信息化觀察網(wǎng)

概述

2021年6月10日第十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十九次會(huì)議通過(guò)了《中華人民共和國(guó)數(shù)據(jù)安全法》，下文簡(jiǎn)稱《數(shù)據(jù)安全法》，并定于2021年9月1日施行。其主要目的是為了規(guī)范數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用，保護(hù)個(gè)人、組織的合法權(quán)益，維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益，制定的法律。同時(shí)隨著互聯(lián)網(wǎng)的迅速發(fā)展，萬(wàn)物互聯(lián)崛起，對(duì)數(shù)據(jù)保護(hù)的需求也越發(fā)迫切，非常有必要單獨(dú)出臺(tái)一部針對(duì)數(shù)據(jù)安全保障領(lǐng)域的法律來(lái)加強(qiáng)對(duì)數(shù)據(jù)的監(jiān)管，對(duì)數(shù)據(jù)的有效監(jiān)管實(shí)現(xiàn)了有法可依，填補(bǔ)了數(shù)據(jù)安全保護(hù)立法的空白。

《數(shù)據(jù)安全法》已于2021年9月1日正式落地實(shí)施,這標(biāo)志著國(guó)家在數(shù)據(jù)安全方面已經(jīng)初步建立起一套法律框架。在數(shù)字化轉(zhuǎn)型浪潮中，數(shù)據(jù)作為業(yè)務(wù)的驅(qū)動(dòng)，已經(jīng)為各行業(yè)企業(yè)的關(guān)鍵生產(chǎn)要素,于國(guó)家而言,更是具有深遠(yuǎn)戰(zhàn)略價(jià)值的核心資產(chǎn)。在未來(lái)，各行各業(yè)若要實(shí)現(xiàn)數(shù)字化到智能化的轉(zhuǎn)型，海量數(shù)據(jù)的價(jià)值轉(zhuǎn)化及挖掘是必經(jīng)之路。

數(shù)據(jù)安全法介紹

我們要更好的踐行《數(shù)據(jù)安全法》的要求及遵守相應(yīng)的管理?xiàng)l例，就要先了解和理解其內(nèi)容?！稊?shù)據(jù)安全法》全文共有七章五十五條，主要從數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護(hù)義務(wù)、政務(wù)數(shù)據(jù)安全與開(kāi)放及法律責(zé)任的角度對(duì)數(shù)據(jù)安全保護(hù)的義務(wù)和法律責(zé)任進(jìn)行規(guī)定。

內(nèi)容概述

《數(shù)據(jù)安全法》是我國(guó)實(shí)施數(shù)據(jù)安全監(jiān)督和管理的一部基礎(chǔ)法律，其根本目的是要提升國(guó)家數(shù)據(jù)安全的保障能力和數(shù)字經(jīng)濟(jì)的治理能力。作為國(guó)家的第一部關(guān)于數(shù)據(jù)安全的法律，不僅受到了安全從業(yè)者，也受到了來(lái)自各界人士的廣泛關(guān)注：

數(shù)據(jù)安全與發(fā)展

眾所周知，數(shù)字化轉(zhuǎn)型的基石就是數(shù)據(jù)，以數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)發(fā)展，物聯(lián)網(wǎng)的發(fā)展更是使數(shù)據(jù)爆炸性的增長(zhǎng)，其中蘊(yùn)含的價(jià)值，無(wú)法估量，這讓國(guó)家和企業(yè)都越發(fā)的意識(shí)到數(shù)據(jù)的重要性，無(wú)論是從國(guó)家戰(zhàn)略還是企業(yè)戰(zhàn)略出發(fā)，都已經(jīng)將數(shù)據(jù)作為核心資產(chǎn)，甚至上升到國(guó)家安全層面。

為此合理有效的利用數(shù)據(jù)，不僅關(guān)系個(gè)人、企業(yè)的利益，更關(guān)系到社會(huì)和經(jīng)濟(jì)的平穩(wěn)發(fā)展，甚至影響國(guó)家安全。因此，數(shù)據(jù)安全法明確了數(shù)據(jù)安全與發(fā)展的關(guān)系，強(qiáng)調(diào)“國(guó)家統(tǒng)籌發(fā)展和安全，堅(jiān)持以數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展”。

數(shù)據(jù)安全制度

數(shù)據(jù)安全法明確了六項(xiàng)數(shù)據(jù)安全制度：

數(shù)據(jù)分類分級(jí)與核心數(shù)據(jù)保制度：根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度及受到破壞后對(duì)國(guó)家安全、公共利益或個(gè)人、組織合法權(quán)益造成的危害程度進(jìn)行分類分級(jí)，協(xié)調(diào)有關(guān)部門編制重要數(shù)據(jù)目錄，要求下發(fā)到個(gè)地方，由地方部門按照要求編制地區(qū)的重要數(shù)據(jù)具體目錄，對(duì)所列目錄的數(shù)據(jù)加強(qiáng)保護(hù)。同時(shí)強(qiáng)調(diào)了對(duì)于關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國(guó)家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度。

數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估與工作協(xié)調(diào)機(jī)制：規(guī)定國(guó)家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制，建立工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)信息的獲取、分析、研判、預(yù)警工作。

數(shù)據(jù)安全應(yīng)急處置機(jī)制：國(guó)家建立數(shù)據(jù)安全應(yīng)急處置機(jī)制，當(dāng)發(fā)生數(shù)據(jù)安全事件，主管部門應(yīng)當(dāng)依法啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的應(yīng)急處置措施，防止危害擴(kuò)大，消除安全隱患，及時(shí)向社會(huì)發(fā)布有關(guān)的警示信息。

數(shù)據(jù)安全審查制度：要求對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)，國(guó)家有權(quán)進(jìn)行安全審查。

數(shù)據(jù)出口管制制度：對(duì)與維護(hù)國(guó)家安全和利益、履行國(guó)際義務(wù)相關(guān)的屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制，規(guī)定在與數(shù)據(jù)和數(shù)據(jù)開(kāi)發(fā)利用技術(shù)等有關(guān)的投資或貿(mào)易等方面，對(duì)我國(guó)采取相關(guān)歧視性的禁止、限制或者其他類似措施的國(guó)家和地區(qū)，我國(guó)可以對(duì)其采取對(duì)等措施。

數(shù)據(jù)安全保護(hù)義務(wù)

數(shù)據(jù)安全法規(guī)定了四類數(shù)據(jù)安全義務(wù)：

數(shù)據(jù)處理者的安全義務(wù)：明確指出，重要數(shù)據(jù)的處理者應(yīng)明確數(shù)據(jù)安全的負(fù)責(zé)人和組織架構(gòu)，按照要求定期的展開(kāi)風(fēng)險(xiǎn)評(píng)估，并將發(fā)現(xiàn)的風(fēng)險(xiǎn)主動(dòng)報(bào)送主管部門。對(duì)于關(guān)基的運(yùn)營(yíng)，要求運(yùn)營(yíng)者在境內(nèi)運(yùn)營(yíng)過(guò)程中產(chǎn)生或收集的重要數(shù)據(jù)，數(shù)據(jù)的出境安全管理，必須依據(jù)網(wǎng)絡(luò)安全法執(zhí)行，其他數(shù)據(jù)處理者的數(shù)據(jù)出境管理由網(wǎng)信辦另行制定政策，要求組織、個(gè)人必須合法、依規(guī)收集和使用數(shù)據(jù)等。

數(shù)據(jù)交易中介服務(wù)機(jī)構(gòu)義務(wù)：數(shù)據(jù)交易中介服務(wù)機(jī)構(gòu)應(yīng)當(dāng)要求數(shù)據(jù)提供方說(shuō)明數(shù)據(jù)來(lái)源，審核交易雙方的身份，并留存審核、交易記錄。

有關(guān)組織、個(gè)人的數(shù)據(jù)支持義務(wù)：任何組織、個(gè)人收集數(shù)據(jù)，應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞?，不得竊取或者以其他非法方式獲取數(shù)據(jù)。公安或國(guó)家安全機(jī)關(guān)因依法維護(hù)國(guó)家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù)，應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定，經(jīng)過(guò)嚴(yán)格的批準(zhǔn)手續(xù)，依法進(jìn)行，有關(guān)組織、個(gè)人應(yīng)當(dāng)予以配合。

跨境司法或執(zhí)法機(jī)構(gòu)數(shù)據(jù)提供審批義務(wù)：未經(jīng)主管機(jī)關(guān)批準(zhǔn)，境內(nèi)的任何組織及個(gè)人不得向境外司法或者執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于境內(nèi)的數(shù)據(jù)。

政務(wù)數(shù)據(jù)安全與開(kāi)放

數(shù)據(jù)安全法就政務(wù)數(shù)據(jù)安全與開(kāi)放作出相應(yīng)規(guī)定：

政務(wù)數(shù)據(jù)安全要求：國(guó)家機(jī)關(guān)需要建立健全數(shù)據(jù)安全管理制度，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任，保障政務(wù)數(shù)據(jù)安全。同時(shí)要求國(guó)家機(jī)關(guān)應(yīng)當(dāng)依法合規(guī)收集和使用的個(gè)人隱私、個(gè)人信息、商業(yè)秘密、保密商務(wù)信息等數(shù)據(jù)，應(yīng)當(dāng)依法予以保密，不得泄露或者非法向他人提供。

外包政務(wù)系統(tǒng)數(shù)據(jù)安全要求：國(guó)家機(jī)關(guān)委托他人建設(shè)、維護(hù)電子政務(wù)系統(tǒng)，存儲(chǔ)、加工政務(wù)數(shù)據(jù)，應(yīng)當(dāng)經(jīng)過(guò)嚴(yán)格的批準(zhǔn)程序，受托方應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定和合同約定履行數(shù)據(jù)安全保護(hù)義務(wù)，同時(shí)國(guó)家機(jī)關(guān)應(yīng)當(dāng)監(jiān)督受托方履行相應(yīng)的數(shù)據(jù)安全保護(hù)義務(wù)。

政務(wù)數(shù)據(jù)開(kāi)放要求：除依法不予公開(kāi)的數(shù)據(jù)外，國(guó)家機(jī)關(guān)應(yīng)當(dāng)遵循公正、公平、便民的原則，按照規(guī)定及時(shí)、準(zhǔn)確地公開(kāi)政務(wù)數(shù)據(jù)，同時(shí)應(yīng)制定政務(wù)數(shù)據(jù)開(kāi)放目錄，構(gòu)建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務(wù)數(shù)據(jù)開(kāi)放平臺(tái)，推動(dòng)政務(wù)數(shù)據(jù)開(kāi)放利用。

法律責(zé)任

對(duì)于數(shù)據(jù)處理者與數(shù)據(jù)交易中介服務(wù)機(jī)構(gòu)不履行數(shù)據(jù)安全義務(wù)、數(shù)據(jù)安全監(jiān)管履職國(guó)家工作人員濫權(quán)舞弊、違法獲取或?yàn)E用數(shù)據(jù)等行為，數(shù)據(jù)安全法也作出了相應(yīng)的處罰規(guī)定。其中，對(duì)于不履行數(shù)據(jù)安全義務(wù)的數(shù)據(jù)處理者除罰款外可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照，而對(duì)于違反國(guó)家核心數(shù)據(jù)管理制度且構(gòu)成犯罪的可以追究刑事責(zé)任，對(duì)于違規(guī)數(shù)據(jù)出境或未經(jīng)授權(quán)向外國(guó)司法或者執(zhí)法機(jī)構(gòu)提供數(shù)據(jù)的，同樣會(huì)處以相應(yīng)處罰。

企業(yè)責(zé)任

隨著萬(wàn)物互聯(lián)時(shí)代的來(lái)臨，《數(shù)據(jù)安全法》的正式落地實(shí)施，助推了大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、人工智能等技術(shù)平臺(tái)的蓬勃發(fā)展與安全保障。作為企業(yè)更應(yīng)該在《數(shù)據(jù)安全法》落地后，持續(xù)加大數(shù)據(jù)安全的投入，將保護(hù)企業(yè)核心數(shù)據(jù)資產(chǎn)作為第一要?jiǎng)?wù)。同時(shí)針對(duì)2C業(yè)務(wù)，要尊重終端用戶的數(shù)據(jù)所有權(quán)和使用權(quán)，并嚴(yán)格保障終端用戶的隱私安全。

企業(yè)在關(guān)注信息安全的同時(shí)，更要突出數(shù)據(jù)安全的重要性。要時(shí)刻謹(jǐn)記，安全是所有業(yè)務(wù)正常運(yùn)行的前提條件。

企業(yè)面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)

在了解了《數(shù)據(jù)安全法》之后，目前企業(yè)主要面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)有哪些？識(shí)別這些風(fēng)險(xiǎn)，有利于企業(yè)更好的完善數(shù)據(jù)安全防護(hù)方面的短板，提升企業(yè)整體數(shù)據(jù)安全防御能力，保護(hù)核心數(shù)據(jù)資產(chǎn)的安全。

存在的挑戰(zhàn)

現(xiàn)在我們已經(jīng)進(jìn)入了大數(shù)據(jù)時(shí)代，各行各業(yè)所產(chǎn)生的數(shù)據(jù)量呈現(xiàn)爆炸式增長(zhǎng)。隨著數(shù)字化轉(zhuǎn)型步伐的加快，數(shù)據(jù)資產(chǎn)的重要性就尤為重要。數(shù)據(jù)不僅是企業(yè)的核心資產(chǎn)，更是數(shù)字化轉(zhuǎn)型的創(chuàng)新驅(qū)動(dòng)。

2021年一系列的關(guān)于安全的法律法規(guī)陸續(xù)出臺(tái)，從國(guó)家層面已經(jīng)意識(shí)到數(shù)據(jù)的重要性，甚至上升到國(guó)家安全層面。同時(shí)也迫使企業(yè)必須意識(shí)到了解數(shù)據(jù)、保護(hù)數(shù)據(jù)和發(fā)掘數(shù)據(jù)價(jià)值的重要性。

企業(yè)既要保護(hù)數(shù)據(jù)安全，也要確保業(yè)務(wù)的穩(wěn)定，從個(gè)人理解來(lái)看，目前企業(yè)針對(duì)數(shù)據(jù)安全保護(hù)主要面臨以下四大挑戰(zhàn)：

海量數(shù)據(jù)

萬(wàn)物互聯(lián)時(shí)代，數(shù)據(jù)量成指數(shù)級(jí)激增，按照第三方機(jī)構(gòu)的統(tǒng)計(jì)，數(shù)據(jù)量每?jī)赡昃蜁?huì)增加一倍從2010年到2020年，數(shù)據(jù)量就增長(zhǎng)了超過(guò)50倍?？上攵?，作為企業(yè)很難厘清內(nèi)部所有的數(shù)據(jù)，并從中發(fā)現(xiàn)哪些數(shù)據(jù)是核心的，哪些不是。如此大的數(shù)據(jù)量，企業(yè)甚至更無(wú)法準(zhǔn)確定位這些數(shù)據(jù)都存儲(chǔ)在具體的哪些位置。

存儲(chǔ)分散

現(xiàn)在的企業(yè)都非常的重視數(shù)據(jù)的安全，深知數(shù)據(jù)的重要性，所以會(huì)把數(shù)據(jù)分散存儲(chǔ)到不同的數(shù)據(jù)中心。隨著云計(jì)算的發(fā)展，數(shù)據(jù)上云也是混合云戰(zhàn)略的體現(xiàn)，充分利用云資源實(shí)現(xiàn)按需的快速交付。但這種對(duì)基礎(chǔ)設(shè)施架構(gòu)的優(yōu)化也帶來(lái)了數(shù)據(jù)存儲(chǔ)地點(diǎn)分散，加大了數(shù)據(jù)保護(hù)的難度。

攻擊頻繁

網(wǎng)絡(luò)連接萬(wàn)物，我們的生活、工作對(duì)網(wǎng)絡(luò)的依賴程度越來(lái)越深，網(wǎng)絡(luò)安全事件也在近幾年呈現(xiàn)攻擊類型多、攻擊范圍廣、攻擊模式組織化、防御難度大的趨勢(shì)，幾乎每天都有企業(yè)被攻擊淪陷。以GlobeImposter、Crysis為代表的勒索病毒日漸猖獗，各種挖礦病毒更是如洪水猛獸。他們攻擊的對(duì)象也瞄準(zhǔn)了政府單位和各種轉(zhuǎn)型中的企業(yè)，如制造業(yè)。勒索病毒的影響力和破壞性可見(jiàn)一斑，多次引發(fā)社會(huì)各界的廣泛關(guān)注。

數(shù)據(jù)合規(guī)

大數(shù)據(jù)時(shí)代的到來(lái)，給企業(yè)自身的數(shù)據(jù)安全帶來(lái)了挑戰(zhàn)。目前尤其是傳統(tǒng)企業(yè)，經(jīng)常忽視安全審計(jì)在數(shù)據(jù)安全中的重要性。安全審計(jì)應(yīng)貫穿應(yīng)用系統(tǒng)的全生命周期，從設(shè)計(jì)到消亡，從代碼安全到存儲(chǔ)安全。同時(shí)安全審計(jì)人員較為短缺，隨著數(shù)據(jù)安全法的落地，企業(yè)應(yīng)關(guān)注數(shù)據(jù)安全審計(jì)人員的培養(yǎng)。

面臨的風(fēng)險(xiǎn)

大數(shù)據(jù)時(shí)代給企業(yè)帶來(lái)長(zhǎng)遠(yuǎn)價(jià)值的同時(shí)，也讓企業(yè)面臨來(lái)自不同方面的數(shù)據(jù)安全問(wèn)題，根據(jù)個(gè)人經(jīng)驗(yàn)，分為以下6類：

網(wǎng)絡(luò)攻擊

互聯(lián)網(wǎng)的發(fā)達(dá)不但方便了“我們”，也方便了“他們”。近年來(lái)網(wǎng)絡(luò)攻擊呈現(xiàn)向上暴增趨勢(shì)，而且越來(lái)越具有針對(duì)性，他們攻擊的目標(biāo)就是數(shù)據(jù)，尤其是企業(yè)的核心數(shù)據(jù)。正所謂無(wú)利不起早，黑客往往會(huì)對(duì)有價(jià)值的對(duì)象發(fā)起攻擊。他們通常會(huì)采用數(shù)據(jù)獲取后到黑市販?zhǔn)?，或者通過(guò)更加暴力的勒索方式讓受害者支付贖金。在大數(shù)據(jù)時(shí)代，數(shù)據(jù)安全面臨的最直接的、最頻繁的威脅就是來(lái)自網(wǎng)絡(luò)的各種惡意攻擊。

APP數(shù)據(jù)泄露

移動(dòng)辦公已成員工工作的新方式，尤其是在疫情頻發(fā)的階段，遠(yuǎn)程辦公已經(jīng)進(jìn)入常態(tài)化。便捷的辦公方式使員工可以隨時(shí)隨地輕松的接入公司內(nèi)網(wǎng)，訪問(wèn)內(nèi)網(wǎng)資源，同時(shí)也滿足企業(yè)業(yè)務(wù)發(fā)展的需求。

便捷的同時(shí)也給企業(yè)的數(shù)據(jù)安全帶來(lái)了新的風(fēng)險(xiǎn)和挑戰(zhàn)。移動(dòng)設(shè)備多為開(kāi)源系統(tǒng)，時(shí)常出現(xiàn)系統(tǒng)漏洞或者后門，其便利性的特點(diǎn)使其易丟失，給企業(yè)造成不可估量的安全風(fēng)險(xiǎn)。當(dāng)下各種APP泛濫，研發(fā)標(biāo)準(zhǔn)不一，有些APP自帶后門和惡意程序，對(duì)脆弱的移動(dòng)設(shè)備的安全使用環(huán)境造成威脅，所以在移動(dòng)辦公過(guò)程中極易發(fā)生信息泄露事件。

員工跳槽

現(xiàn)在越來(lái)越多的商業(yè)機(jī)密泄露行為主要來(lái)自內(nèi)部，過(guò)往很多企業(yè)的信息安全防御重心放在了企業(yè)外圍，如網(wǎng)絡(luò)攻擊、黑客滲透等，忽略了來(lái)自內(nèi)部的人員泄露行為。商業(yè)化競(jìng)爭(zhēng)的加劇，跳槽成為一種常態(tài)。核心人員的離職很可能直接帶走企業(yè)多年的研究成果，對(duì)企業(yè)造成嚴(yán)重影響。

內(nèi)部人員竊取

在任何的公司總有這么一些人為了個(gè)人利益出賣集團(tuán)利益，雖然入職時(shí)簽署了各種保密協(xié)議、敬業(yè)協(xié)議，但仍會(huì)為蠅頭小利竊取企業(yè)的核心數(shù)據(jù)。這類人一般都很小心，“潛伏”在公司內(nèi)部，很難被發(fā)現(xiàn)，卻時(shí)常用自身的職位權(quán)力獲取利益，一般的信息安全防御手段很難發(fā)現(xiàn)，所以對(duì)企業(yè)來(lái)說(shuō)他們具有極強(qiáng)的殺傷力。

數(shù)據(jù)災(zāi)難

數(shù)據(jù)作為企業(yè)的核心資產(chǎn)一直被嚴(yán)格保護(hù)，但是天有不測(cè)風(fēng)云，很多企業(yè)由于自身成本或者基礎(chǔ)設(shè)施的問(wèn)題，不能確保數(shù)據(jù)100%的安全。各種意外事件導(dǎo)致數(shù)據(jù)丟失也在所難免，如人為誤刪除、建筑塌陷、自然因素等。

脆弱性口令

最容易忽略的問(wèn)題，往往會(huì)造成最嚴(yán)重的事件。系統(tǒng)上的脆弱性口令直接導(dǎo)致企業(yè)核心數(shù)據(jù)的泄漏，尤其在傳統(tǒng)的制造企業(yè)。根據(jù)第三方評(píng)測(cè)機(jī)構(gòu)的數(shù)據(jù)顯示，12345這樣的密碼大量被使用，而且一般都被核心人員使用。

強(qiáng)化數(shù)據(jù)安全措施

《數(shù)據(jù)安全法》的落地，很好的指引企業(yè)該如何正確的收集數(shù)據(jù)、使用數(shù)據(jù)、流轉(zhuǎn)數(shù)據(jù)和保護(hù)數(shù)據(jù)。通過(guò)對(duì)七章節(jié)的學(xué)習(xí)和個(gè)人理解，總結(jié)出符合企業(yè)更好的落實(shí)數(shù)據(jù)安全保護(hù)的經(jīng)驗(yàn)。要更好的保護(hù)數(shù)據(jù)，確保數(shù)據(jù)安全，就要在管理和技術(shù)兩個(gè)方面下功夫，從數(shù)據(jù)的產(chǎn)生一直到消亡進(jìn)行保護(hù)。

數(shù)據(jù)安全技術(shù)

數(shù)據(jù)采集

數(shù)據(jù)采集是數(shù)據(jù)生命周期的第一個(gè)步驟，這個(gè)階段的安全重要性不言而喻，直接關(guān)系到后續(xù)工作的順利開(kāi)展。此階段有幾個(gè)點(diǎn)的安全需要重點(diǎn)考慮：

1.制定嚴(yán)格的訪問(wèn)控制策略，非授權(quán)的采集請(qǐng)求應(yīng)通過(guò)技術(shù)手段直接拒絕，確保數(shù)據(jù)采集端與信息主體處于相互信任的情況；

2.在數(shù)據(jù)采集前后采取校驗(yàn)碼等技術(shù)對(duì)數(shù)據(jù)完整性進(jìn)行校驗(yàn)，如使用數(shù)字簽名、Hash算法校驗(yàn)等方式；

3.對(duì)數(shù)據(jù)采集接口與后端進(jìn)行加密對(duì)接。

數(shù)據(jù)傳輸

數(shù)據(jù)在傳輸階段易遭到截取，甚至造成篡改。在此環(huán)節(jié)重點(diǎn)可以考慮：

1.使用https等類似的協(xié)議，使傳輸通道進(jìn)行加密，防止被惡意竊聽(tīng)；

2.通過(guò)證書或者其他手段對(duì)數(shù)據(jù)進(jìn)行加密，防止在傳輸過(guò)程中被篡改。

數(shù)據(jù)存儲(chǔ)

數(shù)據(jù)存儲(chǔ)階段保證數(shù)據(jù)不被惡意調(diào)用和訪問(wèn)，此環(huán)節(jié)重點(diǎn)可以考慮：

1.對(duì)落盤的數(shù)據(jù)進(jìn)行加密存儲(chǔ)；

2.收縮DBA權(quán)限最小化，控制數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限。

數(shù)據(jù)使用

數(shù)據(jù)使用階段要確保正確的人使用正確的數(shù)據(jù)，此環(huán)節(jié)重點(diǎn)可以考慮：

1.對(duì)核心數(shù)據(jù)通過(guò)技術(shù)手段進(jìn)行脫敏；

2.做好數(shù)據(jù)分級(jí)和分類，對(duì)數(shù)據(jù)進(jìn)行標(biāo)簽化；

3.數(shù)據(jù)的使用和流轉(zhuǎn)需進(jìn)行授權(quán)，實(shí)現(xiàn)可追溯。

數(shù)據(jù)消亡

數(shù)據(jù)消亡階段要確保數(shù)據(jù)不可被技術(shù)恢復(fù)，此環(huán)節(jié)重點(diǎn)可以考慮：

1.對(duì)存儲(chǔ)數(shù)據(jù)的硬盤要進(jìn)行不少于4次的格式化和復(fù)寫操作；

2.核心數(shù)據(jù)的硬件要進(jìn)行粉碎處理。

數(shù)據(jù)安全管理

國(guó)家層面

在大數(shù)據(jù)時(shí)代，全民數(shù)據(jù)安全意識(shí)增強(qiáng)的背景下，各個(gè)國(guó)家分別出臺(tái)了大量的關(guān)于數(shù)據(jù)安全的法規(guī)和標(biāo)準(zhǔn)，國(guó)家在2021年出臺(tái)了《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》，用于規(guī)范和合規(guī)企事業(yè)單位在數(shù)據(jù)采集、使用、流轉(zhuǎn)等多個(gè)過(guò)程中的行為，其根本目的是要提升國(guó)家數(shù)據(jù)安全的保障能力和數(shù)字經(jīng)濟(jì)的治理能力。

行業(yè)層面

隨著國(guó)家層面的關(guān)于數(shù)據(jù)安全的法律法規(guī)的落地，各個(gè)行業(yè)也開(kāi)始制定相關(guān)的管理規(guī)定和標(biāo)準(zhǔn)，對(duì)企業(yè)和政府單位的數(shù)據(jù)安全策略和數(shù)據(jù)安全體系建設(shè)情況進(jìn)行指導(dǎo)與監(jiān)督。如工信部將在國(guó)家相關(guān)法律和機(jī)制框架下，依據(jù)職責(zé)，圍繞行業(yè)數(shù)據(jù)安全監(jiān)管、提升數(shù)據(jù)安全監(jiān)管能力建設(shè)、促進(jìn)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展等幾方面開(kāi)展工作。

企業(yè)層面

作為企業(yè)要嚴(yán)格遵守國(guó)家及行業(yè)的規(guī)定，從以下幾方面對(duì)數(shù)據(jù)安全進(jìn)行管理：

1.建立數(shù)據(jù)安全管理組織或機(jī)構(gòu)，制定指導(dǎo)方針和發(fā)展策略，指明方向；

2.編制和下發(fā)各種數(shù)據(jù)安全相關(guān)的管理制度和數(shù)據(jù)調(diào)用流程；

3.對(duì)企業(yè)內(nèi)部數(shù)據(jù)進(jìn)行分類和分級(jí)，所有數(shù)據(jù)標(biāo)簽化；

4.依托中臺(tái)理念，建設(shè)企業(yè)數(shù)據(jù)中臺(tái)，實(shí)現(xiàn)數(shù)據(jù)歸一化、可復(fù)用、可視化；

5.通過(guò)運(yùn)營(yíng)的思路進(jìn)行數(shù)據(jù)安全管理，如日常的數(shù)據(jù)管理、數(shù)據(jù)監(jiān)管，指從資產(chǎn)、數(shù)據(jù)、業(yè)務(wù)、合規(guī)、事件處置、風(fēng)險(xiǎn)管理等多方面對(duì)數(shù)據(jù)進(jìn)行監(jiān)管，掌握數(shù)據(jù)安全運(yùn)營(yíng)情況。

結(jié)束語(yǔ)

信息安全本身就是一場(chǎng)永無(wú)止境的戰(zhàn)斗，而且會(huì)越來(lái)越難以取勝，數(shù)據(jù)安全的風(fēng)險(xiǎn)防御更是任重而道遠(yuǎn)，為更好的解決數(shù)據(jù)安全的問(wèn)題只有通過(guò)有效的技術(shù)措施結(jié)合管理手段，從里到外識(shí)別風(fēng)險(xiǎn)，并解決風(fēng)險(xiǎn)。深刻理解《數(shù)據(jù)安全法》，會(huì)讓企業(yè)在數(shù)據(jù)安全防御方面事半功倍。

因文章內(nèi)容有限，將不在此處詳述各個(gè)條款的內(nèi)容，只是根據(jù)個(gè)人理解，總結(jié)出若干點(diǎn)針對(duì)企業(yè)內(nèi)最為關(guān)注的重點(diǎn)條款進(jìn)行說(shuō)明，更加詳細(xì)的條款，可以詳參《數(shù)據(jù)安全法》正文。