首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2024 > 正文

方濱興：以三大元屬性為核心，構(gòu)建數(shù)據(jù)安全保護(hù)框架

閱讀量：次 文章來源：安恒信息

“安全性、可用性、合規(guī)性是數(shù)據(jù)安全保護(hù)的三個(gè)元屬性，不可被其他屬性替代，是數(shù)據(jù)安全的根基?！?/span>3月1日下午，第二屆“云山論劍·廣州數(shù)字安全大會(huì)”在廣州白云國際會(huì)議中心舉辦。在大會(huì)上，中國工程院院士方濱興發(fā)表了《以三個(gè)元屬性為核心，構(gòu)建數(shù)據(jù)安全保護(hù)框架》主題演講。

在方濱興看來，上述三個(gè)元屬性又涉及到九個(gè)基本屬性，安全性包括可鑒別性、機(jī)密性、可控性，可用性涉及到持久保護(hù)、業(yè)務(wù)連續(xù)和應(yīng)急響應(yīng)，在合規(guī)性里面討論的是數(shù)據(jù)治理、隱私保護(hù)和合規(guī)使用，由此構(gòu)建了數(shù)據(jù)安全保護(hù)的框架。

安全性：采取網(wǎng)絡(luò)安全手段保護(hù)數(shù)據(jù)

安全性，即采取傳統(tǒng)網(wǎng)絡(luò)安全手段對(duì)數(shù)據(jù)加以保護(hù)。圍繞數(shù)據(jù)的安全性，方濱興從“可鑒別性”“機(jī)密性”“可控性”三個(gè)角度進(jìn)行探討。

可鑒別性，即確保數(shù)據(jù)是被實(shí)施正確操作，不能夠被篡改，也不能夠偽造，不能夠抵賴。方濱興表示，“身份是真實(shí)的稱為真實(shí)性，不能被篡改稱為完整性，不能被抵賴性稱為防抵賴，這三個(gè)合起來稱為可鑒別性，因?yàn)檫@三件事是靠鑒別來解決問題的”。他舉例稱，比如從真實(shí)性來看，攔不住造假，但是可鑒別出來。第二個(gè)屬性是機(jī)密性，即確保數(shù)據(jù)不被非授權(quán)者所獲得或所理解，可通過數(shù)據(jù)遮蔽、數(shù)據(jù)加密、鹽加密碼等解決。第三個(gè)屬性是可控性，“安全要確?？煽?，這是我的系統(tǒng)，要能決定能做什么，不能做什么，誰能做什么，誰不能做什么”。可控性可通過身份認(rèn)證、訪問控制、入侵檢測(cè)等方法解決。

可用性：保障數(shù)據(jù)隨時(shí)可用

數(shù)據(jù)安全保護(hù)的第二個(gè)元屬性是可用性，即保障數(shù)據(jù)隨時(shí)可用，“這是數(shù)據(jù)安全特別關(guān)注的事情”，方濱興指出。

可用性又衍生出“持久保護(hù)”“業(yè)務(wù)連續(xù)”“應(yīng)急響應(yīng)”三個(gè)基本屬性。首先，要確保使用者都能使用數(shù)據(jù)，如防治丟失、防治損壞等等，這就要對(duì)數(shù)據(jù)進(jìn)行持久保護(hù)，主要有數(shù)據(jù)冗余、數(shù)據(jù)備份、數(shù)據(jù)歸檔三種處理方法。其次，要確保應(yīng)用過程中數(shù)據(jù)是連續(xù)的，不能夠中斷，對(duì)此可采取數(shù)據(jù)校正、系統(tǒng)容災(zāi)、降級(jí)運(yùn)行三種方法來保障業(yè)務(wù)連續(xù)。最后，還需要應(yīng)對(duì)數(shù)據(jù)損毀風(fēng)險(xiǎn)，解決應(yīng)急響應(yīng)問題，對(duì)此主要采取數(shù)據(jù)遷移、數(shù)據(jù)恢復(fù)、數(shù)據(jù)保險(xiǎn)等應(yīng)對(duì)方法。

合規(guī)性：保障數(shù)據(jù)符合合規(guī)要求

數(shù)據(jù)安全保護(hù)的第三個(gè)元屬性是合規(guī)性，即保障數(shù)據(jù)符合各種合規(guī)要求。在方濱興看來，“合規(guī)性是數(shù)據(jù)安全里比較特殊的（屬性），主要是從政府監(jiān)管的角度來討論問題，從數(shù)據(jù)有效使用角度來討論問題。”

合規(guī)性涉及到“數(shù)據(jù)治理”“隱私保護(hù)”“合規(guī)使用”三個(gè)基本屬性。首先，“不是什么數(shù)據(jù)拿著都能用，做大模型需要訓(xùn)練，到網(wǎng)上爬數(shù)據(jù)不是馬上能用，數(shù)據(jù)必須要清洗，這些都屬于數(shù)據(jù)治理要做的事情?！睌?shù)據(jù)治理主要包括數(shù)據(jù)清洗、質(zhì)量管理、分級(jí)分類、資產(chǎn)梳理等。第二個(gè)基本屬性是隱私保護(hù)，方濱興指出，隱私保護(hù)屬于合規(guī)性的基本要求，要解決隱私保護(hù)和數(shù)據(jù)要素流動(dòng)之間的悖論問題，一般來說可采取數(shù)據(jù)脫敏、安全多方計(jì)算、數(shù)據(jù)不動(dòng)模型動(dòng)、數(shù)據(jù)不動(dòng)程序動(dòng)等四種方法。最后則是合規(guī)使用，通過基線核查、風(fēng)險(xiǎn)評(píng)估、審計(jì)監(jiān)控、安全銷毀等方法，確保數(shù)據(jù)符合合規(guī)使用標(biāo)準(zhǔn)。

數(shù)據(jù)安全的生命周期管理

在演講中，方濱興還指出，數(shù)據(jù)安全有一個(gè)生命周期管理，從數(shù)據(jù)收集創(chuàng)建、存儲(chǔ)、加工處理、危機(jī)應(yīng)對(duì)、傳輸追蹤，到共享使用、歸檔、銷毀，每個(gè)環(huán)節(jié)都涉及了多種安全要求。數(shù)據(jù)安全生命周期管理和基于三個(gè)元屬性和九個(gè)基本屬性之間形成對(duì)應(yīng)：

在數(shù)據(jù)收集和創(chuàng)建過程涉及到數(shù)據(jù)治理、可鑒別性、機(jī)密性和合規(guī)使用，在存儲(chǔ)過程中涉及到可鑒別性、可控性、機(jī)密性、持久保護(hù)，在加工與處理過程中涉及到可鑒別性、可控性、業(yè)務(wù)連續(xù)和合規(guī)使用，在危機(jī)應(yīng)對(duì)中涉及到數(shù)據(jù)治理、合規(guī)使用、應(yīng)急響應(yīng)、業(yè)務(wù)連續(xù)，在傳輸與追蹤環(huán)節(jié)涉及到合規(guī)使用、可鑒別性、業(yè)務(wù)連續(xù)，在共享與使用中涉及到隱私保護(hù)、可控性、合規(guī)使用，在歸檔中涉及到持久保護(hù)、合規(guī)使用，在銷毀中涉及到合規(guī)使用。

此次大會(huì)由中共廣州市委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室、廣州市政務(wù)服務(wù)數(shù)據(jù)管理局、廣州市國家保密局、廣州市市場(chǎng)監(jiān)督管理局（知識(shí)產(chǎn)權(quán)局）指導(dǎo)，廣州市白云區(qū)人民政府、安恒信息主辦，中共廣州市白云區(qū)委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室、廣州市白云區(qū)政務(wù)服務(wù)數(shù)據(jù)管理局、廣州市公安局白云區(qū)分局、鵬城實(shí)驗(yàn)室承辦，廣州安恒智慧城市網(wǎng)絡(luò)安全技術(shù)有限公司、南方都市報(bào)社聯(lián)合承辦。

往期精彩回顧