邮发代号 2-786
征订热线:010-82341063
12月27日,由中国信息产业商会信息安全产业分会、中国网络安全产业联盟数据安全工作委员会、中关村网络安全与信息化产业联盟指导,中关村网络安全与信息化产业联盟数据安全治理专业委员会主办,北京安华金和科技有限公司承办的“数安先锋行”系列沙龙活动——第七期“促进数据要素流通 守好安全合规红线”主题沙龙成功举办。
本期沙龙活动特邀国家工业信息安全发展研究中心数据安全所副所长王墨、国家信息中心信息与网络安全部高级工程师赵增振、北京安华金和科技有限公司高级技术专家钟强及福建金瑞信息技术有限公司技术总监邓明聪围绕工业和信息化领域数据安全合规政策解读、数据流通合规思路、基于安全多方技术的可信数据流通保护方案、金融数据流通安全治理等方向分享最新政策、研究及实践成果,为探索新型数据安全治理路径集思广益。
数据是数字经济时代的关键新型生产要素,与国家经济运行、社会治理、公共服务等方面密切相关,保障数据安全已成为事关国家安全与经济社会发展的重大问题。据国家工业数据安全监测平台、工业和信息化领域数据安全风险信息报送与共享平台收录的数据安全风险信息统计分析,工业领域面临数据载体漏洞“后门”、非受控运维、数据暴露、勒索病毒攻击、云服务平台系统数据泄露、数据违规出境等安全风险。为保障国家数字经济健康有序发展和个人及组织的合法权益,提高数据安全保障能力,我国数据安全相关法律政策相继颁布。 《工业和信息化领域数据安全管理办法(试行)》包括八章四十二条,解决了工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。《管理办法》作为工信领域数据安全管理工作的顶层制度文件,为监管部门、数据处理者、相关安全企业、科研机构、中介服务机构等不同主体在不同维度落实数据安全的保护义务和责任提供了制度化、规范化的指引。《工业领域数据安全能力提升实施方案(2024-2026年)》,是指导未来三年工业领域数据安全工作的行动指南,总体目标是到2026年底,工业领域数据安全保障体系基本建立,包括提升工业企业数据保护能力、提升数据安全监管能力、提升数据安全产业支撑能力等重点任务,同时提出了加强组织协调、加大资源保障、强化成效评估、做好宣传引导等保障措施。习近平总书记指出“发挥数据的基础资源作用和创新引擎作用,加快形成以创新为主要引领和支撑的数字经济”,数据作为新型生产要素,正加速向生产生活融入,发挥乘数效应,赋能经济社会高质量发展。但数据在流通过程中,合规方面也面临一些新特性、新问题,数据的开放性增加了安全合规难度,流动特性需要各方协同,数据多领域融合特性增加了合规复杂度。政府侧、企业侧、个人侧在数据供给、使用等环节也存在合规顾虑。目前在如何实现合规、降低合规成本、实现合规互认等方面也存在一些突出问题。亟需自顶向下,政策、标准等多层发力,分行业、领域推进数据流通合规工作,为数据要素价值释放,一体化数据要素市场构建提供坚实保障。1)促进数据合规高效流通,充分发挥数据的基础资源作用和创新引擎作用,有效激活和释放数据要素价值,依据国家法律法规和政策要求,立足各方需求,推动数据流通合规工作。2)做好数据流通合规工作,结合数据流通的特性,以及行业、领域要求,处理好涉及各方主体的关系,分类分级做好流通合规工作。实现静态合规+动态合规、通用合规+行业领域合规、内部合规+外部合规等。3)做好数据流通合规工作,可以从主体、数据安全、数据来源、数据内容、数据权益、处理重要数据和个人信息、数据流通过程等层面做好相关工作。比如在主体方面,可以通过取得相关资质,合法开展经营,规范相关人员,满足相关要求等,实现主体合规;数据来源合规方面,做好公开收集、自行生产、协议获取、衍生数据等方面的合规工作。伴随数字化、网络化和智能化的快速发展,数字经济与实体经济深度融合,数据已然成为经济发展赖以依托的基础性、战略性资源,对社会生产、分配、流通、消费和社会服务管理等各环节产生深刻影响。2021年,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》(简称“十四五”规划)中提出,开展政府数据授权运营试点,明确提出了关于公共数据授权运营的战略规划。同年,国务院办公厅印发《要素市场化配置综合改革试点总体方案》,提出要探索“原始数据不出域、数据可用不可见”的交易范式,探索开展政府数据授权运营,从安全合规要求与技术实现路径的视角,提出了个人隐私与公共安全保障的原则。安华金和围绕授权运营全流程,构建分布式可信数据空间基础设施,基于数据分类分级,建立安全可信通道,实现各方节点的安全可信接入、授权访问、加密传输、安全防护与审计、存证溯源,确保原始数据不出域、分级标签和脱敏样本可出域,数据流通可算、可管、可计量,实现各方节点的域内和跨域流通安全保障。打造安全可信的公共数据要素流通环境,有效规避授权运营过程中的数据安全风险,解决公共数据面临的“不敢共享、不愿共享”的问题,确保“数据资源可信发布,数据计算安全流通,数据产品安全使用”,支撑保障公共数据“供得出,流得动,用得好”。1)所有可开发利用的公共数据资源,以主题形式展现在数据资源大厅, 形成数据集市。2)结合区块链、安全多方计算、联邦学习、数据安全防护,技术栈取长补短。3)NKDBsec安全多方计算框架,业界独有的融合隐私计算和数据库技术的SQL运算引擎。4)数据通过安华金和安全加固的API接口进行交互,高度保障数据安全性。5)依据公开数据分类分级标准,对拟发布的数据资源进行数据分类分级标识,并基于数据分类分级结果,设定数据资源使用的分类分级确权规则。6)对数据资源发布、数据产品开发及发布、数据产品消费、数据运营保障的全过程行为进行集中监测,发现违规行为及时预警干预。7)对识别发现的各个级别的数据安全事件进行应急响应处置与事件跟踪溯源。8)可视化的安全开发与统计分析界面(联邦机器学习开发界面&安全多方统计开发界面)。9)向公共数据授权运营监管方实时呈现授权运营全过程的数据流通情况与数据安全合规态势,并按监管要求定期输出数据安全合规报告。近年来,《数据安全法》《个人信息保护法》《金融数据安全 数据安全分级指南》等法律法规及标准相继出台施行,为金融机构开展数据安全治理建设提供了合规遵循和指引。金融行业积累了海量且多样化的数据,涵盖客户的个人身份信息、交易记录、信贷评估记录等,数据具有高敏感性、高价值性,如何防范隐私泄露、数据滥用等风险,提升数据安全合规水平,实现高质量发展与高水平安全良性互动,成为金融机构面临的巨大挑战。本次分享主要通过介绍某金融公司数据安全建设实践案例,对某金融公司存在的典型数据存储使用不规范、敏感数据泄露、数据违规操作、数据异常流转等数据安全问题,基于数据安全防护措施和数据安全运营平台,从数据采集、传输、存储、使用、销毁出发,实时监测数据安全风险态势,保障用户数据安全,实现“管理体系规划化、监控体系全面化、运营体系自动化”。1)管理体系规范化:覆盖数据安全相关管理制度,涵盖数据安全方针政策、组织机构、分级分类等,满足业务和合规要求。2)监控体系全面化:整合各项技术措施,覆盖数据全流程安全管控,采集、存储、传输、处理、交换、销毁;基于数据安全平台进行数据安全告警分析和安全事件处置响应,数字化指标衡量运营效率。3)运营体系自动化:穿针引线,融合数据安全服务能力和数据安全技术,常态化数据安全运营,综合防控各类数据威胁攻击。分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664234024&idx=3&sn=6a4e023caeeea7e9f8a8e31e900fa3b4&chksm=8b59fed1bc2e77c746880e7e949e3ffb4eaf87665d4d674333e32a5984cc9d4a59ec43496c21&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh