法违规的工具设备，要贯彻落实主体责任，明确使用范围，对使用不当的企业应采取相应惩处措施。

3.整合各类资源，提升防护能力

依托现有互联网行业组织，积极整合资源，加强数据安全理论研究及正向应用。从个人信息保护、特权账号、动态授权、API防护等方面，将新技术新应用积极推广运用至数据安全全过程，尤其是融入到数据安全工具研发、运行等过程中，对违法违规行为进行安全监测，通过风险评估、应急处理等方式，保障数据安全处理的合法性，减少数据安全威胁事件的发生。

4.创新宣传方式，提升安全意识

除传统宣传模式外，积极利用新媒体渠道，加强监管部门与媒体、社会公众的沟通交流，尤其是学生、老年人等重点人群，加强信息联动，积极宣传数据安全知识，加大用户宣传教育力度，提升用户防护意识。

5.重视技术创新，优化安全体系

零信任、隐私计算等新理念的出现，为解决数据安全难点问题带来新的思路。应加大对新技术新理念的研发与应用，持续关注数据安全技术发展趋势，创新数据安全能力建设，持续优化数据安全体系的建设。

在各方的协同努力下，当前的数据安全威胁防治工作取得了阶段性的效果。但是面对数据化时代，数据种类的多样化，数据传播的快速化，目前的治理工作与治理要求之间尚有一定差距，仍需要从现实问题出发，完善法律法规，健全标准规范，进一步提升技术防护能力，在行业内形成统一模式。数据安全体系建设在全局上已逐步达成共识，深化数据安全体系建设亟需理念及技术的创新。

来源：《网络安全和信息化》杂志

作者：  靳倩    姚雨秋    闫育芸    赵首花

（本文不涉密）