數字經濟時代開展企業數據安全防護的思考

摘 要：隨著新一輪科技革命和產業變革的蓬勃興起，數據已成為繼土地、勞動力、資本、技術之后最為活躍的關鍵生產要素，對經濟發展、社會進步、民生改善和國家治理產生了深刻地影響。本文主要總結了數字經濟時代下企業在數據安全防護方面的新挑戰和新要求，討論了數據安全防護的體系構成，提出了在技術手段和管理措施方面的相關建議。

關鍵詞：數據管理? 數據安全? 技術手段

中圖分類號：F270.7 文獻標識碼：A 文章編號：2096-0298（2020）04（b）--02

1 數字經濟時代企業數據安全面臨多重挑戰

當前，云計算、大數據、區塊鏈、人工智能等技術創新和應用創新不斷賦能經濟社會各領域，新產品、新業態、新模式不斷涌現，數字經濟的內涵和外延不斷豐富。數字經濟發展的同時，也帶動了數據的產生、流通和應用更加普遍和密集，使企業數據安全防護面臨新的挑戰。

1.1 新設施帶來的安全挑戰

網絡基礎設施是國家、企業和個人核心數據的載體，是數據安全保護的重要基礎性環節。從網絡基礎設施的傳統界定范疇來看，主要包括存儲設備、運算設備和其他基礎軟件等。然而，隨著新技術新業務的發展與創新，數據基礎設施的范疇不斷擴展，數據中心（IDC）和移動終端等集成了存儲、運算以及基礎軟件的功能，成為日益重要的數據基礎設施，也開始面臨越來越多的挑戰。一方面，攻擊者更多的將注意力集中到存儲海量數據的云計算數據中心，其遭遇DDoS攻擊的占比達到70%。另一方面，信息泄露事件頻發，數據泄露和丟失已成為數據中心面臨的巨大安全風險。根據Risk Based Security公布的數據，2019年已經發現超過3800多起數據泄露事件攻擊了企業或者機構，并且在過去的四年里增加了超過50%。

1.2 新技術帶來的安全挑戰

分布式計算存儲、數據深度挖掘及數據管理可視化等新技術能夠大大提升數據資源的規模存儲和處理能力，但也給企業數據的防護帶來了新的挑戰，云計算和多業務融合是其中顯著的代表。首先，云計算的主要特點是采用了分布式的存儲和計算，該方式能夠有效防止個人數據在本地出現大規模泄露，但目前黑客已經可通過分析信息分片的方式，對被分割的原始數據進行復原。其次，隨著多項信息通信技術的融合，新型業務的復雜度進一步提高，也帶來了更加復雜的應用安全風險，使得原有的安全防護技術和體系難以應對。對于單一的技術而言，通常已經形成了比較完善的安全解決方案，而隨著多項技術的交叉融合，針對單一技術的解決方案可能不再有效。例如，英特爾處理器在2018年5月初，又被曝出發現8個新的“幽靈式”硬件漏洞，攻擊者可以竊取運行在同一個物理內核的另外一個進程的隱私數據，顯示出云主機系統與虛擬機之間的兼容問題。

1.3 新應用帶來的安全挑戰

數字經濟時代的新應用主要體現在信息通信技術與交通、金融、醫療等領域融合所產生的新的互聯網應用、平臺和場景，如自動駕駛、網絡約租車、智能投顧等。計算機信息技術對大數據的收集、儲存、歸類、處理及分享創造了更加方便和靈活的方式，許多企業決策、問題分析、模型構建等問題都要借助大數據分析來實現，大數據在各個領域的廣泛應用，不僅有助于提升各個領域的工作效率，同時也對計算機網絡信息安全的防護和管理帶來挑戰。首先，垂直行業線下管理機制自成體系，不同部門各司其職，在互聯網引入后，部門間的監管職責邊界較為模糊，已有線下管理職責發生交叉，目前尚未形成廣泛認可的監管體制框架，給新業務的安全管理帶來挑戰，網約車平臺監管就是明顯的例子。其次，數字化生活、智慧城市、工業大數據等新技術、新業務、新領域創造出紛繁多樣的數據應用場景，使得數據安全保護具體情境更為復雜。最后，企業隱私保護的安全責任更加突出，近年來各類隱私泄露事件層出不窮。據英國科技研究機構報道，Facebook公司于2019年12月再次出現數據泄露問題，超過2.67億用戶數據被泄露，任何人都可以直接訪問該數據庫。這反映出了互聯網平臺企業在確保數據多渠道流通的同時，需要更加注重保證數據的機密性、完整性和可用性。

1.4 企業自身安全防護基礎和意識不足

數字經濟時代，雖然企業不斷完善信息化相關手段和舉措，但在利用新技術進行數據安全防護方面仍然比較被動。在基礎安全防護方面，我國在芯片、系統中央處理器（CPU）、核心元器件等硬件方面仍然主要依靠進口，且尚未形成安全自主可控的軟件系統生態，企業信息化建設在底部就面臨安全威脅。在安全意識方面，企業重技術、重業務、輕安全的思想還普遍存在，過度重視信息化設備和技術，對于數據安全防護緊迫性的認識不夠，影響了相關投入。根據相關數據統計，在企業信息化建設工作中，有超過50%的企業依然未設置防火墻，45.4%的企業未設置安全審計系統，超過60%的企業沒有設置網絡入侵監視系統。

2 數字經濟時代完善企業數據防護體系的總體思路

2.1 明確企業層面的防護目標

對企業而言，最為關鍵的防護目標是平衡好國家安全、企業商業秘密、業務正常運行和客戶合法利益這四方面。一是應滿足國家相關法律法規對于個人信息保護、重要數據安全等方面的制度性要求，履行企業自身的合規義務。二是還應確保企業自身數據和用戶數據的安全性、機密性、完整性、可用性。

2.2 構建以數據為中心的安全防護體系

數據安全防護建設需要以“數據為中心”。具體而言，需要進一步明細數據來源、數據質量、數據生命周期、數據應用場景。基于此，構建起由數據安全制度規程、管理機制、技術手段組成的全面覆蓋的數據安全防護體系，形成閉環管理鏈條。

（1）數據安全制度是企業數據安全實踐的指導。黨的十八屆四中全會提出有關全面推進依法治國的重要論斷，要求堅持法治國家、法治政府、法治社會一體建設，實現科學立法、嚴格執法、公正司法、全民守法，促進國家治理體系和治理能力現代化。因此，企業數據安全制度和規程應建立在國家整體對于企業商業秘密、國家重要數據、個人隱私保護制度的基礎之上，進一步根據企業自身業務流程，明確具體場景下的數據收集、處理、存儲、使用、轉移的規則和責任主體。

（2）數據安全管理統籌是落實企業數據安全實踐的關鍵。隨著企業IT系統和環境的不斷完善，運維服務、系統集成、數據存儲的規模不斷擴大，信息和數據安全對于企業而言愈發重要。在這種態勢下，企業應著眼全局、把握細節，成立專門的數據安全管理機制，自上而下建立起相應的組織架構，確保企業數據安全的全生命周期管理的戰略、制度能夠有效實施。

（3）數據安全技術手段是企業彌補數據制度不足的重要保障。技術的變化永遠超前于制度的構建，新的信息技術不僅會帶來新的安全風險，也是數據安全管理的重要輔助手段，為落實企業數據安全管理制度的總體目標提供技術支持。例如，云端技術將定義新的網絡安全導向，近年來廠商積極研發新技術，未來將有更多企業和用戶選擇虛擬機間安全問題的解決方案;可視化工具能夠有效洞察每臺虛擬機的獨立行動和互動，采用流量監控、應用識別及用戶識別等技術，幫助用戶鑒別是否存在攻擊和非正常行為。

3 企業開展數據安全防護實踐的措施建議

數字經濟時代，企業應進一步加強技術研發，同步完善各項管理措施，實現“技管”與“人管”的有機結合，實現企業數據安全管理的目標。

3.1 技術防護措施建議

企業應按照數據收集、存儲、傳輸、使用、共享、銷毀這一全生命周期加強數據安全的技術防護。

（1）在數據的收集環節，企業重點工作為對于數據進行分類、對于數據類型和安全等級進行達標。同時，企業還應將相應功能內嵌入運維管理系統，保證各類數據安全制度有效地落地實施。

（2）在數據的存儲環節，企業可以采取數據加密、硬盤加密等多種技術方式保障數據物理存儲的安全性。對于企業在云端數據的安全，則應按照數據中心或云計算安全評估技術標準要求，嚴格根據數據類型進行對應的技術手段。

（3）在數據的傳輸環節，企業重點工作包括采用加密或匿名化等手段對于數據進行處理。一方面，應通過非對稱加密算法等不同技術手段對于數據傳輸鏈路或直接對于數據進行加密。另一方面，由于個人信息的收集、傳輸、處理標準較高，數據泄露風險日益嚴峻，企業還可通過算法等技術手段對于個人信息進行匿名化處理，再將相關數據用于流通領域。

（4）在數據的使用環節，企業既可以沿用配置防火墻、數據加密等傳統網絡安全防護措施，也可以采用數據安全域、數據日志管理和審計等、數據流量異常監控等新的數據安全技術措施。

（5）在數據共享環節，企業可加強對于共享第三方主體的背景審查，并且將共享和披露數據的具體場景與具體的數據安全域技術進行結合。此外，還可以構建統一的數據共享平臺，采用許可或授權的方式對數據離開平臺進行管理。

（6）在數據的銷毀環節，企業需要采用硬件或軟件方式，實現磁盤中數據的永久刪除和不可恢復，包括硬盤粉碎機、硬盤折彎機等硬件處理方式，以及多次填充垃圾信息等軟件數據處理方式。

3.2 管理制度措施建議

企業在管理制度方面可以采取的措施包括明確管理制度規程、完善安全管理架構、構建數據安全責任體系等。

（1）在明確管理制度和規程方面，企業應根據國家相關法律法規要求，進一步通過企業自身制度明確數據分級分類的標準，同時在企業層面形成數據安全管理的總體要求，將其內化為不同部門的工作任務。此外，還應進一步明確數據全生命周期管理的實施細則，進一步加強與第三方合作/共享數據的安全管理分工，與國家關鍵數據或個人信息的管理制度做好銜接。

（2）在數據安全管理架構設置方面，企業應建立從領導班子到業務主辦人員的數據安全管理組織架構。為了更加有效地執行企業數據安全管理制度，還可在涉及較大數據量的業務部門設置專職或兼職的安全管理崗位，做好與企業數據安全管理統籌部門的溝通和銜接，落實企業安全管理制度要求。

（3）在構建數據安全責任體系方面，企業應增強法律意識和合規意識，加強對于涉及數據處理的合同審查，明確相關責任人及獎懲制度。此外，企業還應進一步提升所有員工的數據安全意識，建立相應的數據安全教育培訓機制，組織安全意識教育和數據安全管理制度宣傳培訓。

參考文獻

王融.大數據時代：數據保護與流動規則[M].北京：人民郵電出版社，2017.

馬義.大數據時代背景下計算機網絡信息安全防護技術研討[J].電腦知識與技術，2017（25）.

朱輝，袁亮，孫琴.大數據時代企業信息安全管理體系分析[J].信息與電腦（理論版），2019（22）.

作者簡介：趙楨（1988-），女，漢族，河南沁陽人，碩士，行政主管，經濟師，研究方向：企業商業秘密防護。