2022数字中国建设峰会：构建面向大数据保障的安全体系建设

美国旗星银行150万客户数据遭泄露、推特540万账户联系方式泄露、滴滴被罚80.26亿元……今年大数据安全事件频发，成为近期社会各界关注焦点。奇安信集团副总裁孔德亮在7月23日举行的数字中国建设峰会大数据分论坛上指出，一方面网络攻击和基础防护不到位造成的安全风险愈演愈烈，另一方面，数据安全的要求已经从“合规”上升为“合法”，构建完善的数据安全体系迫在眉睫。2022北京冬奥会网络安全保障的“零事故”经验，可以为数据安全建设提供借鉴参考。“北京冬奥会历史上首次实了现网络安全‘零事故’，数据不出事。”作为北京冬奥会网络安全官方服务商，奇安信面向冬奥会信息化环境和业务系统，全局性、系统性采用内生安全框架开展规划建设运行：通过识别重要数据资产，实现冬奥数据安全统一管控、数据安全和隐私保护工作合规；通过数据分类分级，规范数据分级分类和安全保护措施，防范数据安全风险；通过对高敏数据做精细化管控和安全防护，确保冬奥数据的保密性、完整性、可用性。在冬奥数据安全建设中，奇安信构建了冬奥会和冬残奥会密钥管理与密码服务体系，实现了对北京冬奥信息系统密钥的集中统一管理，部署了数据审计与防护系统和SQL探查组件，对数据访问和操作进行了全路径监控审计；在冬奥数据分类分级方面，针对竞赛数据、个人隐私等高敏数据根据数据的级别及使用场景采取了字段加密、数据库加密、文件加密等不同的加密方式。冬奥数据安全“零事故”这一标杆案例，对于企业的数据安全具有极大的参考意义。对于政企机构来说，数据安全建设整体思路应分为“补短固底”、“系统治理、体系规划”、“有序建设、持续运营”三个阶段。对于85%以上的企业来说，保护好重要数据资产是当务之急，需要先“盘好家底”，从业务集中梳理出重要的数据资产，找出关键业务数据场景，针对重要的数据资产做好防护；对于安全建设相对完善、数字化程度高的政企机构，需要开展数据安全治理和分类分级，以分类分级为基础，进行数据安全管理体系、数据安全技术防护体系、数据安全运营体系的整体规划和设计。