2023(第八屆)供水高質量發(fā)展論壇上，合肥供水集團有限公司總經濟師朱波以“供水技術標準轉型中的數據安全”為題做了分享。他表示，數據安全治理是數據治理的一個子集，安全治理既可在數據治理框架下進行，也可獨立實施。欲速則不達，數據的安全問題得不到妥善解決，那么寧愿數字化轉型慢一點，或者不轉型，也不能在錯誤的方向上漸行漸遠。

?

朱波

合肥供水集團始建于1954年，國有獨資大型企業(yè)，注冊資本9億元，主要承擔合肥市區(qū)和巢湖、肥西、北城等區(qū)域的供水保障與服務工作。目前，集團資產總額132億元，下轄制水廠9個，日供水能力295.5萬立方米，直徑75毫米以上供水管網11277公里，用戶304萬戶，服務面積897平方公里。

數據安全領域的“三駕馬車”，深度解讀《數據安全法》

2021年6月10日，十三屆全國人大常委會第二十九次會議表決通過了《中華人民共和國數據安全法》，于2021年9月1日起施行?！稊祿踩ā放c《網絡安全法》、《個人信息保護法（草案）》一起成為數據安全領域基礎性法律體系“三駕馬車”，保證數據安全實踐有法可依，同時將數據安全提升至國家層面的新高度。

《數據安全法》的制定，是維護國家安全的必要要求，是維護人民群眾合法權益的客觀需要，同時也是促進數字經濟健康發(fā)展的重要舉措?！稊祿踩ā返膬r值定位包括堅持安全與發(fā)展并重、加強具體制度與法律框架銜接、回應實踐問題及社會關切。

《數據安全法》是數據安全領域的基礎性法律，基礎性法律的功能更多注重的不是解決問題，而是為問題的解決提供指導思路，問題的解決需要依靠相配套的法律法規(guī)。

監(jiān)管主體和工作機制方面，中央國家安全領導機構作為總體統(tǒng)籌，國家網信部門、中央軍事委員會、公安/國家安全機關等部門、組織組成監(jiān)管執(zhí)行，為各行業(yè)制定數據行為規(guī)范，加強數據安全保護。

?

伴隨數據安全領域法律法規(guī)、合規(guī)政策的陸續(xù)頒布，監(jiān)管機制逐步完善，數據安全事件的影響已經不局限于經濟損失、聲譽損害，還可能面臨巨額罰款和刑事責任。

?

根據供水領域要求，制定數據安全標準體系

領域熱點方面，包括數據安全工具、數據安全治理、數據安全培訓、數據安全咨詢四部分。

數據安全工具：數據資產體量巨大、分布廣泛、動態(tài)流轉，高效的數據安全工具是數據安全保護的戰(zhàn)略制高點。在數據資產梳理、數據分類分級、隱私計算、數據脫敏、數據安全運營等方向，數據安全廠商正在積極布局。

數據安全治理：圍繞數據生命周期，建立數據安全治理體系是數據安全保障的基礎。DSMM作為國內探索、實踐多年的數據安全治理抓手，助力持續(xù)提升數據安全治理成熟度水平，確保數據安全合規(guī)運營。

數據安全培訓：場景化宣貫提高數據安全理論水平，實戰(zhàn)化培訓驗證數據安全技術能力。數據安全意識的普及，有利于規(guī)范數據保護理念與行為，營造數據安全氛圍與生態(tài)，幫助數據安全保障工作持續(xù)、有序、穩(wěn)定開展。

數據安全咨詢：數據價值凸顯，數據安全意識覺醒。數據安全風險通過數據流轉，形成難以分割的動態(tài)風險整體，增加數據安全保障的難度。數據安全咨詢成為破局的關鍵，市場需求與日俱增。

朱波表示，維護數據安全，應當堅持總體國家安全觀，建立健全數據安全治理體系，提高數據安全保障能力。

?

數據安全制定方面，根據國家對供水行業(yè)的要求，共分為數據分類分級、數據安全風險評估、數據安全應急處置、數據安全審查、數據出口管制、數據反歧視、數據安全管理、數據交易管理共八個方面。

?

數據安全發(fā)展主要包括數據安全標準、數據安全服務、數據應用創(chuàng)新三方面。

?

朱波表示：“數據安全國家標準方面，從數據安全方向、個人信息保護方向出發(fā)，頒布了安全及技術要求標準、管理指南類標準以及測試評估規(guī)范類標準三類標準。電信行業(yè)、金融行業(yè)等都有相應的數據標準，但供水領域數據安全標準體系尚未建立，這將是供水企業(yè)今后努力的方向及目標?！?/span>

針對數據安全治理難點，分享實踐經驗

數據安全治理路徑主要是以數據為中心，圍繞數據生命周期全過程，融合技術、管理和運營，打造涵蓋“云、網、端”的時空一體化動態(tài)安全防護體系，確保數據流轉全過程持續(xù)處于有效保護、合法利用的狀態(tài)，保障數據安全釋放價值。

數據安全治理難點可以總結為數據是否泄漏無感知、泄漏途徑難確認、泄漏事件難溯源、數據資產不清晰、數據分級分類無法落地、數據訪問控制難落地、數據安全人才缺失七個方面。

朱波介紹，核心技術能力主要包括智能數據分類分級、數據風險監(jiān)測、數據泄密溯源、數據安全管控四方面。

智能數據分類分級：通過人工智能和機器學習技術，自動提取數據特征，進行數據分類分級標簽推薦，從而大幅提升數據分類分級的效率。

數據風險檢測：基于大數據計算以及用戶行為分析技術，對用戶數據訪問流量進行建模，自動生成安全基線；基線內容如誰在訪問數據，訪問什么數據，通過何種途徑，什么時間，訪問了多少數據等；基于安全基線以及異常行為特征模型對數據訪問行為進行研判，感知風險，上報告警，如：數據越權使用、API異常調用、運維人員批量讀取敏感數據等。

數據泄密溯源：當前主流數據共享方式中，傳統(tǒng)的嵌入追溯水印方式不再有效。通過可疑第三方檢測模型對數據泄露內容進行數據檢測，快速定位出可能的數據泄露源頭，大大提升數據泄露溯源的速度。

數據安全管控：基于智能數據分類分級結果，對不同角色用戶訪問數據進行不同數據安全訪問策略控制。

會上，朱波也將合肥供水集團的實踐經驗進行了分享。

在高度重視下，數據安全事件仍然頻發(fā)。內因是獲取數據有利可圖，數據憑借自身價值，擁有“內泄外竊/越權使用”的天然驅動力。外因是數據安全保護不力，涉及數據權責不明確、數據狀況不清晰、制度策略不完備、防護理念不匹配等層面的問題。各行業(yè)數據安全風險大、泄露事件頻發(fā)。

在此背景下，合肥供水集團建立數據安全助力框架。

?

管理體系方面，定目標、規(guī)框架，建立企業(yè)級數據中心。合肥供水集團詳細調研31個主要業(yè)務系統(tǒng)、16個業(yè)務部門，進行數據規(guī)劃，形成9大標準規(guī)范，數據中心已采集數據18億條，已治理數據8.9億條。數據共享交換具有8.3億條共享能力，共享至表務系統(tǒng)2500萬條、管網運維系統(tǒng)58萬條、超等額累進加價系統(tǒng)233萬條、合肥市數據資源局1100萬條等。

?

數據安全治理制度框架方面，合肥供水集團為決策者、管理層、執(zhí)行層分別制定了相應匹配的制度，并建立了相應的32個一類到四類的數據安全辦法、規(guī)范、細則和手冊。

?

技術體系方面，基于零信任構筑的數據安全。采用SDP（軟件定義邊界）架構打造的新一代終端安全接入架構，由零信任安全網關、管理平臺、客戶端及終端安全監(jiān)測四個部分構成，提供多種認證、終端環(huán)境檢查、跨網隔離、非法外聯(lián)檢測、NAT溯源等能力的端到端安全防護，構建安全、易用、易管、穩(wěn)定的可控可管的 “一機兩網” 安全環(huán)境。

?

?技術體系：合肥供水集團數據安全體系

?

技術體系：數據全生命周期安全體系建設

朱波最后表示，數據安全治理是數據治理的一個子集，安全治理既可在數據治理框架下進行，也可獨立實施。欲速則不達，數據的安全問題得不到妥善解決，那么寧愿數字化轉型慢一點，或者不轉型，也不能在錯誤的方向上漸行漸遠。理想的方案是獲取全量數據安全指標；經濟的方案是能夠滿足當前業(yè)務的風險控制需求。把未知的風險轉變?yōu)橐阎娘L險，再去尋找抵御風險和提升防御能力的方法。

數據安全治理只有起點沒有終點，數據安全保護永遠在路上。