数字文明时代 构建数据安全新能力

目前已经进入数字文明时代，近年来以智慧城市、区块链经济、大数据技术为代表的数字化发展浪潮勃兴，国家最新“十四五”规划对于大数据的发展也作出了重要部署。与此同时，数字化衍生的数据安全问题日益受到关注。2021年以来，继《网络安全法》后，国家又先后颁布实施《数据安全法》《个人信息保护法》等法规，在法律层面为数据安全和个人隐私保护提供法律保障。360政企安全集团基于多年实践经验，立足数字化现状，以系统工程的思想构建面向未来的新方法、新框架、新技术和新能力，提出了应对数字化复杂安全挑战的数据安全能力框架体系。

数据安全概念与特点‍

业内传统认识上，数据安全主要关注保障数据全生命周期的安全性（包括保密性、完整性、可用性）与处理的合规性（包括隐私保护等）。在此基础上，2017年Gartner新提出“数据安全治理”（Data Security Governance）的观点和主张，指引了业内对于数据安全工作的关注点。2020年，我国《数据安全法》首次从法律层面提出对数据安全的定义：“通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力”；同时法规指出“维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。”

总体来看，数据安全要以数据为中心，从治理和保障的角度来构建相关能力体系。对其进行内涵解析，有以下几个主要特点：

（一）数据是流动的业务要素

数据不是静态的，而是像血液一样流动，在业务的流动中产生价值和助力业务发展，从而在数字化时代下促成了共享经济，促成了新的商业模式，也使得数据的安全性成为今天数字化时代业务发展的重要基础。

（二）数据安全首要关注三大威胁

从安全维度出发，数据在流动过程中需要重点关注三个方面的威胁。一是数据的窃取，要防止来自外部的入侵以及内部的窃取行为。二是数据的滥用，要防止数据被不正当使用和在无正常工作场景下访问敏感数据。三是数据的误用，要防止数据在加工过程中出现过失性泄露。

（三）数据安全和网络安全互为基础

一方面，数据是信息在网络空间的载体，网络安全是数据安全的重要前提，因此对于数据的安全治理保障，需持续加强网络安全能力建设；另一方面，数据安全作为以数据为中心的工作，着重关注和加强了对数据全生命周期的安全能力，使得对信息的网络安全能力体系更加健壮和完整。

（四）数据安全需要重视治理工作

安全管理强调要根据规律制定规则，关注执行落地效果，构建“管家式”模式机制，而安全治理强调要找到关键抓手和基本逻辑，调动资源形成良性生态，构建“服务式”协同机制。数据安全工作应以数据为中心，以数据安全能力的成熟度为抓手，以组织为对象，从组织建设、制度流程、技术工具和人员能力等四个维度建立正向驱动的数据安全治理体系。

（五）数据安全是一个动态平衡过程

数字化时代，数据安全是一个动态平衡的过程。机构需要平衡安全和发展的关系，一方面要保证数据的高效使用和快速流动，另一方面要保证数据的安全性，减少安全风险的发生。

我国数据安全整体态势严峻‍

在今天数字化趋势下，数据的价值和安全保障对于企业组织的重要性已愈发突出，数据威胁面的扩大和安全风险事件的频发均对此提出客观要求，同时国家加强数据安全顶层设计，积极布局数据安全，企业组织建立行之有效的数据安全体系已势在必行。

（一）数据规模暴涨，战略价值凸显

根据《大数据白皮书（2020年）》统计，2020年全球共产生数据量达47 ZB，预计到2035年这一数据将达到2142 ZB，全球数据量逐年迎来爆发式的规模增长，数据已成为一种能够影响国家策略的战略资源，谁掌握了更多、更有价值的数据，谁就掌握了未来的主动权。2020年4月9日，中共中央，国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，将“数据”与土地、劳动力、资本、技术并称为五种要素，提出“加快培育数据要素市场”，这标志着在我国数据要素市场化配置上升为国家战略。随着数据价值不断提升，数据已经成为未来社会发展的核心资产，其经济价值、社会价值甚至政治价值日益受到全球黑客关注，并成为黑客组织的重点攻击目标。

（二）数字化攻击面无限放大，数据风险延伸

一是软件定义世界，漏洞不可避免。据统计，每1000行代码就有4-6个缺陷。数字化安全时代是软件定义的时代，整个城市、社会和行业都构建在数以百万行甚至数亿行代码之上，这就意味着漏洞的出现将不可避免，由于漏洞导致数据泄露的风险将处于历史最高值。二是万物均要互联，攻击面无限放大。一方面，数字化设备数以百亿计，每一个节点都可能成为攻击点，防御十分困难；另一方面，物理世界和虚拟世界已经充分联通，意味着在原来虚拟世界里的攻击能够转化为物理世界的直接伤害。大数据驱动业务背景下，数据安全变得前所未有的重要，数据的泄露或破坏等风险问题将会直接导致业务系统的停摆。三是供应链安全风险升级。2021年12月，知名第三方应用服务器软件Apache的Log4j2组件被曝出严重漏洞，引发全球在运行IT服务器的安全危机。四是人和机制等问题。攻击面可以是传统的软件问题，也可以是人、业务流程、设备等非传统的“漏洞”管理隐患。

（三）全球数据安全事件频发，我国数据安全整体态势严峻

随着数字化发展不断深入，数据泄露、数据滥用、个人隐私安全等问题凸显。有调查报告预计，2021年每11秒发生一次勒索攻击，带来的直接经济损失将超过300亿美元，这个经济损失是2015年的57倍。2021年5月7日，美国最大的成品油管道运营商Colonial Pipeline因受到勒索软件攻击，被迫关闭其美国东部沿海各州供油的关键燃油网络，美国宣布进入国家紧急状态。2021年5月14日，爱尔兰也遭受了史上“最严重的网络攻击”，其卫生部门的IT系统在勒索事件中被迫关闭，在线预约接种疫苗也被迫中断，对爱尔兰疫情防控带来了巨大影响。在国际网络风险事件频发的同时，国内网络攻击形势也不容乐观。仅2020年一年，360公司就接到并处理了3800多起勒索软件攻击事件。根据360安全大脑的监测，数字经济越发达的地区越是数据受到攻击的重灾区，这证明数据风险发生的频率和数字经济的发展程度成正比，数字化程度越高，数据安全风险越大。《2020年我国互联网网络安全态势综述》显示，我国联网数据库和微信小程序数据泄露风险问题突出。全年累计监测并通报联网信息系统数据库存在安全漏洞、遭受入侵控制，以及个人信息遭盗取和非法售卖等重要数据安全事件3000余起。

（四）我国政策法规工作指引，数据安全治理必行

自2021年起，我国数字化转型全面提速，从政策层面对数据安全的要求更为迫切。2017年《网络安全法》将数据安全纳入网络安全范畴，基于网络安全保障目的为个人信息保护与数据安全的部分重要、核心制度奠定了基础。2021年9月1日《数据安全法》正式施行，标志我国在数据安全领域有法可依，为各行业数据安全提供监管依据。2021年11月1日《个人信息保护法》的出台为个人信息权益保护、信息处理者的义务以及主管机关的职权范围提供了全面的、体系化的法律依据。自此，《网络安全法》《数据安全法》《个人信息保护法》正式组成数据安全领域的“三驾马车”，对政府机构、企业、社会相关管理者、运营者、经营者都提出了更明确的要求。

国外数据安全防护先进做法及特点分析‍

全球以美国、欧盟、日本、韩国、澳大利亚等为代表的国家和地区，对数据安全问题高度重视，陆续通过颁布政策法规、加强监管执法、提升安全治理技术能力等举措，提高自身应对数据安全挑战的能力。

（一）国外国家和地区普遍注重数据安全顶层规划

1. 持续优化数据安全政策环境

加强数据安全顶层设计。欧盟发布《欧洲数据保护监管局战略计划（2020-2024）》，旨在从前瞻性、行动性和协调性三个方面继续加强数据安全保护，以保障个人隐私权。美国发布《联邦数据战略与2020年行动计划》，确立了保护数据完整性、确保流通数据真实性、数据存储安全性等基本原则。英国发布《国家数据战略》，通过搭建国家层面的数据安全治理方案，为建设促进增长和可信赖的数据机制提供指导方向，保障国家安全。

强化数据及个人信息保护方面的相关立法。2018年，时任美国总统特朗普签署《澄清域外合法使用数据法》，要求对危害美国国家安全的重大案件，无论信息是否存储在美国境内，要求服务商提供相关证据。2018年5月，欧盟《一般数据保护条例》（GDPR）正式实施，对数据实施长臂管理。美国各州层面也出台了相关数据隐私法案。2020年1月，《加利福尼亚州消费者隐私保护法案》（CCPA）正式实施，该法案建立了全面的数据保护制度。2020年，阿联酋和新西兰分别出台《数据保护法》和《2020年隐私法》，加强了对数据安全及个人隐私保护的规制建设；日本和新加坡分别完成了对本国《个人信息（数据）保护法》的修订，明确了个人数据权利及外部使用限制；加拿大出台的《数字宪章实施法案2020》，提出了保护私营部门个人信息的现代化框架。目前全球已有近 100 个国家和地区制定了数据安全保护的法律，数据安全保护专项立法已成为国际惯例。

陆续出台数据安全标准指南。国际标准方面，《ISO/IEC 29134:2017 隐私影响评估指南》《ISO/IEC 29151:2017 个人隐私保护标准》《ISO/IEC 27018:2019 公有云个人隐私保护》《ISO/IEC 27701:2019 隐私管理体系》等标准得以发布并实施。欧盟发布《为保持欧盟个人数据保护级别而采用的数据跨境转移工具补充措施》，为数据跨境流动中的数据保护问题提供了进一步指导；西班牙数据保护局发布《默认数据保护指南》，阐释了默认数据保护原则的策略、实施措施、记录和审计要求等，为企业实践数据保护原则提供具体指导。

2. 建立健全数据安全保护机构

通过完善数据安全监管执法机构设置，提升执法效率，加强数据安全保护治理。美国商务部成立了提供联邦数据服务的咨询委员会，以加强对联邦数据隐私的保护；德国成立国家网络安全机构，负责发起网络安全创新项目、研究打击网络威胁，以加强德国的“数据主权”；巴西总统签署法令批准建立国家个人数据保护局，旨在制定相关规则，推进企业开展数据安全风险评估、调查违法违规行为，并促进数据保护的国际合作；韩国成立个人信息保护委员会，主要职能是负责个人信息保护与监管执法工作。

3. 新框架和新技术被广泛用于提升企业数据安全能力

在各国政府的数据安全顶层设计推动下，企业纷纷采取措施推动积极应对，从数据源头、数据通道、数据运营管理等方面入手，一方面搭建具有鲜明数据安全保护特性的技术框架；另一方面，运用差分隐私、区块链等技术手段强化数据安全保护能力。例如，Facebook通过开源差分隐私库加强对人工智能训练样本隐私性的保护；苹果公司通过模糊定位技术限制第三方App获取用户精确的地理位置信息；亚马逊推出阻止用户敏感信息泄露的服务Macie，以保护企业云端敏感数据；新西兰企业通过区块链技术实现数据加密传输和追踪溯源，保护数据安全。

（二）国外国家和地区数据安全防护特点分析

1. 把数据安全上升到国家战略高度

数据现已成为与国家安全和国际竞争力紧密关联的一大要素，各国对数据安全的认知已从传统的个人隐私保护上升到维护国家安全的高度。美国布鲁金斯学会发布的《超越华为和抖音—解开美国担忧中国科技企业和数字安全之谜》指出，数据是电信系统的命脉，应从国家安全角度全面加强数据安全保护。欧盟委员会发布的《欧洲数据战略》及其配套法案《数据治理法案》提案，力求在欧盟层面建立统一的数据治理框架，保障数据安全。可以预见，未来各国还将进一步完善数据安全战略规划、法律法规及标准规范，全方面提升数据安全应对举措。

2. 新技术赋能企业应对政策合规以及监管压力

从2018 年5月欧盟《一般数据保护条例》（GDPR）正式实施开始，各国对大型互联网企业数据安全监管力度趋严，对违法违规行为的惩治力度不断增强，美国、欧洲等国家和地区陆续创下单笔处罚最大金额罚单纪录。例如，2019年，Facebook违反用户隐私保护策略，美国对其处以50亿美元的巨额罚款。2020年9月，爱尔兰就数据非法跨境传输问题，对Facebook处以高达28亿美元的罚款。2021年7月，因违反数据保护条例，亚马逊将面临8.88亿美元天价罚单。随着大型互联网平台企业的日益壮大，其数据垄断问题愈加严重，由此带来的数字权力滥用问题或将威胁到国家安全。因此，各国将进一步通过高额惩罚等手段对其进行约束，以防止其滥用数据优势侵害到消费者隐私或进行非法数据贩卖。

3. 生物识别数据安全专项立法不断推进

随着新技术新应用的快速发展，以人脸、声音、指纹为代表的生物识别数据得到大规模应用。然而，生物识别数据披露的个人特征精确，且采集门槛较低、极易获取，一旦遭到泄露、篡改或非法共享，极易带来“身份盗窃”风险，正在成为攻击者的主要目标，引发各国政府高度重视。美国提出联邦层面的《国家生物识别信息隐私法案》，为企业生物识别数据使用树立规范；各州也纷纷出台相应的人脸识别法案，对公共部门使用生物识别技术进行限制。欧盟通过发布《人工智能战略》等文件，对企业和政府在公共场所使用摄像头收集生物识别数据并识别个人身份的行为加以规范。预计未来，各国将进一步从顶层设计和专项法律规制层面，加大对人生物识别数据的专项保护力度。

4. 疫情下健康医疗数据安全受到充分重视

与一般数据相比，医疗数据覆盖面广，既包含了患者个体患病信息，还涉及疾病传播、地区流行病、区域人口健康状况等信息。2020年新冠疫情的爆发，愈加凸显出医疗数据安全保护的重要性。医疗数据能否安全使用，攸关社会稳定与国家安全。欧盟委员会发布的多个战略文件均提议，建设“欧洲健康数据空间”，以完善欧盟健康医疗数据交换、访问环境，保障个人医疗数据控制权和隐私权。韩国发布医疗领域的首份指南，为信息处理者提供了个人医疗信息安全使用的标准、方法和程序。可以预见，未来各国将进一步从政策和技术层面探索保障健康医疗数据的安全使用。

构建我国数据安全新能力体系框架‍

传统安全无法应对数字化带来的复杂安全挑战，构建和守护网络空间命运共同体，解决数字化的复杂安全问题，必须从政策法规和技术框架等多个维度综合应对。从政策法规层面，我国已于2021年9月1日正式实施《中华人民共和国数据安全法》，这是我国首部数据安全领域的基础性立法，体现了总体国家安全观的立法目标，聚焦数据安全领域的突出问题，确立了数据分类分级管理，建立了数据安全风险评估、监测预警、应急处置、数据安全审查等基本制度，并明确了相关主体的数据安全保护义务。从数据安全技术框架及治理体系方面，基于多年来的实践经验，360政企安全集团提出了以数据为中心的数据安全新能力体系，将治理、管理安全工作融合推进，实现对数据的全过程安全管控。

（一）建立全局数据资产地图与知识图谱

数据资产梳理盘点是数据安全防护建设的基础，需要清晰梳理出数据资产数量、类型、定位和状态等形成全局性的数据资产地图，并定制合理分类分级管理机制，结合全局数据知识图谱深入分析数据关联关系，为建设有效的安全防护体系打好基础。

（二）打造多维网络数据安全基础设施

结合数据的防护维度来看，应打造面向不同级别数据、覆盖数据全生命周期的数据安全基础防护体系，一是要构建攻击面防御能力基础设施，涵盖基础安全管理、数据加密脱敏和审计等，提高应对高级安全威胁的能力；二是要构建资源面管控能力基础设施，通过应用网关、API网关、数据网关和IAM、证书等手段，强化对数据的访问管控、事中控制；三是要构建常态化专家运营能力基础设施，开展以专家驱动的常态化数据安全运营工作，持续开展自身数据安全性评估，加强人员意识和能力培训，建立数据安全事件应急响应机制等。

（三）应用新技术管控和促进数据流动

数据只有流动起来，才能产生价值。数据安全的相关举措是要服务于数字化进程，一些新技术的出现，可以有效缓解数据流动和共享方面的瓶颈问题。一是广泛应用最新如同态加密、多方计算、联邦学习、安全屋等技术手段，实现数据可用不可见，有效解决数据协同过程中的数据安全和隐私保护等问题。二是采用零知识证明、群签名、环签名等理念和手段，可以提升数据合法性的隐性共识，让验证方既不知道数据具体内容，又能确认该内容是否有效或合法。三是充分发挥基于安全大数据计算和AI技术的业务数据安全分析能力，构建业务数据安全智能防范机制，提升数据安全流动下的监督效力。

（四）构建数据安全态势监测分析“大脑能力”

应对数据流动产生的安全威胁，除了做好安全防护，应加强覆盖事中、事前的数据安全态势监测能力建设，构建“数据安全大脑”。一方面，立足全局资产地图与知识图谱，能够对数据流转环节的风险进行大数据关联分析和用户行为分析，及时发现和阻断高风险业务安全事件；另一方面，基于全局思维的数据安全态势分析，对数据安全治理工作的合理性、有效性、及时性等方面进行综合研判，强化提升立足事前的数据安全治理工作效力。

（五）基于数据安全能力成熟度模型打造数据安全治理体系

治理指的是一个过程，需要多方共同参与，参与主体之间相对平衡，目标是能够协调多方利益。数据安全治理体系是指通过多方共同努力，以“先建设、找差距、再提升”螺旋式提高机构数据安全能力的过程。《数据安全法》第四条、二十七条和三十九条等要求国家和企业建立健全数据安全治理体系、管理制度，提高数据安全保障能力。国家标准GB/T 37988-2019作为我国数据安全治理领域的首个技术标准，提出了数据安全能力成熟度模型（DSMM）。建议相关机构以国家数据安全法和行业数据安全监管规范为指引，以数据为中心，建立以DSMM为基础的数据安全治理体系，围绕组织建设、制度流程、技术工具和人员能力四个方面完善相关举措，持续提升数据安全治理能力。