報告下載:新增199IT微信公眾號【i199it】,回覆關鍵詞【2021資料安全與個人資訊保護技術】即可
當前,以數字經濟為代表的新經濟成為經濟增長新引擎,資料作為核心生產要素成為了基礎戰略資源,資料安全的基礎保障作用也日益凸顯。伴隨而來的資料安全風險與日俱增,資料洩露、資料濫用等安全事件頻發,為個人隱私、企業商業祕密、國家重要資料等帶來了嚴重的安全隱患。近年來,國家對資料安全與個人資訊保護進行了前瞻性戰略部署,開展了系統性的頂層設計。《中華人民共和國資料安全法》於2021年9月1日正式施行,《中華人民共和國個人資訊保護法》於2021年11月1日正式施行。
本白皮書(或本報告)正是在《資料安全法》、《個人資訊保護法》等法律陸續施行的背景下編制。《資料安全法》旨在維護國家安全和社會公共利益,保障資料安全,其關於“資料”的定義,是指任何以電子或者其他方式對資訊的記錄。《個人資訊保護法》更側重於個人權益,是為了維護公民個人的隱私、人格、人身、財產等利益,其關於“個人資訊”的定義,是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種資訊,不包括匿名化處理後的資訊。
業內關於“資料”和“資訊”之間關係的理解,大致可以分為三類:一是“資訊”屬於“資料”的子概念,“資訊”是從採集的“資料”中提取的有用內容;二是“資訊”與“資料”互相混用,概念區分沒有實質意義;三是“資料”屬於“資訊”的子概念,僅表示“資訊”在電子通訊環境下的表現形式。本報告基於資料和資訊之間關係的第一種釋義,即“個人資訊”屬於“資料”的子概念。同時,《資料安全法》中的資料處理者在處理個人資訊時,也是《個人資訊保護法》中的個人資訊處理者,除需遵守《資料安全法》,還必須遵守《個人資訊保護法》。從技術層面看,個人資訊往往以結構化資料或非結構化資料形式存在,保護個人資訊和保護資料的防護手段,二者高度通用。綜合考慮以上原因,本報告將資料安全技術與個人資訊保護技術合併論述。
本報告綜合梳理了當下資料安全發展面臨的挑戰與機遇,結合真實的資料洩漏事件,分析業務流轉各環節伴生的安全風險與應對,探索資料安全“新框架”與“新戰法”。本報告參考經典的網路安全框架ATT&CK,提出了新的資料安全技術框架DTTACK(以資料為中心的戰術、技術和通用知識),以期結合兩大框架實現“攻防兼備、網數一體”。本報告詳細介紹了DTTACK框架,針對資料安全從識別(I)、防護(P)、檢測(D)、響應(R)、恢復(R)、反制(C)、治理(G)七大方面說明了相應的戰術、技術,覆蓋了資料的全生命週期(收集、儲存、使用、加工、傳輸、提供、公開等)的安全防護。最後,報告從雲平臺、工業網際網路、政務大資料、銀行金融、民航業等十個場景,簡要闡述了資料安全的應用示例方案以供參考。
“工欲善其事,必先利其器”,在數字經濟快速發展的背景下,我們更需要深刻認識到資料安全建設的重要性,不僅需要在安全意識和管理水平上提升,更需要在技術上重點佈局、勇於創新,希望本報告能夠為企業或機構的資料安全建設提供參考和借鑑。由於編者水平有限,報告中的錯誤之處在所難免,敬請讀者指正,也歡迎業界同仁共同參與完善,為行業發展提供助力!
報告下載:新增199IT微信公眾號【i199it】,回覆關鍵詞【2021資料安全與個人資訊保護技術】即可