存儲(chǔ)域
數(shù)據(jù)庫(kù)加密 諾亞防勒索訪(fǎng)問(wèn)域
數(shù)據(jù)庫(kù)防水壩 數(shù)據(jù)庫(kù)防火墻 數(shù)據(jù)庫(kù)安全審計(jì) 動(dòng)態(tài)脫敏流動(dòng)域
靜態(tài)脫敏 數(shù)據(jù)水印 API審計(jì) API防控 醫(yī)療防統(tǒng)方運(yùn)維服務(wù)
數(shù)據(jù)庫(kù)運(yùn)維服務(wù) 中間件運(yùn)維服務(wù) 國(guó)產(chǎn)信創(chuàng)改造服務(wù) 駐場(chǎng)運(yùn)維服務(wù) 供數(shù)服務(wù)安全咨詢(xún)服務(wù)
數(shù)據(jù)出境安全治理服務(wù) 數(shù)據(jù)安全能力評(píng)估認(rèn)證服務(wù) 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估服務(wù) 數(shù)據(jù)安全治理咨詢(xún)服務(wù) 數(shù)據(jù)分類(lèi)分級(jí)咨詢(xún)服務(wù) 個(gè)人信息風(fēng)險(xiǎn)評(píng)估服務(wù) 數(shù)據(jù)安全檢查服務(wù)四年同行,韌性共鑄:西南某商行攜手美創(chuàng)科技再度通過(guò)年度容災(zāi)大考
2025-12-26
以“AI+數(shù)據(jù)安全”領(lǐng)雁!祝賀美創(chuàng)牽頭項(xiàng)目入選浙江省科技廳“尖兵領(lǐng)雁”計(jì)劃 !
2025-12-22
美創(chuàng)AI災(zāi)備專(zhuān)家:引領(lǐng)災(zāi)備領(lǐng)域邁入“智能化”時(shí)代
2025-12-15
熱點(diǎn)觀(guān)察|美創(chuàng)科技丁斐:數(shù)據(jù)安全 × 價(jià)值共創(chuàng)?可信數(shù)據(jù)空間的 “雙向奔赴”
2025-12-03
美創(chuàng)科技高校供應(yīng)鏈數(shù)據(jù)安全方案斬獲 2025 年度 “金智獎(jiǎng)”
2025-12-03
關(guān)注!數(shù)據(jù)安全新動(dòng)態(tài)(2025年10月·上篇)
2025-11-17
關(guān)注 | 國(guó)家標(biāo)準(zhǔn)支撐《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》生效施行(v1.0)
2025-11-12
深度解讀 | 《智能網(wǎng)聯(lián)汽車(chē)數(shù)據(jù)安全合規(guī)指引》:從“車(chē)輪上的手機(jī)”到“數(shù)據(jù)合規(guī)新前沿”?
2025-10-31
加強(qiáng)數(shù)據(jù)安全治理 守好數(shù)據(jù)安全防線(xiàn)
2025-10-29
國(guó)家網(wǎng)信辦發(fā)布《國(guó)家網(wǎng)絡(luò)安全事件報(bào)告管理辦法》
2025-09-16
作者簡(jiǎn)介
楊云龍
中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司智能城市研究院數(shù)字經(jīng)濟(jì)中心主任,高級(jí)工程師,主要從事數(shù)據(jù)要素、智慧城市、數(shù)字經(jīng)濟(jì)等相關(guān)研究工作。
郭中梅
中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司智能城市研究院總工程師,主要從事數(shù)據(jù)要素、數(shù)字經(jīng)濟(jì)、智慧城市、數(shù)字孿生等相關(guān)研究工作。
張亮
中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司智能城市研究院專(zhuān)業(yè)總監(jiān),高級(jí)工程師,注冊(cè)咨詢(xún)工程師,主要從事通信技術(shù)和數(shù)字經(jīng)濟(jì)行業(yè)研究工作。
孫亮
中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司智能城市研究院戰(zhàn)略咨詢(xún)總監(jiān),高級(jí)工程師,高級(jí)經(jīng)濟(jì)師,注冊(cè)咨詢(xún)工程師,主要從事智慧城市規(guī)劃咨詢(xún)、頂層設(shè)計(jì)、標(biāo)準(zhǔn)課題研究等工作。
楊旭蕾
中科寒武紀(jì)科技股份有限公司戰(zhàn)略合作經(jīng)理,工程師,主要從事人工智能、智慧城市等相關(guān)研究工作。
論文引用格式:
楊云龍, 郭中梅, 張亮, 等. 數(shù)據(jù)安全體系建設(shè)的研究及思考[J]. 信息通信技術(shù)與政策, 2025, 51(1): 40-45.
數(shù)據(jù)安全體系建設(shè)的研究及思考
楊云龍1 郭中梅1 張亮1 孫亮1 楊旭蕾2
(1.中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司智能城市研究院,北京 100048;
2.中科寒武紀(jì)科技股份有限公司,北京 100191)
摘要:數(shù)據(jù)安全是國(guó)家安全的重要組成部分,不僅關(guān)乎著國(guó)家的信息主權(quán),同時(shí)也影響著社會(huì)穩(wěn)定及國(guó)際競(jìng)爭(zhēng)力。在當(dāng)前國(guó)際國(guó)內(nèi)環(huán)境日益復(fù)雜的背景下,數(shù)據(jù)安全治理面臨的問(wèn)題也愈發(fā)嚴(yán)峻。重點(diǎn)針對(duì)數(shù)據(jù)全生命周期風(fēng)險(xiǎn)進(jìn)行分析,并從技術(shù)、運(yùn)營(yíng)、管理3方面提出了數(shù)據(jù)安全體系總體思路,幫助各參與方建立數(shù)據(jù)安全保障體系。
關(guān)鍵詞:數(shù)據(jù)安全;數(shù)據(jù)要素;數(shù)據(jù)風(fēng)險(xiǎn);數(shù)據(jù)治理
0 引言
2024年9月,國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布的《國(guó)家信息化發(fā)展報(bào)告(2023年)》顯示,2023年我國(guó)數(shù)據(jù)生產(chǎn)總量達(dá)32.85 ZB,同比增長(zhǎng)超22%,數(shù)據(jù)產(chǎn)業(yè)規(guī)模達(dá)1.74萬(wàn)億元[1],數(shù)據(jù)相關(guān)產(chǎn)業(yè)表現(xiàn)出了強(qiáng)大的潛能,數(shù)據(jù)資源開(kāi)始在政府及企業(yè)領(lǐng)域得到廣泛應(yīng)用,為各行各業(yè)的發(fā)展注入了新的動(dòng)力。但是要管理如此龐大的數(shù)據(jù)資源,需要加快完善數(shù)據(jù)安全體系,為數(shù)據(jù)要素的價(jià)值釋放構(gòu)建一個(gè)安全可信的環(huán)境。目前,數(shù)據(jù)安全領(lǐng)域法律法規(guī)的基本框架雖然已經(jīng)搭建,但與數(shù)據(jù)技術(shù)、運(yùn)營(yíng)、管理等工作相配套的政策及標(biāo)準(zhǔn)規(guī)范仍有不完善的地方,依然存在著數(shù)據(jù)安全保護(hù)的法律“真空地帶”[2]。政府與企業(yè)等作為數(shù)據(jù)運(yùn)營(yíng)的主導(dǎo)者和核心參與者,當(dāng)前急需強(qiáng)化自身的數(shù)據(jù)安全防護(hù)能力,并構(gòu)建一套有效的數(shù)據(jù)安全體系,以應(yīng)對(duì)數(shù)據(jù)安全方面的挑戰(zhàn)。
1 新時(shí)代數(shù)據(jù)安全面臨新挑戰(zhàn)
1.1 數(shù)據(jù)安全對(duì)國(guó)家安全和社會(huì)穩(wěn)定的挑戰(zhàn)
數(shù)據(jù)與國(guó)家的經(jīng)濟(jì)運(yùn)行、社會(huì)服務(wù)、安全穩(wěn)定等息息相關(guān),數(shù)據(jù)安全是國(guó)家安全的核心部分[3],保護(hù)數(shù)據(jù)安全這一任務(wù)隨著數(shù)據(jù)的激增而日漸緊迫。如果數(shù)據(jù)被謀取利益的對(duì)手掌握并進(jìn)行不當(dāng)利用,就可能?chē)?yán)重威脅國(guó)家的安全與發(fā)展。2024年1月30日,360公司發(fā)布了《2023年全球高級(jí)持續(xù)性威脅研究報(bào)告》,其中顯示,全球高級(jí)持續(xù)性威脅(Advanced Persistent Threat,APT)組織攻擊活動(dòng)保持高活躍度,中國(guó)16個(gè)行業(yè)深受APT攻擊影響,教育科研領(lǐng)域受影響較大[4]。在這樣嚴(yán)峻的國(guó)際環(huán)境背景之下,加快構(gòu)建數(shù)據(jù)安全體系已經(jīng)迫在眉睫。例如“華大基因”事件,未授權(quán)的遺傳基因數(shù)據(jù)出境,將可能影響國(guó)家安全領(lǐng)域中的生物安全體系。
1.2 傳統(tǒng)的安全保護(hù)模式為數(shù)據(jù)安全保護(hù)帶來(lái)的挑戰(zhàn)
新形勢(shì)下要求數(shù)據(jù)安全能力應(yīng)順應(yīng)提升,但當(dāng)前我國(guó)各行業(yè)的數(shù)據(jù)安全基本是在原有的網(wǎng)絡(luò)安全防護(hù)體系基礎(chǔ)上進(jìn)行優(yōu)化和完善[5]。傳統(tǒng)的安全偏重于保障物理環(huán)境、網(wǎng)絡(luò)、主機(jī)等基礎(chǔ)設(shè)施安全,以及應(yīng)用系統(tǒng)本身的安全,一般對(duì)標(biāo)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求,通過(guò)部署安全產(chǎn)品實(shí)現(xiàn)安全保障功能,重點(diǎn)在于防范外部攻擊,很少涉及數(shù)據(jù)業(yè)務(wù)安全與合規(guī)以及用戶(hù)個(gè)人信息保護(hù),而這兩方面是保障數(shù)據(jù)安全的重要內(nèi)容。傳統(tǒng)的安全保護(hù)模式已無(wú)法適應(yīng)當(dāng)前數(shù)據(jù)安全的需求,需要建立以“數(shù)據(jù)安全”為中心的數(shù)據(jù)安全保護(hù)模式。
1.3 公共數(shù)據(jù)開(kāi)放共享增加了數(shù)據(jù)管理難度
公共數(shù)據(jù)蘊(yùn)含著巨大的經(jīng)濟(jì)和社會(huì)價(jià)值,隨著數(shù)據(jù)要素市場(chǎng)政策及技術(shù)的不斷完善,各地政府紛紛加快了數(shù)據(jù)共享開(kāi)放的力度。復(fù)旦大學(xué)數(shù)字與移動(dòng)治理實(shí)驗(yàn)室聯(lián)合國(guó)家信息中心數(shù)字中國(guó)研究院發(fā)布的《2023中國(guó)地方公共數(shù)據(jù)開(kāi)放利用報(bào)告(省域)》顯示,截至2023年8月,我國(guó)總計(jì)上線(xiàn)了226個(gè)數(shù)據(jù)開(kāi)放平臺(tái),相較于2017年,公共數(shù)據(jù)開(kāi)放共享平臺(tái)增長(zhǎng)了十倍之多[6]。隨著越來(lái)越多的數(shù)據(jù)開(kāi)放,大量的敏感數(shù)據(jù)可能會(huì)被暴露在不安全的環(huán)境中。如果這些數(shù)據(jù)沒(méi)有得到妥善的保護(hù),就可能被惡意攻擊者竊取,進(jìn)而造成數(shù)據(jù)泄露[7],甚至?xí)霈F(xiàn)數(shù)據(jù)壟斷的現(xiàn)象。例如某二手車(chē)信息服務(wù)平臺(tái)通過(guò)全國(guó)車(chē)險(xiǎn)信息的線(xiàn)上查詢(xún)服務(wù)的數(shù)據(jù)壟斷地位,實(shí)行了針對(duì)其他車(chē)企的不公正高價(jià)策略及差異性待遇行為,并因此遭到訴訟。
2 數(shù)據(jù)全生命周期風(fēng)險(xiǎn)分析
數(shù)字經(jīng)濟(jì)時(shí)代,在有效利用數(shù)據(jù)、最大限度發(fā)揮數(shù)據(jù)要素價(jià)值的同時(shí),也面臨著數(shù)據(jù)利用時(shí)所帶來(lái)的諸多安全隱患[8]。一旦發(fā)生數(shù)據(jù)泄露,不僅會(huì)導(dǎo)致個(gè)人隱私泄露,還將影響國(guó)家安全和社會(huì)穩(wěn)定。數(shù)據(jù)安全的治理要把數(shù)據(jù)作為核心,圍繞數(shù)據(jù)的全生命周期來(lái)進(jìn)行安全體系的建立[9]。數(shù)據(jù)的全生命周期如圖1所示,包括數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)處理、數(shù)據(jù)共享交換、數(shù)據(jù)銷(xiāo)毀6個(gè)環(huán)節(jié)[10]。以下是針對(duì)數(shù)據(jù)全生命周期各個(gè)環(huán)節(jié)的風(fēng)險(xiǎn)分析。
數(shù)據(jù)采集:數(shù)據(jù)采集的來(lái)源主要包括內(nèi)部產(chǎn)生的數(shù)據(jù)以及外部收集的數(shù)據(jù)兩部分[11],風(fēng)險(xiǎn)主要集中在采集源、采集設(shè)備和采集過(guò)程,如采集源缺少數(shù)據(jù)分類(lèi)分級(jí),缺少采集訪(fǎng)問(wèn)控制及可信認(rèn)證,數(shù)據(jù)源終端自身存在安全隱患,同時(shí)面臨著非法采集、采集過(guò)程不規(guī)范等風(fēng)險(xiǎn)。
數(shù)據(jù)存儲(chǔ):指數(shù)據(jù)進(jìn)行物理存儲(chǔ)或云存儲(chǔ)。主要面臨著數(shù)據(jù)分布不清晰、數(shù)據(jù)分類(lèi)分級(jí)不清、敏感數(shù)據(jù)未加密或脫敏、數(shù)據(jù)缺乏備份恢復(fù)機(jī)制、數(shù)據(jù)存儲(chǔ)設(shè)備自身安全隱患等風(fēng)險(xiǎn)[12]。如數(shù)據(jù)級(jí)別不清晰,在非安全網(wǎng)絡(luò)中存儲(chǔ)的敏感數(shù)據(jù)未加密或未脫敏,使用者對(duì)數(shù)據(jù)的非授權(quán)操作或者訪(fǎng)問(wèn),缺少數(shù)據(jù)容災(zāi)備份機(jī)制,存儲(chǔ)設(shè)備未及時(shí)加固防護(hù)等。
數(shù)據(jù)傳輸:指數(shù)據(jù)在不同平臺(tái)、節(jié)點(diǎn)、應(yīng)用、組織之間流通。主要風(fēng)險(xiǎn)在于傳輸通道的不安全性,即傳輸時(shí)存在數(shù)據(jù)被竊取、數(shù)據(jù)被監(jiān)聽(tīng)等安全風(fēng)險(xiǎn),如傳輸之前未做認(rèn)證校驗(yàn),敏感數(shù)據(jù)明文傳輸時(shí)被竊取,數(shù)據(jù)通過(guò)用戶(hù)終端網(wǎng)絡(luò)和USB、藍(lán)牙等傳輸時(shí)被泄露,數(shù)據(jù)傳輸接口被違規(guī)訪(fǎng)問(wèn)等。
數(shù)據(jù)處理:指數(shù)據(jù)從生產(chǎn)環(huán)境導(dǎo)出到開(kāi)發(fā)測(cè)試或建模分析等環(huán)境中進(jìn)行的數(shù)據(jù)處理操作。主要面臨的風(fēng)險(xiǎn)包括缺乏訪(fǎng)問(wèn)控制、缺少保護(hù)措施、缺少異常告警。
數(shù)據(jù)共享交換:主要指數(shù)據(jù)最終為內(nèi)外部用戶(hù)或業(yè)務(wù)所使用。主要風(fēng)險(xiǎn)有數(shù)據(jù)未授權(quán)輸出,輸出數(shù)據(jù)所在終端自身安全,特別是當(dāng)數(shù)據(jù)共享到外部業(yè)務(wù)系統(tǒng)、用戶(hù)時(shí),將失去對(duì)共享數(shù)據(jù)的控制權(quán),即無(wú)法落實(shí)相關(guān)安全措施。如缺少共享身份驗(yàn)證,缺少共享終端自身安全防護(hù),缺少共享數(shù)據(jù)脫敏處理機(jī)制,缺少共享數(shù)據(jù)共享溯源能力等。
數(shù)據(jù)銷(xiāo)毀:主要是指在獲得用戶(hù)授權(quán)的前提下,通過(guò)相應(yīng)的程序?qū)?shù)據(jù)進(jìn)行消除并使其無(wú)法恢復(fù)的階段。主要風(fēng)險(xiǎn)包括缺少針對(duì)不同場(chǎng)景、不同存儲(chǔ)設(shè)備的銷(xiāo)毀技術(shù),數(shù)據(jù)分類(lèi)分級(jí)不清,缺少銷(xiāo)毀監(jiān)察機(jī)制,銷(xiāo)毀過(guò)程中的數(shù)據(jù)泄露等[13]。
3 數(shù)據(jù)安全體系建設(shè)總體思路
數(shù)據(jù)安全體系建設(shè)的總體思路是以國(guó)內(nèi)外數(shù)據(jù)安全相關(guān)政策、標(biāo)準(zhǔn)規(guī)范以及國(guó)內(nèi)現(xiàn)實(shí)國(guó)情為指導(dǎo),以“數(shù)據(jù)、人、場(chǎng)景”為核心,結(jié)合數(shù)據(jù)要素實(shí)際業(yè)務(wù)應(yīng)用場(chǎng)景進(jìn)行規(guī)劃和設(shè)計(jì),通過(guò)安全技術(shù)、安全管理、安全運(yùn)營(yíng)3個(gè)體系,實(shí)現(xiàn)數(shù)據(jù)要素安全穩(wěn)定高效的流通[14]。數(shù)據(jù)安全體系總體設(shè)計(jì)框架如圖2所示。
3.1 安全技術(shù)體系
安全技術(shù)體系是數(shù)據(jù)安全保障工作的重中之重[15],是實(shí)現(xiàn)數(shù)據(jù)授權(quán)精準(zhǔn)化、安全審計(jì)智能化、風(fēng)險(xiǎn)處置實(shí)時(shí)化、安全能力可視化、安全管控一體化的重要組成部分,確保安全運(yùn)營(yíng)體系的高效實(shí)施,也確保安全管理制度的有效執(zhí)行。通過(guò)數(shù)據(jù)安全技術(shù)防護(hù)體系,能夠支撐各部門(mén)安全、穩(wěn)定、高效地開(kāi)展自身業(yè)務(wù),采用密碼技術(shù)、敏感數(shù)據(jù)識(shí)別、數(shù)據(jù)動(dòng)/靜脫敏、數(shù)字水印溯源、大數(shù)據(jù)分析研判模型、用戶(hù)/用戶(hù)組行為刻畫(huà)、數(shù)據(jù)指紋、資產(chǎn)探測(cè)、安全審計(jì)等數(shù)據(jù)安全技術(shù),保障數(shù)據(jù)從采集、存儲(chǔ)、傳輸、處理、交換、銷(xiāo)毀的全生命周期的安全,為實(shí)現(xiàn)數(shù)據(jù)安全總體目標(biāo)提供技術(shù)路徑和工具[16],實(shí)現(xiàn)動(dòng)態(tài)閉環(huán)的數(shù)據(jù)安全風(fēng)險(xiǎn)管理。
3.2 安全運(yùn)營(yíng)體系
數(shù)據(jù)安全運(yùn)營(yíng)指對(duì)業(yè)務(wù)運(yùn)營(yíng)和數(shù)據(jù)運(yùn)營(yíng)實(shí)施全流程、全周期的安全運(yùn)行管理,以保障數(shù)據(jù)運(yùn)營(yíng)可持續(xù)健康發(fā)展。安全運(yùn)營(yíng)體系包括系統(tǒng)安全運(yùn)營(yíng)、數(shù)據(jù)安全運(yùn)營(yíng)和業(yè)務(wù)安全運(yùn)營(yíng)3類(lèi)。系統(tǒng)安全運(yùn)營(yíng)主要涉及政府及企業(yè)信息技術(shù)系統(tǒng)的安全防護(hù)和管理。這包括確保系統(tǒng)的穩(wěn)定性、可用性和安全性,防止外部攻擊和內(nèi)部誤操作導(dǎo)致的系統(tǒng)崩潰或數(shù)據(jù)泄露。系統(tǒng)安全運(yùn)營(yíng)需要依靠一系列技術(shù)手段和工具,如網(wǎng)閘、防火墻、入侵檢測(cè)系統(tǒng)(Intrusion Detection System,IDS)等,來(lái)實(shí)時(shí)監(jiān)測(cè)和響應(yīng)各種安全威脅。此外,數(shù)據(jù)安全運(yùn)營(yíng)還需要關(guān)注數(shù)據(jù)泄露、數(shù)據(jù)濫用等風(fēng)險(xiǎn),并制定相應(yīng)的應(yīng)急響應(yīng)計(jì)劃。業(yè)務(wù)安全運(yùn)營(yíng)主要關(guān)注政府或企業(yè)在業(yè)務(wù)運(yùn)營(yíng)過(guò)程中的安全風(fēng)險(xiǎn),包括防止欺詐、保障交易安全、保護(hù)客戶(hù)隱私等。業(yè)務(wù)安全運(yùn)營(yíng)需要依靠風(fēng)險(xiǎn)評(píng)估、安全審計(jì)等手段,識(shí)別業(yè)務(wù)運(yùn)營(yíng)中的潛在風(fēng)險(xiǎn),并采取相應(yīng)的措施進(jìn)行防范和應(yīng)對(duì)。
3.3 安全管理體系
安全管理體系是完善數(shù)據(jù)安全體系的重要一環(huán),以“管用審”分離的原則明確數(shù)據(jù)安全崗位架構(gòu)和分工,提升溝通協(xié)作效率,落實(shí)安全責(zé)任。安全管理體系包括安全策略和安全組織兩類(lèi)。安全策略是組織為了管理和保護(hù)其數(shù)據(jù)資產(chǎn)而制定的原則和方針,定義了組織對(duì)信息安全的期望和承諾。安全策略通常包括:基礎(chǔ)安全管理策略,如制定數(shù)據(jù)安全的基本方針、原則和目標(biāo),設(shè)定數(shù)據(jù)安全事件響應(yīng)和處理的機(jī)制;數(shù)據(jù)安全管理策略,如建立數(shù)據(jù)防泄露機(jī)制,防止數(shù)據(jù)被非法獲取或?yàn)E用;業(yè)務(wù)安全管理策略,如評(píng)估業(yè)務(wù)過(guò)程中可能存在的安全風(fēng)險(xiǎn),并制定相應(yīng)的防控措施。安全組織是負(fù)責(zé)實(shí)施和執(zhí)行安全策略的組織結(jié)構(gòu),包含設(shè)立數(shù)據(jù)安全組織架構(gòu),建立跨部門(mén)的數(shù)據(jù)安全協(xié)作機(jī)制,形成合力應(yīng)對(duì)數(shù)據(jù)安全挑戰(zhàn);制定數(shù)據(jù)安全職責(zé),設(shè)定不同崗位在數(shù)據(jù)安全中的職責(zé)和要求,確保每個(gè)員工都了解自己的安全職責(zé);提高人員能力,為員工提供信息安全方面的必要教育與指導(dǎo),以增強(qiáng)員工的安全意識(shí)及能力。安全管理體系是組織確保其數(shù)據(jù)安全的重要保障,通過(guò)建立完善的安全策略和安全組織,為組織的數(shù)據(jù)資產(chǎn)提供全方位的保護(hù)。
4 數(shù)據(jù)安全重點(diǎn)技術(shù)分析
數(shù)據(jù)安全技術(shù)體系建設(shè)內(nèi)容需覆蓋數(shù)據(jù)全生命周期各個(gè)環(huán)節(jié),如圖3所示,通過(guò)數(shù)據(jù)安全檢測(cè)與審計(jì)、數(shù)據(jù)資產(chǎn)地圖、數(shù)字水印溯源、數(shù)據(jù)安全網(wǎng)關(guān)、應(yīng)用程序編程接口(Application Programming Interface,API)審計(jì)與溯源、基線(xiàn)安全檢測(cè)、數(shù)據(jù)安全指標(biāo)評(píng)估[17]等技術(shù)工具來(lái)支撐數(shù)據(jù)安全保障工作,實(shí)現(xiàn)數(shù)據(jù)授權(quán)精準(zhǔn)化、安全審計(jì)智能化、風(fēng)險(xiǎn)處置實(shí)時(shí)化、安全能力可視化、安全管控一體化。
數(shù)據(jù)安全檢測(cè)與審計(jì):基于機(jī)器學(xué)習(xí)和大數(shù)據(jù)審計(jì)日志的分析技術(shù)建設(shè)可視化態(tài)勢(shì)感知系統(tǒng),實(shí)現(xiàn)數(shù)據(jù)安全趨勢(shì)預(yù)測(cè)和異常行為的自主監(jiān)控。全面掌握數(shù)據(jù)安全態(tài)勢(shì),達(dá)到“底數(shù)清、情況明”的效果,打造全域、全維、全時(shí)的數(shù)據(jù)安全態(tài)勢(shì)感知能力。基于日志采集與審計(jì)分析,深度挖掘主機(jī)風(fēng)險(xiǎn)、數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)、大數(shù)據(jù)平臺(tái)、用戶(hù)風(fēng)險(xiǎn)、賬號(hào)體系風(fēng)險(xiǎn)、應(yīng)用風(fēng)險(xiǎn)、終端風(fēng)險(xiǎn)等,并提供事后審計(jì)與分析視圖。
數(shù)據(jù)資產(chǎn)地圖:從安全角度自動(dòng)化構(gòu)建細(xì)粒度資產(chǎn)信息,通過(guò)數(shù)據(jù)資產(chǎn)定義、數(shù)據(jù)地圖、數(shù)據(jù)版本變更、數(shù)據(jù)安全策略、監(jiān)督告警等手段,實(shí)現(xiàn)對(duì)數(shù)據(jù)資產(chǎn)的保護(hù)。
數(shù)字水印溯源:以數(shù)據(jù)水印為核心技術(shù),提供針對(duì)密文共享文件和明文共享文件的水印嵌入、水印提取、溯源等服務(wù)[18]。使用相應(yīng)的檢測(cè)算法,還原數(shù)據(jù)中加注的數(shù)據(jù)提供方和使用方的身份信息,為數(shù)據(jù)建立可鑒別的唯一標(biāo)識(shí)。同時(shí)也對(duì)數(shù)據(jù)的泄露行為提供了事后追查的可信手段。
數(shù)據(jù)安全網(wǎng)關(guān):數(shù)據(jù)安全網(wǎng)關(guān)部署于數(shù)據(jù)訪(fǎng)問(wèn)的客戶(hù)端和數(shù)據(jù)存儲(chǔ)之間。數(shù)據(jù)分發(fā)過(guò)程中,數(shù)據(jù)安全網(wǎng)關(guān)自動(dòng)匹配多重安全檢測(cè)規(guī)則,檢測(cè)發(fā)現(xiàn)敏感數(shù)據(jù),立即攔截并報(bào)警。
API審計(jì)與溯源:API審計(jì)與溯源系統(tǒng)對(duì)接數(shù)據(jù)接口服務(wù)平臺(tái),識(shí)別潛在接口調(diào)用風(fēng)險(xiǎn),對(duì)接口進(jìn)行合規(guī)性檢測(cè),采用指紋識(shí)別技術(shù),記錄接口調(diào)用過(guò)程,溯源可疑數(shù)據(jù),達(dá)到“可監(jiān)測(cè)、可識(shí)別、可追責(zé)”的統(tǒng)一平臺(tái)。數(shù)據(jù)統(tǒng)一出口管控功能包括監(jiān)測(cè)規(guī)則與策略、日志檢測(cè)任務(wù)管理與審計(jì)、接口規(guī)范檢測(cè)、敏感數(shù)據(jù)檢測(cè)、數(shù)據(jù)指紋調(diào)用程序、比對(duì)溯源、異常事件告警等模塊。
基線(xiàn)安全檢測(cè):基線(xiàn)安全檢測(cè)是提升內(nèi)部安全監(jiān)管、保障大數(shù)據(jù)集群安全的有效工具。系統(tǒng)需內(nèi)置多項(xiàng)漏洞檢測(cè)項(xiàng)和多個(gè)基線(xiàn)檢測(cè)項(xiàng)的知識(shí)庫(kù)且不斷定期更新。安全維護(hù)人員通過(guò)儀表盤(pán)觀(guān)覽風(fēng)險(xiǎn)數(shù)據(jù),定位、研判風(fēng)險(xiǎn),也可以對(duì)大數(shù)據(jù)平臺(tái)進(jìn)行手動(dòng)/自動(dòng)掃描、檢測(cè),提升數(shù)據(jù)平臺(tái)的整體安全水平,節(jié)省人工成本。
數(shù)據(jù)安全指標(biāo)評(píng)估:通過(guò)數(shù)據(jù)安全指標(biāo)評(píng)估工具可詳細(xì)了解數(shù)據(jù)要素安全現(xiàn)狀,定位數(shù)據(jù)安全問(wèn)題,幫助建立數(shù)據(jù)安全治理體系。數(shù)據(jù)安全指標(biāo)需要滿(mǎn)足國(guó)家標(biāo)準(zhǔn)《數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019),重點(diǎn)從組織、制度、技術(shù)和人員4個(gè)維度評(píng)估數(shù)據(jù)安全水平,從而更好地定位數(shù)據(jù)安全防護(hù)的短板。
5 結(jié)束語(yǔ)
目前我國(guó)數(shù)據(jù)安全體系建設(shè)正處于一個(gè)關(guān)鍵的發(fā)展階段,數(shù)據(jù)安全治理工作面臨著前所未有的挑戰(zhàn)。數(shù)據(jù)安全體系的建設(shè)不能僅僅依靠政府的力量,還需要充分激發(fā)其他主體的積極性和活力。只有實(shí)現(xiàn)多方協(xié)同,才能構(gòu)建起一個(gè)全面、高效的數(shù)據(jù)安全治理體系,并有效地應(yīng)對(duì)數(shù)據(jù)安全治理中的挑戰(zhàn),保障國(guó)家的數(shù)據(jù)安全和社會(huì)的穩(wěn)定發(fā)展。
Research and reflection on the construction of data security system
YANG Yunlong1, GUO Zhongmei1, ZHANG Liang1, SUN Liang1, YANG Xulei2
(1. China Unicom Smart City Research Instiute, Beijing 100048, China;
2. Cambricon Technologies Corporation Limited, Beijing 100191, China)
Abstract: Data security is an important component of national security, which not only concerns a country’s information sovereignty, but also affects social stability and international competitiveness. In the increasingly complex international and domestic environment, the problems faced by data security governance have become more severe. This paper focuses on the analysis of data life cycle risks, and puts forward the general idea of data security system from three aspects: technology, operation, and management, and helps all participants to establish a data security system.
Keywords: data security; data elements; data risk; data governance
本文刊于《信息通信技術(shù)與政策》2025年 第1期
官方訂閱號(hào)
官方服務(wù)號(hào)
第59號(hào)
浙公網(wǎng)安備 33010502006954號(hào) 
