在当今的数字时代，数据已经不仅仅是一系列数字和信息的简单集合，它已经上升为一种全新的生产要素，与土地、劳动力、资本、技术并列，共同构成了推动经济发展和社会进步的“五大生产要素”。数据的价值和影响力已经远远超出了传统意义上的资源范畴，在商业领域，通过对大量数据的分析和挖掘，企业能够更精准地把握市场需求，优化产品设计，提高生产效率，降低运营成本，从而实现利润的最大化。在宏观经济层面，数据的收集和分析能够帮助政府制定更为科学合理的政策，预测经济趋势，及时调整经济结构，保持经济的稳定增长。

随着数据量的激增和应用场景的复杂化，数据安全问题变得日益突出。在数据跨域、跨行业乃至跨境合作中，确保数据隐私保护、防止数据泄露、滥用和篡改等情况发生，已成为企业、政府及各行业面临的一项重大挑战。针对这一形势，国家数据局正式对外发布了《可信数据空间发展行动计划（2024—2028年）》（以下简称《行动计划》），该计划明确将促进数据流通与共享作为核心目标，并提出了构建可信数据空间的战略方向。

关注本公众号【威努特安全网络】

在对话框回复【可信】可下载

《行动计划》中明确对“可信数据空间”这一概念做了定义：“可信数据空间是基于共识规则，联接多方主体，实现数据资源共享共用的一种数据流通利用基础设施，是数据要素价值共创的应用生态，是支撑构建全国一体化数据市场的重要载体。可信数据空间须具备数据可信管控、资源交互、价值共创三类核心能力。本文件所称可信数据空间、数据空间、空间的含义相同。”

《行动计划》从“实施可信数据空间能力建设行动”“开展可信数据空间培育推广行动”“推进可信数据空间筑基行动保障措施”四个方面提出了十八项相关要求，要求到2028年，可信数据空间运营、技术、生态、标准、安全等体系取得突破，建成100个以上可信数据空间，形成一批数据空间解决方案和最佳实践，基本建成广泛互联、资源集聚、生态繁荣、价值共创、治理有序的可信数据空间网络，各领域数据开发开放和流通使用水平显著提升，初步形成与我国经济社会发展水平相适应的数据生态体系。

• 要求可信数据空间具备接入核验审查能力，能够对接入的数据或供应商等信息进行规范性审查

• 要求可信数据空间具备履约机制与数据管控能力，确保数据使用方能够按需访问及使用，具备一定的数据管控策略

• 要求可信数据空间具备日志存证与溯源能力，能够记录数据来源、流动路径等信息，以保证操作真实性

• 要求可信数据空间具备数据发布发现能力，支持参与各方按照各自权限，发布或查询所需数据资源、产品和服务

• 要求可信数据空间具备数据互操作能力，支持数据内容跨参与方、跨系统理解和应用

• 要求可信数据空间具备空间互联互通能力

• 要求可信数据空间具备数据开发利用环境，能够为数据使用方及服务方提供多样化开发环境

• 要求可信数据空间具备运营规则和权益保障，制定运营规则规范，建立各方权责清单

• 要求可信数据空间具备数据服务方接入能力，能为服务方提供标准化的数据服务接入规范与指引

• 要求可信数据空间具备安全防护能力，针对数据流通的全生命周期，构建必要的防范、检测和阻断等技术措施

• 要求可信数据空间具备合规监管能力，应实时检测空间中违反相关法律法规的行为，并及时采取相应处置措施

为满足《行动计划》中对于企业对于数据管控、数据流转等方面的要求，威努特参考零信任总体建设框架和思路，以零信任安全架构为底座，以数据全生命周期防护为目标，提高业务系统数据安全流转保护能力，全面提升跨系统协同安全防护能力。以数据安全能力池为底座，通过多项数据安全能力进行综合防护，并将实时数据上报至管理平台，通过管理平台进行当前数据安全态势的浏览，方便企业人员根据实际情况进行动态调整。

威努特数据安全统一管理平台支持多因素智能身份认证机制，在确保合规性和安全性的同时，验证用户身份和设备的合法性。通过构建一个高安全级别的多因素智能身份认证体系，同时为用户提供安全、高效的认证体验。

平台支持本地和外部两大类认证方式，包括多种身份认证方法，以适应不同场景下的认证需求，并允许用户灵活组合认证方式。多因素认证选项涵盖“用户名密码+短信”“用户名密码+硬件特征码”以及“用户名密码+短信+硬件特征码”等组合。此外，平台还能与外部认证服务器集成，支持LDAP（包括openLDAP和Active Directory）认证协议。

通过零信任客户端设备绑定功能，平台确保用户仅能在授权设备上使用正确的账户登录，并对账户的登录时间、设备及IP地址实施严格管理，以防止未授权访问业务系统。平台还支持智能身份认证，能够根据客户的认证能力、安全接入需求、威胁和行为检测结果，动态选择最优的认证方式组合。

针对身份管理及数据使用的安全需求，威努特数据安全统一管理平台首先通过精细化的访问控制策略，限制只有经过授权的用户或应用程序访问数据库，防止未经授权的访问和数据泄露，同时在用户层对数据进行独特屏蔽、加密、隐藏，实时筛选SQL语句，依据用户角色、权限和其他脱敏规则屏蔽敏感数据。

管理员可以指定待脱敏对象和定制数据脱敏策略，当用户查询的数据库资源关联到对应的脱敏策略时，会根据用户身份和脱敏策略进行数据脱敏，限制非授权用户对隐私数据的访问，可以根据实际场景选择特定的脱敏方式，也可以针对特定用户制定脱敏策略，通过设定敏感数据保护策略，限制访问权限并记录访问行为，在用户权限层面上保障了数据使用的安全性，防止了数据泄露和滥用，确保数据安全性和隐私性。

威努特数据安全统一管理平台具备实时监控和响应的能力，当数据在空间内进行传输时，能够对数据库数据或是API数据进行实时的识别，利用自然语言处理（NLP）技术和机器学习算法，对解析出的字段进行自动标注，明确数据流向，精确识别敏感信息的分布，为后续的数据处理提供了精确的基础。

管理平台可解析的数据包括与用户身份直接相关的数据、用户服务过程中产生的内容数据、服务产生的衍生数据以及企业内部的运营管理数据等，并进一步赋予不同的安全级别，通过将每个级别对应不同的安全措施和访问控制策略，加强数据安全管理，确保数据在传输、处理和存储过程中的安全性和完整性。

为保证数据使用方在安全和受控的区域内对数据进行分析处理。可在终端上安装威努特终端沙箱客户端，通过数据安全统一管理平台进行策略下发，在本地创建多个隔离的工作空间，确保个人空间无法读取工作空间的数据，防止数据不当流动。同时，不同的工作空间之间也实现了数据隔离，每个空间都可以使用独立的安全策略，为不同级别的数据提供了定制化的保护。

对于本地数据，可进行多类型管理，只有经过审批的文件申请外发后，数据才能从高级别工作空间流向低级别工作空间，严格限制数据流向；在沙箱空间内利用内置的黑白名单对使用程序进行允许或限制管控，防止非受控软件运行；文件类数据进行全局透明加密存储到本地，只有授权用户才能解密使用；对工作空间内运行的所有程序设置自定义水印，有效防止了通过拍照方式造成数据泄漏。从文件外发审批、内部程序管控、文件本地加密、文件水印管控等多维度实现数据流转安全。

为确保企业数据资产的安全性和完整性，需要对日常行为进行管理与操作行为的追踪，威努特数据安全统一管理平台支持生成和收集多种类型的安全日志，包括但不限于访问日志、认证日志、操作日志和异常日志，可将用户对系统资源的每一次访问、每一次认证尝试、每一次数据操作以及任何异常行为进行记录，通过对用户登录的时间、地点、使用的设备、执行的操作进行分析，可有效发现潜在的安全威胁，如未授权访问、数据泄露或内部欺诈行为，及时提醒用户采取相应的预防或补救措施，帮助企业在复杂的网络环境中保持数据的安全性和业务的连续性。

数据安全已成为推动经济持续增长的重要基石，同样也是企业运营的重中之重，综合行业自身的安全需求和合规要求，威努特将积极配合主管部门及企事业单位进行标准的解读及方案设计，紧跟数据安全领域的最新发展，提升企业的安全防护水平。