English | 中文

联系我们

  • 联系人:北京炼石网络技术有限公司
  • 电话:010-88459460
  • 地址:北京市海淀区北三环西路32号楼7层0710-1
  • 邮编:100097

您现在的位置: 企业动态

炼石白小勇:实战合规辩证统一,双轮驱动数据安全(附下载)

数据要素开发利用创造巨大价值,数据跨境是重要场景之一。数据在互联互通的平台间自由流动,不会被地域局限,安全边界无限扩大。一方面,数据跨境流动是数字经济时代的贸易命脉,是数据价值创造的必要一环。另一方面,数据跨境监管可能触发全球价值链“共振” ,已然成为地缘政治谈判的一部分。数据流动限制的管辖带来挑战的同时充斥着不确定性,在数据跨境转移方面各国极其复杂且牵涉广泛的国家利益投射在法律制度层面的博弈与较量。

近日,ISACA北京社区邀请国内外行业专家,共同为社区成员带来时下国际最热事件分享,共同探讨全球数据隐私话题。炼石网络创始人、CEO白小勇受邀,分享《实战化数据保护思考与实践》议题,从监管重建数据秩序改变价值分配,实战合规辩证统一推动数据保护,回归数据处理视角解构数据安全,切面数据安全技术打造实战保护等多个角度,对数据保护落地实践进行分享。

关注本公众号(或从微信中搜索公众号:炼石网络CipherGateway)并后台回复关键词“炼石就是数据安全062 ”,即可打包下载《实战化数据保护思考与实践》主题演讲PDF版高清文件。



一:监管重建数据秩序,改变价值分配


数据利用伴随人类文明几千年,当下成为经济增长强劲动能。数据开发利用伴随人类文明发展几千年,如苏美尔人的原始楔形文字泥板(约公元前3000年)、殷商甲骨文(约前1600年),数据的利用见证了人类文明的变迁。进入数字经济时代,数据被正式当做一种新的生产要素提出。2020年4月,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,提出“加快培育数据要素市场”。“十四五时期”,基于数据的数字经济正逐步成为增长新动能,我国数字经济发展正转向深化应用、规范发展、普惠共享的新阶段。面对新时期新形势新挑战,数字经济在培育发展新动能,提升经济质量效益大有可为。




监管持续加强,数据安全有法可依。我国在早期信息化和PC互联网时代,数据安全处于“弱监管时代”,发展到如今的移动互联网、数字经济时代,《网络安全法》《密码法》《数据安全法》《个人信息保护法》等法律法规陆续出台实施,形成数据安全有法可依新局面;2023年3月,国务院机构改革方案议案通过,组建国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,数据监管将实现进一步强化。

二:实战合规辩证统一,推动数据保护



实战与合规辩证统一,推动数据安全建设。“实战”是检验安全能力的唯一标准,可以通过数据安全攻防演练等方式来验证数据安全防护效果。但实战对抗的成本非常之高,绝大部分的企业或机构难以投入足够匹配的资源支撑安全实战对抗,而“合规”可以将偶发的、高技术水平的对抗风险,转化成常态的、可重复验证的非对抗风险。进一步的,数据安全合规可以分为“过程合规”与“结果合规”。例如,可通过商用密码应用安全性评估(密评) 等技术测评保障过程合规,通过个人信息保护认证(PIP)、数据安全管理认证(DSM)、移动互联网应用程序(APP)安全认证等保障结果合规。

从“目的与手段”思考数据安全内涵。数据安全需求可大致分为占有、控制、安全三个层次,占有是指数据的所有权,控制是指数据的管理,安全是指数据的防护。其中占有和控制可以通过数据交易审核、重要数据保护目录、安全影响评估等合规治理手段实现,而安全则需要通过数据加密、去标识化、应急响应、自动化数据分类分级等实战技术手段实现,总得来讲,只有实战合规辩证统一才能更有效推动数据保护。

三:回归数据处理视角,解构数据安全


数据处理技术在当代迎来技术革命。数据处理与数据安全技术相辅相成,数据处理技术的发展带动着数据安全技术的变革。从技术发展角度来讲,随着云计算、边缘计算、人工智能等技术的发展和深度应用,数据处理技术在当代正迎来技术革命。

从业务视角重新思考数据安全。传统认为,安全和业务是关联的,有时候对立。但换个角度,安全其实也是一种业务需求,“传统业务需求”侧重于“希望发生什么”,而“安全需求”则侧重于“不希望发生什么”,从而确保“发生什么”。结合到企业或机构的信息系统中,数据安全则来自于业务处理中的风险映射。落地数据安全,必须将数据安全能力融入复杂的业务流程中。可以发现,凡是有数据流转的业务场景,都会有数据安全的需求产生。由于数据安全需求源自业务处理的风险映射,安全边界也就取决于业务边界,而今天的数据复杂处理场景几乎没有边界,使得数据安全需求也很难有边界且极为复杂。

回归数据处理技术栈,解构数据安全。因此,我们在思考数据安全如何去做的时候,需要回归到数据处理技术栈,比如,密码技术就可以覆盖到数据处理的各个关键环节,从而保障数据处理的安全高效。炼石梳理总结了20种密码应用防护模式,能够覆盖数据处理的身份鉴别及密钥管理、数据传输(通信安全)、数据存储(数据资产安全)、数据使用(数据共享与安全兼得)等场景。进一步来看,数据处理技术栈与数据安全技术相结合,就等于构建了覆盖数据处理各环节数据安全风险的技术防护体系。

四:切面数据安全技术,打造实战保护