《ISC《2024数据安全技术创新发展报告》.docx》由会员分享,可在线阅读,更多相关《ISC《2024数据安全技术创新发展报告》.docx(61页珍藏版)》请在优知文库上搜索。
1、目录CONTENTS一、数据安全发展的驱动力量1.1 我国已逐步完成数据安全顶层设计,基本建成政策法规监管体系021.2 数字化生存环境威胁之下,数据安全成为机构运营安全的内生需求08二、数据安全行业发展现状2.1 政策红利明显,为数据安全产业发展制定出明确的量化指标122.2 市场表现低于预期,内耗严重,创新不足,数据安全需求没有得到释放122.3 围绕数据安全的人才和服务存在巨大需求13三、数据安全技术创新热点和未来趋势3.1 数据安全态势管理(DSPM)153.2 数据风险评估(DRA)173.3 数据安全治理(DSG)183.4 安全服务边缘(SSE)193.5 同态加密(HE)203
2、.6 数据合成223.7 与大语言模型(1.1.M)结合是未来趋势23四、数据安全技术的最佳实践4.1 360数字安全:XX头部国有股份制银行数据安全平台建设项目264.2 炼石:基于免改造数据安全技术的工业领域数据安全保护方案344.3 美创科技:某“双一流”高校的数据安全治理实践之路434.4 东方通网信:电信行业数智一体化数据安全管控产品解决方案484.5 数安行:证券信息系统数据安全计算与安全计量项目534.6 一知安全:XX头部汽车制造商终端全场景数据安全防护系统建设项目57数据安全发展的驱动力量11数据安全发展的驱动力量2022年我国数字经济规模达50.2万亿元,占国内生产总值比重
3、提升至41.5%位居全球第二,彰显我国高度重视数字经济发展,持续促进数字技术和实体经济深度融合,协同推进数字产业化和产业数字化,加快建设网络强国、数字中国,已取得的突出成就。根据IDC最新发布的GlobalDataSPhere2023报告显示,我国数据量规模将从2022年的23.88ZB增长至2027年的76.6ZB,年均增长速度CAGR达到26.3%,为全球第一,政府、媒体、专业服务、零售、医疗、金融为主要数据产生的领域。在中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见等政策的持续推动下,“降要素”概念逐渐成形,强调对降信息的价值开发、产业赋能和流通利用。数据作为新质生产要素,
4、是驱动新质生产力的主要原材料,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。伴随着国计民生的运行逐步转移到由数据驱动的基础设施和各类应用上,数据安全必然成为事关国家安全与经济社会发展的重大问题。当前数据安全形势十分严峻,维护数据安全的责任重大。一方面数据安全被纳入总体国家安全观,进行顶层设计和合规监管,这是由国际安全竞争形势和国家发展战略所决定的;另一方面,国内外针对高价值数据的勒索攻击日渐猖獗,不断威胁各领域的机构运营,数据安全亦成为各领域机构运营安全的内生需求。这两方面因素是驱动雌安全行业和技术创新发展的
5、核心力量。1.1 我国已逐步完成数据安全顶层设计,基本建成政策法规监管体系1.1.1 翔居安全政策法规密集出台2015年7月1日起施行的国家安全法规定:国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领息系统及安全保护和利用技术任何个人2017年6月1日起施行的网络安全法规定:国家鼓励开发网络和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动”。2020年3月30日印发的中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见指出:制定雌隐私保护制度和安全审查制
6、度。推动完善适用于大雌环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。”2021年9月1日起施行的数据安全法规定:维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。该法的起草过程中,明确提出了没有数据安全就没有国家安全,这在历史上是首次。数据安全法还以法律的形式规定:中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制。”目前,国家数据安全工作协调机制已经到位,国家数据安全顶层设计基本完成。2021
7、年11月1日起施行的个人信息保护法明确提出国家建立健全个人信息保护制度,预防和惩治侵害个人信息权益的行为,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。凸显个人信息保护不仅针对个人权益而且事关国家安全。2022年12月2日印发的中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见(数据二十条)指出:完善治理体系,保障安全发展。统筹发展和安全,贯彻总体国家安全观,强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程,划定监管底线和红线。加强数据分类分级管理,把该管的管住、该放的放开,积极有效防范和化解各种数据风险,形成政府监管与
8、市场自律、法治与行业自治协同、国内与国际统筹的数据要素治理结构。2023年1月3日印发的工业和信息化部等十六部门关于促进数据安全产业发展的指导意见提出到2025年,数据安全产业基础能力和综合实力明显增强,产业规模超过1500亿元,年复合增长率超过30%。到2035年,数据安全产业进入繁荣成熟期。2023年2月,中共中央、国务院印发数字中国建设整体布局规划提出要强化数字中国关键能力。筑牢可信可控的数字安全屏障。切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安全保障能力,建立雌分类分级保护基础制度,健全网络峰监测预警和应急处置工作体系.”2023年3月f党和国家机构改革方案指出,组建国
9、家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,推进数字中国、数字经济、数字社会规划和建设等,为数据安全治理提供强力支撑。2023年4月商用密码管理条例在1999年发布的24年后重新修订发布,旨在规范商用密码应用和管理,鼓励和促进商用密码产业发展,保障网络与信息安全,推动商用密码技术的研发和应用,促进数据安全产业的发展。2023年12月国家数据局发布健要素三年行计划(2024-2026年)(征求意见稿)推动数据要素在智能制造、智慧农业、商贸流通等十二个事关国计民生的领域的重点行动。伴随着一系列围绕数据安全的顶层政策法规的密集出台,以及主管单位组织架构的完善,细分领域和地
10、方性的实施细则、标准和创新试点纷纷涌现。据不完全统计,仅2023年上半年就有91项网络与数据安全相关文件发布,包括13项国家政策法规、10项重点行业政策、21项地方政策规章、31项国家技术标准、16项重点领瞬告。1.1.2 数据安全治理制度的顶层设计基本确立目前,通过法律法规和政策文件,我国确立了以下主要的数据安全制度:一是数据交易管理制度。用以规范数据交易行为,培育数据交易市场。从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核资料、交易记录。下一步将出台专门管理办法,对数据交易机构的设立条件、运行规则、监管要求等予以明确。二是数据分类分级制度
11、。按照数据安全法规定,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家已明确数据分为三级:一般数据、重要数据、核心数据,后两者直接关系国家安全。各地区和各部门可根据实际情况,明确本地区、本部门的数据分类分级方法,对重要数据和核心嘤据进行重点保护C三是数据安全审查制度。对影响或者可能影响国家安全的数据处理活动进行国家安全审查。为了落实这一制度,国家网信办等十三个部委联合公布了修订后的网络安全审查办法,于2022年2月15日起施行。该办法将网络平台运营者开展数据处理活动纳入
12、审查范围,防范核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险。审查制度还明确要求对国内企业赴国外上市活动进行审查,以防范上市企业存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险。四是数据出境安全管理制度。鉴于数据安全的重要性,主权国家应当对数据出境实施安全管理。为此,我国对两类数据建立了出境安全评估制度,一类是重要数据,另一类是批量个人信息以及关键信息基础设施运营者掌握的个人信息。2022年9月1日起,数据出境安全评估办法正式实施。对个人信息出境,我国探索设立了认证途径和标准合同途径。当今世界,
13、所有跨境贸易的实质都是数据跨境流动,故该议题已成为国际贸易规则重构的焦点,各国高度关注却远未达成共识,今后的国际博弈将更加激烈。五是出口管制制度。国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。这一规定具有重大意义,是我国出口管制法在数据领域的落实。六是对等反制制度。我国法律规定,任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。目前美西方国家以数据安全为由,全方位对我国围追堵截,遏制我国高新技术发展,故这一制度有着重要的现实意
14、义。七是跨境数据司法调取审批制度。美国澄清境外合法使用数据法案规定,在美国政府执法、司法机构提出要求时,任何美国企业在他国收集存储的数据都要交给美国政府。这种“长臂管辖”是对他国司法主权的严重侵犯。为维护我国国家安全利益,数据安全法规定,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。1.13数据安全落地实施的国家标准体系不断完善数据安全国家标准是开展数据安全监管,规范行业数据安全要求,指导网络运营者提升数据安全能力的重要抓手,对促进数据应用规范化、提升数据活动安全性有着重要意义。目前,全国信息安全标准化技术委员会(SAC/TC26
15、0,简称“信安标委)已开展9项数据安全标准研制项目,其中,已发布标准4项,在研标准5项。数据安全系列国家标准安全要求类标准GB/T35274大数据服务安全能力要求修订中-GB/T37932-2019数据交易磁安全要求-GB/T39477-2020政务信息共享数居安全技术要求=gl分类分级三bIJI网络雌分类分级要求lr手要数据识别指南里要雌处理安全要求个人信息保护GB/T35273-2020个人信息安全规范GB/T41391-2022移动互联网应用程序(APP)收集个人信息基本要求全国信息安全标准化技术委员会(SA(TTG260.简称“信安标委)实施指南类标准7a3-CBVT27973-2019棣簸全g三)WGBT39725-2020健康医疗数据安全指南电信领域大数据安全防护实现指南安全要求类标准TTOGBVT37988-2019全能力丁,GBV/T41479-2022网络糜处理安全要求分类分级保护是数据安全治理工作的第一步,网络数据分类分级要求在2022年9月14日公开征求意见,数据分类分级工作首先要参考这个国标,在识别和保护重要数据方面,也要参考重要数据识别指南和重要数据处理要求。涉及使用和处理大量个人信息的企业或组