数据安全研究报告（下）

建设数据安全需要新思路

数字经济的发展必然会不断丰富数据应用场景，且参与业务运转的主体亦会日益多样化。数据伴随着业务和应用，在不同载体间流转，贯穿信息化和业务系统的各层面、各环节。而传统的安全建设通常是基于信息化架构按需在关键网络边界上外挂安全能力，但对于数据安全而言，一方面数据是信息的载体与IT环境和信息系统密不可分，难以通过单一维度的网络信任边界划分厘清威胁边界。另一方面法律、行政法规对数据安全的要求不仅局限在具体业务流程，而是对整个业务域相关信息化环境提出整体要求，加之相关要求以生产要素应用及风险防范角度而并非以IT技术角度提出，更加导致数据安全如何通过技术手段落地众说纷纭，看似都有自己的道理但大多缺乏理论依据或科学的设计方法作为支撑。

3.1 构建数据安全体系建设的新理念和新思路

数据安全的有效运转是基于数据的分类分级管理目标制定数据安全策略，并通过技术手段保障数据安全策略能够实现业务域内对数据流转的全过程实现动态监控。对此我们认为应当通过系统工程的方法，结合数字业务系统运行视角，基于新型数据中心为基础设施所开展的业务场景，对基础设施、技术能力组件、业务数据流转、数据安全治理策略在逻辑架构层面的融合设计进行展开。通过逻辑架构的分层展示形式尝试对数据安全新理念、新思路进行表达，暂且称之为数据安全运行构想设计。

数据安全运行构想设计呈现了数据安全应具备的三个状态：治理态、规划态和运行态，体现出数据安全从治理先行到规划设计、技术落地的转化过程。数据安全治理需要与技术体系相结合进行落地。

数据安全运行构想设计分为四个层次，分别是数据策略中心层、数据流转控制层、数据应用安全能力层和数据中心安全能力层，满足全周期、全流程的数据安全需求。这四个层次涵盖了业务规则、资源流转、应用能力、产品部署，并与能力框架中的各类策略清晰对应。

（1）数据策略中心层，重点是健全数据安全管理制度，根据数据安全治理结果，转化相应数据安全策略。数据的使用与安全策略，主要由如大数据主管部门、数字化主管部门、法务合规部门、审计部门等联合制定。

数据策略中心层，能帮助机构明确数据安全所需的组织、规范、制度、流程等；同时从业务场景、应用逻辑出发，基于数据在组件间的数据流转和数据脉络、主体身份视图、客体数据资源视图、主客体之间的访问关系、数据标签、数据分类分级等数据安全治理阶段的成果，构建基于“主客体”数据访问的业务权限策略以及数据的安全策略，并形成数据流转管控策略、应用安全能力策略、产品策略，并分发到数据流转控制层、数据应用安全能力层以及数据中心能力层。。

（2）数据流转控制层，重点是确保数据的流转有序合规，规范数据使用与交易行为，对数据进行全面梳理和有效防护。通俗地解释，就是能动态精准地控制“什么部门的什么人，在什么地方、因为什么任务，访问什么数据里的什么字段”。

数据流转控制层，基于全面梳理的数据资产，确定适当的数据安全等级，并根据风险情况、威胁场景、业务分工、数据特征等设定多样化的属性标签，利用新型的数据属性技术体系，全方位描述与数据安全管控可能相关的数据信息；结合数据流转，构建数据脉络和数据地图；通过清晰管控数据的流转，并结合数据流转监测、数据安全态势感知等多维安全能力，识别用户异常访问数据、非法窃取数据等风险行为；依据数据流转与管控策略，以“权限最小化”原则通过基于零信任构建的访问控制体系对主客体之间的访问动作进行评估并依据管控策略进行动态调整，实现对数据的动态、细粒度访问控制；充分发挥信息系统日志审计能力优势，对业务系统、运维系统、安全能力组件等全维度日志实现统一分析，实现数据使用行为全面留痕，为实时的监测响应、行为审计、威胁溯源提供基础支撑；依据数据交易制度，审核交易主体身份、客体资源，进行全面交易行为记录留痕，通过数据沙箱技术，对数据交易行为采取一定范围的强制、规范。

（3）数据应用安全能力层， 重点是数据的防窃密、防泄密、防滥用，通过去标识化、匿名化、脱敏等安全能力实现对个人隐私数据的保护，并对重要数据实体采取强力保护措施。

数据应用安全能力层，基于业务系统信息化架构，将业务系统各应用组件和各组件之间的逻辑关系进行梳理；结合数据安全威胁分析将所安全能力嵌入到对应组件中，通过安全能力与应用的内生融合实现对数据实体的分级防护，例如：采用微服务架构的业务系统，应用与服务、服务与服务之间往往通过API进行信息交互。通过威胁分析可以知道存在通过获取通信密钥或采取中间人攻击等方式窃取通信数据，而通过具备零信任访问控制能力的API网关能够有效缓解此类风险，则需要在业务系统的架构设计中对微服务API网关增加零信任安全能力相关设计。

可以想见应用安全策略的技术化落地同样会在这一层。所以在依据数据安全治理制度、规范进行安全防护策略的转化时应当同样考虑本层安全控制能力的设计范围，从多层安全能力体系的综合防控效果以及最终对安全运行能力的支撑效果对安全策略进行合理的拆解、转化，以保证安全策略的最优化。

（4）数据中心安全能力层，重点是保障数据的载体和业务运行环境的安全，包括安全区域划分、边界网络安全栈、服务器加固、系统安全等。

数据中心安全能力层围绕基础设施及运行环境安全为主，提供数字业务系统基础运行环境的安全防护。对数据中心进行安全区域划分，保证了不同安全等级业务在适合的区域运行、不同安全等级数据的有效隔离；数据中心网络安全栈，对跨越信任边界的流量实现基于既定策略的动态编排，针对网络流量和网络行为进行威胁监测；服务器加固与防护并对应用和中间件进行持续监控保护，防止服务器遭受APT和0DAY攻击；面向资产、配置、漏洞、补丁的系统安全，有效解决资产不清、配置不明、漏洞分布不知、补丁修复缓慢等问题。

数据安全运行构想设计理念中，各层级之间的有效联系与运转，可以从两个方向上来理解：一是自上而下看，是策略的逐层实现与落地；二是自下而上看，是从产品部署到应用能力，再到业务流转及逻辑规则的支撑与提炼。

在实际应用时可以按图索骥，从“管理、技术、运行”三方面来开展数据安全治理与防护的参考设计工作。基于数据应用场景、业务逻辑与数据的流转，以数据安全治理为前提，在进行数据安全组织建设、制度建设与数据资产梳理及分级分类的前提下，进行数据安全防护设计，并通过数据安全态势感知进行数据安全运营，从数据资产管理、数据流动态势、数据风险分析、用户行为分析等维度，促进数据安全治理的闭环形成，让数据安全能力持续演进。

 

3.2持续建设行业为中心的数据安全治理体系

3.2.1建立行业数据安全制度体系

数据安全制度是数据治理的基础，各个行业都具备行业特点，其数据安全制度体系也体现出不同的差异性。目前，工信部、央行等部门已经在关键制度上多有制定和发布，各重要行业也需要借鉴这些制度，制定或者优化各自行业的数据安全制度体系。

依据《数据安全法》《个人信息保护法》和相关法律法规，以及各行业监管机构发布的的法规、条例和办法等，结合各个行业的实际情况，健全各个行业的数据安全制度规范体系。制定各行业相关的数据分类分级、访问权限、共享开放、脱敏销毁、日志审计、监督检查、安全事件应急处置、合作方及其人员管理等标准规范，有效指导做好公共数据安全保障工作，促进数据安全管理工作标准化、流程化、规范化，使数据安全管理工作有规可依。同时依据建立的数据安全制度规范体系，指导数据安全技术实现、合理使用，支撑数据安全运营工作有效开展。

重要制度建设可以包括：行业数据分类分级管理制度、行业数据访问权限管理制度、行业数据共享和开放管理制度、行业数据安全脱敏及销毁管理制度、行业数据供应链安全管理制度、数据安全事件与应急响应制度、行业数据安全评价体系等等。

3.2.2建立行业数据分类分级机制

数据安全分类分级是数据安全治理工作必要前提，各个行业需要在《数据安全法》《个人信息保护法》《网络数据安全管理条例（征求意见稿）》的基础上，建立行业的数据资产分类和安全等级定义，以支撑企业数据治理的全生命周期过程、各业务场景下数据差异化的安全策略设置。

行业数据错综复杂，需要通过数据分类进行数据治理和数据安全建设，数据分类机制建设可参考各种务实原则。

3.3 建立安全数据开放共享机制护航国内数据流转

3.3.1建立行业数据安全开放和共享制度

习近平总书记在主持学习时强调“推动实施国家大数据战略，加快完善数字基础设施，推进数据资源整合和开放共享，保障数据安全，加快建设数字中国。”各行业在积极推进公共数据共享和开放工作同时，也应当保障数据共享和开放安全。健全数据共享和开放相关制度框架和制度体系，明确数据共享开放的基本原则、应用场景、技术要求和工作流程等，指导数据共享和开放工作的开展。

参照《数据安全法》《个人信息保护法》《网络数据安全管理条例》行业内相关的要求制定数据共享和开放管理制度。

建立完善的数据共享和开放管理体系，明确数据共享和开放过程中的要求、流程等，采取主动防御、综合防范方针，坚持保障数据安全与促进应用发展相协调、管理与技术并重的原则，实行统一协调、分工负责、分级管理。

3.3.2推进行业数据共享目录和数据开放目录的建立

梳理用于共享和开放的数据，包括但不限于数据的类型、数据内容、数据格式、共享开放的场景和范围以及在各阶段中采取的管理要求和技术措施，并按照技术规范、业务数据完整性等编制数据共享目录和开放目录。

共享目录是指依据数据资源需求部门提出的共享需求所编制的目录，开放目录是指依据可以向社会开放的数据编制的目录。

3.3.3积极探索和推进隐私计算等技术的应用

在隐私计算的领域中也有不同技术路径，它们采用不同的技术形式实现数据隐私安全的目标。根据数据是否流出、计算方式是否集中来划分，隐私计算可以划分为四个不同的象限，分别是：

（1）   数据流出、集中计算；数据脱敏、差分隐私、同态加密

（2）   数据流出、协同计算；安全多方计算平台

（3） 数据不流出、协同计算；联邦学习平台

（4） 数据不流出、集中计算：可信计算平台

由于在计算能力和安全可信方面各有差异和缺陷，目前各种隐私算法用在不同的场景，以比较成熟的可信计算为例：一种是可信执行环境（TEE），另一种技术为数据沙箱技术。数据沙箱技术主要特点是将隐私安全能力植入大数据计算、存储引擎等基础设施，通过将调试环境与运行环境隔离，构建一个安全可控的数据环境，提升数据融合计算过程中的隐私安全水位，实现数据挖掘计算过程中的可用不可见，且不改变业务原有技术栈和使用习惯无需改造现有的数据分析算法和工具，同时使得业务算法模型精度折损微小。因此，这可以说是兼具安全性和可操作性的较为成熟的技术。

3.4重视个人信息保护

3.4.1App隐私保护

2019年1月，中央网信办、工信部、公安部、市场监管总局等四部委联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，并成立APP专项治理组；2019年12月30日，网信办网站发布“关于印发《App违法违规收集使用个人信息行为认定方法》的通知”；2019年，四部委多批次通报违规收集个人隐私数据的APP并限期整改，未按要求完成整改的APP将被依法下架；2021年5月1日由国家互联网信息办公室、工业和信息化部、公安部、市场监管总局四部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》正式施行，明确App运营者不得因用户不同意收集非必要个人信息而拒绝用户使用App基本功能服务，一系列国家行为标志着App隐私保护迎来了最强监管。

对于App运营者来说，要满足相关法律、行政法规，需根据《App违法违规收集使用个人信息行为认定方法》界定的App违法违规收集使用个人信息行为的六大类方法以及《常见类型移动互联网应用程序必要个人信息范围规定》要求对照App基本功能及必要个人信息范围，对运营的App收集使用个人信息行为展开自查，确保自身使用的App不存在违法违规收集和使用个人信息的行为。同时，APP隐私政策需具备独立性、易读性并能清晰说明各项业务功能及所收集个人信息类型、个人信息处理规则及用户权益保障。在APP信息收集功能上也应遵循与隐私政策匹配的最小必要原则。并在实际运营过程中保障个人信息主体查询、更正、删除、撤回授权同意、注销、获取个人信息副本以及投诉等权利。最后，应使用专业的工具进行应用的隐私检测、隐私政策的检测和合规的整体评估。

3.4.2平台个人信息保护

互联网平台治理是个人信息保护的重要课题，首先应当履行《个人信息保护法》第五十八条中明确的相关义务。其次互联网平台运营者应基于法律法规要求聚焦保护对象，建立健全个人信息保护制度，制定平台规则，从组织架构、制度流程、人员管理及技术措施四个方面出发构建平台个人信息保护能力体系，保障个人信息主体合法权利，提升个人信息保护能力。在组织架构上，应明确个人信息保护负责人和个人信息保护工作机构。全面统筹实施内部个人信息安全工作，组织制定个人信息保护工作计划并督促落实。在制度流程上，《个人信息保护法》明确规定应按照国家规定建立个人信息保护合规制度体系；遵循公开、公平、公正的原则，制定平台规则，明确平台内产品或服务提供者处理个人信息的规范和保护个人信息的义务。与此同时，依据与《中华人民共和国个人信息保护法》同时出台的，最高人民检察院下发的《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》，当个人向企业发起诉讼，需要企业自行举证以自证清白。所以互联网运营平台也应有书面可查证的文件或设置。如：个人信息安全影响评估报告、操作行为审计记录等。在人员管理上，加强内部人员、外部人员以及第三方的管理是必不可少的。针对内部人员管理应做好保密协议的签订、人员背景调查、考核培训等工作。对于外部人员需做好监督管理的工作，签订保密协议并建立关于物理环境和网络通道的外部人员访问的安全措施。而对于第三方的安全管理，则需要建立第三方接入管理机制和工作流程，根据情况建立必要的安全评估等机制设置条件，并通过签订书面合同的方式约定双方或多方的安全责任与应实施的个人信息安全措施。若涉及第三方嵌入或接入的自动化工具，则需开展技术检测，确保其个人信息收集、使用行为符合要求。在技术措施上，因为个人信息也归属数据范畴，所以互联网平台个人信息保护措施应基于数据安全体系做专项的提升和要求，做好个人信息分类分级、加密、去标识化处理以及访问控制等工作。

除此之外，在互联网平台中被广泛应用的内容分发和自动化决策技术关键核心是个人信息的收集，因此平台违反最小必要原则，超范围获取个人信息的情形在实践中十分普遍。依据《个人信息保护法》第二十四条之规定，互联网平台自动决策机制应在规划设计阶段或首次使用前开展个人信息安全影响评估，并依评估结果采取有效的个人信息保护措施。向个人信息主体提供针对自动决策结果的投诉渠道，并支持对自动决策结果的人工复核。

数据安全发展趋势未来发展

数据作为新型生产要素促进数字经济发展主要依赖数据的共享与使用，而数据开放共享又必然需要面对安全风险。在可见的未来，数据要素的应用创新必然会以满足共享、使用需求的同时满足安全合规为目标。而伴随着新技术创新应用的同时，以合规驱动的数据安全也会成为炙手可热的市场领域，安全公司必然一方面倾力帮助机构、企业研发数据安全治理配套平台、工具，一方面帮助监管机构完善技术监管手段促进数据安全防护体系与监管体系的有机融合。

4.1创新领域

在数据要素创新应用领域，目前受到广泛关注的热点方向是隐私计算技术，隐私计算技术可以有效支撑数据要素的流转和共享。目前国内隐私计算发展主要分为多方安全计算、联邦学习、同态加密、差分隐私等以密码学为基础的技术方向和基于硬件的可信执行环境。

多方安全计算是基于多方数据协同实现特定目的的运算，同时保证除计算结果外不会泄露各方数据的技术，主要包括秘密分享、不经意传输、混淆电路和同态加密技术。相对而言多方安全计算安全性较高并能有效保障计算精度，但对密码学运算的重度依赖导致性能成为多方安全计算推广应用的瓶颈。联邦学习技术包括横向联邦学习、纵向联邦学习和联邦前移学习三类，其在各方数据不流出各自边界的情况下执行机器学习任务并得到最终结果。联邦学习相对于多方安全计算性能较高但安全性不如前者。同态加密是通过复杂密码算法在数据密文基础上进行运算，并且计算结果仍是加密数据的一种技术，目前阶段多为非对称加密算法，所有公私钥持有者都可参与计算，但只有私钥持有者可以解密。同态加密由于全部基于密文进行计算所以安全性比较高，但性能远不如其他几种隐私计算技术。差分隐私技术通过引入噪声实现对数据集的个体安全扰动，解决非敏感数据引发的差分隐私泄露问题。差分隐私基于概率统计学所以计算性能同样比较高，而安全性也同样较多方安全计算相对偏弱。最后，基于软硬件的可信执行环境是对需要参与计算的数据构建了一个相对安全的封闭空间，计算性能和计算精度可以有效得到保障，但成本相对较高，并且对于有敏感数据源或不能转移至私有边界外的数据源而言难以应用。

可以想见，未来短时间内数字经济主要会以数据要素的应用创新为主要驱动，而隐私计算体系也会是创新应用的必要技术。

4.2防护体系与监管体系融合

数据要素的价值实现依靠数据的流动，数据的流动又对数据安全提出了更高要求，当前国内外对数据安全的重视程度不断提高，特别是国内已经将数据安全作为国家战略，并不断完善相关法律、行政法规体系。但受限于目前国内数据安全发展仍处于起步探索阶段，主要围绕合规要求依托数据治理工作解决开展数据安全治理的基础需求。当前阶段，相对于数据要素的应用，监管机构很难按照相关法律、行政法规要求对职责内的数据要素使用的合规与风险情况实现准确把控，更多依赖针对重点地区、行业、企业的评估、检测来判断合规与风险情况。在合规要求越来越清晰明确的发展趋势下，地区、行业、企业会围绕合规要求联合安全厂商在数据架构治理、数据分类分级的基础上，继续完善数据安全治理技术体系的建设。通过数据安全治理技术体系的建设、运营来识别并解决安全风险，并通过自动化工具生成报告来满足定期或不定期的合规检查需求。对于监管机构而言，会根据地区、行业、企业数据安全治理成熟度，结合法律、行政法规以及地区、行业的规范、要求或指南提出监管需求。但由于数据要素自身的特殊性，难以实现集中监管，所以未来必然会对数据安全治理技术体系与监管需求的融合提出挑战。比较可能的发展方向会是采用类似“三权分立”的思路，监管机构建立监管平台，通过技术手段对合规要求满足情况进行采集，同时通过数据安全治理技术体系采集相关审计数据进行印证，同时还会辅以行政手段（例如要求被监管对象定期出具符合监管要求的第三方合规检测报告），综合多维度信息得出被监管对象的最终评估结果。

本文作者：奇安信网神信息技术（北京）股份有限公司