随着网络化和信息化的发展,数字经济成为带动经济发展的核心力量,特别是随着云计算、大数据、物联网、移动互联网、工业互联网、人工智能和5G等新兴技术发展,快速推动了数字经济的发展。数据是数字经济时代的关键生产要素,数据核心价值越来越受到国际社会各界的关注,数据的合理使用和共享是发挥数据核心价值的关键。然而,在实际使用和共享数据的过程中,数据安全事件频发,数据安全问题已经关系到国家安全、社会稳定和人民的切身利益。如何在最大化发挥数据核心价值的同时,保护好国家重要核心数据和个人用户隐私数据成为国际热点问题。本文将结合国家工业信息安全发展研究中心在网络安全和数据安全等方面的跟踪研究,密码和区块链等应用领域的技术积累,以及实际数据安全治理工作的实践经验,拟从法律法规、标准体系、技术层面三个维度探讨构建数据安全生态体系。

一、数据安全治理工作反映的数据安全现状

2019年1月25日,四部委联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》。2019年9月,依据《网络安全法》《电信条例》《规范互联网信息服务市场秩序若干规定》(工业和信息化部令第20号)和《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)等法律法规和规范性文件要求,我中心配合工信部开展了App专项治理工作。截止2019年12月,完成网上购物类、出行类和医疗类共计21款App的专项检测工作,分别从数据的采集、存储、传输、使用、共享和销毁等方面共检测发现数据安全问题119项,主要问题包括未建立隐私政策、明文传输用户个人信息、明文存储用户个人信息、未提供注销和信息删除渠道、默认或强制开启权限和未经用户同意向他人提供信息等。同时,针对70余款车联网App开展了数据安全检测评估,除上述6个问题,还存在数据境外传输和恶意收集用户个人信息的情况。由此可见,现阶段我国数据安全还面临着诸多问题,亟待进一步从法律、标准、技术等多维度建立综合的治理体系。

二、数据安全治理体系的构建

(一)数据安全法制体系建设

数据是数字经济时代的关键生产要素,其安全性已关系到国家安全、社会稳定和人民利益,加强数据安全治理和监管力度,亟需加快数据安全法制体系建设,确保数据安全治理有法可依。目前,针对数据安全国外相继出台相关法律,2018年5月25日,欧盟《通用数据保护条例》(General Data Protection Regulatiaon,GDPR)正式生效,深刻地影响了欧盟乃至全球范围个人数据保护和数字经济的发展态势,为各国数据保护合规工作提供风向标。现阶段,《网络安全法》是我国数据安全治理过程中的主要执法依据,但针对数据安全的条文相对比较抽象宏观,实际操作性不强。目前,《个人信息保护法》和《数据安全法》正处于制定阶段,实际数据安全治理过程中还存在数据确权、利益分配和数据治理不明确的情况,因此,亟需加快数据安全的法制体系建设。

(二)数据安全标准体系建设

法律规范是数据安全治理工作的法律保障,数据标准则是推动数据安全治理落地实施的基本依据。数字经济加速了数据的互联互通,数据共享已是大势所趋,加强数据安全监管、规范行业数据安全要求、确定数据的权属关系、做好数据分类分级是目前数据安全面临的主要问题,需要尽快制定数据安全国家标准和行业标准。国家标准可作为基础性标准,从数据监管、数据归属、数据分类分级、数据检测评估角度加强数据的监督管理;行业标准可以根据各行业数据特点和交互模式,基于国家标准制定行业数据安全标准,指导行业内的企业做好数据安全的防护和规范使用。基于数字经济时代的数据格式的多样性和数据共享方式的复杂性,亟需建立以下几项标准:一是数据安全监管类标准,提出数据安全监管、数据权属、数据使用和数据共享等基本要求,促进数据应用的规范化使用,保证数据活动的合规性;二是数据分类分级标准,指导行业按照国家、企业和用户数据进行分类,再按照绝密、机密、秘密、核心、重要、一般等形势进行分级管理,保证科学合理的管理使用数据;三是数据安全技术类标准,应该从数据采集、数据存储、数据传输、数据共享、数据销毁全生命周期分别制定相应的数据标准,保证数据处理各个环节的数据安全性;四是数据检测评估类标准,采用科学合理的方法检测评估数据管理、使用的合规性。

(三)数据安全技术体系建设

1. 加快构建综合动态的数据安全防护体系

数据如同人的血液,网络如同人的躯干,网络安全和数据安全互为一体,网络既是数据的载体,又是数据流通和共享的桥梁,因此,构建安全可靠的网络基础设施是保证数据安全的基础,需要通过各种技术手段和安全措施提升网络自身的“免疫力”,保证内部的数据不受“病毒”的入侵。总体来看,需要结合纵深防御思想和动态防护理念构建网络基础设施防护体系,从识别、检测、监测、预警和处置各个层面综合提升网络防护能力,采用区域边界技术、安全隔离技术、身份鉴别技术、访问控制技术、入侵检测防御技术、病毒检测技术、传输加密技术、数据脱敏技术、数据防泄漏技术(DLP)、态势感知技术和应急处置技术保证数据不被直接暴露在外部,实现数据安全防护和实时监测。

2. 加快国产密码技术在数据安全治理中的融合应用

密码技术是实现网络和信息自主可控的关键技术和基础支撑,可有效保证数据的机密性、完整性、真实性和不可否认性,贯穿数据处理的全生命周期。目前,随着我国祖冲之(ZUC)、SM2、SM3、SM4、SM9国产密码技术的快速发展,有效的解决了我国数据安全的主要问题,提升了数据自主可控的防护能力。祖冲之(ZUC)、SM3杂凑密码算法主要适用于数据完整性校验的应用场景,保证数据的真实完整性;SM4对称密码算法主要适用于会话数据加密的应用场景,保证了数据的机密性;SM2、SM9公钥密码算法主要适用于身份认证的应用场景,保证了数据的真实性和不可否认性。2020年1月1日,国家《密码法》已正式实施,我国密码技术均已成熟,除SM4都均已成为国际标准,在国际网络安全形势日益严峻的情况下,应积极推动国产密码技术应用落地,加强密码技术应用攻关,构建以国产密码技术为核心的数据安全生态体系。

3. 加快区块链技术在数据安全治理中的融合应用

数字经济时代,数据交互过程中的共享效率问题、数据信任问题和数据安全问题是数字经济发展面临的主要问题。区块链技术的核心是去中心化,采用分布式账本技术解决了数据共享效率,基于智能合约保证了数据不可篡改性和数据可追溯性,解决了数据安全的可信问题。同时,监管部门可在区块链技术基础上增加监管节点,设置监管策略,监管数据态势,通过有效的监管体系实现对链上数据全生命周期的实时监测,做好数据安全风险防控。因此,数字经济时代,应加快区块链技术同各行业各领域数据融合治理,研究私有链、公有链技术,加快推进联盟链技术的发展,保证在数据安全可信、公开透明和有效监管的基础上,更大程度的加强企业之间的合作和数据共享,真正发挥数据的价值。

三、数据安全治理总结

数字经济时代,发挥数据关键核心价值的同时,更要确保数据的安全。对此,我中心在数据安全治理工作投入大量精力,参与了相关数据政策法规标准的制定,支撑了数据安全治理工作,开展了多个行业数据安全调研,并积极进行数据安全技术研究。今后,愿同产业各界加强数据安全工作方面的沟通和交流,共同推动数据安全治理工作的进程。

作者简介:郭晓栋,硕士,就职于国家工业信息安全发展研究中心评测鉴定所,主要研究领域为:网络安全、数据安全、密码技术应用。

联系方式:guoxiaodong@cics-cert.org.cn

投稿部门:评测鉴定所

声明:本文来自国家工业信息安全发展研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。