议程聚焦实践落地 | 第四届中国数据安全治理高峰论坛

　　摘要：一文了解峰会当天更多重量级嘉宾精彩内容分享

　　2021年5月13日，在中国保密协会、中国计算机学会计算机安全专业委员会的指导下，由中国(中关村)网络安全与信息化产业联盟、中国保密协会产业分会共同主办，北京安华金和科技有限公司及中国(中关村)网络安全与信息化产业联盟数据安全治理专业委员会承办，中国计算机学会抗恶劣环境计算机专委会协办的“第四届中国数据安全治理高峰论坛”在北京圆满召开!本届峰会以“数据之光 · 安全未来”为主题，来自国家部委、主管部门领导，行业专家、学者，权威研究机构、知名安全厂商及各行业客户代表等近千名业界精英出席，共同围绕“数据安全治理”进行内容分享、成果发布、技术研讨与合作交流。

　　| 点击浏览峰会上半场议程报道

　　在本届峰会下半场议程中，十多位重量级嘉宾分别就数据安全治理相关法规解读、新时期面临的挑战、体系化建设以及实践落地等热点议题展开了全面、深入的内容分享。数世咨询创始人兼总经理李少鹏主持受邀主持峰会下半场活动，作为一名安全老兵，中国网络安全100强/全景图等品牌榜单的创立者、2020年网络安全创新能力百强评委会主席、网络安全知识与理念的普及者，李少鹏先生非常关注数据安全治理在中国的实践落地进程，积极支持本届峰会工作，与嘉宾们进行了良好的互动，下半场各环节热度不减，令全体参会代表收获颇丰!

　　中国(中关村)网络安全与信息化产业联盟数据安全治理专业委员会主任、北京安华金和科技有限公司创始人&CEO刘晓韬在发言中谈到，数据安全治理可分为国家、行业和企业三个层面——国家层面积极推动数据安全法律、法规等制度的持续健全;行业层面需要积极制定相关标准、规范和要求;而在企业层面，数据安全治理体系建设与实践落地，仍将面临一系列问题和挑战，包括：受数据多样性及大规模等影响，企业开展数据分类分级工作的难度很高;与此同时，大多数企业仅具备可满足单一场景化需求的数据安全产品，且可能出自多家公司，相互之间难以打通，无法形成集中、统一的平台化应用;而数据安全人才的缺乏也会导致企业相关运营管控能力薄弱;此外，部分前沿数据处理技术尚处于早期研发阶段，距离普及推广和产业化应用还有相当一段距离。未来，企业开展数据安全治理工作应更加关注以下两个方面：一是要满足国家及行业的合规性要求;二是要用体系化的思维、结合自身领域特性，构建以数据使用安全为目标的整体解决方案。

　　公安部信息安全等级保护评估中心技术部主任任卫红在《依托等级保护制度，落实数据安全保护义务》主题演讲中，结合数据安全相关法律要求及等保2.0颁布实施以来，我国在数据安全领域取得的相关建设成果与实践经验，着重介绍了数据时代，政府部门、行业机构、企业及安全厂商应当发挥的积极价值及所要承担的责任和义务，并指出应针对数据安全保护义务深化落实等级保护制度，从而持续有力推进国家数据安全未来建设发展。

　　北京师范大学网络法治国际中心执行主任、博导/中国互联网协会研究中心副主任吴沈括在《变与不变：<数据安全法><个人信息保护法>二审稿的启示》主题演讲中，以近期《数据安全法(草案)》、《个人信息保护法(草案)》双法通过二次审议为切入点，全面谈及包括国际数据安全环境、数据资源争夺、数字化转型加速以及数据安全治理力度的持续提升等内容。同时，重点围绕双法出台的“国际国内背景”、“蕴含的数据治理逻辑”、“喻示的合规风控体系”三方面进行了深入分析。

　　全球能源互联网研究院信息通信研究所副所长张涛在《能源行业数据安全治理的应用实践》的主题演讲中，详细介绍了能源行业在数据安全治理实践方面的成功经验。据介绍，国家电网现已服务超4.6亿用户，与发电及其他行业存在大量的数据交互，面临包括“数据分类分级与敏感数据辨识、数据使用者身份识别、多场景下碎片化措施如何落地、数据安全管理和技术措施容易脱节”四个主要痛点。对此，国家电网制定了“一个体系+一个平台+五大能力”的解决方案，致力将“敏感数据识别、数据权限管理、数据脱敏、数据溯源、数据库审计”五大能力集成在数字化平台之上，以有效界定数据并进行整体防御和管控，最终实现对静态数据的可知，对数据资产的全面感知与可视化，对数据使用可控、操作过程可审和泄露数据可溯，从而真正实现对数据的闭环管理。

　　国家工业信息安全发展研究中心保障技术所研究总监杨帅锋在《工业互联网数据安全监测与防护思考》演讲中，分享了工业互联网数据安全监测与防护实践经验。他指出，工业互联网数据安全监测面临着四个难点，即：数据资产分类分级识别难、工控流量内容深度解决难、重要数据的识别捕捉难、大流量与虚拟化环境下风险监测难。基于上述难点，工业互联网数据安全防护总体思路及防护框架主要在于四个方面，即：技管结合，管理层面和技术层面都需要做好数据的防护;动静相宜，即静态数据保护和动态数据保护;分类施策，工业互联网数据划分为研发设计数据、生产制造数据、经营管理数据、应用服务数据，分类实施防护策略;分级定措，根据不同级别的数据，从全生命周期提出逐级增强的安全防护的要求。

　　国家信息中心公共技术服务部政务外网安全管理处干部焦迪在《政务信息共享数据安全技术要求标准与应用实践》的演讲中，针对近年来国家在政务领域数据安全治理方面的相关思考与实践探索进行了分享。她表示，为实现政务数据整合及跨层级、跨地域、跨部门的数据共享，并在此基础上开展大数据应用，发挥数据的实效，国家信息中心牵头制定了《政务信息共享数据安全技术要求》国家标准。在标准制定的过程中，“数据安全技术要求”被格外重视，同时开展了一系列应用实践，例如：定制开发国家数据共享交换平台数据标识和分类分级系统——基于密码算法的数据安全标签实现对数据的标识，并结合相应的密码模块或密码产品，实现对交换过程的安全管控。

　　安华金和联合创始人兼副总裁杨海峰在《大数据中心的数据安全治理解决方案》主题演讲中指出，当前大数据中心面临的数据安全治理挑战主要有五点：一是数据资产有规模、但缺梳理;二是安全防护有技术、但缺体系;三是安全体系重产品、但轻运营;四是安全监管有目标、但缺手段;五是安全管理有规范、但难落实。而想要针对上述问题制定有效的解决方案，首先，需要建立起严格的制度和规范，同时要梳理清楚数据资产，对数据进行分类分级，并明确管理手段与技术手段分别解决哪些问题，从而形成切实可行的操作规程和标准指南;其次，是要建设评价体系，即数据安全的KPI体系，以作为数据安全工作绩效的评估依据，推动相关数据安全管理措施的执行;此外，还要进行数据安全威胁分析，根据数据使用场景分析所面临的风险，制定出数据安全建设方案与数据安全运营要求等;最后，是在框架设计方面，应重点从“管理体系、技术体系和运营体系”三个层面完成对数据安全治理的真正落地。

　　中国光大银行安全管理处处长牟健君在《数据安全治理之思考》演讲中，分享了针对金融行业数据安全治理相关痛点的思考与建议。他表示，在数字化转型过程中，数据安全风险主要来自外部威胁和内部风险，需要从“管理和技术”两方面着手应对。在管理方面，首先需要有牵头部门，并明确数据安全治理的归属部门，并根据行业监管标准、法律法规及自身痛点需求，设计制定适合自身的规划策略。数据安全治理及运营的体系建设是一种演进式的发展路线，比如在技术层面上，各种流转环节中都能发现敏感数据，这些是迫切有待解决的问题，因此需要技术手段来保证金融机构具备相应的能力。此外，针对金融数据的脱敏，应对每个环节提出明确的要求，从而做好流程的管控与有效的防控。

　　深圳市联软科技股份有限公司CTO办公室主任刘现磊在《企业数据安全管理解决方案》演讲中表示，要做好数据安全工作，首先要解决访问控制问题，即主体到客体访问的信任等级问题;其次是场景化，以业务为导向和基础，既要考虑当下的使用场景，同时也要放眼未来的新兴场景。在构建企业数据安全管理解决方案上，他建议企业在做选择时，关注平台化而非单一的产品，做规划时也要尽可能考虑几年后的应用预期。同时，一定要考虑场景化应用，因为每项技术都有其适用和不适用的场景，想要凭借单一产品或技术解决所有问题是不现实的。

　　潍坊市大数据局副局长陈军在《政务大数据安全实践与应用》演讲中指出，随着政务大数据平台接入的开放数据日益增多，应从三个层面持续运营并保障数据的安全：一是在数据资产层面，应持续关注数据资产的变化情况，及时对新数据进行备案，落实分级分类，将其及时纳入数据安全监管范畴;二是在安全策略层面，应持续关注数据安全设备及技术应用的落地情况，溶蚀根据外部黑客等攻击技术的变化，及时升级、更新和调整现有的安全策略;三是持续关注风险事件，对违规、越权及其他风险行为形成一个闭环处理机制，即从事件的发生、到对事件的核实、再到对事件的处置、整改与完善提升、以及将事件纳入知识库等全过程，形成一个闭环的处理机制。将上述三个视角融入到日常数据安全防控、防伪的过程之中，将有效提升数据安全的防护与建设，推动数据安全来到一个全新的高度。

　　中国移动信息技术中心研发创新中心(平台能力共享中心)副总经理张春在《基于中国移动磐基PaaS的数据安全治理实践》演讲中详细介绍了磐基PaaS平台及相关实践应用情况。磐基PaaS平台是利用云原生技术打造而成的，能够使IT系统更加敏捷，同时可支撑海量业务的运行，具有快速、灵活、弹性、扩展性强等优势。据悉，该平台目前有K8S集群上百个、服务器节点规模近万台、容器总规模达到了20多万个。而在数据安全治理方面，包括数据分类分级、数据脱敏、数据库审计、数据加密等各种需求都可依托磐基PaaS平台实现。比如：在数据脱敏方面，该平台就引入安华金和数据脱敏解决方案，将其与磐基PaaS平台进行了有效整合，具备以多租户方式提供数据脱敏服务等优势。

　　阿里云资深产品专家葛岱斌在《云计算时代的数据安全》演讲中表示，云计算时代的数据安全主要面临的挑战有两方面：一是需要更好的处理海量的结构化与非结构化数据;二是需要在如此多碎片化的基础设施下，做到统一的数据安全管理。基于以上两大挑战，现阶段很多企业对数据安全治理需求开始变得更加灵活。阿里云希望基于“立体防护、可信安全、易用性”三个维度持续发力，为云上用户提供一个可信、可控、可管的数据安全环境。他强调，在当前数据安全人才严重不足的局面下，我们可以通过“云”的方式来降低安全产品的使用门槛，从而让更多的IT运维人员轻松实现对数据的安全管理，让数据安全治理相关工作实现从“驾马车”到“开自动挡”的大跨越。

　　随着等保2.0的深入开展、《数据安全法(草案)》、《个人信息保护法(草案)》的二次审议，国家关于数据安全的顶层设计日臻完善。积极响应国家政策指引与行业发展需求，开展实战化工作，拿出切实举措，将数据安全治理工作在各行各业的实践应用落到实处，成为数据安全管理者当务之急与前进方向。安华金和坚信，“数据之光”必将闪耀在未来人类数字社会发展的天空!而如何良好驾驭这一新的社会驱动要素，而不是为我们带来泛滥且不可控的风险，需要各级主管部门、行业专家、产业力量和数据安全从业者们共同努力达成!