龙空技术网

“密码定义数据安全”系列解读一:从数据安全到数据要素安全

吉大正元 89

前言:

如今我们对“数据安全模型的三个核心要素”都比较着重,姐妹们都想要知道一些“数据安全模型的三个核心要素”的相关知识。那么小编在网络上收集了一些对于“数据安全模型的三个核心要素””的相关知识,希望你们能喜欢,各位老铁们快快来了解一下吧!


编者按 >>

数据作为新型生产要素,是新时代数字经济的基本要素,也是构建数字社会的基本要素,近年来国家不断通过政策、标准、指导、意见等文件,对数据的价值诠释、交易、流通以及使用和治理进行全面的指导。

对数据安全的研究是网络信息安全近年来的主要话题,也将是未来数字经济社会繁荣稳定的基石。基于此,吉大正元依托自身在密码技术、身份与信任领域积累的技术优势和实践经验,赋能数字经济双轮驱动的数据安全和网络安全,首次提出“密码定义数据安全”的理念和架构体系。

吉大正元数据安全重点实验室主任、数据安全专家张念彬也将以系列解读的形式为读者详解“以密码机制和数据安全架构深入融合的全新数据安全体系”。


《密码定义数据安全》

吉大正元数据安全重点实验室主任

数据安全专家张念彬

在农业经济时代,劳动力、土地是生产要素。在工业经济时代,技术、资本是生产要素。随着2020年4月9日,中共中央、国务院公布了《关于构建更加完善的要素市场化配置体制机制的意见》文件,将“数据”定义成生产要素,中国也随之进入了数字经济时代。数据作为新型的生产要素,是数字经济中连接其他四种生产要素的纽带。对“土地”、“劳动力”、“技术”、“资本”等其它要素具有放大、叠加、倍增的作用。数据要素是数字经济的源头,它为数字经济提供了必要的信息和素材。没有数据的支持,数字经济将无法运行。

从释放数据价值角度出发,2022年6月22日,中央全面深化改革委员会通过《关于构建数据基础制度更好发挥数据要素作用的意见》文件,以下简称《数据二十条》。围绕促进数据合规高效流通使用,赋能实体经济一条主线,以数据产权制度为基础,流通和交易制度为核心,收益分配制度为动力,安全治理制度为保障,搭建了数据基础制度的四梁八柱。做强做优做大数字经济,赋能传统产业转型升级,推进全面深化改革迈进,全民共享数字经济发展红利和推动构建人类命运共同体。

2021年9月1日正式实施的《数据安全法》第二章规定:国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。数据要素化时代,发展和安全相互依存,又相互制约。安全是发展的前提,发展是安全的保障。数字经济和数字安全是数字中国的驱动之双轮,网络安全和数据安全是数字经济的驱动之双轮。在《数据二十条》中,强调要把安全贯穿数据治理全过程,守住安全底线,明确监管红线。要构建政府、企业、社会多方协同治理模式,强化分行业监管和跨行业系统监管,压实企业数据安全责任。

为了促进数字经济的发展,2023年10月,国家数据局正式成立。负责协调推进数据基础制度和数据基础设施建设。数据基础设施是从数据要素价值释放的角度出发,在网络、算力等设施的支持下,面向社会提供一体化数据汇聚、处理、流通、应用、运营和安全保障服务。为推动数据要素市场发展,作为探索数据财政创新模式的重要抓手,2023年8月,财政部发布了《企业数据资源相关会计处理暂行规定》,加强数据要素市场培育,推动数据财政转型,带动企业数据管理水平提升,优化企业财务报表,提高企业的投资吸引力,使企业数据资源合理变现成为可能。

为了确保数据要素的安全,国家也相继颁布了五法一典三条例,三评一测两认证。以《网络安全法》、《数据安全法》和《个人信息保护法》三驾马车为引领,结合《国家安全法》、《密码法》、《网络数据安全管理条例》、《关键信息基础设施安全保护条例》和《商用密码管理条例》,提出了等保2.0、关保、密评、数据安全管理认证、个人信息保护认证等评测要求,对数字经济的发展保驾护航。

数据安全包括数据环境的安全、数据自身的安全、数据处理安全和数据要素安全。在《网络安全法》、《数据安全法》和《网络数据安全管理条例》等法律法规中,都强调了分类分级的问题。要求将数据按照核心数据、重要数据和一般数据的原则决定防护级别。在《数据安全能力评估要求》(征求意见稿)中,要求从管理能力和技术能力两个方面保障数据要素的安全。管理能力包括组织架构及人员保障、数据使用分级管控、第三方管理和数据安全工作自评估;技术能力包括数据资产与数据识别、权限管理与操作规范、数据防泄漏及溯源、重要及敏感数据保护、业务流量风险监控、敏感操作发现等。在《数据安全能力成熟度模型》(GB/T37988)标准中,也从组织建设、制度流程、人才能力和技术工具四个维度,数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁等6个数据生命周期,合计576个基本实践中判断数据安全能力成熟度。

数据要素化包括数据资源化、数据资产化和数据资本化,无论哪一个过程中,都离不开数据安全防护体系的的构造,也需要基于数据生命周期和数据要素化各环节构建完整的安全防护体系。无论是数据安全防护体系的打造,还是数据安全保护评估要求和能力成熟度评估中,密码都是基础和关键技术,在身份认证、访问控制、数字签名、传输加密、存储加密、隐私保护等方面发挥重要作用。


吉大正元数据安全重点实验室提出的“密码定义数据安全”是基于密码机制,在数据基础制度深研基础上,对数据要素化过程的安全定义,通过密码机制与数据安全架构的深度融合,实现数据要素基础设施的密码标识、密码约束和密码建设,驱动数据安全合规地创造价值。同时,在统一管理策略下,满足密码与数据安全技术融合应用,充分发挥密码技术在保障身份鉴别、机密性、完整性和不可否认性等方面的重要作用,结合业务内生切面安全架构,驱动数据价值的释放。


作为中国领先的数字安全厂商,吉大正元依托自身在密码技术、身份与信任领域积累的技术优势和实践经验,赋能数字经济双轮驱动的数据安全和网络安全,首次提出 “密码定义数据安全”的理念和架构体系。不仅能够带来数据安全防护上的全面提升,更能够在合规、创新、治理各个环节提升整体数字安全能力,为数字经济注入正元安全基因,为建设数据安全新生态贡献正元力量。

吉大正元数据安全重点实验室简介

吉大正元数据安全重点实验室于2023年成立,旨在聚焦数据安全领域重点技术科研,不断推动数据安全技术和行业发展,将致力于参与和推动更多国家级、部委级行业标准制订,围绕数据要素化,开展数据安全合规、数据价值释放等方面的咨询规划和顶层设计,联合科研单位、大型企事业单位开展数据安全联合课题研究,与重点单位、科研院所以及生态合作伙伴共同开展数据安全培训,不断研究数据安全发展趋势,编制数据安全系列报告,并不断打造数据安全新技术、新方案和新产品,为数据安全行业发展不断贡献正元力量。



标签: #数据安全模型的三个核心要素