1 声 明 北京炼石网络技术有限公司对本《白皮书》内容及相关产品信息拥有受法律 保护的著作权,未经授权许可,任何人不得将《白皮书》的全部或部分内容以转 让、出售等方式用于商业目的使用。转载、摘编使用本《白皮书》文字或者观点 的应注明来源。《白皮书》中所载的材料和信息,包括但不限于文本、图片、数 据、观点、建议等各种形式,不能替代律师出具的法律意见。违反上述声明者, 本公司将追究其相关法律责任。《白皮书》撰写过程中,为便于技术说明和涵义 解释,引用了一系列的参考文献,内容如有侵权,请联系本公司修改或删除。 北京炼石网络技术有限公司 联系电话: 010-88459460 邮箱:
[email protected] 2 前 言 数字经济是继农业经济、工业经济之后的主要经济形态,事关国家发展大局, 而数据安全作为促进数据开发利用和产业发展的基础支撑,是推动以数据为关键 要素的数字经济高质量发展的基石。数字时代,如何构建数据安全体系,增强数 据保护能力,提升数据治理水平,成为事关企业生存发展的重大战略问题。 国家高度重视数据安全发展。2021 年 9 月 1 日,我国第一部数据安全领域 的专门法律《数据安全法》正式施行。该法与《网络安全法》《密码法》《个人 信息保护法》等一起构建了数据安全法治化发展的基本体系,引导和鼓励各行业 完善数据安全工作机制,推动数据安全技术产品、应用范式、商业模式协同创新, 健全数据安全生态体系,不断壮大数据安全产业规模。当下,企业数据安全建设 需求迫切,但实际落地中又倍感头绪万千、无从下手。值此《数据安全法》施行 一周年之际,炼石正式发布《2022 数据安全与个人信息保护技术白皮书》(简 称“《白皮书》”),立足全球数据安全态势和法规要求,总结数据安全发展新 阶段涌现的新技术、新应用,尝试从用户视角分析数据安全建设的出发点、建设 3 目标、建设路径、以及预期投入与回报,以期为各行业数据安全从业人员提供参 考。 业务风险驱动数据实战保护。伴随着数字经济蓬勃发展,数字产业化迫切需 要数据安全能力,产业数字化转型带来数据安全新需求。《白皮书》全面梳理了 数据收集、存储、使用、加工、传输、提供、公开、删除等数据处理环节中实际 发生的数据安全事件,包含信创安全可控、数据跨境流动、新兴技术迭代、产业 结构优化等领域潜在风险,综合分析影响企业生存发展的数据安全威胁,探索明 确数据安全的覆盖范围和建设方向。 法规监管划定数据安全基线。当前,数据主权成为继边防、海防、空防之后 另一个大国博弈的空间,尤其在俄乌冲突、中美摩擦等复杂多变的国际局势下, 强化数据安全在全球视角下的合规建设已成为共识。《白皮书》系统梳理了我国 的数据安全立法监管发展路径,并总结欧洲、北美洲、南美洲、亚洲、大洋洲、 非洲六大洲,包括美国、英国、欧盟、德国、法国、日本等 14 个国家或组织的 数据安全相关法律法规,从各国立法总体情况、法律位阶、法律关系、各法定位、 内容要点等维度进行分析,以期助力企业从全球视野,对各国法规划定的基线以 及各国差异有总体性了解。 4 安全建设围绕一实战双合规。实战与合规辩证驱动安全发展,实战检验了合 规建设的成效,合规降低了实战对抗的落地成本。从应用系统看,复杂的数据开 发利用场景对攻防对抗提出极高要求,而安全合规将这种偶发的、高技术水平的 对抗风险,转化成常态的、可重复验证、可被审计的非对抗风险,显著降低安全 手段使用门槛。此外,安全合规也解决了“外部经济学”中的消费方与受益方不 一致问题,强制要求数据处理者加强数据保护。在风险驱动和合规要求下,企业 数据安全需求从被动应对,升级为主动建设。《白皮书》立足企业数据安全建设 目标,分析“一实战、双合规”的实现路径,以合规遵循为起点,以实战对抗为 导向,通过“密评”定义密码技术基线,通过 DSM 数据安全管理认证等全面保 障数据合规,构建实战化的数据安全防护体系。 数据保护演进新框架新战法。《白皮书》介绍了典型技术理念和架构、数据 安全新框架、数据安全新战法。“典型技术理念和架构”分析了零信任、内生安 全、内置式安全、安全平行切面等与数据安全之间的互生互联关系,并介绍了 GARTNER、信通院等提出的技术架构。“数据安全新框架”着重论述了应对式 到主动式防御的叠加演进、网络与数据并重的安全建设、经典网络攻防对抗框架 ATT&CK、数据安全技术框架 DTTACK、网络与数据一体化叠加演进、切面安全 5 提升防守资源效率等理念。“数据安全新战法”则以简单堆叠防护技术、“一招 制敌”的思考为切入点,重点介绍体系化对抗以及多维递进式纵深防御等层层递 进、协同联动的新战法。 技术框架覆盖事前事中事后。《白皮书》迭代更新 DTTACK 数据安全技术框 架内容,从识别(I)、防护(P)、检测(D)、响应(R)、恢复(R)、反制 (C)、治理(G)七大方面扩充了相应的战术和技术,形成 38 个技术、110 个 扩展技术、161 个方法,围绕数据全生命周期安全,覆盖事前、事中、事后,以 期为各行业数据安全建设提供技术与工具参考。 数据安全落地分阶段抓效果。数据安全体系建设是系统工程,并非“一朝一 夕”可以完成,企业须综合考量实战和合规的现实要求,开展数据安全整体规划, 做好资源部署和工作推进,分阶段评估实战与合规收益,稳步提升数据安全水平。 《白皮书》结合企业在数据安全建设过程中的重点难点,推荐“合规治理与实战 技术并行”的建设思路,提出以数据为中心的“实战防护和合规遵循平台”新安 全体系,打造以“数据保护主平台”为核心,辅助外延多种数据安全技术的多层 次防御,为企业赋予“航母战斗群”级的安全能力,提高攻击者成本,持续消耗 6 攻击者资源。同时,提出筑基础、建体系、强能力、验效能、抓测评等建设路径, 给出推进策略和关键举措参考。 行业案例提供数据保护参考。《白皮书》聚焦政府、金融、民航、工业互联 网等十个典型场景,综合分析了各行业的安全建设现状及安全短板,通过推导企 业当下亟需解决的场景化安全问题,结合 DTTACK 数据安全技术框架针对性设 计应用示例方案以供参考。 由于编者水平有限,《白皮书》中不妥和错漏之处在所难免,敬请各位读者 批评指正和提出宝贵意见,欢迎业界专家和同仁拨冗参与《白皮书》改进,后续 我们也将持续更新完善《白皮书》内容,为数据安全产业发展贡献力量! 《白皮书》编写过程中获得了腾讯云鼎实验室等众多专家和机构的指导与帮 助,在此特别致谢。 7 目录 声 明 ................................................................................................. 2 前 言 ................................................................................................. 3 一、业务风险驱动数据实战保护 ............................................................ 30 1.1 数据开发利用支撑行业数字转型 ...........................................................30 1.1.1 数字经济蓬勃发展加速数字化升级 ............................................ 30 1.1.2 数据要素价值释放赋能高质量发展 ............................................ 31 1.1.3 数据有效开发利用迎来跨越式变革 ............................................ 34 1.2 数据安全威胁影响企业生存发展 ...........................................................36 1.2.1 数据安全能力建设有待加强 ....................................................... 36 1.2.2 个人信息泄漏呈现三高特征 ....................................................... 39 1.2.3 数据安全市场发展空间巨大 ....................................................... 42 1.3 业务数据处理面临多重安全风险 ...........................................................45 1.3.1 防范业务处理各环节安全薄弱点 ................................................ 45 1.3.1.1 数据收集:合法、正当、必要 ......................................... 46 1.3.1.2 数据存储:加密、控制、审计 ......................................... 52 8 1.3.1.3 数据使用:告知、监督、检测 ......................................... 72 1.3.1.4 数据加工:内控、风险、响应 ......................................... 82 1.3.1.5 数据传输:加密、脱敏、约定 ......................................... 83 1.3.1.6 数据提供:评估、保护、监督 ......................................... 86 1.3.1.7 数据公开:危害、分析、影响 ......................................... 93 1.3.1.8 数据删除:约定、委托、主动 ......................................... 95 1.3.2 化解产业创新多维度潜在风险源 ................................................ 98 1.3.2.1 信创安全可控面临新挑战 .................................................98 1.3.2.2 数据跨境流动带来新隐患 ..............
炼石 2022数据安全与个人信息保护技术白皮书
文档预览
中文文档
522 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共522页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2022-10-17 00:33:03上传分享