中文
隨著(zhù)海量數據持續性的產(chǎn)生、收集、利用,數據交易作為新型的商業(yè)模式應運而生,進(jìn)一步挖掘數據價(jià)值,實(shí)現數據的市場(chǎng)化流通。然而,數據交易的蓬勃發(fā)展也帶來(lái)了不可忽視的安全風(fēng)險,這給數據交易各參與方的可信、安全帶來(lái)了嚴峻挑戰。面對當前形勢,本文將深入探討數據交易的發(fā)展現狀,全面分析交易供/需雙方的數據安全風(fēng)險,并提出相應的安全防護策略,旨在確保交易數據安全,實(shí)現數據價(jià)值最大化。
數據交易發(fā)展現狀
當前,我國數據要素市場(chǎng)處于高速發(fā)展階段。據國家發(fā)改委不完全統計,我國現有數據交易機構80多家,擁有30萬(wàn)名專(zhuān)業(yè)數據人才。國家工信安全中心測算,到2029年我國數據要素市場(chǎng)規模將達到545億元,“十三五”期間市場(chǎng)規模復合增速超過(guò)30%;“十四五”期間,這一數值將突破1749億元,整體上進(jìn)入高速發(fā)展階段。在國家政策和數據技術(shù)發(fā)展的驅動(dòng)下,數據交易市場(chǎng)呈現出交易規模持續擴大、交易類(lèi)型日益豐富、交易環(huán)境不斷優(yōu)化的發(fā)展特點(diǎn)。
數據交易中供/需雙方安全難點(diǎn)分析
數據交易包括六類(lèi)主體:數據提供方(賣(mài)方)、數據需求方(買(mǎi)方)、數據監管方(交易中介)、數據商(數據服務(wù)中介)、基礎設施提供方(交易平臺)和第三方服務(wù)機構(專(zhuān)業(yè)支持),不同的數據交易主體扮演著(zhù)不同的角色。
其中數據提供方擁有或掌握特定的數據資源,是提供數據或原始數據的主體;數據需求方有針對性地尋求特定類(lèi)型或特定用途的數據來(lái)支持業(yè)務(wù)決策、產(chǎn)品研發(fā)、市場(chǎng)分析等需求,是購買(mǎi)或使用數據的主體;基礎設施提供方則是數據監管方為供/需雙方提供數據交易場(chǎng)所或交易中心。
數據交易實(shí)質(zhì)上就是“買(mǎi)賣(mài)數據”,數據提供方需要采集、梳理交易的數據,并在交易平臺登記數據供應信息,確保數據的安全、可用、質(zhì)量;數據需求方,則需要明確獲取數據的類(lèi)型、規模、質(zhì)量等要求,通過(guò)數據交易平臺尋找數據,評估數據的可靠性、適用性和質(zhì)量等,獲得數據之后,作為新的數據責任主體,還需負責數據的安全防護。
●原始數據資源化:作為數據提供方,需要對采集的數據進(jìn)行全面梳理、敏感數據識別、數據分類(lèi)分級,在安全的前提下,形成可交易的數據資源目錄; ●數據資產(chǎn)安全防護:數據提供方對原始數據經(jīng)資源化規整后,數據資產(chǎn)的價(jià)值被挖掘,需要重點(diǎn)保護這些數據的安全,防止被攻擊、竊取、篡改,保護數據的完整性、可靠性、可用性;而數據需求方,在獲得相關(guān)交易數據后,同樣也需要保護數據資產(chǎn)安全、可用、可靠、完整等,以保證數據的價(jià)值被真正發(fā)揮出來(lái); ●數據交易合規審查:在數據交易過(guò)程中,數據交易的供/需雙方都需要進(jìn)行合規審查,對面臨的安全風(fēng)險進(jìn)行評估,以保證數據交易的合法性、安全性。
數據交易供/需方的數據安全防護方案
根據數據交易過(guò)程中供/需雙方存在的難點(diǎn),以數據安全組織體系為基礎、管理體系為指導、技術(shù)體系為支撐,構建數據安全閉環(huán)管理的體系架構,既是數據合規交易的前提,也是守護數據資產(chǎn)安全的基礎。
作為數據提供方,在數據交易前,要結合行業(yè)敏感數據防護要求、數據分類(lèi)分級指南和實(shí)際業(yè)務(wù)屬性,制定數據分類(lèi)分級規范、標準,利用數據分類(lèi)分級工具、API審計工具,對組織內數據資產(chǎn)、API接口進(jìn)行智能梳理,厘清組織內的重要數據、可實(shí)現交易的數據資源清單,以及會(huì )存在數據交易傳輸途徑的API接口清單。 交易供/需雙方,對于交易的數據,需要承擔安全防護責任,以保證數據的CIA屬性,可以利用運維堡壘機、數據庫審計、數據庫防火墻、數據動(dòng)態(tài)脫敏,對數據資產(chǎn)在訪(fǎng)問(wèn)、運維等場(chǎng)景下進(jìn)行多維度的管控,防止數據資產(chǎn)泄露和流失。 交易供/需雙方通過(guò)API接口進(jìn)行數據傳輸時(shí),API接口會(huì )存在被攻擊、數據竊取、越權訪(fǎng)問(wèn)等風(fēng)險。API安全審計可自動(dòng)監測各類(lèi)風(fēng)險,及時(shí)告警,確保API接口數據傳輸的安全,降低數據從接口泄露和被攻擊的風(fēng)險。 為了發(fā)揮數據的更大價(jià)值,交易供/需雙方可對數據進(jìn)行多次衍生挖掘處理,在應用系統開(kāi)發(fā)、測試環(huán)境搭建過(guò)程中,需要保持與生產(chǎn)環(huán)境數據結構一致,數據內容高度仿真。常規方式為從生產(chǎn)數據庫中直接復制數據,存在較大的數據泄露風(fēng)險。利用數據靜態(tài)脫敏,對敏感數據進(jìn)行脫敏處理,既實(shí)現重要、敏感數據保護,又保證了開(kāi)發(fā)、測試效果;在數據脫敏的同時(shí),還可以加上水印信息,當發(fā)生數據泄漏事件之后,可通過(guò)水印信息,快速定位到泄漏源頭,降低泄漏影響。 數據經(jīng)交易流通后,可訪(fǎng)問(wèn)數據的群體進(jìn)一步擴大,交易供/需雙方可通過(guò)數據動(dòng)態(tài)水印溯源工具對數據表、重點(diǎn)接口進(jìn)行動(dòng)態(tài)水印加注;當發(fā)生數據泄露時(shí)通過(guò)提取水印信息,快速定位泄露源頭。 根據數據交易合規審查要求,需要對交易供/需雙方的數據安全防護能力進(jìn)行安全評估,可通過(guò)數據安全風(fēng)險評估服務(wù),對交易數據進(jìn)行威脅、脆弱性評估,結合已有的數據安全防護技術(shù)、管理制度,綜合評判交易數據的安全風(fēng)險,對存在的風(fēng)險提供加固建議及方案。 當前,數據具備可變性、流動(dòng)性、場(chǎng)景復雜性等特性,威脅也呈現動(dòng)態(tài)性、持續性等特點(diǎn),因此對于交易數據安全防護的持續運營(yíng)成為必然。利用數據安全綜合治理平臺,打破數據安全防護孤島,聯(lián)動(dòng)全網(wǎng)安全防護能力,形成全網(wǎng)交易數據資產(chǎn)地圖、安全全局態(tài)勢、風(fēng)險快速處置,有效提升安全運營(yíng)效率。
綜上,數據交易作為數據經(jīng)濟的重要組成部分呈現出快速發(fā)展的態(tài)勢,交易供/需雙方的需求不斷增長(cháng),而在安全的前提下實(shí)現數據價(jià)值變現是基本要求。通過(guò)對交易數據全方位的防護,能有效地保障數據交易的正常推進(jìn),發(fā)揮數據更大的價(jià)值。
昂楷科技深耕數據安全領(lǐng)域14年,一直秉承順勢而為,乘勢而上,應勢而行的態(tài)度,積極搶抓機遇;面對數據交易這一新業(yè)態(tài)的興起,我們深知安全可控是大前提,為數據交易制定完善的安全防護方案,共同創(chuàng )造安全可靠的數據交易環(huán)境,昂楷科技責無(wú)旁貸。
