2021数据安全与个人信息保护技术白皮书

　　2021年11月1日《中华人民共和国个人信息保护法》正式实施，这是部保护公民个人信息的专门法律，与《民法典》、《网络安全法》、《数据安全法》等法律共同编织成一张个人信息的“保护网”。

　　本白皮书正是在《数据安全法》、《个人信息保护法》等法律陆续施行的背景下编制。《数据安全法》旨在维护国家安全和社会公共利益，保障数据安全，其关于“数据”的定义，是指任何以电子或者其他方式对信息的记录。

　　《个人信息保护法》更侧重于个人权益，是为了维护公民个人的隐私、人格、人身、财产等利益，其关于“个人信息”的定义，是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

　　报告架构

　　一、数据安全发展面临严峻挑战

　　1.1 数据要素赋能数字中国

　　1.1.1 数据成为新型生产要素

　　1.1.2 数据开发利用加速发展

　　1.2 个人信息亟待严格保护

　　1.2.1 个保法律强化保护义务

　　1.2.2 个人信息需要体系防护

　　1.3 业务处理伴生数据风险

　　1.3.1 数据收集风险

　　1.3.2 数据存储风险

　　1.3.3 数据使用风险

　　1.3.4 数据加工风险

　　1.3.5 数据传输风险

　　1.3.6 数据提供风险

　　1.3.7 数据公开风险

　　1.4 数据风险制约产业创新

　　1.4.1 数据跨境流动带来新隐患

　　1.4.2 新技术迭代催生更多风险

　　1.4.3 新业态出现激发潜在危机

　　二、数据安全产业迎来发展机遇

　　2.1 实战合规共驱安全产业

　　2.1.1 数据安全面临国内外挑战

　　2.1.2 安全需求被置于次要地位

　　2.1.3 强合规监管深化鞭子效力

　　2.2 数据安全成为国家战略

　　2.2.1 国际数据安全发展战略概况

　　2.2.2 我国数据安全立法监管加强

　　2.2.3 全球公正数据安全规则构建

　　2.3 多重因素推动技术升级

　　2.3.1 数据安全攻防视角的新框架

　　2.3.2 数据安全供需市场的新博弈

　　2.3.3 数据安全实战能力的新要求

　　2.3.4 数据安全思路模型的新演进

　　三、数据安全技术亟待叠加演进

　　3.1 数据安全需要新框架

　　3.1.1 数据安全需兼顾内外威胁防护

　　3.1.2 数据防护从应对式转向主动式

　　3.1.3 网络与数据并重的新建设思路

　　3.1.4 经典网络安全框架ATT&CK

　　3.1.5 数据安全技术框架DTTACK

　　3.1.6 网络与数据一体化的叠加演进

　　3.2 数据安全需要新战法

　　3.2.1 知彼:攻击体系化

　　3.2.2 知己:银弹不存在

　　3.2.3 百战不殆:面向失效的安全设计

　　四、数据安全框架重点技术详解

　　4.1 l:识别

　　4.1.1 技术:数据资源发现

　　4.1.2 技术:数据资产识别

　　4.1.3 技术:数据资产处理(分析)

　　4.1.4 技术:数据分类分级

　　4.1.5 技术:数据资产打标

　　4.2 P:防护

　　4.2.1 技术:数据加密技术

　　4.2.2 技术:数据脱敏技术

　　4.2.3 技术:隐私计算技术

　　4.2.4 技术:身份认证技术

　　4.2.5 技术:访问控制技术

　　4.2.6 技术:数字签名技术

　　4.2.7 技术:DLP技术

　　4.2.8 技术:数据销毁技术

　　4.2.9 技术:云数据保护技术

　　4.2.10 技术:大数据保护技术

　　4.3 D:检测

　　4.3.1 技术:威胁检测

　　4.3.2 技术:流量监测

　　4.3.3 技术:数据访问治理

　　4.3.4 技术:安全审计

　　4.3.5 技术:共享监控

　　4.4 R:响应

　　4.4.1 技术:事件发现

　　4.4.2 技术:事件处置

　　4.4.3 技术:应急响应

　　4.4.4 技术:事件溯源

　　4.5 R:恢复

　　4.5.1 技术:灾难恢复

　　4.5.2 技术:数据迁移技术（分层存储管理)

　　4.5.3 技术:本地双机热备

　　4.5.4 技术:远程异地容灾

　　4.6 C:反制

　　4.6.1 技术:水印技术

　　4.6.2 技术:溯源技术

　　4.6.3 技术:版权管理技术

　　4.7 G:治理

　　4.7.1 数据价值

　　4.7.2 数据安全策略

　　4.7.3 数据安全模型

　　4.7.4 数据安全管理

　　4.7.5 数据安全运营

　　4.7.6 意识与教育

　　4.7.7 数字道德

　　五、数据安全应用示例方案参考

　　5.1云平台数据安全存储场景

　　5.1.1 概要

　　5.1.2 安全现状

　　5.1.3 解决方案

　　5.1.4 总结

　　5.2工业互联网数据多方安全共享

　　5.2.1 概要

　　5.2.2 安全现状

　　5.2.3 解决方案

　　5.2.4 总结

　　5.3重要商业设计图纸安全共享场景

　　5.3.1 概要

　　5.3.2 安全现状

　　5.3.3 解决方案

　　5.3.4 总结

　　5.4电子档案数据的安全存储和使用场景

　　5.4.1 概要

　　5.4.2 安全现状

　　5.4.3 解决方案

　　5.4.4 总结

　　5.5企业办公终端数据安全使用场景

　　5.5.1 概要

　　5.5.2 安全现状

　　5.5.3 增强方案

　　5.5.4 总结

　　5.6政务大数据交换共享场景

　　5.6.1 概要

　　5.6.2 安全现状

　　5.6.3 增强方案

　　5.6.4 总结

　　5.7银行业数据安全增强方案

　　5.7.1 概要

　　5.7.2 安全现状

　　5.7.3 增强方案

　　5.7.4 总结

　　5.8互联网金融数据安全使用场景

　　5.8.1概要

　　5.8.2安全现状

　　5.8.3解决方案

　　5.8.4总结

　　5.9民航业数据安全存储场景

　　5.9.1 概要

　　5.9.2 安全现状

　　5.9.3 解决方案

　　5.9.4 总结

　　5.10电力数据中台的数据安全增强

　　5.10.1 概要

　　5.10.2 安全现状

　　5.10.3 解决方案

　　5.10.4 总结

　　业内关于“数据”和“信息”之间关系的理解，大致可以分为三类：一是“信息”属于“数据”的子概念，“信息”是从采集的“数据”中提取的有用内容；二是“信息”与“数据”互相混用，概念区分没有实质意义；三是“数据”属于“信息”的子概念，仅表示“信息”在电子通信环境下的表现形式。本报告基于数据和信息之间关系的第一种释义，即“个人信息”属于“数据”的子概念。同时，《数据安全法》中的数据处理者在处理个人信息时，也是《个人信息保护法》中的个人信息处理者，除需遵守《数据安全法》，还必须遵守《个人信息保护法》。从技术层面看，个人信息往往以结构化数据或非结构化数据形式存在，保护个人信息和保护数据的防护手段，二者高度通用。综合考虑以上原因，本报告将数据安全技术与个人信息保护技术合并论述。

　　本报告综合梳理了当下数据安全发展面临的挑战与机遇，结合真实的数据泄漏事件，分析业务流转各环节伴生的安全风险与应对，探索数据安全“新框架”与“新战法”。本报告参考经典的网络安全框架ATT&CK，提出了新的数据安全技术框架DTTACK（以数据为中心的战术、技术和通用知识），以期结合两大框架实现“攻防兼备、网数一体”。本报告详细介绍了DTTACK框架，针对数据安全从识别（I）、防护（P）、检测（D）、响应（R）、恢复（R）、反制（C）、治理（G）七大方面说明了相应的战术、技术，覆盖了数据的全生命周期（收集、存储、使用、加工、传输、提供、公开等）的安全防护。最后，报告从云平台、工业互联网、政务大数据、银行金融、民航业等十个场景，简要阐述了数据安全的应用示例方案以供参考。