数据被定义为新时代重要的生产要素,是国家基础性战略资源,到处都在提数据安全,可什么是数据安全?数据安全有哪些应用范畴,我国有哪些数据安全相关的立法和技术标准?
1. 背景介绍
随着大数据、人工智能、区块链、云计算等新技术和产业的快速发展,数字化数据呈指数级增长,数据共享流通、开发利用的诉求愈发强烈。由于这类数据本身存在易于复制、确权困难的特点,数据在快速释放价值的同时,数据的安全风险也与日俱增。
2. 数据安全定义
根据《中华人民共和国数据安全法》(2021年9月1日实施)的定义,数据安全是指通过采取必要措施对数据进行有效保护和合法利用,以及确保数据在使用过程中的安全性。
“数据+安全”强调的是数据的合法利用和有效保护间的动态平衡与持续保护。
数据安全涵盖多个方面,主要包括以下几个领域:
- 数据存储安全:确保数据在存储过程中不被非法访问、泄露或破坏。
- 数据传输安全:保障数据在传输过程中不受攻击和窃取。
- 数据处理安全:在数据处理过程中防止数据被篡改或丢失。
- 数据使用安全:确保数据在使用过程中不会被滥用或泄露。
此外,还包括多种类型的威胁管理,如网络攻击、恶意软件、身份欺诈等。
3. 具体应用场景
数据安全在不同行业中的应用案例非常丰富,涵盖了金融、医疗、教育、工业等多个领域。以下是几个具体的应用案例:
金融行业:包括银行、证券公司等金融机构,需要对客户信息、交易记录等敏感数据进行严格保护。
举例:多家知名金融机构如工商银行、建设银行等参与编制了数据安全治理的实践案例汇编,分享了他们在数据安全治理方面的经验。
医疗行业:涉及病历、处方、患者隐私等重要数据的保护。
举例:华山医院安全数据交换系统凭借在数据安全交换、OA集成高效办公等方面的突出表现,实现了智慧医院的应用创新。
政务行业:政府机构需要保护公民个人信息、公共数据等。
电信行业:包括通信运营商,需要保护用户通信记录、服务数据等。
教育行业:涉及学生信息、教师资料等敏感数据的保护
4. 数据安全涉及的相关技术
在技术体系方面,根据数据的重要性和敏感性进行分类和分级管理,以便采取相应的保护措施。基于数据分类分级,构建通用安全、数据全生命周期安全、平台安全的技术防护体系,明确各层级的安全技术保护要求。
其中数据生命周期安全又细分为:
- 数据采集
- 来源鉴别与标记
- 完整性校验
- 隐私政策保护
- 过度采集监测
- 数据传输
- 传输安全通道
- 传输内容加密
- 完整性校验
- 传输鉴别
- 传输网络可用性
- 数据存储
- 数据存储加密
- 存储介质安全
- 数据备份与恢复管理
- 数据使用
- 用户身份鉴别
- 数据访问控制
- 数据展示屏蔽
- 去标识化/匿名化
- 数据脱敏
- 数据加工
- 算法模型安全
- 加工过程监控
- 衍生数据分级标记
- 数据提供&公开
- 隐私计算:利用多方安全计算等技术,在不暴露原始数据的情况下进行数据分析和计算。
- 机密计算
- 去标识化/匿名化
- 数据脱敏
- 跨域安全交换
- 数据溯源标记
- 数据删除&销毁
- 超限存储匿名化
- 数据擦除
- 物理销毁
- 删除销毁验证
总之,数据安全是一个综合性的概念,涉及多种技术和策略,旨在全面保护数据的机密性、完整性和可用性,防止各种形式的数据威胁和攻击。
若想了解以上技术的更多细节,可以参阅如下文档:
- 数据安全治理白皮书 5.0.pdf (访问密码: 6277)
- 数据安全治理白皮书 4.0.pdf (访问密码: 6277)
5. 相关法律及技术标准
当前全球竞争格局持续加剧,数据安全已上升到国家安全战略层面。我国高度重视数据安全,持续出台相关法律法规,并发布10+项数据安全技术标准。
5.1. 法律法规
《网络安全法》、《数据安全法》以及《个人信息保护法》共同构成了我国数据保护的基础体系:
- 《网络安全法》:保障网络与信息安全;
- 《数据安全法》:构建数据安全治理框架;
- 《个人信息保护法》:保障个人信息权益。
若对以上法律法规具体条款感兴趣,可以打包下载法规高清文档:
- 中国网安九大法规文件汇总.zip (访问密码: 6277)
5.2. 技术标准
若对以上技术标准细节感兴趣,可以打包下载技术标准的高清文档下载链接:
- 网络安全国标分类汇总.pdf (访问密码: 6277)
5.2.1. 通用数据安全
- GB/T 41479-2022 信息安全技术 网络数据处理安全要求
- GB/T 35273-2020 信息安全技术 个人信息安全规范.
- GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型
- GB/T 43697-2024 数据安全技术 数据分类分级规则
5.2.2. 政务数据安全
- GB/T 39477-2020 信息安全技术 政务信息共享 数据安全技术要求
5.2.3. 大数据安全
- GB/T 37973-2019 信息安全技术 大数据安全管理指南
- GB/T 42447-2023 信息安全技术 电信领域数据安全指南
5.2.4. 隐私保护
- GB/T 39725-2020 信息安全技术 健康医疗数据安全指南
- GB/T 41773-2022 信息安全技术 步态识别数据安全要求
- GB/T 41806-2022 信息安全技术 基因识别数据安全要求
- GB/T 41807-2022 信息安全技术 声纹识别数据安全要求
- GB/T 41819-2022 信息安全技术 人脸识别数据安全要求
- GB/T 42012-2022 信息安全技术 即时通信服务数据安全要求
- GB/T 42013-2022 信息安全技术 快递物流服务数据安全要求
- GB/T 42014-2022 信息安全技术 网上购物服务数据安全要求
- GB/T 42015-2022 信息安全技术 网络支付服务数据安全要求
- GB/T 42016-2022 信息安全技术 网络音视频服务数据安全要求
- GB/T 42017-2022 信息安全技术 网络预约汽车服务数据安全要求
5.2.5. 移动应用数据安全
- GB/T 41391-2022 信息安全技术 移动互联网应用程序(App)收集个人信息基本要求
- GB/T 43739-2024 数据安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南
- GB/T 42582-2023 信息安全技术 移动互联网应用程序(App)个人信息安全测评规范