7月14日至15日，全国网络安全和信息化工作会议在北京召开。习近平总书记对网络安全和信息化工作作出重要指示，鲜明提出网信工作的使命任务，明确“十个坚持”重要原则，并对网信工作提出要求，具有很强的政治性、战略性、指导性，为做好新时代新征程网信工作指明了前进方向、提供了根本遵循。

党的十八大以来，以习近平同志为核心的党中央高度重视网络安全和信息化工作，明确提出网络强国建设的战略目标，统筹推进网络安全和信息化工作，不断推进理论创新和实践创新，作出一系列重大决策、提出一系列重大举措，推动我国网络安全和信息化事业取得重大成就。数据安全是网络空间安全的基础，是国家安全的重要组成部分，其重要性愈发凸显。

数据对任何企业来说都是最有价值的资产。无论哪个行业，无论是财务数据、医疗记录或者个人信息，保护好数据愈发变得重要。尽管各国都陆续出台了法律法规对数据保护提出了更高更细化的监管要求，比较知名的有欧洲颁布的《通用数据保护条例》，我国的《数据安全法》等，但是数据泄露风险仍在增加，每年因为数据泄露导致的直接经济损失数以亿计，潜在损失更是难以估计。

据IBM发布的《2022年数据泄露成本报告》，平均每个数据泄露事件给受访组织带来高达435万美元的损失。在全球有超过83%的客户遭受了不止一次的数据泄露事件，而数据泄露的成本往往是在事件发生一年多以后才产生的。

01-什么是数据安全

数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力[1]。这里的数据是指任何以电子或者其他方式对信息的记录，持续安全状态是指数据处理的全过程，即数据的收集、存储、使用、加工、传输、提供、公开等。

数据安全主要基于三个基本原则——保密性、完整性和可用性，这三个原则被称为“ CIA三原则”。

机密性是指数据依据既定安全规则不泄露给未授权的实体，或者提供被利用分析的特性。为保障机密性，数据持有者应遵循最少特权原则、加密、双重认证及强密码、组态管理、监测、审计及告警等原则，落实防护策略，例如访问控制清单(ACL)、数据传输加密等。

完整性是指在传输、存储信息或数据的过程中，确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现。完整性保护原则在风险评估、等级保护以及商用密码应用安全性评估中被广泛应用。

可用性是指数据不因网络攻击、物理设备故障等问题而导致数据不可使用的原则。对于数据的合法拥有者和使用者，应当保障其能够及时得到所需数据。

除了CIA三原则之外，数据安全还有两个重要属性是真实性和不可否认性。真实性是指数据是真实可信的，并来自其声称的来源；不可否认性确保数据活动的主体或者触发事件者无法对数据或事件进行否认。

02-哪些数据需要保护

必须保护的数据可分为两类：业务关键数据和个人信息。

业务关键数据包括运营和维持企业所需的数据资产。这些资产包括财务计划、库存以及诸如设计和商业秘密等知识产权等。个人信息包括员工人力资源和工资单数据、客户档案、与供应商的合同以及个人病史等。

一个完备的数据安全架构可为企业的数据资产提供差异化保护，为最重要的数据提供最高等级的保护，一般性的数据提供一般等级的保护。否则，客户无法有效判别数据的安全属性，会浪费大量安全资源尝试去保护图片、文档、邮件、数据库等等每个细粒度的数据资产。

03-为什么要关注数据安全

2023年3月十四届人大审议通过国务院关于提请审议国务院机构改革方案的议案，组建国家数据局，接管之前由网信办、发改委等部门承担的数据相关职责。国家数据局负责协调推进数据基础制度建设，统筹推进数字中国、数字经济、数字社会规划和建设等。

数据局的组建意味着围绕数据打造新型生产力的时代正式到来，这有利于打破各地方数据流转壁垒，加速数据生产要素流通，推动数据产业快速发展。

数据作为五大生产要素之一，是数字经济发展的核心要素，各行各业的企业数据和社会公共数据构成了数据要素的主体。伴随数据要素市场而来的数据安全，数字经济发展的安全基础，涵盖了数据要素流转的全生命周期。无论从经济发展、国家安全战略还是企业自身利益角度考量，数据安全都是企业的首要安全任务。

数据安全威胁-六类风险要防范

数据仍然面临诸多安全风险，主要有六类：数据泄露、数据篡改、数据滥用、违规传输、非法访问、流量异常等[2]。

1、数据泄露

数据泄露风险包括但不限于数据被恶意获取或者转移、发布至不安全环境等相关风险。数据泄露是最大的数据安全风险，网络攻击、设备失控、监管缺失、内部违规、权限错误、供应链泄露等都会导致数据泄露的发生。数据泄露会导致业务中断，收入受损，严重者会受到行政处罚甚至判刑。此外，企业声誉和客户信任也会受到持久的损害。

2、数据篡改

数据篡改包括但不限于造成数据破坏的修改、增加、删除等相关风险。例如计算机和存储故障可能导致数据的改变、丢失或者不可访问，木马病毒会导致数据的恶意修改、加密以及损毁等。

3、数据滥用

数据滥用是指未经当事人允许或以当事人所不乐见的方式使用其信息[3]，包括但不限于数据超范围、超用途、超时间使用等相关风险。数据滥用威胁来自内部违规操作、用户弃权、安全措施薄弱、信息过度收集等，严重的会导致数据泄露。

4、违规传输

违规传输风险包括但不限于数据未按照有关规定擅自进行传输等相关风险，例如使用微信收发内部文件、敏感数据不加密传输、普通快递寄送涉密文件等。

5、非法访问

非法访问包括但不限于数据遭未授权访问等相关风险，最常见的是网络攻击（漏洞利用、SQL注入、勒索病毒）和网络爬虫，网站及应用系统的权限设置不当也会导致非法访问的发生。

6、流量异常

流量异常包括但不限于数据流量规模异常、流量内容异常等相关风险。例如瞬时流量激增、非工作时段流量增大、加密流量、非关联系统之间的东西向流量增加等都属于流量异常。

数据安全合规-建设正当时

除了风险驱动外，合规性需求也是数据安全的驱动力之一。《数据安全法》、等保2.0以及商用密码应用安全性评估等合规检测要求系统地规范了企业如何收集、存储和使用数据。数据不合规意味着企业要投入时间和资金进行整改，如果是关键信息基础设施还需要定期上报数据安全状况，在金融等安全强监管行业，数据不合规还意味着巨额罚款和法律惩罚。

满足国家对数据的合规要求对于推动企业部署有效的数据安全策略而言是必要的，但是仅仅满足合规要求并不意味着数据是安全的。法律法规及相关标准通常只关注数据安全的特定方面(如数据隐私) ，现实世界中的安全威胁远比法规发展得更快，变化更多。企业数据安全防护应被视为一项长期、持续性的工作。

云数据安全-集约化部署安全策略

自疫情以来，远程办公成为企业员工的主要工作方式，由此带来的视频会议、远程协同等云应用大幅增加。一夜之间，云数据安全成了所有人关注的焦点。

在此之前，数据保护策略通常侧重于防范恶意入侵者进入存储敏感数据的系统。但是对于云计算，数据存储在传统边界之外的系统中，并且可以在任何地方自由流动。因此，企业需要一个以数据为中心的安全策略来优先处理最敏感的信息。

云数据安全面临着租户终端与数据中心两方面的安全威胁，数据安全威胁在云端依然存在，好处是可以集约化部署安全策略来降低这些威胁，微隔离、容器等云原生技术也为解决数据安全威胁提供了新的技术途径。

除了云，物联网、工业互联网的数据安全也是需要关注的重点。消费端的智能家居、企业端的智慧办公、智慧园区等将大量设备接入网络，在带来便捷高效体验的同时，也引发了公众对数据安全威胁的担忧。

04-数据安全人才

根据2020年(ISC)2的一项研究，安全行业需要大约300万合格的数据安全工作人员，64%的网络安全专业人士表示，他们的企业受到数据安全技能短缺的影响。这种人才短缺限制了企业在数据安全领域降低风险、发现威胁和应对攻击的能力。

数据安全不是一个新的概念，但是以《数据安全法》为开端，随着数字经济的蓬勃发展，数据安全被赋予了新的内涵和责任。就像移动通信从窄带到5G彻底改变了我们的生活一样，数据安全改变了我们对网络安全的思维方式，与之对应的是网络安全合规一系列动作的创新与升级，数据安全更加贴近业务，必须有业务部门的深度参与，才能做好数据安全的“三化六防”，保障数据要素的市场化与价值提升。

欢迎查阅

本文转自《嘉诚+》网络安全专刊：合规为本，守正创新，更多精彩内容欢迎扫码阅读！

欢迎您扫码查阅本期电子版！欢迎广大业内专家、用户及合作伙伴积极投稿；如有任何相关建议或免费索取纸质版，请与《嘉诚+》编辑部取得联系！

《嘉诚+》编辑部

投稿邮箱：marketing@jiachengnet.com

联系电话：010-82425200