一、前言
當前我國數(shù)字經(jīng)濟發(fā)展迅速,例如:大數(shù)據(jù)�、云計算��、物聯(lián)網(wǎng)、AI���、5G等等,數(shù)字經(jīng)濟與各行各業(yè)融合發(fā)展�,相互促進���,已經(jīng)滲透到國民經(jīng)濟的方方面面��,數(shù)字經(jīng)濟的發(fā)展過程中�����,產(chǎn)生了大量的數(shù)據(jù)��。
創(chuàng)新互聯(lián)是一家專業(yè)提供武義企業(yè)網(wǎng)站建設(shè),專注與成都做網(wǎng)站���、成都網(wǎng)站建設(shè)���、HTML5、小程序制作等業(yè)務�����。10年已為武義眾多企業(yè)�、政府機構(gòu)等服務。創(chuàng)新互聯(lián)專業(yè)的建站公司優(yōu)惠進行中��。
2020 年 4 月 9 日�,中共中央、國務院印發(fā)《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》���,文中將數(shù)據(jù)定義為一種新型生產(chǎn)要素���,與土地、勞動力�、資本、技術(shù)要素并列���。本《意見》的印發(fā)�����,說明數(shù)據(jù)在經(jīng)濟的發(fā)展過程中已經(jīng)并將繼續(xù)扮演越來越重要的角色���。
數(shù)據(jù)作為新型生產(chǎn)要素�����,只有流動�����、共享交換�、處理分析才能創(chuàng)造價值�����。一方面要讓數(shù)據(jù)安全流動起來�����,充分發(fā)揮和挖掘數(shù)據(jù)的價值�����,防止出現(xiàn)數(shù)據(jù)孤島�,另一方面還要考慮在共享交換的過程中如何保護數(shù)據(jù)隱私安全,防止敏感數(shù)據(jù)的泄露風險���,這對于數(shù)據(jù)的控制者和處理者來說����,不管是管理上還是技術(shù)上都是一個非常大的挑戰(zhàn)���。
數(shù)據(jù)安全從生命周期的角度來看���,包括:數(shù)據(jù)的采集、傳輸���、存儲���、處理、交換��、銷毀過程中涉及的安全��,數(shù)據(jù)的處理和交換階段的安全可以歸為數(shù)據(jù)的使用安全����。
二���、數(shù)據(jù)使用階段安全的介紹
數(shù)據(jù)使用是指在內(nèi)部對數(shù)據(jù)進行計算、分析����、可視化等操作,以及與外部組織機構(gòu)及個人進行數(shù)據(jù)交互的階段��。該階段的安全控制措施有制度建設(shè)��、合規(guī)性評估���、數(shù)據(jù)脫敏�、鑒別�、授權(quán)、審計��、分析以及與數(shù)據(jù)共享交換相關(guān)的����。
在數(shù)據(jù)使用階段��,應針對數(shù)據(jù)合規(guī)使用����、數(shù)據(jù)泄露風險�、溯源追責等采用相應的安全技術(shù)和措施����,實現(xiàn)敏感數(shù)據(jù)使用過程中的整體安全保護,并充分考慮各種安全技術(shù)實施層面的組合和功能上的互補性�����。
數(shù)據(jù)使用階段安全的總體目標是為了在積極開發(fā)利用數(shù)據(jù)資源�、充分釋放數(shù)據(jù)價值的同時,構(gòu)建數(shù)據(jù)安全保障體系�����,從管理體系���、技術(shù)防護體系進行全方位防御����,切實保障組織在數(shù)據(jù)使用過程中安全���。
數(shù)據(jù)使用階段的安全主要包括如下幾個方面:
1.數(shù)據(jù)正當使用
基于國家相關(guān)法律法規(guī)對數(shù)據(jù)分析和利用的要求�,建立數(shù)據(jù)使用過程的責任機制、評估機制�,保護國家秘密、商業(yè)秘密和個人隱私���,防止數(shù)據(jù)資源被用于不正當目的����。對于組織來說:
· 應由業(yè)務團隊相關(guān)人員負責數(shù)據(jù)使用的合規(guī)性評估;
· 核心業(yè)務應明確數(shù)據(jù)使用正當性的制度�����,保證數(shù)據(jù)使用在聲明的目的和范圍內(nèi)����。
2.數(shù)據(jù)脫敏
根據(jù)相關(guān)法律法規(guī)、標準的要求以及業(yè)務需求�,給出敏感數(shù)據(jù)的脫敏需求和規(guī)則,對敏感數(shù)據(jù)進行脫敏處理��,保證數(shù)據(jù)可用性和安全性的平衡�����。對于組織來說:
- 應由業(yè)務團隊相關(guān)人員負責數(shù)據(jù)脫敏工作;
- 負責數(shù)據(jù)脫敏工作的人員應了解數(shù)據(jù)脫敏的常用技術(shù)�����,并能夠基于數(shù)據(jù)脫敏的具體場景保證業(yè)務和安全之間的需求平衡;
- 在核心業(yè)務中���,應對業(yè)務中涉及的數(shù)據(jù)脫敏需求進行分析���,明確脫敏的流程和方法;
- 應通過一定的技術(shù)工具(如敏感字段屏蔽等方式),實現(xiàn)對核心業(yè)務的數(shù)據(jù)脫敏���。
3.鑒別����、授權(quán)�����、審計
針對組織內(nèi)部的數(shù)據(jù)使用����,建立安全保護機制,對于組織來說:
- 應對數(shù)據(jù)使用者進行身份鑒別���、訪問控制等措施;
- 應對數(shù)據(jù)的使用行為進行監(jiān)控和審計����,審計人員應設(shè)置專崗;
- 應建立數(shù)據(jù)處理日志管理工具,記錄用戶在數(shù)據(jù)使用過程中的加工操作����。
4、數(shù)據(jù)分析安全
通過在數(shù)據(jù)分析過程采取適當?shù)陌踩刂拼胧?防止數(shù)據(jù)挖掘�、分析過程中有價值信息和個人隱私泄漏的安全風險。
5.數(shù)據(jù)共享交換
數(shù)據(jù)共享交換是指與外部組織機構(gòu)及個人進行數(shù)據(jù)交互的階段�����。主要需要考慮通過業(yè)務系統(tǒng)��、產(chǎn)品對外部組織提供數(shù)據(jù)時����,以及通過合作的方式與合作伙伴交換數(shù)據(jù)時執(zhí)行共享數(shù)據(jù)的安全風險控制,以降低數(shù)據(jù)共享場景下的安全風險�����。
對于組織來說:
- 保證數(shù)據(jù)接口安全���,通過建立組織的對外數(shù)據(jù)接口的安全管理機制,防范組織數(shù)據(jù)在接口調(diào)用過程中的安全風險;
- 應由業(yè)務團隊相關(guān)人員建立并負責對數(shù)據(jù)共享方案進行安全風險管控;
- 應明確核心業(yè)務數(shù)據(jù)共享安全評估機制����,從共享目的合理性、共享數(shù)據(jù)的范圍和合規(guī)性��、共享方式的安全性���、共享后管理責任和約束措施等方面進行評估;
- 負責數(shù)據(jù)共享安全的人員應具備對數(shù)據(jù)共享業(yè)務的理解能力,能夠結(jié)合合規(guī)性要求給出適當?shù)陌踩鉀Q方案����。
三、數(shù)據(jù)使用階段相關(guān)的其他安全技術(shù)——隱私計算
隱私計算((Privacy-Preserving
Computation))是一類技術(shù)方案架構(gòu)�,在處理和分析計算數(shù)據(jù)的過程中能保持數(shù)據(jù)不透明、不泄露�����、無法被計算方法以及其他非授權(quán)方獲取��。
隱私計算技術(shù)從1979年就開始了�����,最開始是MPC(安全多方計算)、到DP(差分隱私)�����、到TEE(可信執(zhí)行環(huán)境)���,再到最近的FL(聯(lián)邦學習)�����,2019年���,Gartner首次將隱私計算列為處于啟動期的關(guān)鍵技術(shù),2020年����,Gartner又將隱私計算列為2021年企業(yè)機構(gòu)九大重要戰(zhàn)略科技之一,并預測隱私計算將迅速得到落地應用�,預計到2025年應用范圍將覆蓋全球一半的大型企業(yè)機構(gòu)。
隱私計算技術(shù)是一系列技術(shù)的集合�,涉及混淆電路、同態(tài)加密����、不經(jīng)意傳輸����、秘密共享�����、零知識證明����、差分隱私�����、隱私信息檢索等多種技術(shù)����。
近兩年來����,伴隨著技術(shù)的不斷成熟,國內(nèi)外隱私計算產(chǎn)業(yè)化的步伐明顯加快��??梢灶A見��,未來幾年將是技術(shù)產(chǎn)品加速迭代��,應用場景快速升級,產(chǎn)業(yè)生態(tài)逐步成熟的重要階段�����。
標題名稱:五分鐘弄清楚數(shù)據(jù)使用階段的安全
文章網(wǎng)址:
http://uogjgqi.cn/article/djecpso.html
