网安沙龙｜网络安全沙龙第1期：行业化数据安全运营实践分享

2024年4月10日下午，由四川省网络空间安全协会主办，杭州迪普科技股份有限公司承办的四川省网络空间安全协会网络安全沙龙第1期在成都蓝海御华饭店成功举办。主题为“行业化数据安全运营实践分享”。‍‍‍‍信息安全与通信保密杂志社为此次活动的媒体支持单位。

本次沙龙活动由协会秘书处彭春瑶主持，省委网信办网安处处长魏杰、省委网信办数据处干部屠青青、安全中心四川分中心网安处副处长昝家玮、协会副秘书长周成龙、迪普科技川藏区域负责人周律以及在川开展网络与数据安全工作的企事业单位领导及嘉宾出席沙龙。特邀迪普科技产品行销部总工刘吉林、善嘉律所律师夏玉洁、创信华通密评中心测评师章曾阳作主题分享。

协会副秘书长周成龙从协会定位、会员需求、行业热点三个方面介绍了网络安全沙龙举办的背景及目的。协会计划每1至2个月举办一期沙龙，希望得到大家的支持，踊跃参与。有任何意见或建议欢迎随时与协会沟通，我们将积极改善，努力为大家搭建一个高效实用的交流平台。

杭州迪普科技股份有限公司产品行销部总工刘吉林

行业化数据安全运营实践分享

数据作为新型生产要素，是数字经济发展的根本，《数字中国建设整体布局规划》中提出以数字技术赋能推进“五位一体”深度融合，保障数据合法合规高效的流转。在全球数字经济持续渗透、数字化转型的大背景下，为促进数据要素合法合规和高效流转，各行业如何依法依规使用和共享数据，如何保护数据、促进数据流通成为了当下数据安全产业面临的严峻挑战。

本次分享从数据安全需求及建设模型、数据安全运营解决方案、数据安全运营实例实践三个主题模块对数据安全进行深度剖析，其中以数据安全运营体系“3565”解决方案，提出了当下数据安全工作应围绕数据安全治理展开，通过建制度、理数据、识问题、提能力、促合规等多个方面，促进数据要素合法合规和高效流转。

对此，迪普科技数据安全运营解决方案，基于企业数据安全需求，以“数据安全运营合规、风险可控、价值创造”为目标。通过安全技术(平台体系、产品工具）、安全管理（运营流程与组织管理）、人员（服务团队）三大核心要素的共同结合，在企业网络与数据安全体系建设不同阶段，提供IPDRR五大核心能力建设支持。围绕数据生命周期构建数据安全防护闭环管理。

对于涉及国家数据、行业数据、个人数据的企业与单位来说，了解自身数据资产、实时监测与保护数据资产是每个企业应尽的社会责任与义务。迪普科技经过多年的数据安全实践，推出了以数据资产和数据行为为核心的数据安全运营体系，以解决数据资产不明、数据行为风险未知等数据安全防护核心难题。

四川善嘉律师事务所律师夏玉洁

数据安全法律合规要点解析

数据安全政策现状

目前与行业较为相关的法律是我们所说的“五法一典”，包括《国家安全法》《密码法》《数据安全法》《网络安全法》《个人信息保护法》《中华人民共和国民法典》；在《行政法》与《刑法》中也有涉及个人信息安全的保护，目前地方政策有三类责任制度定义方法：第一类是使用最多的定义方式，将数据生命周期中的各个环节分别定义安全责任，例如《安徽省大数据发展条例》就定义为“谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责、谁采集谁负责”，其他类别的数据政策描述略有不同，但是本质不变；第二类聚焦数据处理者的方法，以《上海市数据条例》和《重庆市数据条例》为例，将数据处理者定义为数据安全责任主体，聚焦责任主体；第三类是未明确的定义，以《深圳经济特区数据条例》为代表，没有明确指出谁进行负责，但是明确了各个数据处理角色对应的职责。

企业面临的安全风险

企业面临的安全风险有六大风险领域，包括：数据安全领域、个人信息保护领域、算法治理领域、数据交易领域、数据跨境领域、数据竞争领域。重点监管行业包括但不限于：互联网平台行业、云计算行业、电子游戏行业、广告行业等。

企业数据安全案例分析

在2018年8月，华住酒店集团遭遇数据泄露，涉及的数据包括约5亿条顾客信息，内容包括顾客姓名、身份证号、手机号码和部分银行卡信息等敏感数据。2017年，华为公司就曾内部通报了已离职的6名员工涉嫌侵犯知识产权，将公司商业机密泄露给竞争关系公司，涉嫌构成侵权的专利估值高达300万元。来自内部员工的数据泄露，往往让组织疲于应对，造成的经济损失更是无法估量。另一个国际知名的“员工泄露企业数据”案例是2013年的爱德华·斯诺登事件。斯诺登是一名美国国家安全局（NSA）的前系统管理员和中央情报局（CIA）的前雇员，他泄露了大量的机密文件，揭示了美国及其盟友的全球监控行动和数据收集实践。

成都创信华通信息技术有限公司测评师章曾阳

“以评促建、以评促改、评建并举、共筑密安”

商用密码应用安全性评估政策解读

商用密码应用安全性评估是促进网络与数据安全建设和整改的重要手段和抓手之一。近年来，网络空间作为国家发展的重要战略资源，已成为大国博弈的重要战场。密码技术作为党和国家的“命门”，是实现可信互联、安全互通的必要前提，也是保障网络空间安全的核心技术和基础支撑。互联网的安全发展需要充分发挥密码的核心保障能力，其中，商用密码管理工作作为我国密码工作的重要组成部分，是构建国家安全法律制度体系、维护国家网络空间安全、维护密码事业高质量发展的重要举措。

商用密码的重要性

《中华人民共和国密码法》明确我国密码分为核心密码、普通密码和商用密码三大类。在日常工作和生活中，我们主要接触到的是商用密码。例如，在线办公、缴纳税费、购买火车票以及网络购物时，都会涉及到商用密码的应用。通过商用密码技术，可以保证第二代居民身份证的认证一致性，同时保护在线支付的安全。

商用密码应用安全性评估

商用密码应用安全性评估简称密评，是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。

商用密码应用安全性评估流程

法律、行政法规和国家有关规定要求使用商用密码进行保护的网络与信息系统（以下简称重要网络与信息系统），其运营者应当使用商用密码进行保护，制定商用密码应用方案配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。商用密码应用安全性评估贯穿重要网络与信息系统的全生命周期。

在信息系统规划阶段，对系统面临的安全风险和风险控制需求进行分析，明确密码应用需求，根据系统的密码应用等级，依据GB∕T 39786-2021 《信息安全技术信息系统密码应用基本要求》等相关标准，编制信息系统密码应用方案，从《商用密码应用安全性评估试点机构目录》中选择商用密码应用安全性评估机构（以下简称“密评机构”）进行商用密码应用安全性评估（以下简称“密评”）或者自行评估。在信息系统建设阶段，系统集成单位在项目建设单位的明确要求下按照通过密评的密码应用方案建设密码保障系统，确保信息系统中的密码应用符合。建设阶段涉及密码应用方案调整优化的，应委托密评机构再次对调整后的密码应用方案进行确认。系统建设完成后，项目建设单位委托密评机构对系统开展密评或者自行评估。未通过密评的信息系统，项目建设单位针对评估中发现的安全问题及时整改，整改完成后进行复评，更新评估结果。在信息系统运行阶段，项目使用单位定期委托密评机构对系统开展密评，重要网络与信息系统每年至少密评一次，可与关键信息基础设施安全检测评估、网络安全等级测评等工作统筹考虑、协调开展。

在座嘉宾积极参与，踊跃提问，深入探讨了数据安全相关业务和技术应用过程中所面临的挑战与问题。魏杰处长、昝家玮副处长等领导嘉宾，逐一为大家释疑解惑，提供了宝贵的行业见解，使本期沙龙不仅仅是单向的信息传递，成为了一场真正意义上的知识共享与观点交融的盛会。

最后，魏杰处长强调，当前数据安全形势严峻，我们必须增强对数据安全的防护意识。他呼吁大家切实加强对数据安全的保障工作，确保数据的安全性和完整性。同时鼓励大家研究国家标准《数据安全技术数据分类分级规则》，结合本期沙龙分享内容，能有效为大家未来开展数据安全指明方向。此外，他还高度评价了沙龙活动的优势，认为这种形式能够深入了解大家在数据安全方面所面临的挑战和困难，同时收集到宝贵的建议和意见，对我省数据安全工作的开展具有重要的推动作用。总之，我们要保持高度警惕，加强合作，将本期沙龙所获的宝贵知识与经验转化为实际行动，齐心协力，共同推动我省数据安全事业稳步发展。

作为四川省网络空间安全协会的媒体支持单位，信息安全与通信保密杂志社将一如既往当好“网络强国建设的思想库、安全产业发展的情报站、创新企业腾飞的动力源”，始终关注和支持网信事业发展，讲好四川网信故事，助力我国数字经济持续健康发展和网络强国战略落地，为我国网信事业保驾护航。

参会单位

四川大学

电子科技大学

西南财经大学

西华大学

四川师范大学

成都大学

西南科技大学

成都中医药大学

四川旅游学院

成都东软学院