华为：工信安全&amp2021数据安全白皮书（47页）.pdf

1、数据安全治理的基础要求就是摸清被保护的数据资产。只有摸清数据资产底数，才可能对数据进行全面的、细粒度的安全管理。比如，为了判断系统中数据是否获得了有效地保护，首先需要了解在系统中特定数据如何被存储、存储位置、配套安全策略、业务内容及范围以及用户访问数据权限等。数据资产梳理的关键技术首先是数据发现，即确定数据的存储分布状况，按照数据分类分级的规则，对数据打标签，形成完整的数据资产视图。这类技术可以大大降低数据资产梳理过程中的工作量，有助于对于数据的安全死角(比如数据处理过程中的中间数据、敏感数据)进行扫描，解决数据安全管理“灯下黑”的情况。在数据的存储分布情况的梳理基础上，可以进一步对数据访问、

2、流动、共享进行梳理和分析，形成数据访问、传输和共享的流图。结合安全合规策略，数据资产安全分析还可以对数据合规风险进行更全面的评估，判断数据是否已经根据特定合规的要求得到了有效的保护。对于存在风险的数据，可以结合检测和响应的能力进行修复。随着数据与业务逐渐独立，数据来源多样化，数据起源信息变得十分复杂。同时，数据处理过程中也容易受到内部和外部伪造、篡改、重放等攻击。数据在不同的业务之间流动和处理成为常态。在安全事件追溯过程中，数据安全责任主体增多，数据流动环节复杂度增大，安全事件审计确权确责难度加大。更不用说，数据分享经常是跨组织、跨安全系统边界进行。这些都使得攻击行为的追溯变的极为困难。因此，

3、一个完善的数据安全审计方案需要慎重考虑数据整个生命周期。人工智能是数据安全的倍增器，广泛应用到数据安全各个方面。在数据分类分级的过程中，基于人工智能的方案可以对更加复杂的上下文进行分析。在认证访问控制以及检测响应的过程中，基于人工智能的方案可以更有效地发现攻击者的异常行为，提高检测的精准度和系统应对攻击的响应能力。作为数字化转型的关键与核心，数据对于数字经济的发展有着举足轻重的地位。数据安全问题给个人隐私保护、经济安全发展和国家安全带来挑战，各国亟需建立健全和完善数据安全法律法规体系。2020年9月，在“抓住数字机遇，共谋合作发展”国际研讨会上，我国提出了全球数据安全倡议，提出“秉持发展和安全并重的原则，平衡处理技术进步、经济发展与保护国家安全和社会公共利益的关系”，并呼吁各国应尊重他国主权、司法管辖权和对数据的安全管理权。因此，提出数据安全治理相关立法的中国方案，也成为践行全球数据安全倡议的题中之意。