《十四五规划》与数据安全
星期二, 四月 6, 2021
随着全球数字经济的快速展,我国已进入大数据时代,对数据要素掌控和利用能力,已成为衡量国家之间竞争力的核心要素。3月12日,新华社公布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》,“网络安全”一词文中出现了14次,“数据安全”出现了5次,“数据要素”出现了4次,网络安全、数据安全已成为国家、社会发展面临的重要议题。
面对数字经济迎来新的发展机遇同时,国内外数据安全的形势不容乐观,根据公开报道,2020年全球数据泄露的平均损失成本为1145万美元,2019年数据泄露事件达到7098起,涉及151亿条数据记录,比2018年增幅284%,数据泄漏事件影响大、损失重。
数据安全是数字经济的零因子,零乘以亿万等于零,未来如何做好数据安全建设?正如安恒信息首席科学家刘博所言,建议政企在推进数据安全能力建设时,应关注三个关键方面:管理体系、技术体系、运营体系,管理体系是保障,技术体系是核心,运营体系是执行和持续优化,打牢数据安全的“地基”。
在“十四五”规划中,关于国家安全战略层面,“坚持总体国家安全观,实施国家安全战略,维护和塑造国家安全,统筹传统安全和非传统安全,把安全发展贯穿国家发展各领域和全过程,防范和化解影响我国现代化进程的各种风险,筑牢国家安全屏障。”
作为国民经济和社会发展的风向标,“十四五”规划和2035年远景目标纲要里,数据安全建设融入到各个篇章中,对建设数字化中国和打造网络安全强国做出了重要部署。
第十五章 打造数据经济新优势
摘要:充分发挥海量数据和丰富应用场景优势,促进数字技术与实体经济深度融合,赋能传统产业转型升级,催生新产业新业态新模式,壮大经济发展新引擎。
解读:“十四五”规划中,将“加快数字化发展 建设数字中国”作为独立篇章,为了进一步打造数字经济新优势,数据安全产业已经在国家政策层面确定为国家安全战略的一部分,未来,在多个重点领域包括云、大、物、工、智等7大产业将开展试点示范,这意味着中国的数据安全产业规模将会持续保持快速稳定的增长,并将推动数据治理、数据要素安全管控等技术的长足发展。
第十七章 提高数字政府建设水平
摘要:建立健全国家公共数据资源体系,确保公共数据安全,推进数据跨部门、跨层级、跨地区汇聚融合和深度利用。
解读:随着近年来,“最多跑一次”、“网上办”、“掌上办”等政务应用改革建设,数字政府逐渐在提高效率办事、减少行政成本、改善营商环境等方面取得了良好成绩。随着数据政府建设水平的进一步提高,必然推进推进数据跨部门、跨层级、跨地区汇聚融合和深度利用,这其中首要且必要的环节为“如何保障公共数据安全”?公共数据体量巨大、浩如烟海,并且大量存在于政务数据中。不同的公共数据,其安全管理、信息保护、开发应用的要求,均存在较大的差异。如何从海量的政务数据中分离出公共数据?涉及到数据分类课题;公共数据开放的安全管理要求,如浙江省的公交线路概要数据,任何人都可以下载利用,属于安全管理要求较低的信息,但公交车的行使线路和到站情况等实时数据,属于动态、持续性的数据,对使用场景和数据监管都有严格的要求,这又涉及到数据分级课题;当然这其中还会涉及数据的数据确权、脱密、脱敏等一系列的数据安全能力要求。如何平衡好信息保护和数据流动之间的关系,在安全合规的前提下实现数据开放共享?将是未来很长一段时间公共数据安全深入研究和建设的方向。
第十八章 营造良好数字生态
摘要:加强涉及国家利益、商业秘密、个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护。完善适用于大数据环境下的数据分类分级保护制度。加强数据安全评估,推动数据跨境安全有序流动。
解读:早在5年前国务院发布的《促进大数据发展行动纲要》中已将“加快政府数据开放共享,推动资源整合,助力经济转型”作为主要任务。2020年04月9日,中共中央国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》(简称《意见》)正式公布,首次将数据作为一种新型生产要素,强调要加快培育数据要素市场,推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护。在“十四五”规则中,进一步部署“营造良好数字生态”。可见数据要素的市场化已经成为我国的基本数据战略。推动数据要素的市场化发展,营造良好的数字生态,需要从制度、技术、基础研究和产品各个维度强化深度合作,并将持续推动个人隐私保护、数据分类分级、数据安全评估等多个领域的快速发展。
第二十章 建设高标准市场体系
摘要:发展技术和数据要素市场。健全要素市场运行机制,完善交易规则和服务体系。深化公共资源交易平台整合共享。
解读:在1个多月前,中共中央办公厅 国务院办公厅印发《建设高标准市场体系行动方案》(简称行动方案),提出我国将通过5年左右的努力,基本建成统一开放、竞争有序、制度完备、治理完善的高标准市场体系,并明确要求加快培育数据要素市场。数据作为生产要素进入市场,意味着更为完善的数据安全法律规范、制度标准将被陆续制定并颁布执行。对重点领域的数据资源、信息资源等的保护也将会更为严格的依法治理。
第五十二章 加强国家安全体系和能力建设
摘要:坚定维护国家政权安全、制度安全、意识形态安全,全面加强网络安全保障体系和能力建设,切实维护新型领域安全,严密防范和严厉打击敌对势力渗透、破坏、颠覆、分裂活动。
解读:“十四五”规划中,明确要求切实维护新型领域安全,数据安全作为新型领域,其保障体系和能力建设同时关乎国家安全,数据安全是对国家安全的有力维护。
对于IT和信息安全从业人员来说,数据安全是最艰巨的任务之一。每年,各种规模的公司都会在IT安全中投入大量预算。当前各行各业都在探索如何安全、高效的做好本行业数据安全的建设,由于数据类型的复杂性和应用场景的多样性,目前为止,还没有行业通用的数据安全标准和模型。关于数据安全能力的建设,安恒信息首席科学家刘博提到,在业务层面,应当考虑建设包含预防、发现、消除泄密隐患为主的数据安全关体系;在技术层面,应当考虑建设数据风险核查能力、数据梳理能力、数据保护能力以及数据威胁监控预警能力4大核心数据能力的建设;最终建立“数据安全运营”的全过程自适应安全支撑能力,直至达到整体智治的安全目标。
1、建立健全管理组织体系和组织架构
企业数据安全管理的成败,主要取决主要领导是否重视,是否建立了一套完善数据安全管理组织,这是数据安全的重要保障。要形成“管理层重视、一把手负责、全员参与”的管理模式。
2、建立完善的数据安全技术体系和落地
传统方式已经无法适应新时代数据安全需要,面临安全的新态势、新要求,在继续做好业务安全的基础之上,通过智能化管理平台,在技术层面实现对风险核查(Check)能力、数据梳理(Assort)能力、数据保护(Protect)能力以及数据威胁监控预警(Examine)能力4大核心能力的建设,在业务层面,实现对数据采集、传输、存储、处理、交换、销毁全生命周期的管理。
3、引进下一代技术,实现流程自动化
人工智能和机器学习将是未来数据安全工作的关键,目前,多数大型企业正在寻求使某些法规遵从流程自动化,包括数据定位和提取,自动化是大型企业保持对大量存储在数据中心和云中的结构化和非结构化数据兼容的唯一方式。
对于数据安全能力建设较为薄弱的企业,建议考虑零信任模式作为一种安全策略,有了“零信任”,企业将着眼于数据管理的整个生命周期,并将关注点从数据安全本身扩展到企业整体信息安全框架。
三、关于数据要素市场化的安全建设的思考
数据要素市场化是当前数字经济最热点的话题,如何实现数据要素安全、高效的共享开放,刘博谈到,个人隐私保护、敏感数据使用、数据确权等难题都成了数据要素市场化的“拦路虎”,我们可以通过引入“数据安全岛”模式,利用安全计算沙箱、安全多方计算、区块链等技术,实现原始数据不出本地,只交换计算结果,做到数据共享的“可用不可见”,解决数据信任和隐私保护、溯源等难题,让流动的数据成为驱动数字经济发展的新动能。
四、数据安全的未来
从2015年,国务院发布的《促进大数据发展行动纲要》开始,2018年国务院发布《科学数据管理办法》,2020年国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,2021年“十四五”规划的发布。政策导向明确,数据安全的赛道清晰,数据安全在未来仍将是一个重大挑战,但人工智能、机器学习和零信任模型的创造性应用将帮助IT和信息安全从业保护数据,以及确保个人隐私得到保障,助力国家数据安全战略落地实施。
我国“十四五”规划、“新基建”等政策将持续深入推进数据要素安全管控和市场化,提升社会数据资源价值,相信随着“十四五”规划的落地推进,数据资源将会迸发出更强的活力。安恒信息站在时代与理论的前沿,提出以“CAPE”数据安全能力框架为核心的数据安全管控体系,包含数据安全管控、安全可控数据流通、安全可信融合计算三大核心能力,实现数据“可用不可见”的安全目标,将会持续为数字经济产业的培育发展贡献力量。
安恒信息
杭州安恒信息技术股份有限公司成立于2007年,产品及服务涉及应用安全、大数据安全、云安全、物联网安全、工业控制安全及工业互联网安全等领域。公司秉承“助力安全中国、助推数字经济”的企业使命以“诚信正直,成就客户,责任至上,开放创新,以人为本,共同成长”作为企业的价值观,不断提高核心技术创新能力,致力于成为一家具有优秀企业文化和社会责任感的新时代网络信息安全产品和服务提供商。
如有侵权请联系:admin#unsafe.sh