炼石 2021数据安全与个人信息保护技术白皮书 v1.0 在线下载,免费下载

h t i g c . 5 m o b u 2021 数据安全与个人信息保护技术白皮书北京炼石网络技术有限公司 2021.11.1 1 声明北京炼石网络技术有限公司对本技术报告内容及相关产品信息拥有受法律保护的著作权，未经授权许可，任何人不得将报告的全部或部分内容以转让、出售等方式用于商业目的使用。转载、摘编使用本报告文字或者观点的应注明来源。报告中所载的材料和信息，包括但不限于文本、图片、数据、观点、建议等各种 m o 形式，不能替代律师出具的法律意见。违反上述声明者，本公司将追究其相关法 c . 5 律责任。报告撰写过程中，为便于技术说明和涵义解释，引用了一系列的参考文献，内容如有侵权，请联系本公司修改或删除。 h t i g b u 北京炼石网络技术有限公司联系电话: 4008190181 邮箱: support@ciphergateway.com 2 前言当前，以数字经济为代表的新经济成为经济增长新引擎，数据作为核心生产要素成为了基础战略资源，数据安全的基础保障作用也日益凸显。伴随而来的数据安全风险与日俱增，数据泄露、数据滥用等安全事件频发，为个人隐私、企业商业秘密、国家重要数据等带来了严重的安全隐患。近年来，国家对数据安全与 m o 个人信息保护进行了前瞻性战略部署，开展了系统性的顶层设计。《中华人民共 c . 5 和国数据安全法》于 2021 年 9 月 1 日正式施行，《中华人民共和国个人信息保护法》于 2021 年 11 月 1 日正式施行。 b u 本白皮书（或本报告）正是在《数据安全法》、《个人信息保护法》等法律 h t i g 陆续施行的背景下编制。《数据安全法》旨在维护国家安全和社会公共利益，保障数据安全，其关于“数据”的定义，是指任何以电子或者其他方式对信息的记录。《个人信息保护法》更侧重于个人权益，是为了维护公民个人的隐私、人格、人身、财产等利益，其关于“个人信息”的定义，是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。业内关于“数据”和“信息”之间关系的理解，大致可以分为三类：一是“信息”属于“数据”的子概念，“信息”是从采集的“数据”中提取的有用内容；二是“信息”与“数据”互相混用，概念区分没有实质意义；三是“数据”属于 “信息”的子概念，仅表示“信息”在电子通信环境下的表现形式。本报告基于数据和信息之间关系的第一种释义，即“个人信息”属于“数据”的子概念。同时，《数据安全法》中的数据处理者在处理个人信息时，也是《个人信息保护法》 3 中的个人信息处理者，除需遵守《数据安全法》，还必须遵守《个人信息保护法》。从技术层面看，个人信息往往以结构化数据或非结构化数据形式存在，保护个人信息和保护数据的防护手段，二者高度通用。综合考虑以上原因，本报告将数据安全技术与个人信息保护技术合并论述。本报告综合梳理了当下数据安全发展面临的挑战与机遇，结合真实的数据泄漏事件，分析业务流转各环节伴生的安全风险与应对，探索数据安全“新框架” m o 与“新战法”。本报告参考经典的网络安全框架 ATT&CK，提出了新的数据安全技术框架 DTTACK（以数据为中心的战术、技术和通用知识），以期结合两大框 c . 5 架实现“攻防兼备、网数一体”。本报告详细介绍了 DTTACK 框架，针对数据安 b u 全从识别（I）、防护（P）、检测（D）、响应（R）、恢复（R）、反制（C）、治理（G）七大方面说明了相应的战术、技术，覆盖了数据的全生命周期（收集、 h t i g 存储、使用、加工、传输、提供、公开等）的安全防护。最后，报告从云平台、工业互联网、政务大数据、银行金融、民航业等十个场景，简要阐述了数据安全的应用示例方案以供参考。 “工欲善其事，必先利其器”，在数字经济快速发展的背景下，我们更需要深刻认识到数据安全建设的重要性，不仅需要在安全意识和管理水平上提升，更需要在技术上重点布局、勇于创新，希望本报告能够为企业或机构的数据安全建设提供参考和借鉴。由于编者水平有限，报告中的错误之处在所难免，敬请读者指正，也欢迎业界同仁共同参与完善，为行业发展提供助力！ 4 目录声明............................................................................................................................2 前言............................................................................................................................3 一、数据安全发展面临严峻挑战..............................................................................15 1.1 数据要素赋能数字中国................................................................................15 1.1.1 数据成为新型生产要素.....................................................................15 1.1.2 数据开发利用加速发展.....................................................................17 1.2 个人信息亟待严格保护................................................................................18 1.2.1 个保法律强化保护义务.....................................................................18 m o 1.2.2 个人信息需要体系防护.....................................................................19 1.3 业务处理伴生数据风险................................................................................20 c . 5 1.3.1 数据收集风险.....................................................................................20 1.3.2 数据存储风险.....................................................................................23 b u 1.3.3 数据使用风险.....................................................................................28 1.3.4 数据加工风险.................................................................................... 31 h t i g 1.3.5 数据传输风险.....................................................................................32 1.3.6 数据提供风险.....................................................................................33 1.3.7 数据公开风险.....................................................................................35 1.4 数据风险制约产业创新................................................................................36 1.4.1 数据跨境流动带来新隐患................................................................ 37 1.4.2 新技术迭代催生更多风险................................................................ 38 1.4.3 新业态出现激发潜在危机................................................................ 39 二、数据安全产业迎来发展机遇..............................................................................41 2.1 实战合规共驱安全产业................................................................................41 2.1.1 数据安全面临国内外挑战.................................................................41 2.1.2 安全需求被置于次要地位.................................................................41 2.1.3 强合规监管深化鞭子效力.................................................................42 2.2 数据安全成为国家战略................................................................................42 2.2.1 国际数据安全发展战略概况........................................