作者简介--------------------------------------------------------
有范儿耿直Boy:浙江某科技制造企业信息安全负责人,从业20余载,从企业信息化到数字化转型,从网络信息安全到数据治理合规,与时俱进,开拓创新,一直在路上…
---------------------------------------------------------------------
一、引言
收到阿肯哥的邀约,就数据跨境安全谈谈个人观点。
在这个日新月异的数字时代,伴随互联网技术的飞速进步,数据作为驱动经济社会发展的关键要素,为各行各业的创新发展发挥了重大价值。随之而来,数据的海量增长与广泛应用,尤其是涉及跨境业务的数据出境安全面临着巨大挑战。
自2021年《数安法》、《个保法》颁布实施;到2022年《数据出境安全评估办法》及2023年《个人信息出境标准合同办法》;再到今年3月《促进和规范数据跨境流动规定》公布实行。国家层面对数据安全的重视度全面提升,一系列法律法规与政策标准出台为数据安全打下坚实的法制基础,为企业提供了逐步清晰的政策指引。
结合自身在参与企业数字化建设及数据安全治理等方面的实践,浅谈一些关于跨海企业数据跨境安全方面的想法。
二、正文
1、企业数字化过程中,业务与数据跨境安全需要平衡
企业数字化建设是为了业务成功,通过数据在企业经营管理层面的应用,分析问题用数据说话,帮助管理层及时掌握经营状况,让管理有抓手,避免单凭个人经验做管理。比如,业务在销售预测、制定促销政策时,基于大数据平台底座,依托算法、数仓等技术,以数据驱动业务分析多元化及智能化,进而提升业务执行准确性,为管理决策提供数字化依据。汇聚统一的数据湖,搭建企业级的数据开发平台,为业务提供多元化的数据服务,其中持续完善和优化的数据治理工作是基础。
如何在数据开发利用、价值实现与数据安全保护、合规遵从之间找到恰当平衡?如何在业务创新的数据跨境应用场景中持续保护数据安全?
个人感受是,必须以数据为中心,在数据使用和数据流动的同时,基于企业对数据分类分级的标准,结合不同应用场景采用最适合的数据安全防护措施。
以涉及跨国业务且注册在国内的企业日常促销活动为例,通常涉及业务相关的产品/客户类数据、经营相关的销售/财务类数据,对于C端企业,其客户信息可能会涉及个人信息。
基于本篇主题,重点谈谈跨境数据安全的场景。
虽然全球各区域国家的政策有差异,但对本土产生的数据,其中尤其是个人数据,大部分都有本地存储、禁止出境的要求。
从IT技术架构而言,如果是传统软件包的模式,想必要在当地数据中心/公有云等节点进行应用部署;如果是微服务架构,还可基于业务单元拆分,将当地强管控的个人信息类数据以用户中心模块在本地部署,弱管控的全球通用的产品、经营类数据在国内部署,这样既满足本地数据本地保存,又能降低整套应用本地部署的成本。
以CRM客户管理类应用系统为例,总部在国内的市场营销员工,综合公司产品规划、市场拓展等因素,制订整体销售策略、价格授权、促销返利等政策;海外各区域销售员工,基于总部下发的政策进行本地化应用细化。对于海外客户信息的维护由各区域完成,增删改的操作均在本地用户中心,数据也都保存在当地;对于总部而言,在国内通过远程访问当地节点,查看用户中心上的本地客户数据等。
基于对数据的分类分级、风险识别,对类似客户积分等非敏感信息在总部进行修改。通常企业数据分散在各个应用系统、甚至是线下的各个“表哥/表姐”手中,容易形成数据孤岛阻碍内部数据流通。由于业务上下游关系不清,难以掌握数据之间的关系。同时,因为数据缺少标记,无法识别数据分布情况,在数据流通时无法判断隐藏的风险。
解决这些问题,需要我们在做数据分类分级的时候,就必须以业务为基础,结合相关要求,对数据资产进行安全等级划分,平衡数据安全保护与共享开放/数据流通的关系,明确对应的安全管控要求。
对企业而言,成本、毛利、商机报价通常属于企业核心绝密数据(注:各企业定级可能存在差异,仅做示例)。在梳理出企业绝密数据后,对其所在的业务场景、应用系统、数据库,再做进一步梳理。如,商机报价源头可能在CRM客户关系系统,又会被ERP企业管理等系统调用;对应后台数据库表名称(如,Order等),基于字段(如,Quote等)打上密级标识,辅以技术手段进行数据静态/动态脱敏,在运维或是与其他应用调用过程中进行加密等操作;对应前台的数据查看,增删改等操作,也可以基于字段密级标识进行权限管控。
以上方法主要是从应用层架构层面,对企业高密/敏感(个人信息等)数据的梳理,在采集/录入场景的思考,在各个应用系统的方案设计阶段,提前考虑数据安全相关因素,平衡应用系统性能、本地化部署成本和数据跨境风险,提供最适合企业自身的数字化解决方案。
2、业务和IT视角下数据跨境安全的几点想法
数据的价值更多是在流动中体现,尤其是针对数据跨境访问场景,涉及数据传输、使用、加工、共享、存储等,需要从网络、云端、主机、计算存储等方面,综合考虑安全方案。
目前,网络防火墙、流量威胁分析、主机加固等安全产品及方案已日益健全,但从水桶效应来看,数据流转过程需要体系化全面防护。随着单点技术向平台融合发展趋势愈加强烈,建立集中化、联动化的安全防护将各个技术方案进行有效串联,为企业搭建立体式的安全防御架构,实现面向外部威胁攻击等风险的动态应对及纵深防御机制迫在眉睫。确保企业核心数据的完整性兜底备份策略,根据数据资产价值和数据库类型,选择数据异地备份、对象存储多版本管理、存储快照等,更进一步选择存储硬件防勒索等。
对企业而言,还是需要综合评估自身安全防护现状,合理评估风险等级,选择最适合/性价比最优的安全方案。整体偏弱的,可以考虑主流安全厂商的一站式解决方案;个别模块薄弱的,可以考虑专业安全产品及方案(个人感觉,当前国内专注于精细赛道的安全厂商,其水准不亚于/甚至更优于海外产品)。再多说一句,企业安全防护措施不能低于同行业中等水平,否则肯定是最先挨打的。
关于数据出境安全,不同行业领域的数据安全保护、数据安全流通,以及综合创新数智安全、AI应用赋能等方面,还有很多内容可以展开探讨。
每一项创新实践,都是对未知的勇敢探索,是对安全边界的不断拓宽,本文仅仅是对数据出境安全实践的一点阶段总结分享,以此做抛砖引玉,希望能够激发大家更多的灵感和创造力,展开对未来安全趋势的探索,共同构建一个更加安全、可信、繁荣的数字世界。
全文完。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...