*转载自数据安全矩阵
在大数据时代,数据已经成为企业的核心资产。然而,随着数据量的不断增加,数据安全问题也愈发突出。如何保障数据安全,成为企业必须面对的难题。
随着数据安全在国家安全战略中的地位不断提升,数据分类分级和加密保护的需求日益增长。
为了满足这些高标准的要求,各行业主管部门制定了可执行的数据分类分级标准,用户对分类分级的重视程度也逐渐提升。用户单位要求厂商采用数据分类分级技术提供支撑,需求也从单纯的结构化数据分类分级发展到结构化、非结构化分类分级相结合,高度融入到数据安全管控、业务工作流程中去。经过多年的研究、开发及实际应用验证,厂商对分类分级的理解逐渐深刻,分类分级技术也日益成熟。其中,人工智能及NLP等新技术进一步对分类分级工作提供了助力。在2024年,随着技术的不断进步和应用需求的增加,数据分类分级将迎来爆发式增长。面向数据交易过程的数据确权与定价的瓶颈,越来越依赖完善的体系支撑来实现突破随着数字经济的快速发展,数据作为新的生产要素,其价值日益凸显。其中,能为组织和个人带来未来经济利益的数据资源,已成为数字化时代的核心资产。
信通院《数据要素白皮书》中指出,数据要素是依据特定生产需求汇聚、整理、加工而成的计算机数据及其衍生形态。从资源到资产的转变,需要解决数据资源所有权、使用权及收益权的问题。除了对数据本身的拥有和控制,更需要通过技术手段构建一套完善的数据确权机制,为其提供法律保障,从而保护组织和个人的数据收益权利,防止他人侵害。同时,数据只有在供需之间流动才能发挥其价值,而流动的重要条件就是保障所有权与使用权不被转移,并获得合适的交易价格。这需要围绕数据采集、存储、使用、传输、共享交换等各个环节构建一套完善的技术体系,进而与组织管理、外部监管、法律法规等政策制度相互结合,形成保障数据流动的支撑体系。出境数据管控范围逐渐趋于放松,但管控力度在日渐加大国家互联网信息办公室关于《规范和促进数据跨境流动规定(征求意见稿)》极大地限缩了《数据出境安全评估办法》中关于“重要数据”的定义,要求“重要数据”必须有官方告知及认定。其次,意见稿提出按照出境的个人信息实际数量决定是否需要进行数据出境安全风险评估,而非其法人主体拥有的全部个人信息。
这两项规定的调整,体现了立法思路从客体及规模两个层面提高了数据出境安全评估的门槛,放松了对日常企业数据出境的管控措施。然而,意见稿还提出了要探索建立“一般数据清单”,对出境数据采取备案制,此条款控制的对象主要为《数据出境安全评估办法》中未有相关控制的一般数据,对其流转提出了更为严格的要求。因此,可以预见,我国在放松出境数据管控,方便企业日常数据流动的同时,会对数据控制的力度逐渐加大。通过备案制及一般数据清单,进一步全面厘清数据的存储及流通过程。生成式人工智能应用带来的数据安全问题引发越来越多的关注生成式人工智能在带来巨大潜力的同时,也带来了新的数据安全挑战。首先,生成式人工智能通过分析大量用户数据来学习和生成新数据,这过程中可能导致用户的个人信息被泄露。与其他人工智能模型一样,生成式人工智能也容易受到恶意攻击,黑客可能会攻击生成式人工智能应用的算法模型,窃取数据或制造虚假数据。其次,如果生成式人工智能的运营方滥用其对用户数据的访问权限,用户数据可能会被滥用或非法转售。此外,生成式人工智能的算法模型容易受到初始数据的影响,导致输出的结果存在歧视或偏见,进而产生不公平的结果。这些问题的出现与生成式人工智能的演化和数据、算法等多种因素有关。因此,随着生成式人工智能的发展,数据安全问题愈发受到关注,有针对性的研究和防御措施正在不断发展。在数字经济蓬勃发展的背景下,公共数据作为关键生产要素,安全治理迫在眉睫。2023年我国组建国家数据局,正是为了充分发挥数据要素的价值,推动数字经济的高质量发展,并确保公共数据的安全使用。随着数字化、网络化、智能化深入发展,公共数据安全风险系数也不断提高,尤其是网络攻击、病毒传播、数据泄露等事件频发,对公共数据安全构成严重威胁。公共数据涉及大量个人、企业和国家的敏感信息,一旦发生泄露或被不当利用,后果不堪设想。不仅会导致个人隐私的泄露和权益的侵害,还可能给企业乃至国家带来巨大的经济损失,甚至扰乱社会秩序。此外,一些网络平台和企业也存在对用户数据的过度采集、滥用和泄露等问题。这些行为严重侵犯了用户的合法权益,也给公共数据的安全带来了极大的风险。随着信息化程度的不断提高,数据一旦泄露或受到攻击,将给企业带来严重的损失。在国家网络安全政策下,大部分企业已经完成了网络安全等级保护工作,为企业的数据安全提供了基础保障。然而,随着业务的发展和技术的不断更新,企业对于数据安全的需求也日益增加。数据安全建设不仅涉及到数据的保密性、完整性和可用性,还与企业的业务连续性、经营稳定性、商业化等方面密切相关。因此,企业越来越重视数据安全建设,并将其作为企业安全建设的核心任务,企业数据安全合规越来越商业化。为了全面提升数据安全的运营效率和效果,数据安全运营指标逐步得到了量化。数据安全运营将从防泄露覆盖指标、数据安全事件处理、数据安全应急响应等几个维度进行考核。
数据安全指标量化的主要目的是为了更好地监控和管理数据安全运营情况。通过监测和分析各项指标的变化趋势来迅速发现和解决问题,从而更好地保护组织的数据安全。随着网络威胁日益复杂,传统安全产品愈发难以满足终端的安全需求。突出的问题表现在:无法有效应对零日漏洞和未知威胁,产生的告警事件繁多且误报率高给企业安全部门带来非常大的运营压力等。
XDR可以收集并融合分析来自不同安全产品如Firewall、NDR、EPP、EDR、UEM、DLP、SEG、CWPP、CASB、IAM等采集的安全日志、威胁上下文等信息,利用大数据分析与AI 技术完成对应的威胁检测、调查、工具编排、自动化响应等工作。XDR的综合视图、智能分析、自动化响应和可扩展性等特点,可以有效的检测零日漏洞等未知威胁,避免传统终端安全产品管理维护的复杂操作。随着人工智能技术的不断完善和发展,其在计算机网络安全和数据安全领域中的作用愈发突出。传统的检测技术通常采用特征和规则匹配的方式来检测病毒等网络攻击行为和敏感数据内容传输,但这种方式容易出现威胁漏报和误报的情况。相比之下,人工智能技术通过采用沙箱技术、深度学习、大数据分析等方法,对网络流量和数据进行特征提取和异常行为分析,有效提升了网络安全威胁检测和敏感内容传输的精确性和效率,精准地判别并鉴定邮件流量、网页流量、API调用流量等各种流量中存在的诸多网络和数据安全威胁和隐患,智能化地有效识别和阻断病毒、木马等攻击,并有效防止敏感数据的非法访问、泄露和滥用。可以预见,在新的安全形势下,网络和数据安全主动检测和防御方面,人工智能与安全技术的结合将日渐紧密。随着数据作为核心生产要素,数据安全已成为事关国家安全、经济与社会发展的重大问题。加强数据安全治理工作,既是实现数字政府建设和数字经济发展目标的主观需要,也是国家数据安全监管的客观要求。
为了进一步促进大数据的共享与开放、充分释放数据红利,我国各地政府和企业除了需要加强数据治理和深化数据开发利用外,如何科学有效的开展数据安全治理工作将逐渐成为数字经济建设的基础性工作。关注“内生安全联盟”公众号
回复 2023标准
或点击阅读原文
下载相关文件
来源:数据安全矩阵
|
还没有评论,来说两句吧...