安策有效利用数据安全技术进行数据安全治理图

       2022年9月14日，国家标准《信息安全技术网络数据分类要求》公开征求意见。数据分类保护是我国数据安全管理的基本体系之一。数据分类标准支持国家数据分类保护体系建设，给出数据分类的一般原则和方法，识别重要数据的基本原则，考虑因素和重要数据描述格式。

      分类分类是整个数据过程动态保护的基本前提，也是数据安全管理的第一步。数据分类后，如何继续进行数据安全管理是企业或组织面临的共同问题。

      除了对数据资产的评估和分类外，我们还可以围绕系统建设、技术控制和战略优化的连续循环过程，为数据中心建立一套有效的数据安全管理系统。数据安全建设需要从系统规范、评价体系、安全威胁、安全方案、安全运行等多个维度实施。通过全面了解数据安全威胁，建立数据安全解决方案和数据安全运行能力建设，实现数据安全运行的流程化和集中化。同时，数据安全管理要求数据安全管理/监督员建立管理能力和运行监督能力，数据安全运营商建立日常运行（监控管理）能力，数据运营商建立监控防护能力，从而建立运行体系、管理体系、监控体系阶段相辅相成的有效数据安全管理体系。

      在实施过程中，除了制定分类分类规范外，还需要制定数据安全管理措施、数据安全管理规范、数据安全关键流程管理规范，通过日常操作工作台支持数据安全操作业务流程，通过可视化操作监督能力帮助管理者全面掌握数据安全操作，提高数据安全能力，跟踪可追溯风险源，数据资源全生命周期管理，建立安全集中控制、事件集中处理、风险集中处理数据安全闭环管理。

       本文从《数据安全法》其他条款的角度，帮助梳理分类分类后如何有效利用数据安全技术，在应对网络攻击、不同业务场景、利用数据价值、数据处理活动等方面继续开展数据安全治理建设。

       可参考《数据安全法》“第六条　各地区、各部门对本地区、本部门工作中收集和生成的数据和数据安全负责。工业、电信、交通、金融、自然资源、卫生、教育、科技等主管部门应当承担本行业和领域的数据安全监督职责。公安机关、国家安全机关应当按照本法、有关法律、行政法规的规定，在各自职责范围内承担数据安全监督职责。国家网络信息化部门负责协调网络数据安全和相关监督，依照本法、有关法律、行政法规的规定。”

        国际国内网络空间形势日益复杂，过去网络攻击主要针对系统，黑客破坏企业IT该系统很有趣，但并不针对企业组织的数据资产。自2015年以来，网络攻击的风向开始转向攻击数据，黑客以数据为目标加密数据，停止企业生产，这是一个重要的变化。随着网络攻击模式的变化，网络安全问题已经从过去的系统问题转变为系统数据问题。鉴于这一变化，企业网络安全无疑需要进一步改变和跟进，以真正保护企业数字资产的安全。

      在这种环境下，数据安全应该采取更多的保护措施。首先，携带关键数据的信息系统应隐蔽，包括人员和环境保护；如果网络攻击者找到携带关键数据的信息系统，我们需要采取访问控制、身份识别、数据脱敏加密、数据防泄露、数据水印等技术保护措施。

      关键技术包括数据脱敏和数据水印技术。

      数据脱敏作为一种重要的单点保护技术，可以帮助用户掌握敏感数据分布，提高脱敏效率，规范数据共享过程，满足企业在运维和应用方面的数据匿名和脱敏需求，保护隐私数据免受泄露；数据水印技术可以为数据外发行为提供服务“事前数据发现梳理-事中添加数据标记-自动生成水印-事后文件外发行为审计-疑似泄漏数据追溯”等功能。

       传统的静态防御系统已经无法抵抗网络攻击。为了应对挑战，迫切需要一套系统自动梳理方法来自动发现和管理数据资产，从系统侧和大数据侧识别数据资产；或者通过自动漏洞挖掘，帮助企业在一定程度上保证数据资产的安全，这也是网络攻击层面数据安全技术的难点。

本文从《数据安全法》其他条款的角度，帮助梳理分类分类后如何有效利用数据安全技术，在应对网络攻击、不同业务场景、利用数据价值、数据处理活动等方面继续开展数据安全治理建设。