數據安全治理體系與技術研究

　　李曉偉  吳迎  鄒彧  白云飛

　　（興唐通信科技有限公司，北京 100191）

　　摘要：隨著數字產業化和產業數字化的快速推進，數據已經成為數字化轉型時代的核心競爭力。隨著數據成為資產，成為基礎設施，數據的安全受到前所未有的重視和保護。數據安全治理融合了數據安全技術和數據安全管理，是以“數據使用安全”為目標的技術體系。通過對數據安全治理的必要性以及其發展現狀進行分析，提出了一種以數據安全標識為基礎的數據安全治理體系框架和技術架構。

　　關鍵詞：數據安全；數據安全治理體系；數據安全標識

　　中圖分類號：TN929.11      文獻標識碼：A

　　引用格式：李曉偉， 吳迎， 鄒彧， 等。 數據安全治理體系與技術研究[J]. 信息通信技術與政策， 2021,47（8）：51-55.

　　doi：10.12267/j.issn.2096-5931.2021.08.008

　　0  引言

　　《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》明確提出數據是推動數字化發展的關鍵要素，必須加快數字產業化和產業數字化，推進數字化發展。為更好地發揮數據的基礎資源作用和創新引擎作用，要做好數據資源的開發、利用和保護：一方面要使數據連起來、跑起來、用起來；另一方面要強化數據的安全保障[1]。數據安全治理是“圍繞數據安全使用”的愿景，以“讓數據使用更安全”為目的的安全體系構建方法論，覆蓋了敏感信息管理、安全防護、合規三大目標構建而成的技術體系。它不僅是一套多種數據安全工具協同組合的產品級解決方案，而且是從管理制度到工具支撐，從決策層到技術層，自上而下貫穿整個組織架構的完整體系鏈條[2-4]。

　　1  數據安全治理的必要性

　　數據的安全和使用是相互矛盾需要調和的兩個方面，既要確保數據的高效使用，又要保證數據的安全管理，成為一個值得關注的問題。

　　（1）數據規模暴漲，戰略價值提升。根據《大數據白皮書（2020年）》統計[5]，2020年全球共產生數據量達到47 ZB，預計到2035年這一數據量將達到2142 ZB，全球數據量逐年迎來爆發式的規模增長，數據己成為一種能夠影響國家戰略決策的戰略資源，誰掌握了更多、更有價值的數據，誰就掌握了未來的主動權。

　　（2）數據泄露頻繁，安全需要治理。根據ForgeRock《消費者身份信息違規報告》2020年公布的數據[6]，網絡犯罪分子在2019年暴露了超過50 億條數據記錄，給美國造成了超過1.2 萬億美元的損失。隨著數據泄露問題的日趨嚴重，對數據安全治理的需求越來越迫切。

　　（3）政策要求明確，推進治理實施。我國已發布《中華人民共和國數據安全法》，明確了數據安全的重要性，對數據安全防護提出了基本要求。隨著網絡安全戰略地位的上升和國家大數據戰略的加快實施，數據安全已經成為我國重點關注的問題。

　　2  數據安全治理發展現狀

　　2.1  國際發展

　　在國際上，Gartner對數據安全治理進行了一系列研究，近年來推出了一系列研究報告和框架模型[2]：2015年，提出數據安全治理的概念和相應的原則與框架；2017年，提出適用于數據安全評估與控制的持續自適應安全風險和信任評估模型（CARTA）；2018年，發布研究報告《如何使用數據安全治理框架》，正式提出數據安全治理（DSG）框架；2020年4月，提出安全和風險管理者應借助DSG框架，在兩種數據泄露防護（DLP）方案之間做選擇。

　　2.2  國內發展

　　2017年，中國網絡安全產業聯盟成立數據安全治理工作組，組織召開首屆數據安全治理高峰論壇[7]；2018 年，在第二屆數據安全治理高峰論壇上成立全國首個數據安全領域的專項委員會——數據安全治理委員會，并發布《數據安全治理白皮書》[8]；2019年，在第三屆數據安全治理高峰論壇上數據安全治理委員會發布《數據安全治理建設指南》及《數據安全治理白皮書2.0》[9]。

　　3  數據安全治理體系框架設計

　　圍繞數據安全治理需求，本文借鑒國內外數據安全治理研究成果，基于“標識數據、梳理資產、動態防護、精確管控、持續提升”理念，從組織建設、過程管理、技術支撐、治理評價和制度體系五個維度構建以數據為中心、安全標識為基礎，以組織管理為核心的數據安全治理體系框架（見圖1）。

　　圖1  數據安全治理體系框架

　　（1）組織建設：成立專門的安全治理組織和團隊，承擔體系建設、決策、執行和監督的職能，保證數據安全治理工作的穩定、持續、高效執行。數據安全治理工作的組織架構需與數據安全治理的體系框架相匹配，可分為決策層、管理層、執行層和監督層4個邏輯層。

　　（2）過程管理：為達到治理目標和效果，通過明確的標準步驟執行并輸出成果的系列管理流程，主要包括資產梳理管理、治理流程管理、評價流程管理、監督流程管理等。

　　（3）技術支撐：以數據安全標識技術為基礎，基于數據全生命周期安全管控、數據資產綜合管理、數據安全審計與稽核等技術，為數據安全治理體系提供技術支撐。

　　（4）治理評價：采用監督、審計、分析等手段對數據安全治理體系的建設、管理和運行情況進行評價，推動體系持續優化，主要包括數據安全能力評價、數據安全合規性評價、數據安全防護水平評價等。

　　（5）制度體系：為維護內部紀律和公共利益制定的、治理相關參與者遵守的政策規范、標準要求、實施指南、操作規程等。

　　4  基于數據安全標識的數據安全治理技術

　　4.1  數據安全治理技術架構

　　在數據安全治理體系框架的基礎上，構建基于安全標識技術的數據安全治理技術架構，提供流動中數據的全生命周期安全防護（見圖2）。

　　圖2  數據安全治理技術架構

　　數據安全治理技術架構以數據安全標識技術為基礎，以數據資產管理與數據安全標準規范為基準，依托安全標識的生成、編碼、綁定、保護等技術手段，圍繞數據采集、傳輸、存儲、使用、共享、銷毀等全生命周期處理流程，從數據資產綜合管理與分級分類、數據全生命周期安全管控、數據安全審計與稽核三方面展開數據的安全防護與治理，實現數據資產安全態勢可展現、數據安全風險可感知、數據細粒度安全策略可運維、數據安全保密防護可協同、數據防護水平可評估、數據安全事件可追溯，為加快數據資源層形成和應用創新能力形成提供技術保障。

　　4.2  數據安全治理技術

　　4.2.1  數據安全標識技術

　　面向數據安全治理的數據安全標識技術是一種基于密碼技術的高安全、高可信和高可用的數據屬性標注與識別技術，為數據全生命周期管控提供支撐（見圖3）。數據安全標識是與數據對象安全性相關的屬性，包括數據密級、數據種類、數據保護方式、數據摘要值、數據責任人等，將數據安全標識屬性分為基礎屬性和可擴展屬性。數據密級、數據種類是最基本的安全標識，是數據對象安全防護措施、知悉范圍控制的基本依據。數據安全標識處理包括安全標識生成、標識編碼、標識綁定和標識保護。

　　圖3  數據安全標識技術

　　4.2.2  數據資產綜合管理與分級分類

　　為讓數據安全、健康、高效的使用和共享，對多種來源的數據進行數據資產梳理、數據分級分類，對安全風險進行動態度量和評估，針對不同級別的數據資產和安全風險采取差異化安全管控措施。在確保數據合理合規流動的前提下，通過數據資產梳理、數據分級分類標記、數據協同防護等安全措施為數據全生命周期安全保障提供支撐，促進數據安全高效的開發利用和共享。

　　4.2.3  數據全生命周期安全管控

　　圍繞數據采集、傳輸、使用、存儲、共享、交換和銷毀全生命周期，提供安全標識生成/綁定/保護、數據傳輸保護、數據存儲保護、數據防泄漏、數據脫敏、細粒度訪問控制等安全防護功能。

　　（1）數據采集安全：為業務系統和用戶提供透明訪問接口、API接口認證、設備認證、用戶身份認證等多種認證方式，對源系統訪問數據資源進行可信認證、資源訪問控制，確保用戶和設備身份的合法性及未超出授權使用范圍。

　　（2）數據傳輸安全：確保數據（流式數據、數據庫、文件、服務接口等類型的數據）通過不同采集、傳輸方式時的完整性、機密性，主要采取數據傳輸加密、數據完整性保護等技術。

　　（3）數據使用安全：為數據資源訪問、數據加工/計算過程提供細粒度權限管控、異常數據訪問行為監控與阻斷。通過脫敏、訪問代理等技術，降低外部攻擊、內部數據違規使用過程中數據的泄漏風險。

　　（4）數據存儲安全：為存儲在各類關系型數據庫、分布式數據倉庫、非關系型數據庫和非結構化數據源中的重要業務數據提供加密存儲和密文訪問控制服務，避免外部攻擊、內部違規導致的數據泄露風險。

　　（5）數據共享與交換安全：為數據中心外部和內部的縱向流通和橫向共享提供認證授權、按需脫敏、數據安全標識、流轉跟蹤等數據安全可控技術。確保數據共享發布時的數據來源真實，重要業務數據、涉敏等重要數據內容合規，交換實體可信、交換行為可查。

　　（6）數據銷毀安全：在數據使用完成后采用全自動、半自動和手工擦除方式，對數據內容進行安全銷毀，防止數據被惡意竊取和利用。

　　4.2.4  數據安全審計與稽核

　　收集數據全生命周期安全管控和數據資產綜合管理過程中各個環節的數據加密狀態、數據脫敏狀態、應用通道、數據使用行為等信息，利用人工智能技術進行智能關聯和分析，實現數據安全風險分析與告警、數據融合與安全事件溯源取證、分布式數據泄露稽查取證、數據共享安全性評估仲裁和數據安全防護失效性分析能力，并根據以上能力進一步優化數據安全策略。

　　5  結束語

　　隨著數字化轉型發展，數據呈現“爆炸式”的增長和積累，大數據已經成為各國爭取的戰略制高點，數據安全也被提到了新的高度。面向“ 讓數據使用更安全”的目標，本文介紹了數據安全治理的背景、概念、必要性及發展，提出了一種以安全標識為基礎的數據安全治理體系框架和技術架構，分析了以密碼為核心基于數據安全標識的數據安全治理技術，為信息時代數字化轉型升級提供安全保障。

　　參考文獻

　　[1] 中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要[Z], 2021.

　　[2] 中國軟件評測中心。 電信和互聯網行業數據安全治理白皮書（2020年）[R], 2020.

　　[3] 趙潔， 張凱， 田鵬。 高校數據安全治理實踐[J]. 網絡空間安全， 2019,10（3）：81-84.

　　[4] 楊楠楠。 中國網絡空間國家大數據安全治理研究[D]. 南京師范大學， 2018.

　　[5] 中國信息通信研究院。 大數據白皮書（2020年）[R], 2020.

　　[6] ForgeRock. ForgeRock consumer identity breach report[R], 2020.

　　[7] 中國網絡安全產業聯盟數據安全治理工作組。 首屆中國數據安全治理高峰論壇成功舉行[EB/OL]. （2017-06-16）[2021-06-20]. https://m.sohu.com/a/150768864_427953/.

　　[8] 中國（中關村）網絡安全與信息化產業聯盟， 北京網絡信息安全技術創新產業聯盟， 中國保密協會產業分會。 第二屆中國數據安全治理高峰論壇在京召開[EB/OL]. （2018-05-22）[2021-06-20]. https://blog.csdn.net/csdn_bang/article/details/80417867.

　　[9] 中國（中關村）網絡安全與信息化產業聯盟， 北京網絡信息安全技術創新產業聯盟， 中國保密協會產業分會。 第三屆中國數據安全治理高峰論壇圓滿落幕[EB/OL]. （2019-04-26）[2021-06-20].