2021年12月16日，由國家信息中心《信息安全研究》雜志社主辦的“2021網絡安全創新發展高峰論壇”在北京順利召開，來自部委、央企、大型企事業單位、網絡安全企業的相關專家出席了本次會議。結合2021年網絡空間安全領域熱點議題，本次會議開設了“數據安全”“關基保護”“零信任”三個分論壇，與會專家進行了技術分享和交流，采取了線上線下相結合的會議模式，取得了良好效果。  
       在論壇舉行期間，舉行了“《數據安全復合治理白皮書》發布儀式”，國家信息中心首席工程師李新友、中國信息安全研究院副院長左曉棟、中國軟件評測中心網安中心部門副主任白利芳以及螞蟻集團螞蟻集團天塹實驗室負責人劉焱總監出席儀式并接受采訪，就數據安全相關的政策法規、技術應用以及由螞蟻集團提出的數據安全復合治理模式等話題展開交流。

重要數據的標準定義將于12月底之前正式征求社會意見
 
       中國信息安全研究院副院長左曉棟在接受采訪時表示，《數據安全法》（以下簡稱“數安法”）明確了我國要建立數據分類分級保護制度，但是具體到怎么分這一問題，數安法并沒有明確的，而在由他參與起草的《網絡數據安全管理條例（征求意見稿）》 （意見反饋截止時間為2021年12月13日）中，則正式明確了數據分為一般數據、重要數據、核心數據，與此同時，數據安全也成為該條例中的專設一章。這意味著我國的關于重要數據的安全管理制度已然成形。
 
        隨著數安法的實施以及網絡數據安全管理條例的制定進程不斷推進，左曉棟進一步表示，對重要數據識別的工作就成為當務之急且非常重要的工作，確定到底何為重要數據以及誰為監管對象就成為當務之急，畢竟在監管之下，一旦出了問題，對于重要數據和非重要數據而言，所涉及的法律義務是不同的，所涉及的法律責任也是不同的，其最終的結果也是完全不一樣。
 
        據他透露，針對重要數據的標準定義這一問題，目前已同全國信息安全標準化技術委員會秘書處進行了深入溝通，力爭在12月底之前正式征求社會意見。
 
網絡數據安全管理條例呼之欲出
生物識別技術濫用等問題有望被徹底遏制
 
        關于近兩年頻繁被報道的生物特征識別技術濫用問題，左曉棟表示，網絡數據安全管理條例中也專門針對這一情況做了清晰的規范，主要體現在兩點：
 
      1、在應用生物特征識別技術之前，必須要進行安全性以及必要性的評估。
      2、不能將生物特征識別作為唯一的身份認證方式。
 
       值得一提的是，上述兩點都是必選項，這意味著無論是物業、商場還是其他場所，要想使用人臉識別這一生物特征識別技術作為進出憑證或其他用處，就必須要做相關評估，如自身無能力做好評估，也必須通過專業的第三方機構來協助完成相關評估報告。
 
       相比之下，第2點更為值得關注，這意味著即便是經過了安全性和必要性的評估，也必須要提供其他方式，比如物業不能僅單一設置人臉識別的方式作為業主出入小區的方式，至少還需提供諸如刷卡等其他方式。對于部分管理者故意設置門檻間接強迫用戶選擇使用生物特征識別技術相關產品功能的狀況，也有望在該條例執行后得到徹底扭轉，左曉棟在這里強調道，如果這一條目在條例發布時得以設立，那么意味著管理者將不能靠各種手段‍‍去強迫用戶接受單一生物特征識別這一方式，也不能故意在其他替代方式上增加使用難度及復雜度去間接強迫用戶必須選用生物特征識別方式。
 
安全新形勢下，亟需數據安全“復合”治理新模式
螞蟻集團聯合多個專業機構編寫發布《數據安全復合治理與實踐白皮書》
 
        本次2021年網絡安全創新發展高峰論壇中，由中國軟件評測中心、國家信息中心《信息安全研究》與螞蟻集團共同編寫的《數據安全復合治理與實踐白皮書》（以下簡稱“白皮書”）正式發布。那么數據安全復合治理是一種什么樣的模式？它所關注解決的數據安全問題集中在哪些方面呢？針對這一問題，我們也向螞蟻集團天塹實驗室負責人劉焱總監進行了了解。
 
        數據安全復合治理，強調“復合”二字，該模式是經過螞蟻集團結合過往的實踐所總結出的一套方法論，從引導企業建設與升級數據安全治理體系的視角出發，以”戰略要位、實戰牽引、全員參與、技術破局“為指導 ，強調系統性、落地性，主要分為三大部分，分別是數據安全的戰略、數據安全的運營管理以及數據安全治理科技。其主要亮點有：
 
        多視角安全度量。企業在開展數據安全治理工作時，安全治理效果的量化評估是一個長期的痛點。由于安全治理是個體系化的風險管理工程，安全度量需要從多個評價視角入手才能全面衡量治理效果。一方面要對員工安全意識教育、防護建設覆蓋等治理過程需要準確度量以體現安全工作進展與成果，另一方面從風險主體視角，以安全規范、安全基線等合規要求為輸入，來衡量各類風險主體的風險濃度與嚴重性，并圍繞風險分數開展場景化應用和通曬排名等運營模式，以提高主體的風險重視度。最終，還需要從攻防視角組織紅藍演練，對于治理體系的薄弱環節進行驗證、對風險盲區進行發現，以真實客觀評價安全治理體系的實戰有效性，達到以攻促防、攻防相長的效果。總體上，在多視角安全度量體系的驅動下，企業得以看清當前安全水位，落實安全風險的精細化管理，持續提升安全水位，并保證自身體系的健壯性。
 
         全員參與。數據與業務緊密交織，正式基于這一特點，螞蟻集團在數據安全的風險管理上一直秉承一個理念：“數據安全不僅是安全團隊的事情，而是每個公司員工都需要高度重視的事情”。因此，如何構建一個全員參與的風險治理體系就顯得格外重要。螞蟻集團通過“啄木鳥”行動等豐富、活潑的心智運營活動設計，充分調動全員主動參與積極性，有效實現不同特點人群的精確觸達。
 
         原生式安全。將數據安全的理念和要求融入到研發的過程中，保證產品在發布前已具備充分必要的數據保護措施，而不是出現數據安全問題以后，被動地修復和治理。同時可針對數據處理產品組件開展內部認證，推薦、保障研發團隊使用安全、可靠的組件，對使用不符合內部認證標準的組件的產品和系統，督促其及時進行整改，以增強產品和系統的“天然免疫力”。
 
        數據治理科技破局。傳統的數據安全技術已無法應對當前復雜的業務場景和安全需求，因此我們需要高度重視數據安全治理科技的關鍵破局作用，不斷加強系統、算法、數據和產品等領域的科技創新，推動數據安全治理技術能力與體系的持續完善。
 
       從整體來看，數據安全復合治理體系具有體系化的特點，通過它的應用可以實現數據安全自我優化的一個復合治理體系，而此次白皮書的推出，對于企業如何做好數據安全治理相信會有很強的參考價值和指導意義。
 
       中國信息安全研究院副院長左曉棟對數據安全復合治理模式的實踐和創新給予了肯定，并表示由于數據安全與傳統的網絡安全之間在“系統環境、資產情況、行為安全、治理方式”方面存在較大差異，因此呼吁有更多的企業積極投身治理模式的創新、構建，為社會輸出公共知識及產品，以科技創新及實踐經驗助推政策落地，保護社會利益，公民權益，促進企業良性發展。
 
 
中國評測：我國數據安全產業系列工作正在緊張有序推進
 
        在采訪現場，我們還了解到一個重磅信息——來自中國軟件評測中心網安中心白利芳副主任向我們介紹到，我國數據安全產業系列工作正在有序推進，相關政策及配套文件正在加緊制定，預計明年會陸續推出。
 
       據透露，數據安全產業發展指導意見（以下簡稱“指導意見”）由工業和信息化部主導，中國軟件評測中心（以下簡稱“中國評測”）牽頭，在工業和信息化部網絡安全管理局的指導下聯合部屬兄弟單位、產業上下游企業，以及相關部門的產業經濟專家、數據安全領域專家以及數據安全產業需求側及供給側的專家一同研究制定，目前已形成階段性的成果。
 
       白利芳副主任表示，目前與指導意見相關的配套文件也均在同步編制的過程中，如《數據安全產品和技術清單》、《數據安全重點技術和產品攻關指南》、《數據安全產業創新體系建設方案》等也在編制階段。
 
       可以看到，在《數據安全法》頒布并實施之后，數據安全產業作為新興數字產業，將積極把握數字產業化和產業數字化發展機遇，為數字經濟高質量發展、數據要素市場化配置提供關鍵保障。
 
       后續我們將看到國家層面牽頭出臺或推動的一些列制度、機制和標準，體現出國家正在以全局性視角去看待數據安全治理，采取的是“自上而下”的數據安全治理工作路徑。而此次軟評中心聯合國家信息中心《信息安全研究》、螞蟻集團共同編寫的白皮書所提出的數據安全“復合治理”模式，則是從企業內部數據安全有效落地、支撐國家數據治理工作的積極實踐。數據安全治理作為一項體系化工程是夯實產業基礎的重要舉措，如何實現高水平的數據安全治理促進產業高質量發展是需要產業各方主體共同努力的方向之一。