双性调教np堕重口黄暴辣耽_亚洲一级性_女人做爰呻吟娇喘声网站,男人和女人脱裤子叼嘿,亚洲一区二区在线,欧美日韩亚洲国内综合网

數據安全體系建設的研究及思考

楊云龍¹  郭中梅¹  張亮¹  孫亮¹  楊旭蕾²

（1.中國聯合網絡通信有限公司智能城市研究院，北京 100048；

2.中科寒武紀科技股份有限公司，北京 100191）

摘要：數據安全是國家安全的重要組成部分，不僅關乎著國家的信息主權，同時也影響著社會穩(wěn)定及國際競爭力。在當前國際國內環(huán)境日益復雜的背景下，數據安全治理面臨的問題也愈發(fā)嚴峻。重點針對數據全生命周期風險進行分析，并從技術、運營、管理3方面提出了數據安全體系總體思路，幫助各參與方建立數據安全保障體系。

關鍵詞：數據安全；數據要素；數據風險；數據治理

0  引言

2024年9月，國家互聯網信息辦公室發(fā)布的《國家信息化發(fā)展報告（2023年）》顯示，2023年我國數據生產總量達32.85 ZB，同比增長超22%，數據產業(yè)規(guī)模達1.74萬億元^[1]，數據相關產業(yè)表現出了強大的潛能，數據資源開始在政府及企業(yè)領域得到廣泛應用，為各行各業(yè)的發(fā)展注入了新的動力。但是要管理如此龐大的數據資源，需要加快完善數據安全體系，為數據要素的價值釋放構建一個安全可信的環(huán)境。目前，數據安全領域法律法規(guī)的基本框架雖然已經搭建，但與數據技術、運營、管理等工作相配套的政策及標準規(guī)范仍有不完善的地方，依然存在著數據安全保護的法律“真空地帶”^[2]。政府與企業(yè)等作為數據運營的主導者和核心參與者，當前急需強化自身的數據安全防護能力，并構建一套有效的數據安全體系，以應對數據安全方面的挑戰(zhàn)。

1  新時代數據安全面臨新挑戰(zhàn)

1.1  數據安全對國家安全和社會穩(wěn)定的挑戰(zhàn)

數據與國家的經濟運行、社會服務、安全穩(wěn)定等息息相關，數據安全是國家安全的核心部分^[3]，保護數據安全這一任務隨著數據的激增而日漸緊迫。如果數據被謀取利益的對手掌握并進行不當利用，就可能嚴重威脅國家的安全與發(fā)展。2024年1月30日，360公司發(fā)布了《2023年全球高級持續(xù)性威脅研究報告》，其中顯示，全球高級持續(xù)性威脅（Advanced Persistent Threat，APT）組織攻擊活動保持高活躍度，中國16個行業(yè)深受APT攻擊影響，教育科研領域受影響較大^[4]。在這樣嚴峻的國際環(huán)境背景之下，加快構建數據安全體系已經迫在眉睫。例如“華大基因”事件，未授權的遺傳基因數據出境，將可能影響國家安全領域中的生物安全體系。

1.2  傳統的安全保護模式為數據安全保護帶來的挑戰(zhàn)

新形勢下要求數據安全能力應順應提升，但當前我國各行業(yè)的數據安全基本是在原有的網絡安全防護體系基礎上進行優(yōu)化和完善^[5]。傳統的安全偏重于保障物理環(huán)境、網絡、主機等基礎設施安全，以及應用系統本身的安全，一般對標網絡安全等級保護要求，通過部署安全產品實現安全保障功能，重點在于防范外部攻擊，很少涉及數據業(yè)務安全與合規(guī)以及用戶個人信息保護，而這兩方面是保障數據安全的重要內容。傳統的安全保護模式已無法適應當前數據安全的需求，需要建立以“數據安全”為中心的數據安全保護模式。

1.3  公共數據開放共享增加了數據管理難度

公共數據蘊含著巨大的經濟和社會價值，隨著數據要素市場政策及技術的不斷完善，各地政府紛紛加快了數據共享開放的力度。復旦大學數字與移動治理實驗室聯合國家信息中心數字中國研究院發(fā)布的《2023中國地方公共數據開放利用報告（省域）》顯示，截至2023年8月，我國總計上線了226個數據開放平臺，相較于2017年，公共數據開放共享平臺增長了十倍之多^[6]。隨著越來越多的數據開放，大量的敏感數據可能會被暴露在不安全的環(huán)境中。如果這些數據沒有得到妥善的保護，就可能被惡意攻擊者竊取，進而造成數據泄露^[7]，甚至會出現數據壟斷的現象。例如某二手車信息服務平臺通過全國車險信息的線上查詢服務的數據壟斷地位，實行了針對其他車企的不公正高價策略及差異性待遇行為，并因此遭到訴訟。

2  數據全生命周期風險分析

數字經濟時代，在有效利用數據、最大限度發(fā)揮數據要素價值的同時，也面臨著數據利用時所帶來的諸多安全隱患^[8]。一旦發(fā)生數據泄露，不僅會導致個人隱私泄露，還將影響國家安全和社會穩(wěn)定。數據安全的治理要把數據作為核心，圍繞數據的全生命周期來進行安全體系的建立^[9]。數據的全生命周期如圖1所示，包括數據采集、數據存儲、數據傳輸、數據處理、數據共享交換、數據銷毀6個環(huán)節(jié)^[10]。以下是針對數據全生命周期各個環(huán)節(jié)的風險分析。

數據采集：數據采集的來源主要包括內部產生的數據以及外部收集的數據兩部分^[11]，風險主要集中在采集源、采集設備和采集過程，如采集源缺少數據分類分級，缺少采集訪問控制及可信認證，數據源終端自身存在安全隱患，同時面臨著非法采集、采集過程不規(guī)范等風險。

數據存儲：指數據進行物理存儲或云存儲。主要面臨著數據分布不清晰、數據分類分級不清、敏感數據未加密或脫敏、數據缺乏備份恢復機制、數據存儲設備自身安全隱患等風險^[12]。如數據級別不清晰，在非安全網絡中存儲的敏感數據未加密或未脫敏，使用者對數據的非授權操作或者訪問，缺少數據容災備份機制，存儲設備未及時加固防護等。

數據傳輸：指數據在不同平臺、節(jié)點、應用、組織之間流通。主要風險在于傳輸通道的不安全性，即傳輸時存在數據被竊取、數據被監(jiān)聽等安全風險，如傳輸之前未做認證校驗，敏感數據明文傳輸時被竊取，數據通過用戶終端網絡和USB、藍牙等傳輸時被泄露，數據傳輸接口被違規(guī)訪問等。

數據處理：指數據從生產環(huán)境導出到開發(fā)測試或建模分析等環(huán)境中進行的數據處理操作。主要面臨的風險包括缺乏訪問控制、缺少保護措施、缺少異常告警。

數據共享交換：主要指數據最終為內外部用戶或業(yè)務所使用。主要風險有數據未授權輸出，輸出數據所在終端自身安全，特別是當數據共享到外部業(yè)務系統、用戶時，將失去對共享數據的控制權，即無法落實相關安全措施。如缺少共享身份驗證，缺少共享終端自身安全防護，缺少共享數據脫敏處理機制，缺少共享數據共享溯源能力等。

數據銷毀：主要是指在獲得用戶授權的前提下，通過相應的程序對數據進行消除并使其無法恢復的階段。主要風險包括缺少針對不同場景、不同存儲設備的銷毀技術，數據分類分級不清，缺少銷毀監(jiān)察機制，銷毀過程中的數據泄露等^[13]。

3  數據安全體系建設總體思路

數據安全體系建設的總體思路是以國內外數據安全相關政策、標準規(guī)范以及國內現實國情為指導，以“數據、人、場景”為核心，結合數據要素實際業(yè)務應用場景進行規(guī)劃和設計，通過安全技術、安全管理、安全運營3個體系，實現數據要素安全穩(wěn)定高效的流通^[14]。數據安全體系總體設計框架如圖2所示。

3.1  安全技術體系

安全技術體系是數據安全保障工作的重中之重^[15]，是實現數據授權精準化、安全審計智能化、風險處置實時化、安全能力可視化、安全管控一體化的重要組成部分，確保安全運營體系的高效實施，也確保安全管理制度的有效執(zhí)行。通過數據安全技術防護體系，能夠支撐各部門安全、穩(wěn)定、高效地開展自身業(yè)務，采用密碼技術、敏感數據識別、數據動/靜脫敏、數字水印溯源、大數據分析研判模型、用戶/用戶組行為刻畫、數據指紋、資產探測、安全審計等數據安全技術，保障數據從采集、存儲、傳輸、處理、交換、銷毀的全生命周期的安全，為實現數據安全總體目標提供技術路徑和工具^[16]，實現動態(tài)閉環(huán)的數據安全風險管理。

3.2  安全運營體系

數據安全運營指對業(yè)務運營和數據運營實施全流程、全周期的安全運行管理，以保障數據運營可持續(xù)健康發(fā)展。安全運營體系包括系統安全運營、數據安全運營和業(yè)務安全運營3類。系統安全運營主要涉及政府及企業(yè)信息技術系統的安全防護和管理。這包括確保系統的穩(wěn)定性、可用性和安全性，防止外部攻擊和內部誤操作導致的系統崩潰或數據泄露。系統安全運營需要依靠一系列技術手段和工具，如網閘、防火墻、入侵檢測系統（Intrusion Detection System，IDS）等，來實時監(jiān)測和響應各種安全威脅。此外，數據安全運營還需要關注數據泄露、數據濫用等風險，并制定相應的應急響應計劃。業(yè)務安全運營主要關注政府或企業(yè)在業(yè)務運營過程中的安全風險，包括防止欺詐、保障交易安全、保護客戶隱私等。業(yè)務安全運營需要依靠風險評估、安全審計等手段，識別業(yè)務運營中的潛在風險，并采取相應的措施進行防范和應對。

3.3  安全管理體系

安全管理體系是完善數據安全體系的重要一環(huán)，以“管用審”分離的原則明確數據安全崗位架構和分工，提升溝通協作效率，落實安全責任。安全管理體系包括安全策略和安全組織兩類。安全策略是組織為了管理和保護其數據資產而制定的原則和方針，定義了組織對信息安全的期望和承諾。安全策略通常包括：基礎安全管理策略，如制定數據安全的基本方針、原則和目標，設定數據安全事件響應和處理的機制；數據安全管理策略，如建立數據防泄露機制，防止數據被非法獲取或濫用；業(yè)務安全管理策略，如評估業(yè)務過程中可能存在的安全風險，并制定相應的防控措施。安全組織是負責實施和執(zhí)行安全策略的組織結構，包含設立數據安全組織架構，建立跨部門的數據安全協作機制，形成合力應對數據安全挑戰(zhàn)；制定數據安全職責，設定不同崗位在數據安全中的職責和要求，確保每個員工都了解自己的安全職責；提高人員能力，為員工提供信息安全方面的必要教育與指導，以增強員工的安全意識及能力。安全管理體系是組織確保其數據安全的重要保障，通過建立完善的安全策略和安全組織，為組織的數據資產提供全方位的保護。

4  數據安全重點技術分析

數據安全技術體系建設內容需覆蓋數據全生命周期各個環(huán)節(jié)，如圖3所示，通過數據安全檢測與審計、數據資產地圖、數字水印溯源、數據安全網關、應用程序編程接口（Application Programming Interface，API）審計與溯源、基線安全檢測、數據安全指標評估^[17]等技術工具來支撐數據安全保障工作，實現數據授權精準化、安全審計智能化、風險處置實時化、安全能力可視化、安全管控一體化。

數據安全檢測與審計：基于機器學習和大數據審計日志的分析技術建設可視化態(tài)勢感知系統，實現數據安全趨勢預測和異常行為的自主監(jiān)控。全面掌握數據安全態(tài)勢，達到“底數清、情況明”的效果，打造全域、全維、全時的數據安全態(tài)勢感知能力?；谌罩静杉c審計分析，深度挖掘主機風險、數據庫風險、大數據平臺、用戶風險、賬號體系風險、應用風險、終端風險等，并提供事后審計與分析視圖。

數據資產地圖：從安全角度自動化構建細粒度資產信息，通過數據資產定義、數據地圖、數據版本變更、數據安全策略、監(jiān)督告警等手段，實現對數據資產的保護。

數字水印溯源：以數據水印為核心技術，提供針對密文共享文件和明文共享文件的水印嵌入、水印提取、溯源等服務^[18]。使用相應的檢測算法，還原數據中加注的數據提供方和使用方的身份信息，為數據建立可鑒別的唯一標識。同時也對數據的泄露行為提供了事后追查的可信手段。

數據安全網關：數據安全網關部署于數據訪問的客戶端和數據存儲之間。數據分發(fā)過程中，數據安全網關自動匹配多重安全檢測規(guī)則，檢測發(fā)現敏感數據，立即攔截并報警。

API審計與溯源：API審計與溯源系統對接數據接口服務平臺，識別潛在接口調用風險，對接口進行合規(guī)性檢測，采用指紋識別技術，記錄接口調用過程，溯源可疑數據，達到“可監(jiān)測、可識別、可追責”的統一平臺。數據統一出口管控功能包括監(jiān)測規(guī)則與策略、日志檢測任務管理與審計、接口規(guī)范檢測、敏感數據檢測、數據指紋調用程序、比對溯源、異常事件告警等模塊。

基線安全檢測：基線安全檢測是提升內部安全監(jiān)管、保障大數據集群安全的有效工具。系統需內置多項漏洞檢測項和多個基線檢測項的知識庫且不斷定期更新。安全維護人員通過儀表盤觀覽風險數據，定位、研判風險，也可以對大數據平臺進行手動/自動掃描、檢測，提升數據平臺的整體安全水平，節(jié)省人工成本。

數據安全指標評估：通過數據安全指標評估工具可詳細了解數據要素安全現狀，定位數據安全問題，幫助建立數據安全治理體系。數據安全指標需要滿足國家標準《數據安全能力成熟度模型》（GB/T 37988-2019），重點從組織、制度、技術和人員4個維度評估數據安全水平，從而更好地定位數據安全防護的短板。

5  結束語

目前我國數據安全體系建設正處于一個關鍵的發(fā)展階段，數據安全治理工作面臨著前所未有的挑戰(zhàn)。數據安全體系的建設不能僅僅依靠政府的力量，還需要充分激發(fā)其他主體的積極性和活力。只有實現多方協同，才能構建起一個全面、高效的數據安全治理體系，并有效地應對數據安全治理中的挑戰(zhàn)，保障國家的數據安全和社會的穩(wěn)定發(fā)展。

Research and reflection on the construction of data security system

YANG Yunlong¹, GUO Zhongmei¹, ZHANG Liang¹, SUN Liang¹, YANG Xulei²

（1. China Unicom Smart City Research Instiute, Beijing 100048, China；

2. Cambricon Technologies Corporation Limited, Beijing 100191, China）

Abstract: Data security is an important component of national security, which not only concerns a country’s information sovereignty, but also affects social stability and international competitiveness. In the increasingly complex international and domestic environment, the problems faced by data security governance have become more severe. This paper focuses on the analysis of data life cycle risks, and puts forward the general idea of data security system from three aspects: technology, operation, and management, and helps all participants to establish a data security system.

Keywords: data security; data elements; data risk; data governance

本文刊于《信息通信技術與政策》2025年 第1期