数据是信息时代最重要的基础性战略性资源,我国是全球数据量大国之一,数据安全管理和防护须臾不可懈怠。当前,我国在加强数据安全治理监管能力建设、建立完善数据交易监督管理工作协调机制和数据管理执法联动机制、打造数据安全服务生态体系、构建数据出境安全管理制度等方面做了大量卓有成效的工作。但数据安全仍然任重道远,要做到数据安全心中有数,还需要进一步提高数据安全意识,还需要进一步加强数据安全保护,还需要进一步破解数据安全风险。
数据安全意识需要进一步提高思想认识和行动自觉
党和国家高度重视数据在推动社会发展,改善民生的重要作用,并将数据明确列为重要的生产要素;充分认识数据是经济社会发展的高价值动能和数据安全在数字化社会活动中的极端重要性,数字中国、数字经济都与数据安全密切相关。《中华人民共和国数据安全法》给予了数据安全保护行为规范的法律依据,各级管理部门机构相继出台了一系列数据安全管理规范和技术标准,数据安全能力建设的四梁八柱架构可见端倪。在此基础上,还需要各级、各部门、各行业企业按照国家数据安全的总体架构砌好每一块砖每一片瓦。
目前一些单位,在研究数据安全问题时侃侃而谈,而在具体行动中则不见实质性的动作和措施。甚至对自己管理范围数据资产的存量、价值以及面临的风险、隐患和威胁“说不清楚”。“说不清楚”的根本原因就是思想认识没有到位,没有认识到数据资源的价值,没有体会到数据资产损失的那种切肤之痛,没有真正理解数据安全对国家安全、经济发展有多么至关重要!
数据安全保护关乎国家安全,大力加强对数据安全保护的宣传教育十分必要。要让各级相关部门、企业、单位的当家人真正地重视数据安全工作;要帮助他们了解自己的家底,督促他们责任心再提高一步;要把认识变为办法、把办法变为行动、让行动产生效果;要真正做到行动自觉,上下一心共同把围绕四梁八柱的铜墙铁壁建设起来,让它密不透风,安全牢靠。
数据安全保护需要进一步深化理论研究和实践检验
数据安全是科技进步和社会发展中遇到的新问题,数据安全保护不但是组织,也是每一个人面临的新课题、新挑战。虽然,在较短的时间职能部门组织有关专家学者集中出台了一些急需的数据安全相关规范、标准,这充分说明数据安全问题的重要性和对数据安全的高度重视,说明业界具有一定的技术储备、研究能力和学术水平。但是也要清醒地看到这些研究成果是参考了以往对信息安全、网络安全管理的一些做法,借鉴了他人的一些经验和资料。更要清醒地认识到,仅此对数据安全的特点、规律的认识还是不够的,许多观念和方法还停留在对信息安全和网络安全的认知上,一些理论研究成果还没有经过实践检验,还有许多难题没有解决。
一些单位在面对有关标准、规范、文件时,还是对所属范围的数据资产如何识别、脆弱性威胁如何分析、风险发生可能性如何判断、数据如何分级分类、关键核心重要数据如何保护等一系列问题仍然不知所措。这反映出现有的规范标准在技术和方法上还需要进一步完善,在操作指导方面还需要进一步细化明晰。数据是非实体性的无形资产,其形态、价值、重要性有其特殊的特征,如果我们连所要保护的对象都看不见、摸不着、认识不清、不能识别,还谈何安全保护呢?面对这些问题,需要耐住寂寞,静下心来,深入开展理论研究。日前,财政部发布的《企业数据资源相关会计处理暂行规定》,明确了数据资源适用于现行会计准则,标志着数据资产确认政策落地,数据资产入表费用化直接体现了数据价值,对于数据要素市场发展和推动数字经济走深向实意义重大。数据资产费用化是一个突破,对于数据安全管理者、从业者认识数据给予了极大的帮助。
数据安全与传统的网络安全相比有明显的差异,数据常常会被大批量地无感下载、无痕窃取,虽然看不到直接的物理损伤,但其潜在、长远、永久性的危害巨大。要在充分认识数据的特点、数据安全的本质要求和数据安全保护的客观规律上下功夫,要把理论研究的成果在实践中反复验证,不断地修正偏差、趋近真理,真正在实际工作中解决数据安全保护的难题。
数据安全风险评估需要进一步加强技术突破和科学创新
《信息安全技术 数据安全风险评估方法》(征求意见稿)正在面向社会征求意见,并受到广泛关注。数据安全检查活动和数据安全风险评估试点也在有序开展。开展数据安全风险评估是数据安全管理的基础性工作。数据安全风险评估是数据安全检查的重要内容和技术支撑。数据安全风险评估就是要做到正确认识和客观评价数据所面临的风险威胁,是做到“数据安全心中有数”的关键。
数据安全风险评估是新课题,必须在《中华人民共和国数据安全法》的框架指导下,努力探索数据安全保障的新思路、新方法、新技术。风险评估是一门科学,是方法论,只有方法对头,结果正确才有保障。要深入研究如何识别数据资产及其相关影响数据安全的对象要素,研究如何判别数据安全面临的威胁、风险及其量化赋值的方法和技术,研究符合实际比较科学的风险计算和评价体系,研究如何应对和消减数据安全风险的技术、措施和应急处置办法等问题。要充分利用长期对网络和信息系统开展风险评估、等保测评等工作的优势和所积累的丰富经验,进一步探索数据安全风险评估的理论,积极开展数据安全风险评估的方法研究和实践。
要充分认识数据安全风险评估与信息系统和网络安全的风险评估的差异,在数据安全检查和风险评估实践中探索发现符合数据安全保障要求的数据安全风险评估的新技术、新方法、新手段。要用科学精神,用科学家的眼光认识事物的本质和客观规律,大胆进行学术理论创新和方法实践的突破,不要被老一套旧框框禁锢我们的头脑、捆住我们的手脚。要在实践中不断增强对数据、数据安全的深刻认识,在实践中不断取得数据安全保护技术、管理、理论、实践和方法等方面的新成果,并将这些成果运用到数据安全保障工作中。
(来源:光明网),作者系中国互联网协会网络与信息安全工作委员会委员 宫亚峰