当前,以数字经济为代表的新经济成为经济增长新引擎,数据作为核心生产要素成为了基础战略资源,数据安全的基础保障作用也日益凸显。伴随而来的数据安全风险与日俱增,数据泄露、数据滥用等安全事件频发,为个人隐私、企业商业秘密、国家重要数据等带来了严重的安全隐患。近年来,国家对数据安全与个人信息保护进行了前瞻性战略部署,开展了系统性的顶层设计。《中华人民共和国数据安全法》于2021年9月1日正式施行,《中华人民共和国个人信息保护法》于2021年11月1日正式施行。
本白皮书(或本报告)正是在《数据安全法》、《个人信息保护法》等法律陆续施行的背景下编制。《数据安全法》旨在维护国家安全和社会公共利益,保障数据安全,其关于“数据”的定义,是指任何以电子或者其他方式对信息的记录。《个人信息保护法》更侧重于个人权益,是为了维护公民个人的隐私、人格、人身、财产等利益,其关于“个人信息”的定义,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
业内关于“数据”和“信息”之间关系的理解,大致可以分为三类:一是“信息”属于“数据”的子概念,“信息”是从采集的“数据”中提取的有用内容;二是“信息”与“数据”互相混用,概念区分没有实质意义;三是“数据”属于“信息”的子概念,仅表示“信息”在电子通信环境下的表现形式。本报告基于数据和信息之间关系的第一种释义,即“个人信息”属于“数据”的子概念。同时,《数据安全法》中的数据处理者在处理个人信息时,也是《个人信息保护法》中的个人信息处理者,除需遵守《数据安全法》,还必须遵守《个人信息保护法》。从技术层面看,个人信息往往以结构化数据或非结构化数据形式存在,保护个人信息和保护数据的防护手段,二者高度通用。综合考虑以上原因,本报告将数据安全技术与个人信息保护技术合并论述。
本报告综合梳理了当下数据安全发展面临的挑战与机遇,结合真实的数据泄漏事件,分析业务流转各环节伴生的安全风险与应对,探索数据安全“新框架”与“新战法”。本报告参考经典的网络安全框架ATT&CK,提出了新的数据安全技术框架DTTACK(以数据为中心的战术、技术和通用知识),以期结合两大框架实现“攻防兼备、网数一体”。本报告详细介绍了DTTACK框架,针对数据安全从识别(I)、防护(P)、检测(D)、响应(R)、恢复(R)、反制(C)、治理(G)七大方面说明了相应的战术、技术,覆盖了数据的全生命周期(收集、存储、使用、加工、传输、提供、公开等)的安全防护。最后,报告从云平台、工业互联网、政务大数据、银行金融、民航业等十个场景,简要阐述了数据安全的应用示例方案以供参考。
“工欲善其事,必先利其器”,在数字经济快速发展的背景下,我们更需要深刻认识到数据安全建设的重要性,不仅需要在安全意识和管理水平上提升,更需要在技术上重点布局、勇于创新,希望本报告能够为企业或机构的数据安全建设提供参考和借鉴。由于编者水平有限,报告中的错误之处在所难免,敬请读者指正,也欢迎业界同仁共同参与完善,为行业发展提供助力!