1、促进数据生产要素发展，解构大数据安全框架奇安信战略规划部林晓明目录新时代下“大数据安全”的重新解读解构大数据业务发展下的安全框架“内生安全”指导大数据安全落地数据要素市场培育/数据安全法2020年3月30日中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见明确将数据作为一种新型生产要素写入政策文件，是要充分发挥数据这一新型要素对其他要素效率的倍增作用，培育发展数据要素市场，使大数据成为推动经济高质量发展的新动能。推进政府数据开放共享提升社会数据资源价值加强数据资源整合和安全保护优化经济治理基础数据库，加快推动各地区各部门间数据共享交换，制定出台新一批数据共享责任清单。培育数字经济新

2、产业、新业态和新模式，支持构建农业、工业、交通、教育、安防、城市管理、公共资源交易等领域规范化数据开发利用的场景。推动人工智能、可穿戴设备、车联网、物联网等领域数据采集标准化。探索建立统一规范的数据管理制度。研究根据数据性质完善产权性质。推动完善适用于大数据环境下的数据分类分级安全保护制度，加强对政务数据、企业商业秘密和个人数据的保护。6月28日第十三届全国人大常委会第二十次会议对中华人民共和国数据安全法（草案）进行了审议。并向社会公众征询提出意见，从草案中看出：1.数据安全纳入国家安全观2.数据安全保障、数据开发利用两者并重3.重要数据的保护，政务数据安全的重要性增强对“大数据安全”的重新解

3、读大 数据 安全“大数据”表面是大量数据存放相同位置，或指代大数据技术。背后上是多方（所有者、管理者、消费者、生产者）参与下的数据管理与消费模式大数据云安全网络安全终端安全数据安全而“数据安全”更多在描述一种安全目标，它覆盖的是所有信息化场景。所以考虑数据安全需要体系化/全局视角“云安全、网络安全、终端安全”是一种场景化安全描述方式，与“数据安全”之间存在重叠。采集存储传输交换处理销毁目录新时代下“大数据安全”的重新解读解构大数据业务发展下的安全框架“内生安全”指导大数据安全落地城市级大数据政府部门大数据企业级大数据外部消费者内部消费者数据管理者数据所有者个人数据所有者产业及社会主体借助政务大

4、数据开发推动新业态、新模式和新动能政府部门借助大数据，简化行政服务流程、在城市层面或行业层面实现高效精准的治理和行政权力事宜。提升治理体系和治理能力的现代化大数据局等相关机构，统筹归集本级政府各部门数据，打通城市各行业公共管理数据本级政府各委办局在行政管理过程中所收集的相关数据个人在参与社会活动过程所产生的具有个人相关标示的数据信息跨部门在政务体系内的开放，推动行业新公共服务模式。政府某委办局信息化部门统筹归集下级单位行政数据，打通行业数据该委办局下设的相关部门管理所管辖的个人数据、社会数据、市场监管数据等第三方供应链、政府监管部门等推动产业数据有效流通，扩展产业生态企业经营决策、推动企业生产

5、、营销实现智慧化发展企业数字化部汇集企业经营过程各类数据，打通工业生产与市场营销参与生产经营过程中所收集的客户数据，经营管理数据、生产过程数据等典型的大数据业务场景过去数据烟囱每个业务线都有自己相关的数据积累局部的BI如今大数据平台建设数据底座大数据支撑的智慧应用及AI采集者外部消费者内部消费者数据管理者数据所有者个人数据所有者不同的参与者带来了不同的安全挑战个人数据隐私问题数据共享交换问题数据开放及跨境流动问题大数据安全主要聚焦在多方参与的以下安全问题上：数据交易问题? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?大数据安全常见能力类别区分外部消费者内部消费者数据管

6、理者数据所有者个人数据所有者不同大数据场景下的安全能力重点不同个人数据隐私问题数据共享交换问题数据开放及跨境流动问题大数据安全主要聚焦在多方参与的以下安全问题上：数据交易问题? 数据发现、映射和分类 分级的数据安全需求? 数据生命周期分析、流建模 数据控制措施设计? 数据安全控制位置规划 数据安全技术及产品映射 数据是很难全面保护的资产类别，除非对其生命周期进行更广泛的了解。数据已成为一种无限可变和可移动的资源，通常会在分散的数据系统中进行存储和处理，传统的以基础设施为中心的数据安全方法常常效果不佳。我们拥有什么类型的数据？为什么需要它们？数据流转的机制是什么？有哪些基本过程？谁可以访问这些数

7、据，谁在管理这些数据？数据该如何分类分级？保护它们需要能力是什么？描述数据为什么以及如何在基础设施中流转？在整个流转过程中涉及哪些信息化对象？需要哪些数据安全控制措施达成能力需求？这些安全控制措施和信息化对象的关系是什么？哪些产品技术可满足安全能力及控制要求在物理环境中落地的位置在哪里。?以数据为中心的大数据安全架构设计方法以以数据为中心结合数据为中心结合SABSASABSA的的数据安全架构设计数据安全架构设计C1收集传输使用存储删除销毁信息展示共享转让公开披露委托处理汇聚融合开发测试加工处理信息加密可追溯字段屏蔽明示同意支付加密传输加密支付安全身份认证完整性校验传输加密身份认证完整性校验存储

8、加密字段加密去标识化存储DLP（支付信息、生物信息不留存）信息屏蔽截词不明文展示信息屏蔽不明文展示日志审计（不公开生物识别）授权同意数据加密去标识化操作审计（辅助鉴别不允许）明示同意明示同意数据脱敏逻辑隔离数据脱敏逻辑隔离数据脱敏签署承诺操作审计按需脱敏最小权限数据脱敏签署承诺操作审计按需脱敏最小权限防泄漏汇聚风险去标识化滥用防护操作审计日志审计防泄漏汇聚风险去标识化滥用防护操作审计信息加密可追溯字段屏蔽明示同意不被检索不被访问磁盘覆写磁盘销毁不被检索不被访问磁盘覆写磁盘销毁不允许C3C2存储DLP信息类别是否共享、转让、委托处理C3：用户鉴别信息否C2：可识别特定个人金融信息主体身份与金融状

9、况的个人金融信息告知后可以（除用户鉴别辅助信息外）C1：机构内部的信息资产告知后可以?金融数据（个人信息）安全能力框架参考政务数据共享交换安全能力框架参考数据分类分级与生命周期结合的能力框架?基于业务场景的数据安全逻辑框架参考基于业务场景的数据安全逻辑框架政务共享交换服务接口调用逻辑框架Source: GartnerID: 390767任何设备员工客户正在访问静态应用数据使用/下载正在访问静态创建数据/上传企业外部的数据源企业外部的数据源企业管理的端点和软件企业管理的端点和软件超出企业控制超出企业控制范围的范围的数据存储数据存储传入的数据流内部的数据流传出的数据流数据使用/下载正在访问静态12

10、3456使用中应用7正在创建810911公有云数据安全逻辑框架? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?数据安全运营需要更多的IT与业务协同数据所有者需要协助管理者描述数据参与对业务逻辑的变更，实施数据安全措施最困难的地方数据所有者需要协助管理者描述数据数据所有者、数据消费者协助调查分析事件目录新时代下“大数据安全”的重新解读解构大数据业务发展下的安全框架“内生安全”指导大数据安全落地内生的背后是安全框架与信息化的深度融合 数字产业、智慧城市的背后是数据的协同，数据安全已上升到国家安全。 大数据安全需要体系化、全局化、跨组织协同的安全思考。 分类分级下的数据生命周期能力要求定义了数据安全能力框架。 数据的流转过程的安全控制及关联IT对象定义了数据安全逻辑框架。 其中，数据访问控制是大数据安全问题的核心，也是安全内生的关键。 从局部整改为主的外挂式建设模式走向深度融合的“内生安全”建设框架模式。THANKS全 球 网 络 安 全 倾 听 北 京 声 音