数据新作为·数据30人20城 系列报道解码数治之道㉗
数字政府建设是推进治理能力现代化的重要支撑,是经济社会高质量发展的必然选择。而盘活数据资源是数字政府建设的关键之举。南方都市报、南都大数据研究院推出系列专题,专访数据开放实践者、治理标准制定者、数据安全护航者、数据立法起草者等,并且挖掘数据应用创新举措,探寻数治能力优秀区域,以“30人访谈为引,以20城案例为鉴”,致力呈现新时代下的“数据新作为”,共谱数智新篇。
同时,面向全国企事业单位、科研机构等征集数据应用优秀案例(资料或线索请发邮箱nandubdi@163.com),我们将组织大数据领域有关权威专家对案例进行解读、评估,并进行更深入采访,实现更广泛推广应用。
以“培育数据安全新生态,共迎数字时代新未来”为主题的 “2022·云山论剑”广州数据安全峰会,7月8日在广州白云区开场。这也是广州首个数据安全峰会。
数据安全是网络空间安全的基础,是国家安全的重要组成部分,其重要性早已引起政府部门、企事业单位高度重视,也是科研工作者重点关注的研究领域。那么,数据安全、网络安全之间更深层关系是什么?政府、企业如何更好协助政府构建数据安全保障体系?杭州安恒信息技术股份有限公司董事长范渊接受南都专访。
数据安全不是孤立的单点价值
南都:您长期致力于网络安全、数据安全等热点领域研究工作。数据是网络安全的生命线,在您看来数据安全、网络安全之间是什么关系?
范渊:“网络安全”强调网络边界和安全域,或网络入侵防御,或网络通信系统或传输安全,或网络空间等场景。总体来说,网络安全更强调保护,保护业务、保护数据,属于保护和促进作用。
“数据安全”强调全生命周期中的数据保护,或数据作为生产力,或强调数据主权、数据主体权利、长臂管辖权、隐私保护等场景。总体来说,数据安全更强调赋能,如数据要素市场,必须安全先行,只有数据安全到位了,才能开展这块业务。
网络空间提供计算的环境,数据则作为信息的载体成为计算的对象。网络安全强调计算环境(网络空间)的安全,从而保障计算对象(数据)的安全。因此,网络安全是数据安全的前提,数据安全是网络安全的一种体现,网络安全涵盖的范围更广,而数据安全的范围更明确具有针对性。
数字全球化加剧了各国围绕国家主权和安全的博弈,从我国《网络安全法》重视网络空间的主权,《数据安全法》越来越关注数据的主权,既要筑牢安全底座,又要营造良好数字生态,提高数字政府建设水平,打造数字经济新优势。
南都:“云山论剑”落地广州白云区的初衷是什么?政府、企业需要如何更好保障数据安全?
范渊:当前,信息化建设已成为国家战略,随着物联网、大数据、人工智能、5G技术与各行业的深度融合,所产生的数据量级是几何倍的增长,过程当中也伴随产生一系列的数据安全问题,这些都与民生百态息息相关。
随着“智慧白云”建设的深入推进,广州白云区数据安全监测与运行中心信息化建设取得丰硕成果,已经形成较为复杂的政务大数据平台。伴随全区信息化数字化的不断发展和政务数据共享利用的推进,相互隔离的业务和数据将打破安全边界走向融合,政务数据、公共信息等敏感数据的安全监管和保障尚待加强,急需构建更先进的安全防护体系。
我国2021年推出“数安法”“个保法”,没有网络安全就没有国家安全,可见安全越来越重要。政府、企业如何保障数据安全,应从两个角度进行考虑:一是合规角度,企事业合规是基础,首先数据合规才能保障数据基础的安全,也能为企业做强管控、细粒度的数据安全提供支撑;二是业务安全角度,业务与安全应相辅相成同步建设,符合于业务发展的安全才能为企事业提供良好的业务的同时保障安全。梳理业务场景化全链路的风险,才能做到针对性的安全建设,以此来保证企事业单位的数据安全。
数字浪潮中,数据安全是一大关键词。伴随着数字化改革、数字化创新,数据安全不是孤立的单点价值,而是从数据治理开始的系统性整体安全价值链、赋能链和保障链。以构建数字政府全方位安全保障体系为例,我们与全国众多城市在数字政府治理中形成共创,从前期的数据安全咨询规划、到中期的数据安全体系落地、到后期的数据安全持续运营,持续为客户提供全生命周期的解决方案。通过制度规范、技术防护、运行管理三大体系的设计与落地,充分保障数据全流程的安全可控,并在充分做好数据安全和个人隐私保护的前提下,推进数据的共享开放和开发利用。
数据要素、数据确权、数据安全、数字资产,都与数字信任息息相关。数据安全创新除了保护价值的同时,还能额外创造数字经济价值赋能。数字安全+数字信任,具有重要意义。这包括数据与数据之间的信任、监管部门和被监管部门之间的信任、消费者(用户)和提供方之间的信任,未来公共数据如果能赋能相关的产业,将成为一个巨大的绿色经济。
数据安全防护应从三步进行构建
南都:您曾带领团队帮助政府与行业企业抓好数据分类分级,对大数据化、物联网化等过程中的数据安全进行防护,目前对于数据安全化处理主要有哪些途径?
范渊:随着数字化转型,新兴技术下“云计算、大数据、物联网、移动互联网、工控”的推动,产生海量的数据,如何保障数据安全成为热议话题。
数据分类分级是为数据分级管控提供重要的依据,对于数据安全的防护应从三步进行构建:第一步进行数据安全顶层规划设计,覆盖于管理、技术、运营三大维度构建数据安全保护模型;第二步进行数据安全落地建设,数据安全的落地首先基于数据分级进行管控措施设计、其次基于数据风险评估进行数据安全风险的防护处置;第三步进行数据安全的运营,数据安全运营首先需要数据运营流程的设计,其次需要数据运营技术的支撑,实现对数据流转可视、数据流转可管、数据流转可控。
南都:此前国家网信办公布《网络数据安全管理条例(征求意见稿)》,如何通过多维数据的整合,实现网络安全的高效运维?
范渊:从数据安全维度,我国已经推出三部上位法,即“网安法”“数安法”“个保法”,《网络数据安全管理条例》也是依据三部上位法,去规范网络数据处理的活动,保障个人、组织在网络空间安全的合法利益。数据本身是承载于业务和网络之上的,保护网络和业务的安全同时也是保护数据的安全,结合网络流量、业务数据进行聚合分析,实现数据流转可视、数据流转可控、数据流转可管的高效运维。
三大维度构建网络数据安全保障架构体系
南都:让数据安全的流通、交易,才能激活、释放数据的价值,随着数据价值在运营过程中越来越重要,如何保障数据安全同时最大限度提升数据价值,对此有什么建议?
范渊:我国已进入数字化转型关键时刻,国家将数据定为重要生产要素,数据显得尤为重要,各地已经开始建立数据交易流通平台和机制,以及数据要素相关标准和技术研究,数据要素流通释放数据价值的同时,也会带来数据的安全隐患。
数据要素流通的核心是共享交易数据的价值,而不共享交易数据的所有权。通过业内较为成熟的隐私计算技术,采用安全计算沙箱、联邦学习,多方安全计算(MPC)等多种前沿技术,配合密钥管理系统和区块链审计技术,充分释放数据的价值同时也确保数据的所有权以及数据的安全。
南都:随着数字政府建设进程加快,数字政府网络安全面临严峻风险考验,企业如何协助政府更好构建网络安全保障架构体系?
范渊:我国数字化转型进入关键时刻,数字政府作为数字化转型的重要产物,构建数字政府的网络安全保障架构体系,需要从物理环境安全、云环境安全、网络安全、应用安全、数据安全、终端安全等多维度进行保障设计,同时基于管理体系(如何管)、技术体系(如何控)、运营体系(如何用)三大维度构建网络数据安全保障架构体系。
我们集成了政府数字化转型的经验,包括参与建设杭州城市大脑、上海城运中心(一网通管城运中心)等工作,帮助其数据安全更加体系化,让各自模块形成清晰的责任和特点。真正能够在可信、可用、可管、可溯源的体系中保障数据全场景、全链路、全生命周期的安全,以及实现数据的可用不可见、可用不可取,为更多的政企数据进行赋能,激活数据潜能,释放数据价值。
个人简介
范渊,杭州安恒信息技术股份有限公司董事长,在美国圣何塞州立大学获计算机科学硕士学位,曾在美国硅谷国际著名安全公司从事多年的技术研发和项目管理,对在线应用安全、数据库安全和审计有深入研究。享受国务院政府特殊津贴,入选2017年国家百千万人才工程,兼任中国科学技术协会第十届全国委员会委员、全国工商联执委、浙江省政协常委等职,荣获网络安全优秀人才奖、第三届杰出工程师青年奖、杭州市杰出人才等荣誉。
出品:南都大数据研究院 数字政府研究中心
统筹:邹莹 研究员:袁炯贤 设计:刘寅杉