石 CipherGateway C Ciph 2022数据安全与个人信息保护 技术白皮书 V1.0.0 北京炼石网络技术有限公司 2022.09.01 声明 北京炼石网络技术有限公司对本《白皮书》内容及相关产品信息拥有受法律 保护的著作权，未经授权许可，任何人不得将《白皮书》的全部或部分内容以转 让、出售等方式用于商业目的使用。转载、摘编使用本《白皮书》文字或者观点 的应注明来源。《白皮书》中所载的材料和信息，包括但不限于文本、图片、数 据、观点、建议等各种形式，不能替代律师出具的法律意见。违反上述声明者， 本公司将追究其相关法律责任。《白皮书》撰写过程中，为便于技术说明和涵义 解释，引用了一系列的参考文献，内容如有侵权，请联系本公司修改或删除。 北京炼石网络技术有限公司 联系电话：010-88459460 邮箱: [email protected] 2 前言 数字经济是继农业经济、工业经济之后的主要经济形态，事关国家发展大局， 而数据安全作为促进数据开发利用和产业发展的基础支撑，是推动以数据为关键 要素的数字经济高质量发展的基石。数字时代，如何构建数据安全体系，增强数 据保护能力，提升数据治理水平，成为事关企业生存发展的重大战略问题， 国家高度重视数据安全发展。2021年9月1日，我国第一部数据安全领域 的专门法律《数据安全法》正式施行。该法与《网络安全法》《密码法》《个人 信息保护法》等一起构建了数据安全法治化发展的基本体系，引导和鼓励各行业 完善数据安全工作机制，推动数据安全技术产品、应用范式、商业模式协同创新 健全数据安全生态体系，不断壮大数据安全产业规模。当下，企业数据安全建设 需求迫切，但实际落地中又倍感头绪万干、无从下手。值此《数据安全法》施行 一周年之际，炼石正式发布《2022数据安全与个人信息保护技术白皮书》（简 称“《白皮书》”），立足全球数据安全态势和法规要求，总结数据安全发展新 阶段涌现的新技术、新应用，尝试从用户视角分析数据安全建设的出发点、建设 目标、建设路径、以及预期投入与回报，以期为各行业数据安全从业人员提供参 考。 业务风险驱动数据实战保护。伴随着数字经济蓬勃发展，数字产业化迫切需 要数据安全能力，产业数字化转型带来数据安全新需求。《白皮书》全面梳理了 数据收集、存储、使用、加工、传输、提供、公开、删除等数据处理环节中实际 发生的数据安全事件，包含信创安全可控、数据跨境流动、新兴技术送代、产业 结构优化等领域潜在风险，综合分析影响企业生存发展的数据安全威胁，探索明 确数据安全的覆盖范围和建设方向。 法规监管划定数据安全基线。当前，数据主权成为继边防、海防、空防之后 另一个大国博奔的空间，尤其在俄乌冲突、中美摩擦等复杂多变的国际局势下， 强化数据安全在全球视角下的合规建设已成为共识。《白皮书》系统梳理了我国 的数据安全立法监管发展路径，并总结欧洲、北美洲、南美洲、亚洲、大洋洲、 非洲六大洲，包括美国、英国、欧盟、德国、法国、日本等14个国家或组织的 数据安全相关法律法规，从各国立法总体情况、法律位阶、法律关系、各法定位、 内容要点等维度进行分析，以期助力企业从全球视野，对各国法规划定的基线以 及各国差异有总体性了解。 安全建设围绕一实战双合规。实战与合规辩证驱动安全发展，实战检验了合 规建设的成效，合规降低了实战对抗的落地成本。从应用系统看，复杂的数据开 发利用场景对攻防对抗提出极高要求，而安全合规将这种偶发的、高技术水平的 对抗风险，转化成常态的、可重复验证、可被审计的非对抗风险，显著降低安全 手段使用门槛。此外，安全合规也解决了“外部经济学”中的消费方与受益方不一 致问题，强制要求数据处理者加强数据保护。在风险驱动和合规要求下，企业数 据安全需求从被动应对，升级为主动建设。《白皮书》立足企业数据安全建设目 标，分析“一实战、双合规”的实现路径，以合规遵循为起点，以实战对抗为导向， 通过“密评”定义密码技术基线，通过DSM数据安全管理认证等全面保障数据合 规，构建实战化的数据安全防护体系。 数据保护演进新框架新战法。《白皮书》介绍了典型技术理念和架构、数据 安全新框架、数据安全新战法。“典型技术理念和架构”分析了零信任、内生安全， 内置式安全、安全平行切面等与数据安全之间的互生互联关系，并介绍了 GARTNER、信通院等提出的技术架构。“数据安全新框架”着重论述了应对式到 主动式防御的叠加演进、网络与数据并重的安全建设、经典网络攻防对抗框架 ATT&CK、数据安全技术框架DTTACK、网络与数据一体化叠加演进、切面安 全提升防守资源效率等理念。“数据安全新战法”则以简单堆叠防护技术、“一招 制敌”的思考为切入点，重点介绍体系化对抗以及多维递进式纵深防御等层层递 进、协同联动的新战法。 技术框架覆盖事前事中事后。《白皮书》迭代更新DTTACK数据安全技术 框架内容，从识别（I）、防护(P）、检测(D）、响应（R）、恢复（(R）、反 制（C）、治理（G）七大方面扩充了相应的战术和技术，形成38个技术、110 个扩展技术、161个方法，围绕数据全生命周期安全，覆盖事前、事中、事后， 以期为各行业数据安全建设提供技术与工具参考 数据安全落地分阶段抓效果。数据安全体系建设是系统工程，并非“一朝一 夕”可以完成，企业须综合考量实战和合规的现实要求，开展数据安全整体规划 做好资源部署和工作推进，分阶段评估实战与合规收益，稳步提升数据安全水平。 《白皮书》结合企业在数据安全建设过程中的重点难点，推荐“合规治理与实战 技术并行”的建设思路，提出以数据为中心的“实战防护和合规遵循平台”新安全 体系，打造以“数据保护主平台”为核心，辅助外延多种数据安全技术的多层次防 御，为企业赋予“航母战斗群”级的安全能力，提高攻击者成本，持续消耗攻击者 资源。同时，提出筑基础、建体系、强能力、验效能、抓测评等建设路径，给出 推进策略和关键举措参考。 行业案例提供数据保护参考。《白皮书》聚焦政府、金融、民航、工业互联 网等十个典型场景，综合分析了各行业的安全建设现状及安全短板，通过推导企 业当下函需解决的场景化安全问题，结合DTTACK数据安全技术框架针对性设 计应用示例方案以供参考。 由于编者水平有限，《白皮书》中不妥和错漏之处在所难免，敬请各位读者 批评指正和提出宝贵意见，欢迎业界专家和同仁拨穴参与《白皮书》改进，后续 我们也将持续更新完善《白皮书》内容，为数据安全产业发展贡献力量！ 《白皮书》编写过程中获得了腾讯云鼎实验室等众多专家和机构的指导与帮 助，在此特别致谢。 VC