数字化大时代崛起的数据安全能力框架

数据安全背景

**本人博客网站 **IT小神 www.itxiaoshen.com

** **数据化转型过程中数据治理和低代码平台开发都在各自赛道中大放光彩，本篇我们主要讨论当今火热的框题数据安全治理。

** ****2021年9月1日数据安全法开始实行，规格高、范围广、影响远， 非常及时弥补中国在数据安全领域的法律缺失，与国家安全法（2015年7月1日实行）、网络安全法（2017年6月1日实行）、个人信息保护法（2021年11月1日实行）四法并驱建设一张自顶向下全方位、立体化的法律法规体系的安全网，是保障在经济社会发展和安全的落脚点。我们总结提炼几点：第一点数据安全法统一数据定义和范畴，包括什么是数据、数据处理和数据安全，解决各行各业理解的不一致，没有比这部数据安全法在权威的解释了；第二点建立一个数据安全领导体系，中央的国家安全领导机构负责战略决策，国家网信部负责统筹与监管，相关行业主管部门负责本领域的监控职责；第三点明确数据安全和发展的关系，国家既要发展数据安全又要发展数据产业，支持数据开发利用比如制定大数据发展战略、数字经济发展规划，数据安全产品开发，数据安全的检测认证评估培训等等服务；第四点建立国家级数据安全管理制度，这就涉及到数据分类分级保护制度、风险评估、应急处理、审查制度，出口管制等等这些制度建立算是进一步完善数据安全的治理体系；第五点明确数据安全的保护义务和主体责任，比如说不管你是个人还是组织，在数据安全领导哪些能做哪些不能做现在已经说明清楚了，如果踩了红线就得依法处置了。 **

** 2021北京网络安全大会，以“经营安全，安全经营”为主题，随着十四五全面展开，数据化已经贯穿经济社会发展的全领域、多层级，成为国家治理经济发展和社会运行的核心驱动力，而数据作为新的生产要素的核心定位也成为数据化过程中最关键的驱动力，国家发展数据化经济提出更高的要求，数据治理先行同步统筹安全和发展，其中以数据安全治理为核心的数据安全能力框架2.0和零信任身份安全解决方案动态细粒度访问控制能力和业务应用控制相结合，实现对数据流转的精准控制，做到主体的数字身份可信，行为操作合规以及计算环境和数据实体有效防护，推进数据安全治理产品化、体系化走向一个新的台阶。 **

** **随着国庆节前刚刚结束的2021世界互联网大会乌镇峰会，数据安全也作为本次博览会的一大焦点亮相绽放光彩，在数字时代下将诞生越来越多数据安全企业和产品，从以上看从事数据及安全的产业和服务就重大利好了。

数据安全能力框架

数据安全能力框架从原来那种零散和外挂的形式走向深度融合和体系化建设，包括数据应用安全、身份认证安全等等，围绕数据安全能力框架，将会有很多从事数据与安全领域的企业进入数据安全生态中，从管理、技术和运行维护三大视角建立宏观及全方位数据安全意识，抓紧脚步围绕生态体系构建基于自身优势数据安全产品。围绕数据安全生产出更多新的安全能力，在技术视角除了数据全生命周期全规程，特别注意到数据是伴随的业务进行流转的，数据是流动的，数据安全应该和业务有更多的交互形成内生安全或者内置安全，嵌入到整个业务过程内部去产生作用，从数据安全能力的设计上我们也要梳理数据的脉络，把安全能力和举措嵌入进去，产生如隐私计算、区块链IPFS、强访问控制等更多数据安全技术，解决主客体之间访问控制问题。基于业务数据流转的访问控制，区别于RBAC而采用ABAC即基于属性访问控制策略，动态权限访问控制执行如网关、应用代理、API、数据服务Daas,业务应用和数据作为客体评估安全等级，数据治理涵盖了内容识别、数据发现（AI自动化）、数据地图（数据资产可视化、敏感数据地图、合规地图）、数据标签(自动化大标)、分类分级(AI智能分类分级)、资源视图、资源目录、资源属性、安全策略制定。选择重要数据集、梳理相关的业务场景和数据脉络，关键环节(环节包括你的数据在哪、有什么数据、数据行为是什么)到底有哪些重要数据。

数据安全行业剖析

2021年9月30日,全国信息安全标准化技术委员会秘书处发布关于对《网络安全标准实践指南——数据分类分级指引（征求意见稿）》公开征求意见的通知

关于对《网络安全标准实践指南——数据分类分级指引（征求意见稿）》公开征求意见的通知** **https://www.tc260.org.cn/front/postDetail.html?id=20210930200900

工业和信息化领域数据安全管理办法试行** **https://www.miit.gov.cn/cms_files/filemanager/1226211233/attach/20219/6b7e6d62a890492996225806cc530144.pdf

** **浙江省作为国家推进数据化改革的先驱，浙江省作省、市、区IRS即一体化数字资源系统和各市、区一体化智能化公共数据平台，立足于政府数据的共享和开放，集合各委办局的数据，紧紧围绕数字化改革总目标，按照“以用促建、共建共享”的原则，打造省市区一体统筹、集约高效、自主可控、安全可信、开放兼容、分级维护的区级一体化智能化公共数据平台，建设完善区级基础设施、数据资源、应用支撑、业务应用、政策制度、标准规范、组织保障、政务网络安全的“四横四纵”八大体系，推动“浙里办”“浙政钉”两大终端应用。有效支撑党政机关整体智治、数字政府、数字经济、数字社会、数字法治全领域改革，数字赋能决策、服务、执行、监督和评价履职全周期。各市区大数据局非常紧凑的推进数据安全包括数据安全管理制度和数据分类分级工作的开展，随着浙江省大数据发展管理局关于征求公共数据安全体系建设指南和评估规范（征求意见稿）意见的函，说明各行各业已经在体系化、标准化制定切实有效的落地到实际建设当中的实施指南，让各级组织单位能否方便开展实施。

** **随着数据安全监管和发挥要求国内已快速形成规模化基于数据安全治理的公司包括卫士通、深信服、全知科技、安恒信息、安华金和、闪捷信息等脱颖而出，分别推出基于数据安全治理咨询服务和数据分类分级、数据安全防护等数据安全治理的产品或工具。基于数据安全发展道路可以形成数据安全治理咨询服务、数据安全治理解决方案实施、数据安全工具化平台产品如自动化数据分类分级、数据安全全生命周期管理平台、数据安全检测和评估机构、数据安全培训机构。数据安全的随着国家发展要求将会快速发展，接下来将会快速形成一大批从事数据安全的企业或机构，你会是这里的一个吗？

** **数据安全需要有系统化工程化方法论指引，如基础理论DSG，数据安全评估理论DSMM、数据安全治理理论等等

数据安全管理规定

浙江省大数据发展管理局关于征求公共数据安全体系建设指南和评估规范（征求意见稿）意见的函

数据分类分级

** **数据分类分级在国家法律法规特别是数据安全法和个人信息保护法和国家标准、地方标准等指导下，立足公共数据安全的起脚点，明确公共数据资产的分布和使用状况，制定数据分类分级的标准指南，实现资产结构化管理和利用，形成体系化政务分类更方便于公共数据的管理，对一体化智能化公共数据进行有效分类分级避免一刀切的控制方式，以便于后续在数据安全管理上采用更加精细的措施，基于数据分类分级制定安全管控策略，使数据在共享使用和安全使用之间获得平横，数据分级通过对不同级别的数据设置相应访问权限、加密规则、脱敏规则等，可大大提升数据安全管控效率，是数据安全精细化管理的重要一步。

** **根据数据分类分级结果，从管理、流程和技术等方面，制定基于数据安全视角的全生命周期数据安全管控策略，管理方面包括不限于规范管理决策职责、规范日常维护职责、规范岗位人员职责等；流程方面包括不限于制定数据安全管理整体机制流程安全管控策略、权限管理操作流程管控策略等；技术方面包括不限于制定基础架构的整体安全支撑技术、加密、脱敏、数据防泄漏等的管控策略。

** **建立数据资产全景视图和数据资源目录，制定数据分类分级审核、批准以及变更流程，从制度管理、技术防护、运行维护等多维度最终实现数据分类分级的闭环管理。

数据安全资料