1. 發展數據安全是必然趨勢

2022年6月，在中央全面深化改革委員會第二十六次會議上，***強調，“數據基礎制度建設事關國家發展和安全大局，要維護國家數據安全，保護個人信息和商業秘密，促進數據高效流通使用、賦能實體經濟，統籌推進數據產權、流通交易、收益分配、安全治理，加快構建數據基礎制度體系”。指出要建立數據產權制度，推進公共數據、企業數據、個人數據分類分級確權授權使用，建立數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制，健全數據要素權益保護制度。

同時，國家層面持續加強數據安全戰略指引、頂層設計和政策發力，數據安全重視程度持續上升，將數據安全和個人信息保護提升到了國家戰略高度，大力推動加強數據安全保護，維護公民、組織的數據合法權益。海泰方圓認為，發揮數據的基礎資源作用和創新引擎作用，推進數據資源開放和開發利用是時代的必然趨勢。

2. 展望數據安全的發展需求

隨著各行業的信息化水平快速發展，數據作為核心資產的價值也越發凸顯，為了保障政企單位信息化的發展成果和實現數據驅動業務的數字化治理，數據資產需要通過合理的處理手段保證其安全，由于應用互聯互通更廣泛、數據融合和共享程度更高、網絡接入方式更多樣化，政企單位普遍面臨如下需求：

1) 加強整體統籌規劃。依據數據安全相關法律法規、標準規范等國家和行業合規要求，結合數據安全現狀，規劃、建設數據安全能力體系的數據安全治理總體框架，解決碎片化、被動式的安全建設思路帶來“數據孤島”問題。

2) 細化數據安全策略設置。需要實現安全保護和高效利用的兼顧，從數據價值、數據類型和重要程度多個維度對組織數據資產進行分類分級，并根據影響程度采取不同的管控措施。

3) 提高安全治理自動化水平。需要針對重要數據資產建立常態化的安全運營機制，通過自動化的監測技術手段，管控數據流動風險。

4) 整合多種數據安全保護手段。在數據全周期中采用有效的數據安全保護技術，集中管理數據加密、數據脫敏、數據庫審計等安全工具，實現數據安全聯防聯控。

鑒于以上需求，海泰方圓融合多年的密碼技術積累和政企數據服務經驗，創新推出了數據安全治理“立體式”框架。

3. 海泰方圓數據安全治理“立體式”框架

數據安全的內涵不僅局限于安全技術層面，還需要圍繞數據全生命周期的安全，涉及全流程制度制定、體系化技術實現等一系列工作集合。根據數據安全的實際需求和當前發展狀況，目前已經有很多數據安全的模型體系。海泰方圓數據安全立體式框架參考DGI框架、IBM框架，并結合DSMM模型，將零散的數據需求容納集中，從數據分類分級維度，數據生命周期維度和數據安全技術維度對數據進行安全治理。數據立體式框架覆蓋“數據全生命周期”的采集、傳輸、存儲、處理、交換、銷毀六個環節，并圍繞各個周期數據安全的脆弱性，根據面臨的各種風險制定針對性的解決方案。實現以數據驅動發展，提升數據資產價值，同時為“讓數據使用更安全”奠定數據治理基礎。

3.1. 數據分類分級維度

數據資產保護的核心在于數據分類分級。以數據分類分級為基礎，對數據進行等級劃分，從而為組織數據的匯聚、開放和共享安全策略制定提供支撐的過程。

參照《網絡安全標準實踐指南－網絡數據分類分級指引》，海泰方圓提出數據分類分級治理思路：

數據分類是數據分類分級保護的前提。數據分類按照一定的原則和方法對數據進行區分和歸類，主要目的是便于數據管理和使用。數據分類是數據保護工作中的一個關鍵部分，是建立統一、準確、完善的數據架構的基礎。

在完成數據分類后，數據處理者應當遵循數據分級的基本原則，制定個性化的數據分級保護策略。數據分級指在數據分類的基礎上，采用規范、明確的方法區分數據的重要性和敏感度差異，將數據從非敏感到非常敏感分為五個級別，從而為組織數據的開放和共享安全策略制定提供支撐的過程。

3.2. 數據生命周期維度

圍繞著數據采集、傳輸、存儲、處理、交換、銷毀全生命周期進行全面建設，以提高全方位數據安全治理能力。

(1) 數據采集安全

針對不同安全級別的數據，采取不同的安全保護，防止敏感信息被損毀、誤用和非授權訪問，保障敏感信息的保密性、完整性和可用性。必要時應采取加密技術保證采集過程中的數據不被泄露。相關技術包括身份認證、訪問控制、數據分類分級、數據脫敏等。

(2) 數據傳輸安全

數據傳輸安全是指為防止傳輸過程中的數據泄漏而采取的防護措施。數據傳輸安全防護包括數據機密性、完整性和真實性保護，傳輸數據機密性保護用于保證數據傳輸時不被非法獲取，傳輸數據完整性保護用于保護數據傳輸時不被非法篡改，傳輸數據真實性保護用于保護傳輸數據來源的真實可靠。通過IPSec/SSL VPN綜合安全網關將密碼運算過程封裝在其內部完成，為應用程序的安全遠程接入服務，企業各分支機構局域網之間的端對端數據安全傳輸、安全訪問，提供數據真實性、完整性保護等安全保障。

(3) 數據存儲安全

數據存儲特別是敏感信息存儲的安全在數據生命周期中占有很重要的位置，數據創建以后如果沒有進行安全的存儲，則極易引發泄露和丟失。數據保存應確保在安全的環境中，在需要的情況下還應該加密存儲，同時還需要防止存儲的敏感數據被篡改。相關技術方法包括數據加密和數字簽名以及數據存儲備份等。

(4) 數據處理安全

數據只有經過分析處理，才能將其中有價值的知識挖掘出來，同時，需要在保護隱私前提下對數據進行分析處理，限制對大數據中敏感知識的挖掘。處理包括數據脫敏等防泄漏技術方法。

數據脫敏處理的執行范疇依據國家和本行業數據安全法規的規定，包括針對敏感信息、個人信息、客戶數據等在數據生命周期相關環節中的脫敏要求和去標識化要求。執行點包括但不限于對數據在處理、使用、訪問、分享時的竊取、濫用風險防護，和對開發、測試、運維、分析等非生產環境或外包環境中的敏感、隱私數據保護。

(5) 數據交換安全

數據是國家重要的基礎性戰略資源，然而，數據濫用等問題，嚴重阻礙了數據共享使用的發展。一方面，在數據使用環節，數據的查詢、訪問過程中，不嚴格的權限訪問將導致數據泄漏；另一方面，在數據共享開放環節，數據資源跨部門、跨域共享使用，不可避免地導致數據被各使用方存儲使用，其中任何一個使用方措施不當，都可能導致數據泄漏。如何保證數據的使用安全？這方面方法主要集中在安全訪問控制、隱私保護等技術方面。

訪問控制是數據安全的一個基本組成部分，它規定了哪些人可以訪問和使用數據資源。通過身份驗證和授權，訪問控制策略可以確保用戶的真實身份，并且擁有訪問數據的相應權限。

隱私保護技術包括安全多方計算、同態加密、差分隱私、機密計算等技術，通過隱私計算技術可實現數據的“可用不可見”，保證數據在使用的同時不泄漏隱私信息。

(6) 數據銷毀安全

數據的安全銷毀也是數據安全的一個重要環節。數據銷毀應保證數據無法還原，并且具備安全審計能力，應提供數據銷毀過程的安全審計功能，審計覆蓋到各系統每個用戶，對數據銷毀過程中的重要用戶行為和重要安全事件保留審計日志并進行審計。數據庫審計系統通過對數據庫操作、訪問用戶，及外部應用用戶的審計，來幫助用戶事后生成合規報告、事故追根溯源，同時通過大數據搜索技術提供高效查詢審計報告，定位事件原因，以便日后查詢、分析、過濾，實現加強內外部數據庫網絡行為的監控與審計，提高數據資產安全。

3.3. 數據安全技術維度

數據安全治理“立體式”框架以數據為中心，融合多種安全技術，構建全方位的數據安全技術體系。通過N種場景中每一個具體、明確的數據安全技術點，對數據安全進行監管并滿足合規需求。完善的數據安全技術點能夠為數據安全提供可行性保障，企業在技術工具的布局與應用方面加強數據安全技術規劃，防護布局由多個“點”形成多個維度，進一步構成“立體式”架構。

密碼技術是網絡安全的基礎和核心，是解決網絡與信息安全問題最有效、最可靠、最經濟的手段。海泰方圓能夠提供全品類的密碼軟硬件產品，能夠提供統一的、完整的、可擴展的密碼服務，實現對數據的真實性、機密性、完整性保護和對操作行為的抗抵賴。在數據安全領域，密碼技術用于滿足數據全生命周期的存儲、應用、共享流通等各個環節的安全需求，并兼顧數據安全性與可用性的平衡。

(1) 數據全周期安全管控平臺通過NLP技術為企業提供安全支撐

數據資產梳理和分類分級是數據安全治理的基礎環節。海泰方圓數據全周期安全管控平臺聚焦于數據的細顆粒度安全保護，全面掌握全域敏感數據資產分類、分級及分布情況，利用NLP技術有效監控敏感數據流轉路徑和動態流向，通過集中化數據安全管控策略管理，實現數據分布、流轉、訪問過程中的態勢呈現和風險識別。

(2) 隱私計算服務系統利用同態加密技術實現數據“可用不可見”

使用同態加密技術，用戶對密文進行運算后再解密得到的結果與直接對明文進行運算得到的結果一致，能夠避免第三方在運算過程中需要解密密文而導致的用戶敏感信息泄露，是解決多方安全計算問題的重要手段。海泰方圓隱私計算服務系統基于同態加密技術，提供了基礎數學運算能力和復雜場景的多方聯合計算能力，確保處理的過程中數據全程保持加密狀態，實現數據“可用不可見”，適用于解決多組織聯合數據運算和分析情況下的數據安全問題。

(3) 數據脫敏系統基于保留格式加密技術保護企業敏感數據

保留格式加密是一種特殊的對稱密碼算法，其特征表現為加密后的密文與明文具有相同的格式，密文與明文處于相同的消息空間。海泰方圓數據脫敏系統利用保留格式加密技術，能夠在保留原有數據的有效信息特征的情況下，通過對部分數據進行遮蔽、替換、混淆等方法，對數據中敏感信息進行數據的變形，實現敏感隱私數據的可靠保護。

(4) 數據庫加密系統采用數據透明加密技術滿足等保合規要求

數據透明加密技術是指對用戶來說無需更改現有的應用系統和操作習慣。當用戶通過應用程序訪問數據庫時，得到的是明文數據，而未授權的用戶通過非法手段訪問數據庫得到的都是密文數據。海泰數據庫加密系統為數據庫數據提供加密存儲、訪問控制增強、應用訪問安全、三權分立等功能。系統提供主動的數據安全防御機制，防止明文存儲引起的數據泄密、突破邊界防護的外部黑客攻擊和內部高權限用戶的數據竊取行為，同時防止繞開合法應用系統直接訪問數據庫的外部攻擊和竊取，從根本上解決數據庫數據的存儲安全問題。

通過構建數據安全治理立體式框架，逐步有序地打通了數據堵點，實現了數據的匯聚、共享、開放，構成全面的、立體的數據安全環境。

結束語：

海泰方圓緊跟國家戰略和行業發展趨勢，基于多年的密碼能力，在保障數據安全的前提下，持續打造并不斷沉淀安全產品和服務能力，為用戶提供數全周期安全管控、數據安全態勢感知、數據加密、數據脫敏、數據庫審計、國密瀏覽器等全方位數據安全保護服務。

審核編輯 黃昊宇