数据安全研究报告(上)

2022 年 4 月 18 日 CCF计算机安全专委会

随着全球各行业数字化转型加速,2020年全球47个国家数字经济增加值规模达到32.6万亿美元,同比名义增长3%,占GDP比重为43.7%。我国数字经济规模位居世界第二,接近5.4万亿美元,同比增长9.6%居全球第一(数据来源:信通院《2020全球数字经济白皮书》)。数据作为第五大生产要素已经成为经济社会发展的核心驱动力,与此同时,数据安全问题也日益凸显。无论是个人社交隐私信息、生物特征信息还是公众医疗健康信息、企业财务信息、地理位置、交通信息等等都存在过度开发和滥用问题,且采集使用大量敏感信息的企业往往缺乏足够的数据保护能力。导致数据泄露事件高频发生,涉及的领域包括政务、医疗、金融、交通、能源、互联网等等,数据安全面临的形势非常严峻。

面对日益严峻的数据安全威胁,包括我国在内的很多国家和政府通过制定相关法律法规,加强监管执法,来强化数据安全保护。另一方面,不断发展的数字化业务在推动经济社会发展的同时,也对前沿数据安全技术研究如何为数据隐私保护提供技术支撑提出了新的需求,包括差分隐私、数据匿名、同态加密、安全多方计算、联邦学习等新技术都在通过实际应用不断发展完善,在各种数据开发利用场景下发挥越来越重要的作用。

在同时面临严格的数据安全监管和新技术变革挑战的情况下,如何在满足法规要求的同时,优先开展数据治理,将数据安全的工作落实并有效实施,平衡好安全和发展,成为相关单位和企业要深入思考的课题。


我国数据安全发展现状

在中国,互联网的发展速度、新技术的快速产业化全球领先。人们的生活和工作都不断生产和消费数据,巨量数据在互联网企业生成、汇聚、融合,在释放数据价值的同时也带来了巨大的数据安全风险,且已经上升到国家安全的高度,是国家竞争力的直接体现,也是我国数字经济健康发展的基础。

我国2015年通过新的国家安全法,第25条就提出了:“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。2017年实施的《网络安全法》将数据安全纳入网络安全范畴。2018年人大常委会将《数据安全法》、《个人信息保护法》纳入立法规划。

随着互联网、大数据等新技术的发展,数据要素的快速积累,我国加快了对数据安全立法的步伐。2021年3月“十四五”规划和2035年远景目标纲要明确提出,加强涉及国家利益、商业秘密、个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护。国家的战略已经把数据安全定义为国家安全的一部分。2021年6月我国先后密集出台了《数据安全法》《个人信息保护法》《网络安全审查办法》《网络数据安全管理条例(征求意见稿)》等法律法规、政策制度,凸显了我国政府对数据安全的重视程度。

在个人信息保护方面,我国出台的《个人信息保护法》在规则的严厉程度上对标欧盟GDPR。在法律责任方面,中国建立了更为严格的追责体系,民事、行政、刑事领域对于违法行为的追责力度空前,处罚责任更加明确。而在监管体制上,我国的法律仍然是以网信为主体,工信、公安、市场监管配合监督。

为了促进数据流转、共享和交易,提高数据要素的价值,很多省地市成立了数据交易所和数据交易中心,这些交易所的成立为之后推动我国数字经济快速发展提供支撑。数据在流转和交易的过程中同样面临许多安全的风险,因此如何在数据共享,流转过程中保障数据合理使用的问题亟待解决。我国在数据安全领域,不断颁布一系列数据安全保护的法规,目的是为了规范数据处理活动,保障数据安全,保护个人、组织的合法权益,维护国家主权和安全。

数据安全建设是一个复杂的系统工程,需要根据不同的数据类型和应用场景采取不同的技术防护措施。在目前我国数据安全技术体系有待进一步完善、数据治理刚刚起步的阶段,各领域、行业、企业基本都处于摸家底、理资产、定标准的“治理先行”阶段。


数据要素安全问题阻碍数字经济发展

随着大数据技术的广泛应用,数据作为新型生产要素,正在加速成为全球经济增长的新动力、新引擎,伴随着“云大物移智5G”技术发展,各行业数字化转型加速,导致数据量的指数级增长。数据分析算法和技术迭代更新,数据创新应用和产业优化不断升级,数据的共享和开放需求愈发强烈。2020年国家明确数据是新的关键生产要素,是国家基础性战略资源2021年密集出台《数据安全法》、《个人隐私保护法》等法律法规,过程中充分体现了我国数字经济发展与网络安全、国家安全之间的矛盾,如何充分利用数据要素,促进数字经济发展的同时做好隐私安全、数据安全的建设,成为“四五”期间亟待解决的关键问题。


2.1 以数据为目标的网络攻击愈演愈烈

数字化使得信息化与业务融合愈发紧密,信息化操作跟业务行动之间的关联也越来越难以分离,信息系统的安全与业务稳定运行也更加息息相关。数字化的发展也导致针对数字化业务的网络安全威胁日渐升级,攻击方通过不断寻找数字化业务的薄弱环节达到对数据目标的攻击目的,供应链攻击、勒索攻击、数据泄露事件层出不穷,影响越来越大。每天我们都能听到、看到政府机构、知名企业被勒索或者发生数据泄露,在这些事件中,重要数据、机密和核心数据、业务数据成为攻击的主要目标。据统计,2021年勒索软件攻击每11秒发生一次,全年攻击超300万次,加密数据索要赎金成为针对数据目标的主要手段。


2.2 数据安全监管要求越来越严

2021年《数据安全法》《个人信息保护法》《关基保护条例》以及《网络安全审查办法》等法律法规的实施、更新,表明国家层面网络安全治理体系框架已基本完成。国家出台的一系列法律法规规范,体现了明确的治理先行的思路。国家“十四五”规划中提出要统筹安全与发展,站在数字经济发展角度,也需要统筹网络安全与数字化发展。另一层面2021年是我国个人信息保护元年,国家密集出台了数据安全法、个人信息保护法、关基保护条例、更新网络安全审查办法等,都体现了数据要素推动数据经济发展必须妥善解决数据流动过程中涉及的方方面面的安全风险,同时应当具备一定条件的强监管手段以确保数据要素依法合规应用。


2.3 数字化提出了新的安全要求

随着数字化的持续深入,新技术应用和数字化业务开始在经济社会各行各业深入开展,极大改变了信息化环境,带来了新的安全问题,也提出了新的安全需求。数字化业务的开展,促使企业从封闭走向开放,打破了原有的网络边界;数据集中共享促使数据安全威胁爆发;设备多样化、应用多样化、人员复杂化导致攻击面扩大;全业务应用上云、智能制造、互联网应用和企业管理等新场景带来更多样的安全威胁。从网络安全角度,保护对象从原来的端网云扩展到数据和应用,保护数据和应用成为数字经济时代网络安全关键。


2.4 数据应用场景改变内外部威胁交织

随着数字化业务的开展,数据在应用场景内加速由静止向流动转变,导致数据保护场景发生了改变,不仅要防御来自外部的网络攻击,还要对数字业务域内数据流转全过程中每个环节可能产生的内部威胁进行识别与保护。内外部威胁交织使得数据安全保护的难度大增,需要重新进行体系化的数据安全治理来应对数据安全挑战。


本文作者:奇安信网神信息技术(北京)股份有限公司  

登录查看更多
10

相关内容

通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。
重磅!《2022智慧城市白皮书》发布
专知会员服务
119+阅读 · 2022年5月26日
车联网数据安全监管制度研究报告2022
专知会员服务
33+阅读 · 2022年3月28日
联邦学习场景应用研究报告(2022年),72页pdf
专知会员服务
261+阅读 · 2022年2月22日
《2021—2022中国大数据产业发展报告》发布
专知会员服务
110+阅读 · 2022年1月23日
《人脸识别数据安全标准化研究报告(2021版)》发布
专知会员服务
32+阅读 · 2022年1月2日
隐私计算应用白皮书, 54页pdf
专知会员服务
173+阅读 · 2021年12月18日
数字规则蓝皮报告(2021年)
专知会员服务
24+阅读 · 2021年12月15日
专知会员服务
43+阅读 · 2021年6月30日
专知会员服务
34+阅读 · 2021年6月12日
专知会员服务
34+阅读 · 2021年2月26日
数据安全研究报告(下)
CCF计算机安全专委会
5+阅读 · 2022年4月19日
2021关键信息基础设施安全保护研究报告
CCF计算机安全专委会
8+阅读 · 2022年4月14日
数字文明时代 构建数据安全新能力
CCF计算机安全专委会
2+阅读 · 2022年4月11日
CCF计算机安全专委会发布2022年网络安全十大发展趋势
CCF计算机安全专委会
2+阅读 · 2022年2月25日
2021年中国网络安全大事件
CCF计算机安全专委会
0+阅读 · 2022年2月25日
解读:《金融数据安全 数据安全评估规范》
THU数据派
6+阅读 · 2022年1月18日
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
6+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
16+阅读 · 2014年12月31日
国家自然科学基金
11+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
2+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
Arxiv
14+阅读 · 2021年11月27日
Arxiv
21+阅读 · 2019年8月21日
VIP会员
相关VIP内容
重磅!《2022智慧城市白皮书》发布
专知会员服务
119+阅读 · 2022年5月26日
车联网数据安全监管制度研究报告2022
专知会员服务
33+阅读 · 2022年3月28日
联邦学习场景应用研究报告(2022年),72页pdf
专知会员服务
261+阅读 · 2022年2月22日
《2021—2022中国大数据产业发展报告》发布
专知会员服务
110+阅读 · 2022年1月23日
《人脸识别数据安全标准化研究报告(2021版)》发布
专知会员服务
32+阅读 · 2022年1月2日
隐私计算应用白皮书, 54页pdf
专知会员服务
173+阅读 · 2021年12月18日
数字规则蓝皮报告(2021年)
专知会员服务
24+阅读 · 2021年12月15日
专知会员服务
43+阅读 · 2021年6月30日
专知会员服务
34+阅读 · 2021年6月12日
专知会员服务
34+阅读 · 2021年2月26日
相关资讯
数据安全研究报告(下)
CCF计算机安全专委会
5+阅读 · 2022年4月19日
2021关键信息基础设施安全保护研究报告
CCF计算机安全专委会
8+阅读 · 2022年4月14日
数字文明时代 构建数据安全新能力
CCF计算机安全专委会
2+阅读 · 2022年4月11日
CCF计算机安全专委会发布2022年网络安全十大发展趋势
CCF计算机安全专委会
2+阅读 · 2022年2月25日
2021年中国网络安全大事件
CCF计算机安全专委会
0+阅读 · 2022年2月25日
解读:《金融数据安全 数据安全评估规范》
THU数据派
6+阅读 · 2022年1月18日
相关基金
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
6+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2014年12月31日
国家自然科学基金
16+阅读 · 2014年12月31日
国家自然科学基金
11+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
2+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
Top
微信扫码咨询专知VIP会员