保守秘密 人人有责

您当前的位置: 首页  >  专题专栏  >  保守秘密 人人有责
数据安全须过“保密关”
发布时间:2022-06-23     作者:蒋斌   来源:学习强国《保密工作》杂志   分享到:

近年来,数字化场景不断向更多领域延伸,数字技术创新和迭代速度明显加快,政府、企业、公民各类主体对数据安全的需求愈发旺盛。与此同时,数字化时代的数据信息呈现出“看似非密、实则胜密”的显著特点。境外敌对势力不断以“公开掩护秘密、合法掩护非法”的方式搜集我国各行业重要数据,试图利用数据分析技术窃取我国涉密敏感信息。因此,要想在数字化时代行稳致远,必须在深化数据安全理念、构建数据治理和安全防护体系时同步考虑保密问题,在“大保密”的语境中为数字化场景提供信息安全保障。

数据安全保密形势逼人

随着远程会议、智慧医疗、智慧交通等不同应用场景走向成熟,海量结构、类型复杂的数据正在生成,防止数据泄露变得更加困难。数据采集、存储、传输、分析和知识创造各阶段都存在信息泄露风险,而且这些风险已经呈现常态化、规模化和叠加化趋势。数据安全保密面临的形势十分严峻。

数据泄露风险随着数据流转形式复杂化而日趋增大。数据流转贯穿于数据采集、存储、传输、使用、共享、销毁等各个环节,形式比较多样。而常态化、复杂化的数据流转,使数据信息在数据使用各环节中隐性留存、难以清除,而且追踪难、控制难,为国家、企事业单位、公民个人重要数据的安全防护带来巨大挑战。

公民个人信息安全与国家秘密安全高度交织。随着网络购物、共享经济、移动支付等技术场景接连落地,数字经济在便捷公众生活的同时,也为篡改、窃取个人信息等违法行为留下了可乘之机,数据泄露事故在各国频发。其中,医疗、金融等方面的个人信息是不法分子觊觎的主要对象,而这些信息一旦发生大规模泄露,极易“量变引起质变”,对国家安全和利益造成危害。

传统安全防御技术难以应对多样化的攻击手段。随着5G、人工智能、云计算、大数据等技术的应用发展,高级持续性威胁(APT)、暴力破解、勒索病毒、撞库拖库等威胁数据安全的网络攻击手段日益增多,侧重于单点防护、基于流量分析和边界防护的传统防护体系已无招架之力。近年来频频曝出的国际网络攻击事件更表明,提高防御能力、维护数据安全已成为全球共同课题。

数据保护和监管机制尚不健全、配套制度不够细化。目前,我国虽然出台了《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,围绕数据安全搭建了大致制度框架,但数据分类分级、重要数据保护、数据安全应急处置、数据安全审查等方面的制度机制建设还处在初级阶段。从执行层面看,要保障相关法律的细化实施,需要制定大量的配套法规制度标准,与《中华人民共和国保守国家秘密法》等相关法律法规的衔接问题也亟待解决。

保密应成为数据安全治理的主线红线

总而言之,数据安全治理与保密工作“你中有我、我中有你”,只有从保守国家秘密的角度为数据安全治理划定标准和方向,才能真正把数据管好用好。具体来说,就是要用保密的思维观照数据资产梳理、敏感数据识别、数据安全认责、数据分类分级、数据安全授权等各方面工作,在数据安全治理各个环节融入保密管理措施。

一是坚持数据分类分级开发利用。要根据数据对国家安全、公共利益或者个人、组织的意义和价值,以可行性为前提进行数据分类分级。同时,为不同类别和级别的数据编制配套安全策略和技术方案,分别对之采取严格保护、内容监管、鼓励流动、强制公开等不同的使用规则和管理方法,并在数据处理方面明确权责。此外,还要建立分类分级审查制度,定期或不定期开展风险评估,邀请第三方介入,编制覆盖整个系统行为和数据活动的审计策略与流程。

二是推进数据开发利用技术和数据安全标准体系建设。要围绕数据收集、存储、使用、加工、传输、提供、公开等不同环节,构建相应的制度、流程、操作指引,健全数据全生命周期合规管理制度,推动数据安全标准体系建设。同时,要建立健全重要数据保护目录和相关制度,坚持完善数据使用规范,为数据的全生命周期管理注入安全保密基因。最后,可以借助“数据沙箱”“身份认证授权中心”“数据审计”等技术,对敏感信息进行梳理,规范脱敏流程,确保公共数据脱敏后既能得到有效利用,又能安全保密、追踪溯源。

三是加快构建统一规范、互联互通、安全可控的数据开放平台。打破阻碍数据互联互通的壁垒,规范各地区各行业数据开放的领域、主题、格式、协议等,形成安全、统一、高效的数据开放途径,建立数据开放平台。数据开放平台应以为社会机构和用户提供最权威、最精准的信息资源为基本目标,以不同方式整合优质数据,建立更加安全便捷的结构化资源渠道,在盘活各类数据资源、提升数据开放质量的同时把牢数据出口。

四是坚持安全与发展并重理念,统筹发展和安全。目前,我国已将政府数据开放提升到国家战略地位,明确政务信息应以共享为原则,不共享为例外,将形成公共数据资源合理适度开放共享的法规制度和政策体系作为中长期目标。在此背景下,更要精准管理施策、循序渐进行动,把安全保密工作真正做细做实做好,以安全保障发展、以发展促进安全。要切实做好数据资产梳理、数据分析、数据流转和跨境数据监测、权限控制、数据保护、安全审计、追踪溯源等综合技术保障。在涉密程度较高的政务、军工、科研等重点行业领域,大力研发使用新型数据处理信息系统设施设备,构建适应数字化时代的安全保密防护体系,保障数据开发利用良性、健康发展。


【我们尊重原创,也注重分享。版权原作者所有,如有侵犯您的权益请及时联系,我们将第一时间删除。分享内容不代表本网观点,仅供参考。】