2023(第八屆)供水高質(zhì)量發(fā)展論壇上，合肥供水集團有限公司總經(jīng)濟師朱波以“供水技術(shù)標準轉型中的數據安全”為題做了分享。他表示，數據安全治理是數據治理的一個(gè)子集，安全治理既可在數據治理框架下進(jìn)行，也可獨立實(shí)施。欲速則不達，數據的安全問(wèn)題得不到妥善解決，那么寧愿數字化轉型慢一點(diǎn)，或者不轉型，也不能在錯誤的方向上漸行漸遠。

?

朱波

合肥供水集團始建于1954年，國有獨資大型企業(yè)，注冊資本9億元，主要承擔合肥市區和巢湖、肥西、北城等區域的供水保障與服務(wù)工作。目前，集團資產(chǎn)總額132億元，下轄制水廠(chǎng)9個(gè)，日供水能力295.5萬(wàn)立方米，直徑75毫米以上供水管網(wǎng)11277公里，用戶(hù)304萬(wàn)戶(hù)，服務(wù)面積897平方公里。

數據安全領(lǐng)域的“三駕馬車(chē)”，深度解讀《數據安全法》

2021年6月10日，十三屆全國人大常委會(huì )第二十九次會(huì )議表決通過(guò)了《中華人民共和國數據安全法》，于2021年9月1日起施行?！稊祿踩ā放c《網(wǎng)絡(luò )安全法》、《個(gè)人信息保護法（草案）》一起成為數據安全領(lǐng)域基礎性法律體系“三駕馬車(chē)”，保證數據安全實(shí)踐有法可依，同時(shí)將數據安全提升至國家層面的新高度。

《數據安全法》的制定，是維護國家安全的必要要求，是維護人民群眾合法權益的客觀(guān)需要，同時(shí)也是促進(jìn)數字經(jīng)濟健康發(fā)展的重要舉措?！稊祿踩ā返膬r(jià)值定位包括堅持安全與發(fā)展并重、加強具體制度與法律框架銜接、回應實(shí)踐問(wèn)題及社會(huì )關(guān)切。

《數據安全法》是數據安全領(lǐng)域的基礎性法律，基礎性法律的功能更多注重的不是解決問(wèn)題，而是為問(wèn)題的解決提供指導思路，問(wèn)題的解決需要依靠相配套的法律法規。

監管主體和工作機制方面，中央國家安全領(lǐng)導機構作為總體統籌，國家網(wǎng)信部門(mén)、中央軍事委員會(huì )、公安/國家安全機關(guān)等部門(mén)、組織組成監管執行，為各行業(yè)制定數據行為規范，加強數據安全保護。

?

伴隨數據安全領(lǐng)域法律法規、合規政策的陸續頒布，監管機制逐步完善，數據安全事件的影響已經(jīng)不局限于經(jīng)濟損失、聲譽(yù)損害，還可能面臨巨額罰款和刑事責任。

?

根據供水領(lǐng)域要求，制定數據安全標準體系

領(lǐng)域熱點(diǎn)方面，包括數據安全工具、數據安全治理、數據安全培訓、數據安全咨詢(xún)四部分。

數據安全工具：數據資產(chǎn)體量巨大、分布廣泛、動(dòng)態(tài)流轉，高效的數據安全工具是數據安全保護的戰略制高點(diǎn)。在數據資產(chǎn)梳理、數據分類(lèi)分級、隱私計算、數據脫敏、數據安全運營(yíng)等方向，數據安全廠(chǎng)商正在積極布局。

數據安全治理：圍繞數據生命周期，建立數據安全治理體系是數據安全保障的基礎。DSMM作為國內探索、實(shí)踐多年的數據安全治理抓手，助力持續提升數據安全治理成熟度水平，確保數據安全合規運營(yíng)。

數據安全培訓：場(chǎng)景化宣貫提高數據安全理論水平，實(shí)戰化培訓驗證數據安全技術(shù)能力。數據安全意識的普及，有利于規范數據保護理念與行為，營(yíng)造數據安全氛圍與生態(tài)，幫助數據安全保障工作持續、有序、穩定開(kāi)展。

數據安全咨詢(xún)：數據價(jià)值凸顯，數據安全意識覺(jué)醒。數據安全風(fēng)險通過(guò)數據流轉，形成難以分割的動(dòng)態(tài)風(fēng)險整體，增加數據安全保障的難度。數據安全咨詢(xún)成為破局的關(guān)鍵，市場(chǎng)需求與日俱增。

朱波表示，維護數據安全，應當堅持總體國家安全觀(guān)，建立健全數據安全治理體系，提高數據安全保障能力。

?

數據安全制定方面，根據國家對供水行業(yè)的要求，共分為數據分類(lèi)分級、數據安全風(fēng)險評估、數據安全應急處置、數據安全審查、數據出口管制、數據反歧視、數據安全管理、數據交易管理共八個(gè)方面。

?

數據安全發(fā)展主要包括數據安全標準、數據安全服務(wù)、數據應用創(chuàng )新三方面。

?

朱波表示：“數據安全國家標準方面，從數據安全方向、個(gè)人信息保護方向出發(fā)，頒布了安全及技術(shù)要求標準、管理指南類(lèi)標準以及測試評估規范類(lèi)標準三類(lèi)標準。電信行業(yè)、金融行業(yè)等都有相應的數據標準，但供水領(lǐng)域數據安全標準體系尚未建立，這將是供水企業(yè)今后努力的方向及目標?！?/span>

針對數據安全治理難點(diǎn)，分享實(shí)踐經(jīng)驗

數據安全治理路徑主要是以數據為中心，圍繞數據生命周期全過(guò)程，融合技術(shù)、管理和運營(yíng)，打造涵蓋“云、網(wǎng)、端”的時(shí)空一體化動(dòng)態(tài)安全防護體系，確保數據流轉全過(guò)程持續處于有效保護、合法利用的狀態(tài)，保障數據安全釋放價(jià)值。

數據安全治理難點(diǎn)可以總結為數據是否泄漏無(wú)感知、泄漏途徑難確認、泄漏事件難溯源、數據資產(chǎn)不清晰、數據分級分類(lèi)無(wú)法落地、數據訪(fǎng)問(wèn)控制難落地、數據安全人才缺失七個(gè)方面。

朱波介紹，核心技術(shù)能力主要包括智能數據分類(lèi)分級、數據風(fēng)險監測、數據泄密溯源、數據安全管控四方面。

智能數據分類(lèi)分級：通過(guò)人工智能和機器學(xué)習技術(shù)，自動(dòng)提取數據特征，進(jìn)行數據分類(lèi)分級標簽推薦，從而大幅提升數據分類(lèi)分級的效率。

數據風(fēng)險檢測：基于大數據計算以及用戶(hù)行為分析技術(shù)，對用戶(hù)數據訪(fǎng)問(wèn)流量進(jìn)行建模，自動(dòng)生成安全基線(xiàn)；基線(xiàn)內容如誰(shuí)在訪(fǎng)問(wèn)數據，訪(fǎng)問(wèn)什么數據，通過(guò)何種途徑，什么時(shí)間，訪(fǎng)問(wèn)了多少數據等；基于安全基線(xiàn)以及異常行為特征模型對數據訪(fǎng)問(wèn)行為進(jìn)行研判，感知風(fēng)險，上報告警，如：數據越權使用、API異常調用、運維人員批量讀取敏感數據等。

數據泄密溯源：當前主流數據共享方式中，傳統的嵌入追溯水印方式不再有效。通過(guò)可疑第三方檢測模型對數據泄露內容進(jìn)行數據檢測，快速定位出可能的數據泄露源頭，大大提升數據泄露溯源的速度。

數據安全管控：基于智能數據分類(lèi)分級結果，對不同角色用戶(hù)訪(fǎng)問(wèn)數據進(jìn)行不同數據安全訪(fǎng)問(wèn)策略控制。

會(huì )上，朱波也將合肥供水集團的實(shí)踐經(jīng)驗進(jìn)行了分享。

在高度重視下，數據安全事件仍然頻發(fā)。內因是獲取數據有利可圖，數據憑借自身價(jià)值，擁有“內泄外竊/越權使用”的天然驅動(dòng)力。外因是數據安全保護不力，涉及數據權責不明確、數據狀況不清晰、制度策略不完備、防護理念不匹配等層面的問(wèn)題。各行業(yè)數據安全風(fēng)險大、泄露事件頻發(fā)。

在此背景下，合肥供水集團建立數據安全助力框架。

?

管理體系方面，定目標、規框架，建立企業(yè)級數據中心。合肥供水集團詳細調研31個(gè)主要業(yè)務(wù)系統、16個(gè)業(yè)務(wù)部門(mén)，進(jìn)行數據規劃，形成9大標準規范，數據中心已采集數據18億條，已治理數據8.9億條。數據共享交換具有8.3億條共享能力，共享至表務(wù)系統2500萬(wàn)條、管網(wǎng)運維系統58萬(wàn)條、超等額累進(jìn)加價(jià)系統233萬(wàn)條、合肥市數據資源局1100萬(wàn)條等。

?

數據安全治理制度框架方面，合肥供水集團為決策者、管理層、執行層分別制定了相應匹配的制度，并建立了相應的32個(gè)一類(lèi)到四類(lèi)的數據安全辦法、規范、細則和手冊。

?

技術(shù)體系方面，基于零信任構筑的數據安全。采用SDP（軟件定義邊界）架構打造的新一代終端安全接入架構，由零信任安全網(wǎng)關(guān)、管理平臺、客戶(hù)端及終端安全監測四個(gè)部分構成，提供多種認證、終端環(huán)境檢查、跨網(wǎng)隔離、非法外聯(lián)檢測、NAT溯源等能力的端到端安全防護，構建安全、易用、易管、穩定的可控可管的 “一機兩網(wǎng)” 安全環(huán)境。

?

?技術(shù)體系：合肥供水集團數據安全體系

?

技術(shù)體系：數據全生命周期安全體系建設

朱波最后表示，數據安全治理是數據治理的一個(gè)子集，安全治理既可在數據治理框架下進(jìn)行，也可獨立實(shí)施。欲速則不達，數據的安全問(wèn)題得不到妥善解決，那么寧愿數字化轉型慢一點(diǎn)，或者不轉型，也不能在錯誤的方向上漸行漸遠。理想的方案是獲取全量數據安全指標；經(jīng)濟的方案是能夠滿(mǎn)足當前業(yè)務(wù)的風(fēng)險控制需求。把未知的風(fēng)險轉變?yōu)橐阎娘L(fēng)險，再去尋找抵御風(fēng)險和提升防御能力的方法。

數據安全治理只有起點(diǎn)沒(méi)有終點(diǎn)，數據安全保護永遠在路上。