《密码定义数据安全》
数据安全专家张念彬
从释放数据价值角度出发,2022年6月22日,中央全面深化改革委员会通过《关于构建数据基础制度更好发挥数据要素作用的意见》文件,以下简称《数据二十条》。围绕促进数据合规高效流通使用,赋能实体经济一条主线,以数据产权制度为基础,流通和交易制度为核心,收益分配制度为动力,安全治理制度为保障,搭建了数据基础制度的四梁八柱。做强做优做大数字经济,赋能传统产业转型升级,推进全面深化改革迈进,全民共享数字经济发展红利和推动构建人类命运共同体。
2021年9月1日正式实施的《数据安全法》第二章规定:国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。数据要素化时代,发展和安全相互依存,又相互制约。安全是发展的前提,发展是安全的保障。数字经济和数字安全是数字中国的驱动之双轮,网络安全和数据安全是数字经济的驱动之双轮。在《数据二十条》中,强调要把安全贯穿数据治理全过程,守住安全底线,明确监管红线。要构建政府、企业、社会多方协同治理模式,强化分行业监管和跨行业系统监管,压实企业数据安全责任。
为了促进数字经济的发展,2023年10月,国家数据局正式成立。负责协调推进数据基础制度和数据基础设施建设。数据基础设施是从数据要素价值释放的角度出发,在网络、算力等设施的支持下,面向社会提供一体化数据汇聚、处理、流通、应用、运营和安全保障服务。为推动数据要素市场发展,作为探索数据财政创新模式的重要抓手,2023年8月,财政部发布了《企业数据资源相关会计处理暂行规定》,加强数据要素市场培育,推动数据财政转型,带动企业数据管理水平提升,优化企业财务报表,提高企业的投资吸引力,使企业数据资源合理变现成为可能。
为了确保数据要素的安全,国家也相继颁布了五法一典三条例,三评一测两认证。以《网络安全法》、《数据安全法》和《个人信息保护法》三驾马车为引领,结合《国家安全法》、《密码法》、《网络数据安全管理条例》、《关键信息基础设施安全保护条例》和《商用密码管理条例》,提出了等保2.0、关保、密评、数据安全管理认证、个人信息保护认证等评测要求,对数字经济的发展保驾护航。
数据安全包括数据环境的安全、数据自身的安全、数据处理安全和数据要素安全。在《网络安全法》、《数据安全法》和《网络数据安全管理条例》等法律法规中,都强调了分类分级的问题。要求将数据按照核心数据、重要数据和一般数据的原则决定防护级别。在《数据安全能力评估要求》(征求意见稿)中,要求从管理能力和技术能力两个方面保障数据要素的安全。管理能力包括组织架构及人员保障、数据使用分级管控、第三方管理和数据安全工作自评估;技术能力包括数据资产与数据识别、权限管理与操作规范、数据防泄漏及溯源、重要及敏感数据保护、业务流量风险监控、敏感操作发现等。在《数据安全能力成熟度模型》(GB/T37988)标准中,也从组织建设、制度流程、人才能力和技术工具四个维度,数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁等6个数据生命周期,合计576个基本实践中判断数据安全能力成熟度。
数据要素化包括数据资源化、数据资产化和数据资本化,无论哪一个过程中,都离不开数据安全防护体系的的构造,也需要基于数据生命周期和数据要素化各环节构建完整的安全防护体系。无论是数据安全防护体系的打造,还是数据安全保护评估要求和能力成熟度评估中,密码都是基础和关键技术,在身份认证、访问控制、数字签名、传输加密、存储加密、隐私保护等方面发挥重要作用。
作为中国领先的数字安全厂商,吉大正元依托自身在密码技术、身份与信任领域积累的技术优势和实践经验,赋能数字经济双轮驱动的数据安全和网络安全,首次提出 “密码定义数据安全”的理念和架构体系。不仅能够带来数据安全防护上的全面提升,更能够在合规、创新、治理各个环节提升整体数字安全能力,为数字经济注入正元安全基因,为建设数据安全新生态贡献正元力量。