面向“十四五”，迎接數字時代，激活數據要素潛能，應統籌开展和安全，加強數據安全保護，打造數字經濟新優勢。數據安全作為產業數碼化和數字產業化开展基石，已成為國家頂層規劃以及各行業建設的重點內容。尤其在工業數據保護中，據《中華人民共和國2021年國民經濟和社會开展統計公報》第二產業增加值450904億元，第二產業增加值佔國內生產總值比重為39.4%，工業佔比33%。在《密碼法》《數據安全法》《個人信息保護法》和《工業和信息化領域數據安全管理辦法（試行）》等新的合規要求下，工業數據安全產業迎來开展新機遇，進入黃金髮展期。

 

一、技術开展情況

       隨着雲計算、移動互聯網、物聯網和大數據等新技術的蓬勃开展，數據高效共享導致原有安全邊界被“打破”，以防火牆、殺毒軟件和入侵檢測“老三樣”為代表的傳統數據安全產品的邊界式防護受到嚴峻挑戰。數據安全領域急切需要轉變思路，採取由從“防漏洞、補漏洞”的應對式防護，轉化到“為數據訪問重建安全規則”的主動式防護的安全防護技術。现在，可採取的數據安全重點技術可包括：

 

       1、數據加密技術：傳統加密技術的效率、強度、靈活性等無法滿足多變的業務需求。因此，一方面，隨着數據共享流通場景保護需求的不斷增加，數據加密技術從靜態數據加密向動態數據加密擴展。另一方面，數據加密技術因新興領域的需求不斷演進，產生深度融合开展。

 

        2、數據脫敏技術：现在來看，數據脫敏技術應用模式成熟，隨着對數據開發利用需求的不斷增長，數據脫敏技術的應用將更加廣泛。數據脫敏技術分為靜態脫敏和動態脫敏兩種應用模式。隨着數據高速共享流轉，動態脫敏成為用戶重點關注的應用技術。

 

        3、數據識別技術：傳統的數據識別技術對於非結構化數據難以適用，對於結構化數據也無法滿足日益複雜的識別需求。在此需求驅動下，引入機器學習和自然語言處理等技術，可以在一定程度上自動生成識別規則，解決上述難題。现在常用的模型算法包括HMM模型、CRF模型、BiLSTM模型和BiLSTM-CRF模型等，但各類模型的運算開銷比較大，還不能滿足大規模應用的需要，算法的成熟度以及準確度也有待提升。

 

       4、數據標記技術：數據標記技術是指對需要保護的數據增加標記信息，是實現數據分類分級安全防護的基礎。现在，數據標記技術處於探索研究階段，產業界運用的數據標記技術也並不是一種特有的技術，而是將能夠實現類似效果的技術應用到實際業務場景中，一般可以分為分離式和嵌入式兩類。

 

        5、數字水印技術和私隱技術：一方面，數字水印技術已經逐漸由傳統的理論研究階段开展到實際應用階段，且為了增加其安全性，常與密碼學相結合。另一方面，隨着私隱計算應用範圍漸廣，各類私隱計算技術之間出現相互融合的趨勢。例如，聯邦學習技術架構的底層往往會使用不經意傳輸、秘密分享等安全多方計算技術，以及同態加密技術、差分私隱技術，以確保各方數據交換過程中的私隱性。

 

二、產業落地現狀

 

（一）我國數據安全立法監管加強

 

       數據安全已成為事關國家安全與經濟社會开展的重大問題。近年來，國家高度重視安全建設，統籌开展和安全，推進行業數據安全保障能力提升，構建起堅實有力的安全法律屏障，形成了《網絡安全法》《密碼法》《數據安全法》和《個人信息保護法》“四法共治”的新局面，使得合規監管權責更鮮明、制度更健全、技術更創新。 

 

（二）各行業推進數據安全政策體系建設

 

       受益於互聯網核心技術的快速演進、數據經濟的蓬勃开展以及政策因素的導向作用，國內數據安全廠商在傳統產品領域將更多的新技術與原有產品進行融合，數據安全產品和服務在政務、金融、交通、教育、工業互聯網、電信等領域的應用程度逐漸升高，數據安全市場逐步走向成熟。同時，政務、金融、交通等行業均出台政策，加速數據安全建設。《國務院辦公廳關於印發全國一體化政務服務平台移動端建設指南的通知》（國辦函〔2021〕105號）提出，加強對重要政務數據、敏感個人信息的保護，確保政務數據和數據信息安全。《個人金融信息保護技術規範》《互聯網信息服務管理辦法（修訂草案徵求意見稿）》《工業和信息化部關於加強車聯網數據安全和數據安全工作的通知》（工信部網安〔2021〕134號）《國家醫療保障局關於印發加強數據安全和數據保護工作指導意見的通知》（醫保發〔2021〕23號）和《工業和信息化領域數據安全管理辦法（試行）》（徵求意見稿）等均要求加強數據安全保護。

 

（三）數據安全標準體系逐步健全完善

 

        數據安全國家標準相繼出台，有力支撐相關法律法規的落地實施。2016年，全國信息安全標準化技術委員會（SAC/TC260，簡稱“信安標委”）创建大數據安全標準化特別工作組，正式啟動了數據安全相關國家標準研製工作。现在，TC260已發佈數據安全和個人信息保護標準9項，在研標準22項。已發佈標準涉及大數據服務安全、政務信息共享、個人信息安全等多個重要標準化方向。

 

（四）多項傳統數據安全技術實現趕超

 

       國內廠商在數據安全技術領域不斷取得進步，部分達到甚至超越國際水平；數據監控和審計產品中融合大數據技術，使得大規模審計數據的存儲查詢性能得以成倍提升；數據安全保護與人工智能技術相結合，在數據分類分級、自動編排、事件劇本等領域實現了自動化響應與處理，大大提高了數據的自主化、智能化安全管理水平。同時，數據保護與用戶行為分析技術相結合，配合縱深防禦技術，分析用戶、設備、應用程式的日常行為，實現數據流動過程中的可視、可監、可控、可管。

 

（五）數據安全評估與監管技術日趨成熟

 

       隨着數據本身及其附加價值越來越高，數據在其全生命周期中面臨的問題和風險也越來越嚴重。為了支撐監管部門履行職責，國內眾多從事數據安全業務的廠商召开了數據安全評估與監管技術的研究，先後推出了數據安全風險評估系統、數據資產梳理系統和數據安全監管平台。

 

三、技術難點分析

 

       大數據時代，數據的產生、流通和應用變得空前密集。分佈式計算存儲架構、數據深度發掘及可視化等新型技術、需求和應用場景大大提升了數據資源的存儲規模和處理能力，也給安全防護工作帶來了巨大的挑戰。

 

（一）工業數據安全面臨全生命周期威脅挑戰

 

       數據安全來自於業務處理中的風險映射。從時間維度看，數據在流轉的全生命周期中的每個環節都會有相應的安全需求；從空間維度看，數據在工業基礎設施層、平台層以及應用層之間流轉，不同層次會有不同顆粒度的防護需求。面對數據在各環節面臨的諸多泄露威脅與安全挑戰，如何保障數據全生命周期安全成為技術防護痛點。

 

（二）數據要素安全防護亟待解決

 

       工業系統安全邊界模糊或引入更多未知漏洞，分佈式節點之間和大數據相關組件之間的通信安全薄弱性明顯。分佈式數據資源池匯集大量用戶數據，用戶數據隔離困難，數據存儲與數據安全技術如何齊驅並進，兩手同時抓成為建設難點。

 

（三）密碼技術面臨不好用、不能用、用不好的困境

 

       傳統密碼產品開發改造應用的密碼集成模式門檻高、周期長、風險大，用戶面臨“不好用、不能用、用不好”的難題。一是不好用，密碼產品易用性不足，集成和技術門檻高，缺乏密碼中間件，復用低。二是不能用，商用密碼算法實現效率低，密碼技術部署在應用系統，嚴重影響業務運行效率，對於國外密碼算法仍然無法等效替換，且無法覆蓋全部使用場景。三是用不好，為應用系統疊加密碼技術增強安全能力，需要大量開發改造應用，成本高、風險大、周期長，且無法與業務完全融合。如何讓密碼技術“好用、能用、用好”成為重點。密碼作為數據安全的核心技術手段，面臨複雜挑戰。

 

（四）新興領域數據安全防護形勢複雜嚴峻

 

       數碼化生活、工業互聯網、工業大數據等新技術新業務新領域創造出多樣的數據應用場景，使得數據安全防護實際情境更為複雜多變。如何保護數據的機密性、完整性、可用性、可信性、安全性等問題更加突出和關鍵。

 

四、意見和建議

 

       建議從“需求導向”和“可落地性”的角度，主要從數據安全產業頂層規劃、制度完善、財稅政策、技術开展方向、市場環境、人才培養等方面，促進我國數據安全產業开展。

 

（一）鼓勵打造國家級工業數據安全區域示範產業園或工程項目

 

       建立數據安全示範產業園區，推出眾多優惠政策吸引企業入駐，打造數據安全應用示範集聚效應。抓住跨境數據保護節點，建立數據安全开展格局。協同數據安全應用需求供給，遴選、推廣典型行業場景方案。攻堅數據安全核心技術，以創新性應用加速深融新興產業。支持數據安全企業深研，以填補空白式創新，實現高端邁進。支持有關領軍企業和大型綜合性企業开展，相關企業需發揮好“領頭羊”作用，持续佈局數據安全創新與產業开展，鼓勵組織引領數據安全產業的正向开展。

 

（二）有助于數據安全中小微企業开展

 

       從政策上改進為傾向創新結果導向的評審機制，讓民企參與者在市場參與資格上享有平等地位。同時，讓民企能取得十四五數據安全重大專項的信息權、參與權，並結合《招標投標法》等已有政策，針對數據安全產品採購進一步強化扶持政策，讓中小民營企業在數據安全項目投標中可以取得傾向性加分項，實質改善當前民營企業的市場弱勢地位。從財政優惠上，針對創新數據安全企業進行不同優惠梯度的稅收優惠扶持，為期十年。針對數據安全創新企業的判別標準，可結合技術應用推廣範圍、具有公信力的技術創新獎項、發明專利數量與質量等多項指標綜合判定。

 

（三）加強地方制度引領

 

       國家關於數據安全的頂層規劃、法律政策等較為完善，但需進一步加強各類开展戰略和法律法規在各省、自治區、直轄市以及各行業，尤其是工業數據領域的落地應用。在各地區、各行業中出台“數據安全管理條例”等行政法規，完善相關數據安全應用與安全性評估建，完善國標、行標體系；创建數據安全專職管理部門，明確監管職責並落實到人，建立暢通的數據安全政企渠道，強化數據安全評估執法檢查，多維度有助于數據安全體系建設。

 

（四）出台人才創新激勵機制

 

       加大數據安全專業人才以及工業數據安全複合型人才培養力度，建立健全人才激勵機制；大幅提高國家信息化建設中數據安全投入比重，擴大數據安全產業規模；鼓勵數據安全技術創新，適應信息化新技術、新應用、新業態的开展趨勢；支持依法建立全國性數據安全行業協會，為數據安全從業單位给予信息、技術、培訓等服務，確保數據安全產業高質量开展。

 

原文來源於：http://mp.weixin.qq.com/s/wS7ZTQX8eAu-FvgYM1IN1w