//

11月17日，由中国信息通信研究院与苏州市金融科技协会联合举办的第五届中国金融科技产业峰会暨第四届中新（苏州）数字金融应用博览会在苏州国际博览中心开幕。会上，正式公布2022（第二届）“金信通”金融科技创新应用案例征集活动的评选结果，北京安华金和科技有限公司联合徽商银行股份有限公司上报的《徽商银行敏感数据识别及安全评估》案例，获评2022（第二届）“金信通”金融科技创新应用卓越案例。本次案例征集活动旨在进一步推动金融科技高质量发展，健全适应数字经济发展的现代金融体系，汇集行业内典型的金融科技创新应用案例，形成一批可复制、可推广的金融科技样板项目，为政府、监管部门、金融机构和科技企业提供重要参考素材，推动我国金融科技生态健康发展。徽商银行是全国首家由城市商业银行、城市信用社联合重组成立的区域性股份制商业银行，作为安徽省地方的金融主力军，在助力区域经济实现高质量发展中起到了关键作用。基于对金融行业数据安全规范及法律法规的深刻理解，安华金和助力徽商银行基于《金融数据安全

11月16日，2022中国互联网大会--数据安全论坛在深圳圆满召开。会上，正式进行“电信和互联网行业数据安全人才强基计划”成员单位授牌仪式，北京安华金和科技有限公司受邀成为第二批“强基计划”成员单位。本次论坛旨在搭建电信及互联网领域数据安全工作交流与发声平台，进一步凝聚共识、形成合力，增强企业维护国家安全、促进经济发展的责任使命感，引导全行业提升数据安全保护意识和工作水平。在工业和信息化部网络安全管理局指导下，中国互联网协会与中国信息通信研究院联合发起“电信和互联网行业数据安全人才强基计划”，旨在推动形成更高水平、更高质量的人才培养体系，培育、强化、壮大数据安全人才队伍。电信、互联网是数字时代的信息大动脉，是千行百业数字化应用的关键载体和平台，产生、汇聚、承载着关系国计民生的海量数据，在数据规模、覆盖范围、存储和传输能力，以及实时性和多样性方面均具有突出的价值优势。在当前国家数据安全保护工作的新要求下，加快培育产业集群，健全数据安全人才培养体系，壮大数据安全人才队伍，培育数据安全评估师等紧缺人才，将成为贯彻落实相关法律法规的重要保障，也是推动国家数字经济健康有序发展的重要前提。“

11月16日，由中国信息产业商会信息安全产业分会、中国计算机学会计算机安全专业委员会、中关村网络安全与信息化产业联盟、中国网络安全产业联盟数据安全工作委员会指导，中关村网络安全与信息化产业联盟数据安全治理委员会主办，北京安华金和科技有限公司与《中国信息安全》杂志社联合承办的“数安先锋行”系列沙龙活动——第三期“数据跨境流动安全治理”主题沙龙成功举办。本期沙龙活动携手网络安全应急技术国家工程研究中心常务副主任何跃鹰，中国电子技术标准化研究院网安中心测评实验室副主任何延哲，中国信息安全测评中心魏伟博士，中国民航信息网络股份有限公司安质部信息安全管理处负责人衡闻琦，北京安华金和科技有限公司解决方案部总监孟昊龙，北京安华金和科技有限公司高级技术专家谭峻楠围绕数据出境安全评估及个人信息保护影响评估实施路径、破解隐私保护与数据要素流通相悖之局、构建数据流动风险感知架构等方向发表丰富观点，开启一场精彩纷呈的线上对话。干货精选，先睹为快网络安全应急技术国家工程研究中心常务副主任

2022年11月1日是《个人信息保护法》（以下简称个保法）实施1周年，以下对个保法主要内容、基本概念、相关标准和技术进行梳理，并对个人信息在DSCP（数据安全协同平台）进行保护和共享的经验进行介绍，以便个人信息处理者充分了解如何在合法的前提下充分挖掘个人信息的价值。01个保法解读个保法总结构共分为7章。其中：1-总则：对个保法的总体描述，重点给出了立法目的和个人信息关键概念定义及处理原则（合法，正当，必要，诚信）。2-个人信息处理规则：围绕个人信息处理活动，面向个人权益保护，对个人信息、敏感个人信息及国家机关特殊处理个人信息三个维度给出个人信息处理的规则要求。3-个人信息跨境规则：以单独章节给出个人信息跨境的规则要求，强调个人信息跨境处理的重要性和关键性。4-个人主体权利：定义了个人主体的各种权利。5-个人信息处理者保护义务：对个人信息数据处理者的处理活动，从组织、管理、技术防护到评估、监测给出整体要求。6-个人信息监管部门职责定义：明确了国家网信办及各级政府部门的个人信息保护和监督管理职责。7-法律责任：给出了违反要求的法律责任，处罚及行政，刑事责任。8-附则：给出了本法的边界界定及重要概念定义。（自然人因个人或者家庭事务处理个人信息不属于本法）02重要概念定义第一个概念：个人信息是指电子或其他方式记录的已识别或可识别的自然人各种信息，诸如姓名，年龄，身份证号、手机号等。在这里特别强调不包括匿名化处理的信息。在数据安全通常个人信息一般指电子信息（网络数据）。相关联的概念：（个保法第73条给出了如下定义）匿名化：个人信息经过处理无法识别特定自然人且不能复原的过程

11月8日--11日，由世界互联网大会、浙江省人民政府共同主办，国家互联网信息办公室、科学技术部、工业和信息化部支持的2022年世界互联网大会“互联网之光”博览会盛大举办。安华金和携数据资产和数据安全风险监测评估方案、数据安全运营平台、数据安全协同平台等成果参展，丰富而详实的展示内容吸引了诸多行业专家、用户及大众的纷纷驻足，全面呈现出安华金和“让数据使用自由而安全”的理念，彰显数据安全领军企业的综合实力。✦✦✦✦今年以来，中国网络空间协会面向网络安全行业征集数据安全、软件安全方向共180份创新成果，经两轮评审后遴选出32份创新成果，安华金和数据安全协同平台及数据安全运营平台解决方案以突出的创新性、可靠的技术支撑、良好的应用推广效果，成功入选2022中国网络空间协会网络安全创新成果决赛。01数据资产和数据安全风险监测评估方案精确识别安全风险数据具有多样性、复杂性等特征，如果没有合适的数据安全风险评估方法和体系，就无法针对性地摸清所有面临的安全风险，也无法评估与法律合规要求的差距。安华金和数据资产和数据安全风险监测评估方案通过旁路的方式部署到数据资源环境中，通过对环境中的网络流量进行采集、监测、分析，帮助用户对数据在流转过程中全链路的安全风险进行监测分析，形成相应的安全评估报告。❖核心能力：识别发现暴露的应用、API、数据库、大数据组件，发现暴露的个人信息和敏感数据检测脆弱性缺陷，及时发现风险；监测访问行为，发现数据安全事件，追溯取证。分析个人信息和敏感数据流转路径和数据离境情况，发现数据离境风险。❖核心技术：数据资产监测和评估、数据安全脆弱性检测、数据安全事件检测和追溯、敏感数据离境监测❖适用场景：电子政务外网数据安全监测评估、数据中心数据安全监测评估、商业银行应用程序接口监测评估、企业集团边界数据安全监测评估部署方案此外，在数据的安全评估上，除了可以对流量进行监测评估以外，还可以采取主动的方式，即在给定的环境中，对数据进行自主的扫描评估。安华金和数据安全扫描评估系统拥有数据资产梳理、数据分类分级、数据安全评估等能力，可以协助用户快速排查数据资产分布，识别僵尸资产，扫描评估数据资产的安全性，并快速落实对数据的分类和定级。在结果的输出上，可以形成个人敏感信息清单，数据分类分级清单，敏感数据清单，数据资产清单，以及数据安全性评估报告。02

由中国信息产业商会信息安全产业分会、中国计算机学会计算机安全专业委员会、中关村网络安全与信息化产业联盟、中国网络安全产业联盟数据安全工作委员会指导，中关村网络安全与信息化产业联盟数据安全治理委员会主办，北京安华金和科技有限公司与《中国信息安全》杂志社联合承办的“数安先锋行”系列沙龙活动之“数据跨境流动安全治理”主题沙龙将于11月16日与您线上相约。为给产业界持续提供开放交流的平台，不断推动数据安全治理实践落地，“数安先锋行”系列沙龙将围绕数据安全热点话题，分享前沿产品技术与解决方案，致力于成为以技术创新驱动产业发展，以行业实践夯实产业根基，聚焦技术成果和实践案例的分享交流平台。随着数字经济的蓬勃发展，数据跨境活动日益频繁，数据出境需求快速增长。明确数据出境安全评估的具体规定，是促进数字经济健康发展、防范化解数据跨境安全风险的需要。本期“数据跨境流动安全治理”主题沙龙将由业界权威专家就数据出境安全评估及个人信息保护影响评估实施路径、破解隐私保护与数据要素流通相悖之局、构建数据流动风险感知架构等前沿热点问题展开交流分享，论道新时代下的数据跨境安全。扫描下方二维码即刻锁定有限参会名额往期推荐安华金和邀您共赴2022年世界互联网大会安华金和加入阿里云安全合作伙伴联盟安华金和2022上海合作伙伴交流会圆满举行安华金和荣登“2022年中国互联网数据安全服务前十企业”

11月3日--5日，以“计算·进化·未来”为主题的2022云栖大会在杭州云栖小镇隆重举办。大会汇聚上千位重磅嘉宾、院士学者、企业和行业领军人等碰撞数字科技前沿趋势，见证数字产业最佳实践，共话共创行业生态商机。安华金和受邀参与本次大会，通过联盟仪式、大会演讲、荣誉奖项等多角度深度参与，向业界全方位展现了在数据安全、云安全领域的创新技术与服务能力。01合力共安全在云上安全与合规分论坛上，阿里云联合包括安华金和在内的多家合作伙伴共同成立“云安全合作伙伴联盟”，旨在以开放、联合、协同的态度，携手多方力量，打破业务架构对安全采用的束缚，让客户多云/混合云架构更安全，面向客户、伙伴，乃至产业打造安全生态。云上安全风险的复杂性决定网络安全防护需要多方共建，单点极致的市场格局决定了没有一家厂商可以独立满足用户所有的需求。作为首批加入的安全厂商之一，正是对安华金和在云安全方向创新技术探索的认可。多年来，安华金和已与阿里公共云及专有云在数据安全产品、数据安全解决方案、数据安全咨询及风险评估服务等多方面持续深入合作，双方不断进行着基于用户场景的新安全防护方案的验证和探索，为用户提供完备的数据安全能力，构建云上纵深防御体系。02安全赛道没有捷径在“云栖科创SHOW场”现场，安华金和创始人兼CEO刘晓韬受邀出席并发表主题演讲。数据作为一种新型生产要素，已成为经济社会发展的核心驱动力，与此同时，日益严峻的数据安全形势给数字化转型的持续深化带来严重威胁，在外部数据监管要求和内部安全保障需求的双重驱动下，各行各业急需全面的数据安全风险分析和应对措施。他强调，数据安全作为独立市场正在快速增长，数据安全运营、合规、咨询、管控、共享、监管等业务呈现蓬勃发展态势，亟需具备产品、平台、服务及咨询能力一体化的综合性安全服务提供商帮助用户完善数据安全建设。安华金和已在数据安全赛道深耕十三年，聚焦数据中心安全提供体系化的数据安全交付能力，多年来与阿里云安全团队进行深度战略合作，现已成长为综合解决方案提供商，从咨询服务到资产梳理、技术体系搭建、后期运营等，我们正向着技术驱动的综合数据安全服务提供商高速发展。刘晓韬表示，数据安全是一个长坡缓坡赛道，正在进入规模市场期，更加符合专精特新的发展特征。安华金和已在数据安全领域积淀多年，我们将通过对行业的独特洞察和持续的技术创新，助力数据要素安全流通，为推动数字经济高质量发展贡献力量。03云上安全

11月3日，以“数安新征程

由世界互联网大会、浙江省人民政府共同主办，国家互联网信息办公室、科学技术部、工业和信息化部支持的2022年世界互联网大会“互联网之光”博览会将于11月8日-11日在浙江乌镇盛大启幕。作为数据安全领军企业，安华金和将携最新研究成果以及整体解决方案重磅亮相此次盛会，同与会领导、专家学者围绕数据安全创新技术进行深度交流，共议数字经济时代的数据安全之道。往期推荐新一代数据动态脱敏，为敏感数据建立保护盾理清数据安全建设思路的着力点——数据安全咨询服务基于分类分级结果指导数据安全管控措施落地实践安华金和荣登“2022年中国互联网数据安全服务前十企业”

11月2日，中国互联网企业综合实力指数（2022）发布会暨百家企业高峰论坛在厦门圆满举办，会上正式发布《中国互联网企业综合实力指数报告（2022）》，并首次发布数据安全服务前十企业名单。北京安华金和科技有限公司成功入选前十名单，凸显了安华金和深厚的产品技术实力、优异的市场表现和卓越的影响力。中国互联网协会已连续10年开展中国互联网企业综合实力研究，此次在往年基础上，积极响应党的十九大报告、十四五规划、《数据安全法》等重要文件精神，支撑政府培育细分领域优质企业标杆、强化供需对接，推动产业高质量发展，进一步针对数据安全能力提供企业开展研究，首次发布数据安全服务前十家企业名单。本次成功入选“数据安全服务”的前十家企业，意味着企业在业务营业收入、研发投入、产品布局等维度上都有着亮眼表现，能够充分代表中国数据安全企业的综合竞争能力。安华金和自成立以来，完整参与到中国数据安全市场从启蒙走向发展壮大的过程，对用户需求、行业趋势理解极为深刻，技术成熟度、产品实现能力、产品线宽度均位于业界前列。“如今，数据安全治理的理念已受产业界广泛认同，进入各行业大规模展开应用，安华金和的整个产品线较早完成了围绕数据安全治理的概念、体系的构建，提供包括敏感数据发现、数据分级分类、数据流动过程管控及数据审计监控等在内的数据安全治理整体解决方案，产品和服务覆盖数据使用的全生命周期，在政府、金融、能源、医疗、教育、企业、运营商等重点行业广泛部署应用。此次的成功入选，表明安华金和不论是在安全技术革新，行业趋势探索，还是在方案落地和成果转化中，都在加快创新引领的脚步，成为了推动数据安全行业发展的重要力量。面对数字全球化浪潮下不断加剧的安全威胁，只有牢牢筑起数据安全防护墙，才能从容应对所有已知和未知的风险。安华金和将始终致力于促进数据要素安全有序流通，在保障数据价值的同时防止数据泄露和合规风险的发生，为各行各业用户提供专业的数据安全解决方案、数据安全咨询服务和切实可落地的数据安全产品与技术，并在创新中不断精进产品能力和服务能力，助力数字经济繁荣发展，筑牢数字时代安全高地。往期推荐新一代数据动态脱敏，为敏感数据建立保护盾理清数据安全建设思路的着力点——数据安全咨询服务基于分类分级结果指导数据安全管控措施落地实践安华金和全面入选2022年湖南省工业领域数据安全产品及解决方案名单

在中国共产党第二十次全国代表大会报告中，习近平总书记指出，国家安全是民族复兴的根基，社会稳定是国家强盛的前提。必须坚定不移贯彻总体国家安全观，把维护国家安全贯穿党和国家工作各方面全过程，确保国家安全和社会稳定。数据安全作为国家安全观的重要组成部分，其重要性不言而喻。体系化的数据安全服务能够切实提升数据安全保障能力，加速推进国家数据安全建设。中国数据安全服务市场的驱动力数据安全重视程度持续提升随着国家数据安全顶层设计和总体布局全面加强，提升了社会各界对数据安全和个人信息保护的重视程度，这成为了数据安全产业发展快速发展的重要驱动力。数据是数字经济时代的核心生产要素。数字经济是继农业经济、工业经济之后的主要经济形态，是以数据资源为关键要素，以现代信息网络为主要载体、以信息通信技术融合应用、全要素数字化转型为重要推动力，促进公平与效率更加统一的新经济形态。对数据要素掌控和利用的能力，已成为衡量国家竞争力的核心要素之一。刚性数据安全合规要求近年来，随着《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的发布，数据要素掌控和利用过程中面临刚性的数据安全合规要求。加强数据安全保护，既是各行业自身发展的主观需要，也是国家监管的客观要求。数据泄露成本上涨推升企业数据安全需求当前，数据利用与数据安全的平衡兼顾存在“对数据资产识别不完整”、“数据流动路径无法溯源”、“安全与业务难以兼顾”等现实问题。根据IBM发布的《2021年数据泄露成本报告》，2020年至2021年，企业数据泄露事件成本平均已经达到424万美元，同比增长10%。数据泄露事件导致的最大损失是业务损失，平均为159万美元，占比为38%。统计数据显示，近年来企业数据泄露事件成本不断增加，增长幅度也呈现明显上升趋势。为应对高涨的数据泄露事件成本、降低数据安全泄露事件发生的频率、控制影响程度，65%左右的企业开始采购数据安全风险检测、风险事件及时响应工具、风险自动化处理系统等数据安全产品和服务，庞大的采购需求为相关产品和服务的发展带来了新的机遇。数据安全建设痛点多法并轨、多标准并行下缺乏一致性的合规治理手段企业或组织需要积极响应相关法律法规及相应的标准规范，落实不同维度、不同侧重的各类监管合规要求。如何应对众多且仍持续颁布的法律法规的合规要求，是摆在企业或组织面前的合规遵循难题。合规治理下数据安全实施细则尚不完善面向数据处理活动及数据跨境流动，存在数据所有权与控制权（或使用权）分离的复杂场景，由于相关细化的数据安全监测与管控等实施细则建设尚不完善，导致数据流动控制与数据确权困难。若管理不善，可能会侵犯个人隐私、泄露商业秘密，甚至威胁国家安全。传统的网络安全风险评估应对数据安全适应度不足传统的信息安全风险评估主要是面向网络环境下的数据安全载体资产，以某个标准作为基准来设置评估项，展开相对静态、固化的风险评估，无法顺应数据流动过程中不同环境、不同目标下的安全评估要求。数据安全防护和网络安全防护体系尚未形成有机融合面向数据本身的数据安全防护与面向数据载体的网络安全防护体系尚未形成有机融合，缺乏围绕数据生命周期流转过程的整体化防护管理能力。数据安全防护和已有的网络安全防护体系如何有机融合是客户面临的一大挑战。面向海量数据的数据资产梳理与分类分级实施难度大当前，针对数据分类分级的行业级、精细化标准要求强烈。在技术维度，海量多源异构的原始数据量难以对每一条数据进行分类分级管理，如何快速摸清数据底账并保持数据分类分级的一致性以及防护策略的有效性，是企业或组织当前数据安全治理工作面临的难题。数据所有权与控制权（使用权）分离导致数据共享和开放困境数据作为特殊资产，其所有权和控制权（使用权）存在分离的情况，导致在数据共享交换层面面临着无法满足其安全共享和开发的困境。此外，数据处理活动涉及多个部门，主体多元、利益多元，数据安全与发展、秩序与突破，诸多价值目标在这一问题上交织碰撞，如何满足企业或组织内部各方利益关系，实现数据开发利用和安全合规的平衡也成为了难题。业务动态变化下按需管控的运营机制尚不健全单纯依靠管理和技术构建相对静态的防护体系，无法及时跟进业务和合规的变化，存在安全策略设置滞后风险，导致出现数据资产新增或调整识别不及时、安全风险监测不准确、安全防护不到位的防护难题。安华金和数据安全服务整体框架全方位解决用户痛点安华金和的安全咨询服务是通过资深数据安全咨询顾问，利用调研、访谈、评估等多种咨询方法，结合国家法律法规和行业监管标准以及最佳实践经验，协助用户建设符合自身数据安全防护需求的数据安全治理体系，最终实现企业既定的数据安全目标。安华金和综合多年积累的数据安全经验，以紧密的安全咨询服务流程为抓手，以高素质的安全咨询服务支撑团队为两翼，为各行业用户提供高标准的安全咨询服务内容。安华金和数据安全咨询服务包括数据资产梳理现状调研、资产梳理服务、数据分类分级服务、数据安全风险评估服务、数据安全治理体系咨询服务、数据安全检查支撑服务等。服务内容1►数据分类分级服务海量数据的数据资产梳理与分类分级实施难度大是各行业客户普遍反映的痛点，安华金和依托自身研发能力，借助自动化数据识别发现工具，并基于行业专家团队大量成功案例积累，形成行业级、精细化的分类分级知识库，实现智能化、高效化分类分级，并可将分类分级成果运用到对不同级别数据的安全动态防护中。2►数据安全风险评估服务安华金和以数据安全风险评估框架为基础，面向数据本身及其数据处理活动，围绕资产的重要程度、面临的安全威胁、脆弱性及安全措施等评估维度，在数据资产识别、法律法规遵循、数据处理活动、数据跨境流动、数据支撑环境等方面建设针对特定数据应用场景的安全风险评估机制。另一方面，帮忙用户建立面向数据的全链路的数据流动监测与数据泄露风险分析机制，有效监控数据共享和开放过程的安全风险，并通过访问控制、数据脱敏等防护手段，保障数据共享和开放的安全性。3►数据安全治理体系咨询服务即便用户已经开展针对数据本身的数据分类分级、访问控制、数据加密、数据审计、数据脱敏等单点数据安全防护能力建设，然而面向数据本身的数据安全防护与面向数据载体的网络安全防护体系尚未形成有机融合，缺乏围绕数据生命周期流转过程的整体化防护管理能力。安华金和帮助用户构建数据安全体系，结合以往网络安全体系等保合规建设成果，充分依托现有成熟的网络安全管理组织及人员、网络安全管理制度及流程、运维保障机制，扩展以数据为中心，围绕数据处理活动场景的数据安全管理体系，运用业内领先成熟方法论和最佳实践经验，明确数据内容安全管理的思路和定位，构建符合监管合规要求、具有客户行业特色的数据安全体系。服务优势1►专注、专业安华金和专注数据安全领域十三年，是中国“数据安全治理”理念、体系的提出者和践行者。公司围绕数据为核心，提供覆盖数据安全合规、数据安全保护、数据安全管理、数据安全共享四大领域的数据安全整体解决方案。以“平台化、体系化、可视化、实用化”为出发点，建立一站式数据安全治理能力，包括数据资产梳理、数据安全监测、数据安全防护、数据安全运维等，实现面向各数据处理活动的事前防护、事中监测、事后审计的整体、动态安全防护体系。公司咨询服务团队由数据安全领域15年以上老兵组成，根据国家政策、法规及标准要求，结合各行业发展趋势，深度调研分析不同用户差异化场景和需求，为用户构建符合监管合规要求、具有行业特色的数据安全体系。2►技术创新区别于仅做咨询服务的提供商，安华金和是中国专业的数据安全产品与解决方案的提供商，拥有数据库安全核心技术储备，包括数据库加密技术、数据脱敏技术、数据库通讯协议解析和控制技术、数据库攻击和防御技术；此外，安华金和研发完成数据资产发现和分级分类技术、数据水印溯源技术等，形成了一条更为完整的数据安全产品线：涵盖数据库漏洞扫描产品、数据防火墙产品、数据库加密产品、数据库脱敏产品、数据库监控与审计产品、数据库安全运维产品、数据资产梳理产品、数据水印产品。专注专业+技术创新是安华金和数据安全服务取得优秀成果的重要引擎与动力。中国数据安全服务市场发展态势当前在我国数据安全市场中，数据安全服务占比相对较低。目前国内市场上的数据安全服务主要涵盖数据安全合规评估、数据安全规划咨询、数据安全治理（分类分级）三大类，数据安全托管、数据安全运维、数据安全测评、数据安全防护能力评定等服务开展较少。安全厂商数据安全服务在总销售额中的占比水平普遍较低，且目前数据安全服务缺乏标准化的规范指导，尚未建立成熟的服务评价体系，企业在选择过程中缺乏参考指导。但近两年，随着数据安全市场规模不断扩大，数据安全服务市场也将迎来高速发展期。据中国信息通信研究院《数据安全技术与产业发展研究报告（2021年）》显示，未来数据安全市场3到5年内将保持继续高速增长态势。数据安全保护规则体系进一步细化未来将进一步细化数据分类分级、重要数据目录、数据风险评估、数据出境等重点工作的相关规范要求，进一步明确国家核心数据、重要数据保护手段。个人信息出境安全评估、安全认证、个人信息侵权案件公益诉讼等重要制度也将逐步落实，成为个人信息保护的有力抓手。下一步，企业层面也需要建立健全个人信息合规体系，落实敏感个人信息保护、个人信息影响评估、合规审计等法定保护义务，重点对自动化决策、未成年人个人信息保护、个人信息主体的权利实现等方面加强企业内部管理制度机制建设。数据安全趋于行业差异化、需求定制化数据安全将向专业化、体系化方向不断迈进，数据安全服务垂直细化的趋势愈加明显，促使数据安全企业的服务愈加专业，企业与企业之间、行业与行业之间的独立性越来越强，专业化聚焦基础上的“差异化共存”成为商业主流，以“需求定制”为驱动的专业型供给时代正在到来，专业型数据安全企业将迎来创新发展新机遇。数据安全服务是数据安全建设的前哨兵和主要抓手，随着未来我国数据安全法律法规和监管要求的不断完善，安华金和将发挥自身的技术实力和人才优势，整合安全能力，持续为用户提供更全面、完善的安全咨询服务，助力各行各业用户持续开展数据安全体系建设，应对新时代下多元化的安全挑战。往期推荐新一代数据动态脱敏，为敏感数据建立保护盾安华金和产品服务案例多维度入选《2022年数据安全市场报告》基于分类分级结果指导数据安全管控措施落地实践安华金和全面入选2022年湖南省工业领域数据安全产品及解决方案名单

Masking（数据脱敏市场指南）中，安华金和连续两年跻身数据脱敏领域全球代表厂商，也是该领域代表厂商中唯一的中国数据安全企业；●

为做好工业领域数据安全管理试点工作，提升工业领域数据安全防护水平，加快推进湖南省数据安全产业发展，近日，湖南省工业和信息化厅组织开展了

自《数据安全法》落地执行以来，以分类分级为基础对数据进行差异化的管理和防护，成为数据安全行业的共识。此前我们通过《如何从数据分类分级出发，精准管控持续保障数据安全运营》，详尽展示安华金和数据安全运营平台（DSOP）如何通过数据分类分级与安全管理、运营体系相结合，对数据安全进行精准管控。本次将结合安华金和数据安全运营平台（DSOP）的落地案例，进一步分享分类分级结果在实际业务场景中的落地实践。在金融数据脱敏分发中的应用金融是数字化发展较为领先、成熟的行业之一，由于其业务的风险特征，对信息系统的可靠性和稳定性要求极高，因此在新应用上线前需要充分的测试和验证。而为了保证测试结果尽量贴合生产环境，除软硬件环境要和生产环境一致外，一般也需要保持数据环境的统一，每天定期同步生产环境数据到准生产环境。因而如何做好生产环境敏感数据的安全管控，同时满足应用开发、测试过程中的数据需求，成为业务快速迭代发展的基础。在安华金和所服务的众多金融客户中，某城商行的需求尤为典型，用户需要每天将生产环境数据精准脱敏后传输到准生产环境测试系统中，所新产生的业务数据体量巨大，如何保证数据脱敏的精准和效率，是需要解决的首要问题。安华金和在经过充分的场景业务调研后，向用户提出了“分类分级+脱敏”的技术解决方案，方案以DSOP为基础，整合打通分类分级和数据脱敏分发的数据和安全能力，以分类分级结果为依据对数据进行差异化处理，在保证敏感数据安全的基础上提升脱敏效率。在具体的实施中，DSOP通过分类分级知识库对业务数据进行自动分类分级，配合人工核实形成业务数据的分类分级清单。然后以涉敏数据集、脱敏规则模板等形式对敏感数据和对应的脱敏算法进行统一管理，配置形成针对不同等级敏感数据的差异化脱敏方式。以联系信息为例，在人行发布的《金融数据安全

10月18日，数说安全正式发布《2022年数据安全市场报告》，安华金和入选“数据安全厂商全景图”中的八项细分领域，上榜多个行业的数据安全代表厂商，同时入选数据安全代表案例，此次多维度、全方位的登榜展现了安华金和完善的产品布局与多场景数据安全解决方案能力。报告显示，2021年我国数据安全市场规模约为53亿，同比增长30.7%，随着上位法律和政策的出台，以及规范标准的加速落地，未来数据安全市场仍将保持较好的增长态势。此外，社会整体对数据安全的重视程度显著提升，2021年采购数据安全产品的项目数量约23000个，同比增长28%，其中，2021年数据安全专项采购项目约3000个，同比增长约43%，明显高于行业平均增速。根据数说安全统计（2018年至2022年6月），数据库安全、数据防泄露、数据脱敏依然是市场的主流关注点，作为数据安全基础产品，在未来很长一段时间依然会处于采购热度的高位；数据分类分级、数据安全管控、数据安全治理类解决方案和隐私计算（多方安全计算、可信执行环境、联邦学习）的热度增速明显提升，说明一些行业数据安全规范标准进展较快及数据共享业务需求已经展开，数据安全建设开始由产品向体系化发展。安华金和入选详情01数据安全厂商全景图安华金和凭借在多个领域的技术优势及产品服务能力，入选了数据安全服务、数据分类分级、数据安全治理平台、数据库加密、数据脱敏、数据库安全

近日，安华金和正式加入中国信息产业商会信息安全产业分会，将与国内众多信息安全企业共同开发信息资源，挖掘信息市场，增进技术交流与合作，持续完善信息安全保障体系，共同推动信息安全产业的高质量发展。中国信息产业商会信息安全产业分会自成立以来，建立政府与企业间的沟通桥梁，寻求政府对企业的引导和支持；建立信息安全企业之间的沟通桥梁，促进企业间的合作，协助有关部门规范信息安全产业市场竞争秩序；建立信息安全行业与国内其他行业的沟通桥梁，推动和促进行业间的交流；建立与国际间的沟通桥梁，加强国际合作和交流，促进了中国信息产业的发展与信息安全技术的广泛应用，得到了社会各界的高度认可。安华金和以“让数据使用自由而安全”为使命，十三年来专注于数据安全领域的前沿技术创新，完整的数据安全产线能够围绕数据安全“事前、事中、事后”三大关键阶段，构建覆盖数据全生命周期的安全防护体系。此外，安华金和提供涵盖数据安全咨询、数据安全运营、隐私增强计算等在内的系统化数据安全服务，产品及技术实力获得国际权威机构Gartner的多次认可。当前，产品、方案已于政务、金融、能源、医疗、教育、企业、运营商等国家重点行业广泛应用，树立了一系列头部用户标杆案例。本次加入中国信息产业商会信息安全产业分会，安华金和将充分发挥作为数据安全企业的核心技术优势，与各成员单位共同努力，促进信息安全产业的创新发展和安全生态体系的发展壮大，共享中国信息产业市场繁荣。中国信息产业商会信息安全产业分会是经民政部批准，在中国信息产业商会领导下，由从事信息安全技术研究、开发，信息安全产品生产、销售和服务，以及信息安全应用与服务的企事业单位组成的行业性、非营利的全国性社团组织。中国信息产业商会信息安全产业分会以发展我国信息安全产业为目标，以服务信息安全产业为宗旨，联合我国信息安全企事业单位，共同推动、促进我国信息化安全产业的建设发展。北京安华金和科技有限公司专注数据安全领域13年，是中国专业的数据安全产品与解决方案提供商，中国“数据安全治理”理念、体系的提出者和践行者。公司面向数据中心，提供覆盖数据安全合规、数据安全保护、数据安全管理、数据安全共享四大领域的数据安全整体解决方案，产品、平台和服务覆盖数据全生命周期。同时，安华金和凭借过硬的技术创新能力及体系化的服务能力，已于国家多个重点行业树立了一系列标杆案例。往期推荐安华金和入选Gartner《Hype

放弃做出所有明示或默示的保证，包括任何有关适销性或某一特定用途适用性的保证。往期推荐分类分级后应如何有效利用数据安全技术持续进行数据安全治理聚焦运维安全|全流程管控

还原真实运维场景安华金和助力徽商银行完善数据安全风险评估能力建设共赢生态未来|2022安华金和江苏合作伙伴大会成功举办

还原真实运维场景安华金和助力徽商银行完善数据安全风险评估能力建设共赢生态未来|2022安华金和江苏合作伙伴大会成功举办

数字化转型工作已经成为商业银行顶层架构和战略规划的重中之重，数据安全作为其中一项重要工作，关系着数字化转型的成败。面对日益严格的监管和时代提出的新要求，银行机构须对数据安全管理高度重视。传统的单点安全防护措施已难以满足日趋复杂的数据使用场景，为保证数据自由而安全的使用，需要基于商业银行现状，有针对性、全方位体系化的做好数据安全防护工作，保障数据安全并促进数据开发利用。徽商银行作为安徽省地方的金融主力军，在助力区域经济实现高质量发展中起到了关键作用。随着其业务的不断拓宽，徽商银行面临着各个业务系统数据量增多，数据安全评估能力不足，数据安全管控能力不完善等诸多难点，亟需搭建完善的数据安全治理体系进而提升其数据安全风险评估能力，为徽商银行数字化转型跃升，顺应数字经济发展新趋势提供强有力支撑。（图片来源：搜狐网）需求背景

“数”智未来|2022年武汉高峰论坛沙龙圆满落幕广州市信息安全测评中心与安华金和共建数据安全实验室共赢生态未来|2022安华金和江苏合作伙伴大会成功举办

“数”智未来|2022年武汉高峰论坛沙龙圆满落幕广州市信息安全测评中心与安华金和共建数据安全实验室安华金和亮相2022年国家网络安全宣传周山东省活动

9月15日，由中国信息产业商会信息安全产业分会、中国计算机学会计算机安全专业委员会、中关村网络安全与信息化产业联盟指导，中关村网络安全与信息化产业联盟数据安全治理委员会主办，北京安华金和科技有限公司与《中国信息安全》杂志社联合承办的“数安先锋行”系列沙龙活动——第二期”数据分类分级落地挑战和实践“主题沙龙成功举办。本期沙龙活动携手中国电子技术标准化研究院网络安全研究中心数据安全部主任胡影、中国信息安全测评中心高松博士、中国金融认证中心数据安全解决方案专家隆峰、北京安华金和科技有限公司研发中心产品总监孙铮、北京安华金和科技有限公司高级技术专家谭峻楠围绕数据分类分级标准解读、实践经验分享、技术难与创新等方向发表丰富观点，开启了一场精彩纷呈的线上对话。干货精选，先睹为快中国电子技术标准化研究院网络安全研究中心数据安全部主任

9月9日，2022年武汉高峰论坛沙龙成功举办。大会以“携‘云’开创、‘数’智未来”为主题，安华金和诚挚邀请教育、企业、金融、医疗等领域的一众用户，合作伙伴相聚一堂，凝聚行业智慧共同探讨数据安全攻关方向、攻关痛点，分享产品、技术及解决方案，总结已有经验、拓展创新思路，为湖北省数据安全技术的发展提供支持，为数据安全产业的前行夯实基础。当前，数据安全问题日益凸显，数据泄露事件逐年增长，数据安全问题影响范围从个人权益、企业利益辐射到产业安全甚至国家主权。安华金和中西区总经理万钧在致辞时表示，在大力发展数据安全的当下，湖北省在数据安全建设与数据安全治理实践方面将迎来更多的机遇与挑战。安华金和将通过完善的人员配置、全面的产品体系、领先的技术能力、多场景的解决方案，以及十三年沉淀的数据安全行业实践经验，更好地赋能合作伙伴，助力用户建立安全长效机制，促进各行各业健康发展。近些年来，教育行业信息化面临的风险大、挑战高，教育系统面临数据泄露威胁时有发生，一旦发生数据泄露事件往往涉及面大、影响程度高。湖北某高校夏老师在“高校数据安全探索与实践”主题演讲中表示，在国家数据安全法律法规日渐完善的当下，教育部针对教育信息系统的建设也出台了指导意见，强调了在高校信息化建设中数据安全的重要性，为后续高校数据安全体系的建设指明方向。重视数据分类分级和数据交换是高校数据安全能力建设的前提，某校的数据安全建设总体上采取了“基于现状，有效增强，全程管控、循序渐进”的建设思路，通过建立数据安全监测和防护能力、风险操作实时拦截能力、敏感数据梳理能力、数据分类分级能力、数据安全集中管控能力、元数据管理能力及数据安全运营能力，切实促进校园数据安全整体体系化能力的建设和提升。安华金和咨询顾问李豪在“业务场景下数据安全落地建设浅谈”主题演讲中对当前数据安全法律法规、标准规范作出解读，所面临的数据安全风险作出归纳分析，介绍安华金和最新的产品、技术与解决方案，分享安华金和在政务、能源、教育、金融、运营商等行业所积累的优秀实践经验。建立数据安全能力要以数据安全治理为理论基础，在数据生命周期管理中做到数据资产安全、数据使用安全、数据共享安全、数据存储安全、个人/单位敏感数据管理。安华金和通过管理+技术+运营体系的建设，形成闭环可持续的数据安全管理、监控、运营能力，除提供数据脱敏、加密、审计、防护、数据水印等防护能力外，建设数据安全管控平台，形成“数据资产管理、规范和策略管理、风险事件监测、风险态势分析”四大核心能力，实现数据安全“统一运营、集中管控”，提升数据安全技术支撑保障能力，从而使数据安全体系真正落地并不断优化。此外，作为安华金和的合作伙伴，武汉鑫弘宸信息技术有限公司创始人余建新也对“如何一站式应对数‘智’未来安全挑战”作出分享。我们应当秉承“安全即服务”的理念，利用自动化平台全面提升企业安全应用和管理水平，打造一站式安全服务，实现企业的创新转型和可持续发展。时代在进步，安华金和也在不断创新。作为中国“数据安全治理”体系框架的提出者和倡导者，安华金和提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体数据安全思路与方案，并作为独立的第三方云数据安全服务商为国内外各大云平台用户提供专业的数据安全保障，以全面的结构化数据安全产线、完整的数据安全治理方案赋能各行各业，在全国各城市打造了多个标杆案例。以此次武汉高峰论坛沙龙为契机，安华金和将牢牢抓住数字中国战略背景下的数据安全发展机遇，依托多年的行业经验，不断打磨产品，匹配用户需求，以应用场景牵引技术创新，持续完善渠道发展体系，交出令用户满意的答卷，助力湖北省数据安全产业高质量发展。往期推荐数据分类分级落地挑战和实践”主题沙龙活动诚邀您参与《数据安全法》实施一周年：数据分类分级进行时广州市信息安全测评中心与安华金和共建数据安全实验室安华金和亮相2022年国家网络安全宣传周山东省活动

由中国信息产业商会信息安全产业分会、中国计算机学会计算机安全专业委员会、中关村网络安全与信息化产业联盟指导，中关村网络安全与信息化产业联盟数据安全治理委员会主办，北京安华金和科技有限公司与《中国信息安全》杂志社联合承办的“数安先锋行”系列沙龙活动之”数据分类分级落地挑战和实践“主题沙龙将于9月15日与您线上相约。为给产业界持续提供开放交流的平台，不断推动数据安全治理实践落地，“数安先锋行”系列沙龙将围绕数据安全热点话题，分享前沿产品技术与解决方案，致力于成为以技术创新驱动产业发展，以行业实践夯实产业根基，聚焦技术成果和实践案例的分享交流平台。建立数据安全防护体系的第一步即为梳理数据资产进行分类分级，只有通过分类分级工作，对不同分类不同级别的数据采取不同的安全防护措施，才能真正做好数据全流程动态保护。本期“数据分类分级落地挑战和实践”主题沙龙将由业界权威专家围绕数据分类分级标准解读、实践经验分享、技术难点与创新等方向发表丰富观点，开启精彩讨论，凝聚各方力量，探索数据分类分级之路。仅有300席位扫描下方二维码即刻锁定参会名额往期推荐2022首届数据安全大赛重磅来袭大话数据安全：平台化运营怎么做？广州市信息安全测评中心与安华金和共建数据安全实验室安华金和亮相2022年国家网络安全宣传周山东省活动

//

9月7日，广州市信息安全测评中心与北京安华金和科技有限公司在粤正式签署战略合作协议，共同打造“数据安全实验室”。双方将充分发挥各自优势，通过共建数据安全实验室、积极推进数据安全科技创新与合作，开展数据安全研究、成果转化、人才培养等方式，共同助力数据安全产业高质量发展。广州市信息安全测评中心副主任王冰和安华金和广州办事处负责人齐艳丽共同签署战略合作协议。广州市委网信办副主任贺忠、安华金和高级副总裁孙惟皓出席见证战略签约仪式。广州作为全国大数据应用的先行区，数据应用走在了全国前列，数据安全保障更是刻不容缓。广州市委网信办副主任贺忠在致辞中表示，近年来，我办在数据安全监管和促进数据开放利用上持续探索，并把做好数据安全保护工作作为全市网络安全“十四五”规划的重要内容之一。本次广州市信息安全测评中心与安华金和共建数据安全实验室，将加快推进数据安全治理、数据安全前沿技术研究、数据安全人才培育等有关工作，是携手推动我市数据安全工作开好局、起好步的重要举措，对加快广州市网络与数据安全产业发展，助力广州市数字经济发展具有重要意义。安华金和高级副总裁孙惟皓表示，安华金和作为中国专业的数据安全产品及解决方案提供商，已在数据安全领域探索和实践十三年，广州市信息安全测评中心作为广州市网络安全工作的重要支撑单位极大提升广州市各行业对数据安全的重视程度与各行业的数据安全专业技术能力，此次双方的携手，响应了网络安全和数字经济发展的新需求，我们将共同探索构建数据安全管理体系，全面提升各行业数据安全保护能力，共谋数据安全产业新活力，为进一步推广、普及和完善数据安全治理的理念、方法、体系与实践添砖加瓦,为广州市网络与数据安全产业发展贡献力量。数据安全是数字经济发展的压舱石。随着新一轮科技革命和产业变革的到来，强化数据治理，保障数据安全，是筑牢数字经济持续健康发展的安全屏障，同时保障数据安全也离不开数据安全技术和产业的有力支撑。广州市信息安全测评中心-安华金和数据安全实验室将在数据安全领域积极创新，依托测评中心在网络安全检测、网络安全监测预警、网络安全应急处置、网络安全公共服务等业务能力和经验，开展科学研究和科技攻关；安华金和将在数据安全运营平台、数据安全评估、数据安全防护、数据脱敏、数据库加密、数据库安全审计等系统进行研发，为实验室注入鲜活动力。此外，数据安全实验室还将建设数据安全领域高层次人才培养实践基地，提升相关人员数据安全实战能力，实施科技成果转化和关键技术产业化，真正做到产学研用协同创新助力数据安全产业高质量发展。以科技创新激活发展动力，以技术突破厚植安全未来。安华金和将以此次战略合作为契机，与广州市信息安全测评中心携手，依托十三年来的经验积累，凭借完备的产品、服务结构及领先的技术成果，着力解决数据安全防护难题，扎实推进数据安全管理，加快推动构建治理体系，筑牢安全基石，护航数字经济蓬勃发展。往期推荐2022首届数据安全大赛重磅来袭大话数据安全：平台化运营怎么做？数据库安全侦察兵：监测数据安全

2021年9月1日，《数据安全法》正式施行。作为数据安全领域的基础性法律和国家安全法律制度体系的重要组成，《数据安全法》的出台有着深刻的时代背景和现实意义，是对当前数据安全内外部形势的回应，是护航数字经济发展的重要举措。值此《数据安全法》实施一周年之际，为进一步推动法律实施落地和产业创新发展，CCIA数安委于9月1日召开“《数据安全法》实施经验分享主题研讨活动”。北京安华金和科技有限公司作为委员单位代表受邀参会，安华金和高级技术专家谭峻楠解读《数据安全法》中数据分类分级相关条款，并分享优秀实践经验，以供社会各界参考。《数据安全法》第二十一条解读《数据安全法》第二十一条国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。条款解读《数据安全法》中的“数据分类”，采用了数据的“重要程度”＋“危害程度”的立法手段，对数据实行分类分级保护，特别是将“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”列为国家核心数据，实行更加严格的管理制度。《数据安全法》从国家层面提出了数据分类分级，是确定数据保护和利用之间平衡点的一个重要依据，为政务数据、企业数据、工业数据和个人数据的保护奠定了法律基础。政务数据分类分级和重要数据目录建立实践案例某省大数据局对于电子政务数据的处理，是委托第三方进行，鉴于数据接触者较多，数据流转使用场景复杂，面临海量数据缺乏完整的政务数据分类分级标准，无法区分重要数据这个关键问题。安华金和搭建数据安全运营平台（DSOP)，提升数据安全保障能力，以面向数据资产梳理、监测、保护为需求方向，通过安全集中运营，针对数据存储使用不规范、敏感数据泄露、数据违规操作、数据违规开放共享、数据异常流转等数据安全问题，实时监测数据安全风险态势，从而保障了数据资产的安全、可靠。依据IPDR数据安全治理的思路，建立一套从资产梳理、数据分类分级、安全策略管理、数据流转监测与防护、持续风险分析到响应处置的动态、闭环管控体系。此实践案例体现应首先有效理解和分析数据，对数据进行不同类别和密级的划分，制定《数据安全分级分类规范指引》，同时主管单位与地方协商制订的重要数据目录，须涉及数据共享格式统一，做好这两项工作才能对数据做到有差别和针对性的防护，实现在适当安全保护下的前提下数据能够自由流动。银行数据分类分级实践案例依据数据安全管理要求，安华金和从数据安全治理角度给出管理体系建设、数据分类分级及数据审计建议，提升某行在组织建设、制度流程、技术工具及人员能力等方面的数据安全保障水平，进而降低数据安全风险，满足合规要求、加强数据防护。同时，结合其数据安全防护现状，给出切实可行的数据安全治理方案，并关注数据安全能力改进、建设、运维过程的管理，确保数据安全管控要求切实落地。安华金和提供的数据安全评估系统（DSAS)，为用户进行数据资产发现与梳理、业务环境调研、分类分级实施、数据分类分级标准指南制订、数据安全管理细则制定。结合《金融数据安全

2022年9月1日，正值《中华人民共和国数据安全法》施行一周年，以“保障数据安全，建设数字强国”为主题的2022首届数据安全大赛正式启动，北京安华金和科技有限公司作为协办单位为大赛提供支持工作。此次大赛以打造数据安全领域的国家级权威赛事为目标，旨在深入贯彻落实《数据安全法》，促进数据安全风险防控和保障能力提升，切实保障国家数据安全，支撑数字经济、助力数字强国建设。组织机构主办单位：中国电子信息产业发展研究院、中国信息通信研究院、国家工业信息安全发展研究中心、中国软件评测中心（工业和信息化部软件与集成电路促进中心）承办单位：北京永信至诚科技股份有限公司协办单位：蚂蚁科技集团股份有限公司、北京安华金和科技有限公司、天融信科技集团股份有限公司技术支持单位：中国移动通信研究院、中移（苏州）软件技术有限公司、中国电信股份有限公司湖北分公司、成都思维世纪科技有限责任公司、深信服科技股份有限公司、烽台科技（北京）有限公司、佰倬信息科技有限公司国家级权威赛事

2020年4月，中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》，明确地表示数据成为生产要素。与此同时，企业在数字化转型过程中发现，业务和数据的关系越来越紧密，随着数据爆发式的增长，业务流程愈发复杂，跨部门、跨角色的协作共享越来越多，数据安全所面临的风险和威胁越来越高。数据的格式、种类也极其丰富，数据存储、流转及使用已构成一个复杂的数据生态。流动的数据和静态的网络边界势使数据安全的防护措施与网络安全截然不同，数据流转需要体系化防护，建立集中化、联动化的安全防护平台，真正提升安全风险应对能力，这也致使数据安全平台化运营的难度提高了很多。对此，如何通过平台化运营提升数据安全的能力？构建数据安全平台都会面临哪些痛点和难点？有哪些可参考的实际案例？带着这些问题，8月26日，安华金和高级副总裁&事业中心总经理杨海峰，同金融行业信息安全专家蔚晨，OPPO数据安全架构师刘玉霞，安言咨询总经理董永乐齐聚线上直播分享。本次直播由安在创始人张耀疆主持。（从左至右，由上到下依次为张耀疆、蔚晨、刘玉霞、杨海峰、董永乐）数据安全发展至今，其建设需求和思路有何变化？张耀疆表示，数据安全是一个老话题，但这几年数据安全的变化非常大，不仅表现在立法，整个业界对数据的理解也发生了很大的变化，过去对数据的理解还停留在静态的，是资产的一种表现形式，而现在数据已经成为生产力了。因此，对于数据安全也需要有一些和过去截然不同的新思路。蔚晨表示，作为金融行业的信息安全专家，他在信息安全行业已经工作了十五六年的时间。从他整个职业生涯以及接触数据安全的过程来看，国家、行业对数据的认知是越来越清晰。从ISO27001到等级保护，很多信息安全框架都涉及到数据安全，并且都会提到数据的分类分级。但实际上，站在安全的视角来看，数据安全的具体工作在整体数据安全治理发展的初期是不够体系化的。因为安全与业务是间接相关的角色，很多时候对于数据安全的认知都来自于监管层面，从系统、网络、主机、终端等多个风险角度去做所谓的数据控制。回忆下来，当时的数据安全按照现在的门类分类的话，应该更偏向于应用安全和主机安全，只不过它所处置的对象是数据而已。从金融行业的视角来看，数据安全发展主要是来自于监管的逐步要求，随着网络安全法、数据安全法等等一系列法律法规的出台，监管层面开始逐步将一些要求变得清晰，这也让金融行业的安全从业者找到了很多方向。但蔚晨认为，真正推动金融行业落地数据安全的管理措施，还是业务驱动。刘玉霞表示，最初接触数据安全是在十多年前，那时候能和数据安全相关有文档加密、硬盘加密、数据库审计这几个产品。当时企业的诉求主要是对商业秘密的保护。促进传统企业开展数据安全更多的是自驱的需求，以防止商业间谍窃取机密。随着互联网发展，企业数字化转型，电信诈骗越来越疯狂，数据安全的诉求也越来越多。大概在2015年前后，第二批数据防泄密的产品DLP出现在市场上，企业开始陆续引进这些产品，金融行业也开始落地加密措施和体系。2018年GDPR发布前后，数据安全开始成体系建设，企业开始提出按照数据生命周期去管控数据。当前，随着我国数安法、个保法的相继出台，企业数据安全的建设的驱动主要围绕监管和业务。数据安全从过去单点保护开始向体系化转变，环境的变化至关重要，数字化转型、互联网发展都是推动数据安全的客观因素。董永乐表示，数据安全这些年的变化很大，其中主要有几个原因。从安全需求的角度来看，数据安全从原来的合规需求转变成自驱，其中的因素包括勒索病毒、APT攻击以及行政处罚。总结下来就是攻击的武器化使数据安全的威胁越来越严重，APT攻击目标也从原来单一的破坏转变成对专用数据的窃取。在原有行业监管的基础上，又叠加了专业监管。从工作理念的角度来看，第一是遵循法律，第二是追求长效。三法一条例的框架下，数据安全的标准规范越来越清晰，企业建设或运营也有了很多参考。越来越多的机构正在通过人员组织化和流程工具化来实现持续起作用（长效）。杨海峰表示，数据安全的发展主要是法律法规的明确，企业面临着是如何落地。在过去的两三年时间里，很多企业已经从传统面向具体场景或具体能力的数据安全转向系统的、体系的运营，从单点数据安全想体系化数据安全转变。背后的原因不难理解，企业掌握着越来越多的数据，同时数据的使用场景也在快速地增长，相对的，企业面向的数据安全威胁及付出的代价也在不断地增长。依靠单一的防护手段只能满足单点场景的安全需求，很难形成全面的能力。所以基于自身数据安全长远的一种考虑，企业也会希望构建一体化的数据安全能力，来面对复杂的安全形势。随着法律法规的出台，后面还会陆续涌现出一些新的管理要求，常态化保障数据安全的能力是企业必须要做的。很多金融行业的企业，在数据安全体系化方面主要表现在金融数据和个人金融信息的监测能力，在这个过程中，会有不同的部门结合自身的业务产生不同的需求。比如数据部门可能会关注数据部门的内部对不同级别的金融数据个人信息的使用，安全部门可能会关注来自外部的数据访问的风险和监测，这就使数据安全在不同的部门中产生不同的需求。在政务行业中，比较典型的是政务数据中心，因为其汇聚了各行各个组织单位的数据，那么就更加需要体系化的、具有可持续运营的能力来保证数据安全。因为数据汇聚的量非常庞大，业务也非常的复杂，所以它会关注数据从前置到归集到标准库到主体库到平台全流程的监测和管控，而且对数据分发的场景也要进行相应的安全追溯和防护手段。在这个过程中，为了实现体系化的建设，会提出来三方角色，比方运营方、监管方和建设方。大型企业会更加实务实一些，会更多地关注在数据使用环节过程中的合规监测。不同的行业和规模的企业都会呈现一些共同点，就是都是基于企业自身的业务特点和需求去考虑长效的具有可持续运营能力，而且他们基本上都会采用以数据分类分级为核心，构建数据安全的体系。构建新型数据安全运营体系的痛点和难点张耀疆表示，虽然数据安全愈发复杂，需求也各不相同，但是总结下来还是可以用三个词概括：常态化、体系化、平台化。企业到底要具备哪些运营能力，才能称得上常态化、体系化、平台化？对此，杨海峰表示，数据安全的落地一定会涉及到业务方面的内容，也一定会涉及到数据安全和业务的平衡问题。在这个过程中，如何和能够在日常的流程中将合规的要求以及安全技术和设备有效地结合起来，形成统一的能力，依靠这种能力，在后续持续运转的过程中才能将不同部门及其背后的需求形成日常化的管理。换言之，一定要有一套流程在不同的部门中形成数据安全的闭环。蔚晨表示，

1国家战略层面数据作为市场要素成为国家战略2022年1月6日中共中央国务院印发了《要素市场化配置综合改革试点总体方案》，第六章中明确要提出加快培育数据要素市场的意见。（十九）完善公共数据开放共享机制。建立健全高效的公共数据共享协调机制，探索完善公共数据共享、开放、运营服务、安全保障的管理体制。（二十）建立健全数据流通交易规则。在保护个人隐私和确保数据安全的前提下，分级分类、分步有序推动部分领域数据流通应用。（二十一）拓展规范化数据开发利用场景。支持打造统一的技术标准和开放的创新生态，促进商业数据流通、跨区域数据互联、政企数据融合应用。（二十二）加强数据安全保护。强化网络安全等级保护要求，推动完善数据分级分类安全保护制度，运用技术手段构建数据安全风险防控体系。我国数据安全相关法律法规和监管机构日趋完善，安全红线逐步确立；以《网络安全法》为基础，《个人信息保护法》为安全红线，《数据安全法》为数据发展和数据保护的基本框架，确保以数据为核心要素的市场健康发展。2行业发展层面1.银行业发展历程-Open

数据作为最具时代特征的新生产要素，通过与其他要素优化配置，正成为社会经济各领域创新发展的关键动力。随着海量数据日志的年化指数级暴增，保障重要数据安全以及数据库正常运转成为重中之重，亟需数据库安全审计产品作为数据库安全的侦察兵守卫，监测数据安全，洞察数据风险，帮助用户完成安全合规、用户行为分析、运维监控、风险审计、事件追溯等需求场景的安全审计。政策驱动：合规建设不可或缺无论是国家级的法律或标准，还是等保以及行业级的安全标准都对使用数据库审计有明确要求，所有网络运营者必须建设的基础能力之一。《数据安全法》：要求建立数据安全风险评估、报告、信息共享、监测预警机制，加强数据安全风险信息的获取、分析、研判、预警工作；《个人信息保护法》：要求定期对其处理个人信息遵守法律、行业规则的情况进行合规审查；等保2.0：明确提出对数据库进行安全审计，网络运营商必须根据要求引进合适的设备。风险驱动：遏制数据泄露有效手段近期，IBM

信息技术应用创新产业，是数据安全、网络安全的基础，更是数字时代拉动经济发展的重要抓手之一。为更好地响应国家信创战略需求，支持信创适配，适应市场变化，完善用户体验，安华金和静态数据脱敏系统（简称：SDMS）在“自动识别敏感数据——丰富的脱敏算法配置——仿真脱敏保值致用——跨网跨域安全分发”的完整链路能力基础上实现多方位升级，现正式推出静态数据脱敏系统全新版本。全新升级01数据库支持类型扩充安华金和静态数据脱敏系统扩展实现了对国产化数据库，包括但不限于：巨衫数据库

人类对于数据的态度可能从来没有像今天这样矛盾。在数字经济的快速发展中，数据的价值进一步显现，全球各国都在围绕数据资源博弈升级；但同时，公众对于数据安全和隐私的担忧也变得越来越强烈。站在数据的十字路口，我们应该如何理解数据安全？如何应对数字经济发展所伴生的数据保护及个人隐私争议？数据究竟该如何被安全的使用和共享？安华金和副总裁、工程技术中心总经理何晋昊做客“解码2022中国网安强星”直播间，分享了数据安全治理相关的理念、框架和最新技术。专注数据安全领域13年中国“数据安全治理”体系首创者安华金和成立于2009年，至今已专注数据安全领域13年，是国内最早一批专业从事国产数据安全产品及解决方案的企业，同时也是中国“数据安全治理”理念、体系的提出者和践行者。在安华金和多年的发展历程中，完整参与到中国数据安全市场从启蒙走向发展壮大的过程，深刻理解行业趋势、用户需求，其技术成熟度、产品实现能力、产品线宽度均位于业界前列。据公开资料显示，安华金和已连续多年、十数次入选Gartner数据安全、数据管理、隐私保护、威胁应对、应用安全、风险管理等技术成熟度曲线研究报告，跻身DAP（数据库审计与保护）、数据脱敏领域全球代表厂商行列，同时也是以上两个领域代表厂商中唯一的中国数据安全企业。如今，安华金和已服务客户上千家，产品及解决方案在政府、金融、能源、医疗、教育、企业、运营商等重点行业广泛部署应用。在2022年6月中国网络安全产业联盟(CCIA)最新发布的“2022年中国网络安全竞争力50强”榜单中，安华金和从近300家网络安全企业中脱颖而出，凭借深厚的技术实力和强劲的发展态势成功登榜。点击阅读：安华金和荣膺“2022年中国网安产业竞争力50强”数据安全驶入快车道行业落地呈现四大痛点全球数字经济产业的快速发展，带来了国家安全、产业安全以及个人隐私权等诸多问题，数据安全是一个绕不开的重要议题。一方面，企业面临的数据安全威胁持续升级，导致数据泄露、数据非法使用等事件频发，由数据泄露引发的企业成本损失逐年增长，企业采购成熟数据安全产品和服务的紧迫性和必要性逐渐提高。另一方面，面对严峻的数据安全态势，我国不断出台网络安全和数据治理相关政策和法律法规，对数据安全的监管力度不断提升，随着2021年《数据安全法》、《个人信息保护法》的发布，国内数据安全发展加速的趋势明显。在产业内生需求和国家政策监管的双重驱动下，国内数据安全市场驶入快车道。尽管数据安全市场呈现出强劲的发展态势，但与网络安全服务相比，数据安全服务市场仍需逐步培育。在何晋昊看来，数据安全治理依然存在诸多痛点，导致在实际中面临落地难的问题。一是认知不清晰。“数据安全到底是什么，从哪里来到哪里去，要达到什么样的效果，其实在产业上下游之间尚未达成共识”，何晋昊指出。《网络安全法》、《个人信息保护法》、《数据安全法》以及等保条例等法律法规的出台，构成了数据安全治理的重要合规驱动力，但由于相关细化的数据安全监测与管控等实施细则尚不完善，如何应对合规要求，建立与各法律法规相适配的防护策略，实现一致性的合规治理，是数据安全落地的首要挑战。何晋昊认为，之所以数据安全有法可依却依然难落地，其根本原因在于数据安全的特殊性。数据资产具备流动性，其资产价值也会动态发生变化，这就使得数据安全不同于传统信息安全，可以展开相对固定的、静态的风险评估和清单式的安全建设。数据安全实际上需要从数据安全防护和数据利用两个层面去考虑，对数据安全的认知决定了后续能否很好的落地。二是组织资源错配。很多政企机构将安全和数据设立为两个部门，投入的资源和目标并不一致。但实际上从安全建设上看，数据和安全需要整合在一起。三是体系复杂。数据由于天生的特性，加上安全之后成为了一个复杂的问题，涉及到管理、运营、技术等方方面面。因此，数据安全落地的复杂程度很高，是一个跨学科、跨领域、跨部门的复杂体系。四是需长期建设、持续运营。从数据安全本质上来看，数据安全是一个需要长期建设和持续运营的工作。数据和业务都是快速变化的，这意味着安全防护体系和整个数据安全体系，都需要随着业务和数据持续变化。何晋昊表示，无论是企业、监管机构还是第三方机构，整个产业都需要从思路上改变，提升对数据安全的认知，从而有耐心去进行数据安全体系化的建设。管理+运营+技术“三驾马车”

数据是信息的载体，会在不断地流动中产生巨大的价值。由于不同类型的数据，其级别和价值均不同，不能等同视之，应根据数据的重要性、价值指数予以区别对待，因此《数据安全法》提出建立数据分类分级保护制度。分类分级是数据全流程动态保护的基本前提，不仅是数据安全治理的第一步，也是当前数据安全治理的痛点和难点。为解答用户关于数据分类分级的诸多疑问及困惑，安华金和事业中心总经理杨海峰，中银证券信息安全负责人蒋琼，平安科技信息安全总监郑太海，安在新媒体合作人及安在新榜出品人张威，齐聚线上直播分享，就数据分类分级现状及落地实践开展深入探讨交流。1从报告看数据分类分级张威介绍到，今年安在发布的报告中得出一个结论，数据安全已然成为网络安全中一个非常重要的子类。前两年发布的报告还并未将数据安全和网络安全的产品区分开，今年的报告已经单独区分，并且数据安全产品大概占到12个种类，占全种类安全产品的10%。数据安全已然成为企业最关注的领域之一，《数据安全法》、《个人信息保护法》是目前让企业合规压力最大的两款法律法规。另一方面，很多企业在业务方面涉及到大量的数据交换，对数据安全的需求就格外的高。此次报告还显示出，数据安全中的DRP产品成为跌幅较大的产品种类，这意味着传统的数据保护方式已经发生了变化，变成更加精细化的管理，针对不同类型的数据和合规要求，进行不同的管理方式，因此，数据分类分级是目前企业和厂商都需要面对的机遇和挑战。2为什么要做数据分类分级张耀疆表示，企业在做风险管理及风险评估之前，第一件事就要做资产梳理。过去资产的概念比较宽泛，梳理起来也很艰难。安全行业虽然在不断创新，但是很多基础性的工作并没有做好，其中一条就是资产梳理，也就是数据的分类分级。数据的分类分级对于安全行业而言究竟代表着什么？对此，郑太海表示，最初的网络安全是以边界为核心，目标是让攻击者无法进入，确保内部安全。但后来大家发现，内部人员泄密更加难以防守，并且概率更高。实际上为什么要对资产做分类分级，因为那时候大家意识到数据是存在于资产上，要根据资产所存储的数据的重要程度进行分类分级。但渐渐的大家发现，流动的数据才有价值，而且由于数据具有复制性，因此对于数据的观点和视角就要发生改变。当前无论是监管层面还是企业治理层面，都会围绕着数据的生命周期来进行数据保护和治理。在此基础上，无论怎么治理和保护，无论采用人工还是自动化工具，最终还是要有一个策略化的方式落地。而策略化的前提就是分类分级。另一方面，围绕着数据各周期的保护策略也有所不同，对于这些策略也需要进行分类分级。所以，分类分级就是信息安全最基础的工作。蒋琼认为，分类分级还有一个前提是确保数据的充分和完整，CMDB看似很简单，但实际做好的并不多，这还仅仅是运维数据，将企业中的所有数据梳理完整还是一件非常难的工作。从合规监管的角度，数据的分类分级是企业必须要做的，但更多企业还是将它落在制度层面，每一家企业或许都可以说有对应的分类分级制度，但实际落地的、产生价值的并不多。数据分类分级和以往相比的变化有三个方面，第一是现在与传统相比，数据相对动态，因此过去定期的进行分类分级可能并不能支撑现在的数据流动模式。第二是过去更多的是提升管控的效能，即分类分级后要进行风险评估等，现在则是考虑如何做价值发现，牵涉的范围更加广泛，也意味着体系化的必然性。第三是数据驱动，通过数据来促进企业发展，来寻求更高的价值。杨海峰认为，数据安全与网络安全最大的区别在于数据是流动的，数据是源源不断产生的，而网络具有边界。网络安全的核心是守护好边界，数据安全则是让数据自由且安全地流动。资产的分类分级和现在数据的分类分级的目的是一致的，但数据分类分级还有一个问题就是要保证流动。而流动就意味着变化，形态的变化、内容的变化都会干扰到分类分级的策略，最终影响企业的业务。数据的分类分级是一个基础，能够让企业数据安全能力快速提升，对企业业务发展和数据价值呈现方面都会有很好的影响。最初，数据分类分级只是数据发现的一个模块，其目的是为了帮助客户梳理资产，并进行相应的管理和安全措施，后来在2016-2017年前后，Gartner提出了分类分级作为单独的产品，各厂商也发现单一的模块已经很难解决问题，需要更加细粒度的定义数据，所以提出了分类分级，后来逐渐发现分类分级占据了数据安全很核心的位置，于是将分类分级和数据发现融合，成为独立的产品。目的是让客户在数据识别和梳理时能够节省更多的精力和人力，通过技术的手段和经验的积累，让这项工作变得简单。3分类分级存在哪些误区和困境郑太海提到，分类分级分为挂在墙上和落在地上，很多企业认为这是个技术难题，大家要么将其作为制度束之高阁，要么全部交给技术部门做自动化。实际上，数据分类分级这项工作企业交给IT，IT交给安全，安全再交给厂商，这样的一个循环就是最大的误区。另一方面，数据分类分级要深入业务，而不是找一个咨询公司或厂商来解决，因为模板式的解决方案并不能完全贴合企业，比如财务部门的预算数据、报表数据等动态的数据，是很难通过模板来分类分级的。第二点，数据的完备性是业务视角，但数据分类分级恰好相反，不能追求一步到位，而是要按部就班，比如先从IT部门开始，不要贪多求全。想要在短时间内将业务数据、客户数据、经营数据、企业知识产权以及IT配置数据等等全部梳理好是不可能的，需要一个部门一个部门的深入。第三点是不能头痛医头脚痛医脚，需要一个顶层的设计和全局的视角，很多企业要么是监管驱动，要么是事件驱动，他没有站在全局的角度去考虑如何分类分级，这也是不对的。蒋琼认为，数据分类分级在很多时候明明知道不能毕其功于一役，但还是有时间限制该怎么办。所以数据分类分级有三个难点，第一是组织级的保证，很多企业看似成立了一个委员会，但实际上的职责是不清晰的，而且人力资源的不足也让这项工作难以完成。在深入了解企业某一领域的过程时，分类分级的标准和数据的形态也在发生变化，了解的节奏跟不上变化的节奏，而且追溯机制并不健全，这就让分类分级很难实现。第二点是建标快、落标难，分类分级并不是一个环环相扣的工作，部分企业的数据质量可能并不高，即便进行了分类分级，也不一定能产生价值。最后是缺乏通用性，没有通用性的理论指导，每个人的分类分级措施也就不同，到落地时就会存在差异。杨海峰表示，数据安全的起点是数据发现，发现之后，再参照法律法规或行业的标准进行分类分级。对于企业来说，如何完备的收集业务数据是个难点，因为一个数据特征所涵盖的业务数据太少，相对而言个人信息就很简单。经过了一段时间我们发现，业务数据的产生是一个正向的过程，可数据分类分级是逆向的，各部门对业务数据的定义是不一样的，所以如何能够快速、准确的识别业务数据，并自动建立分类是很多企业实际面临的问题。所以，厂商会先用一些相对智能的方法将业务数据快速识别和归类，然后将业务数据导出后，提取关键字，并去和业务部门沟通各个关键字所表达的含义。最后以业务部门的视角去进行分类分级，这是安华金和近几年来总结出的方法论。另一方面，还要尽可能的自动化，因为人工会因人而异，企业数据的不断流转意味着分类分级工作也会持续不断，重复性的工作如果依赖人工，那么就会导致结果的差异。4数据分类分级如何体系化建设杨海峰举了一个例子，银行分为农商行、城商行和股份制银行，针对农商行，因为其业务系统并不复杂，字段数较少，因此在1-2周时间就可以完成核心业务数据的分类分级，准确率在90%以上。股份制银行往往有几十个业务系统，并且都属于核心系统，针对这些数据在识别之后还要提取关键字，并需要业务人员进行备注，但这个过程并不复杂，一般上百万的字段最终会提取出4000-8000左右的关键词。在经过一周多的时间后回收业务人员的备注。然后根据业务理解采用工具进行自动打标分类，整体时长在两个月左右，但这只是建立数据分类分级的基线。在此基础上还会添加一些学习的能力，形成知识库。让客户可以在后续的分类分级工作中，围绕着核心系统所衍生出来的其他系统进行配对。最后还要对准确率进行打分，准确率如果低于80%，就会再进入下一轮的业务数据识别，并结合人工打标，完善AI。这个过程是一个周期，大概半年左右就要进行新一轮的迭代。一般情况下，数据分类分级工作会由安全部门牵头，通过工具、厂商的服务来完成分类分级工作，但随着数据资产的变化，安全部门就需要通过流量的接入，无论是之前已经建设的数据资产管理平台系统还是新建设的数据资产监测系统，通过流量接入后来决定是否做一些新的打标工作。另一个场景是数据管理部门牵头，数据管理部门能保证数据的完备性。对此，郑太海提出了几点疑问，第一是加密流量如何解决？第二是落在终端的非结构化数据如何分类分级？第三是企业自建和厂商应该如何协作？杨海峰表示，首先会采用镜像流量来获得明文流量数据。其次对终端并没有很好的解决方案，这还是当前的一个痛点。最后厂商会在产品发布时同步发布对接接口，一般会有对接第三方和对接客户办公系统的接口。另外，为了用尽可能少的设备去解决尽可能多的流量，对此，安华金和会采用采样等方式。但另一个问题是能否准确的将资产的库、表、字段准确地识别，这其中会涉及到数据库、大数据组件的交互等的领域的技术。蒋琼认为，产品的通用性和差异性是普遍存在的，但哪些内容应该由厂商提供，哪些内容由企业自建是一个问题。对此，杨海峰表示，这确实是一个普遍的情况，并且很难综合性概括。在很多实际的案例中，厂商会和企业自建的数据资产管理平台对接，对接不仅是要获得企业的数据，还要将企业源数据的信息和结构、动态发现以及分类分级的结果交还给平台进行互补。在这种情况下，企业自研的资产平台也会体现出很多价值，能够不断发现新资产的同时还会和已有的资产管理结果进行核对和检查。另外，还会有一些场景是企业将业务数据识别的核心模块和机器学习的核心模块与资产管理系统整合，相当于形成了一个独立的模块，厂商不再获得数据，但要将分类分级和业务数据识别的能力整合，去支撑数据资产管理平台的能力。5安华金和数据分类分级演示在直播过程中，杨海峰对安华金和的数据分类分级产品进行了演示。演示分为几个部分，一个是基于安华金和早期采用和在项目中积累的通用性规则产生的产品能力，另一个是基于智能分析提取业务数据并对业务数据进行分类分级，最后是通过机器学习建立业务数据分类分级知识库来实现自动分类分级等等。6互动问答环节问题精选提问：数据分类分级是否需要两套标准？一套面向业务应用，一套面向安全？杨海峰：实际上确实有可能会存在多套标准，但目前还没有把业务和安全独立出两套不同的标准。一般会分成2C和2B这两种，即个人信息和业务数据（重要数据）。企业往往会同时面临多个法律法规和行业监管的要求，有时个人信息又属于业务数据时，标准就会不同。我认为这个想法值得考虑。蒋琼：我认为很有必要，因为最终的目标是一致的，站在安全视角的分类分级并不是要和业务完全区分，而是在此基础上进行二次加工。提问：如何解决结构化数据基于内容的自动化分类分级准确率不高的问题？杨海峰：我认为基于内容对业务数据进行自动化分类分级是一个误区，最早的分类分级就是对结构化数据中的内容特征加以识别，并进行分类分级，这对于结构化数据的准确率确实不高。现在应该基于业务数据，形成业务视角的识别，通过字段来对应业务，而不是完全依靠内容识别。提问：数据安全的分类分级，往往会与实际数据状况产生矛盾，数据治理与数据安全治理同步需要的时候，是否有好方法解决各类共享边界问题？郑太海：我认为数据治理应该包含数据安全治理，安全治理是其中一个子集，用安全视角去看，数据治理要把安全的管控要求加进去。实际上数据管理部等要求不仅包含安全，还包含很多法律合规、审计方面的要求等等，蒋琼：我认为这不是矛盾，企业中负责数据治理和负责安全并不一定是同一个组织，这就需要对明确职责。我认为更多的是协同。往期推荐第37届中国计算机应用大会|安华金和：加快构建数据安全共享协同体系安华金和数据安全运营平台助力政务数据安全建设，筑牢数字政府安全防线如何落实高合规数据安全建设要求下的全面数据安全监测安华金和受邀参与ISC

伴随新业态新技术的蓬勃发展，数据规模不断扩大，数据的大量流通使用显著增加了数据触点和暴露面，从而致使数据泄露、滥用等安全事件也屡发不止，如何落实数据安全建设、满足高合规要求是全面构筑数据安全时代的首要任务。数据安全建设的基础即为长期加强数据识别和数据安全风险识别，《数据安全法》明确规定，数据处理者应当加强数据安全风险监测，及时对安全缺陷、漏洞等采取补救措施；及时处置数据安全事件，并履行相应的报告义务。随着数据安全正式进入法治化的强监管时代，加快构建数据安全态势感知能力，加强数据安全风险监测和管理是持续提升数据安全保护水平、防范化解安全风险的重中之重，需要通过构建数据安全监测平台，来实现资产全面发现、全应用场景风险监测、持续的数据分类分级监测、事件溯源、数据流转链路分析等安全能力的建立。三大挑战亟待解决1快速明确数据安全合规建设路线数据安全合规是一种长期投资，数据安全建设也需通过复杂的体系进行长期运营，且在建设前期要在不影响业务的前提下，快速确定正确路线，并在后期的迭代建设中同样建立数据安全监测闭环体系来指导迭代方向。2实现持续性的数据安全合规建设从国家政策法规来看，近年来出台的《数据安全法》、《网络安全法》、《个人信息保护法》等均体现，数据分类分级安全建设是原则；此外，从行业标准来看，金融、电信、工业等行业均出台一系列行业标准，为数据分类分级和安全保护提供了明确指导。从数据安全监测建设落地来看，数据具有资产量庞大且在持续变化的特点，单次的分类分级和审计策略建设并不能满足持续性的安全合规建设，只有持续的发现梳理数据资产，将分类分级结果与监测同步更新，做到智能化、产品化的持续性数据分类分级安全监测才能使得数据安全合规建设落地。3数据流转路径可追溯数据面临着应用侧直接访问数据库、应用访问数据共享层以及运维访问数据库等多种访问行为，一旦发生数据安全事件，单一的数据库或应用侧的事件溯源，均无法准确实现事件溯源和定责，只有将应用侧和数据库的访问数据进行关联分析，并与数据分类分级标签形成映射，才能帮助管理者全面掌握数据安全状况，实现事件追溯与敏感数据的流转监测。解决方案安华金和数据安全监测平台01

近日，第十届互联网安全大会（ISC

2022年4月19日，习近平总书记主持召开中央全面深化改革委员会第二十五次会议，审议通过《关于加强数字政府建设的指导意见》，强调要全面贯彻网络强国战略，把数字技术广泛应用于政府管理服务，推动政府数字化、智能化运行，为推进国家治理体系和治理能力现代化提供有力支撑。其中，数据利用是数字政府建设的核心关键，为此，国家陆续出台系列法律法规来指导、保障电子政务安全建设。案例背景为主动适应数字信息技术的快速发展，解决部门信息“孤岛”和数据“烟囱”问题，加快推进“互联网+电子政务”，建设“数字政务”，在省政府办公厅大数据和电子政务等管理职责的基础上，组建某省政务大数据中心。数据正从各个委办局通过一体化大数据平台逐步汇聚，汇聚的数据通过治理、加工后实现数据价值的最大化。政务数据中心划分：从直属单位前置区采用ETL的方式将数据抽取到数据中心前置库，通过中心前置库汇集为原始库，基于原始库的数据进行数据清洗，数据转换等数据治理工作，形成各类主题库，专题库等标准库。结合公共服务开放平台，以及各直属单位所需的数据类型对外提供相应的接口服务或者数据共享服务。在这个过程中能够接触到数据的多个团队涵盖数据收集团队、数据治理团队、数据开放团队等。然而数据安全的建设需要由各业务团队同时建设，如何保证数据安全能力合法合规，保证安全能力持续发挥价值，确保数据处于有效保护和合法利用的状态，并具备保障持续安全状态的能力，是用户亟待解决的问题。此外，还需严格落实GB/T

7月29日--7月31日，为期三天的第37届中国计算机应用大会（CCF

为加快贯彻落实《中华人民共和国数据安全法》，切实提升数据安全保障能力，加速推进国家数据安全建设，中国计算机行业协会数据安全专业委员会于2022年3月在工信部网络安全管理局的指导下，启动数据安全产业专家委员会与数据安全产业研究工作组成员单位的征集工作，组建数据安全产业系列工作组，为实现我国数据安全产业可持续、高质量发展助力。

随着整体经济数字化转型，数据在生产环境中的可用性需求凸显。《数据安全法》从国家角度提出了构建数据安全制度的要求，因为数据是一种可以复制并可以反复利用的特殊资产，只有通过流通才能产生价值，所以确保数据能够在隐私安全的前提下充分地得到良性开发利用，才能让更多领域的数据跨行业跨机构合规互通起来。近年来数据隐私泄露事件不断增加，保障数据安全协作的同时，又能保证敏感信息不外泄，是各行业在数据协作过程中履行数据保护义务的重要职责，也是实现数据价值最大化的重要支撑。安华金和数据安全协同平台（DSCP）能力标签01数据可用不可见、隐私计算、联邦学习、数据安全融合、数据开放共享、可信计算沙箱用户痛点02（1）隐私数据频繁泄露，多方数据之间流通、融合不信任以前数据的共享方式是直接共享文件或接口开放，可是如果别人复制走了，用户是无法控制数据复制之后的各种用途，若第三方把数据进行再分发，将完全失去对自身数据的价值把控，甚至有可能被人违法违规恶意利用。（2）数据需求方运算/建模能力不足对于有定向数据需求能力，但是本身没有数据分析、数据挖掘、模型算法的能力的数据需求方，受困于有使用数据的需求场景，但是不知道如何利用数据协同来实现需求目标。（3）应用场景需求多，多套系统使用、维保成本高各种数据隐私保护、数据共享平台层出不穷。可是对于数据量大，数据需求场景复杂的用户，既要查询、统计、分析、建模，还要平衡数据使用供需关系，满足公共数据合规开放，解决行业内部或者跨行业数据流通、运营。如果平台一一部署，不仅使用效率低，而且维保成本不菲。解决方案03安华金和数据安全协同平台使用中心化和分布式相结合的混合架构，对数据的所有权和使用权进行分离，通过安全的方式引入多样性的数据源，并协调和保证各参与方能够各司其职，形成数据流通生态闭环。数据安全协同平台提供一站式数据分析运算能力，具备敏感数据自动识别、数据自动分级分类管控、数据操作留痕审计、输出结果申报审核等功能。平台管理方不触碰数据、不运营数据，仅提供开放、多样性的数据分析、建模环境，低代码、全程可视化操作界面，可以让业务人员、数据分析师等不同用户减少学习成本，快速提高工作效率。多能力集合的安华金和数据安全协同平台，搭建了统一规范、互联互通、安全可控的数据开放环境，多方协同全程加密传输、缓存和运算，保护数据的安全和隐私，促使数据流通价值最大化，安全合规的推动跨部门、跨机构、跨行业的数据开放与共享，实现了提供数据安全流通和共享的协同生态圈。方案价值04（1）传统的数据共享路径已经失效。利用数据安全协同平台的隐私计算能力，可以在保护数据本身不对外泄露的前提下实现数据分析计算，达到对数据“可用不可见”的保护目标。平台可以在充分保护各方本地数据安全和隐私安全的前提下，实现数据价值的转化和释放，解决多方数据流转中的安全信任问题。隐私计算以多方安全计算、联邦学习等隐私数据保护技术为基础，去中心化架构，无需可信第三方，各方原始数据不出域。使用MPC以及同态加密技术构建底层安全计算协议，将不同的特征在加密状态下加以聚合，并以此支持不同种类的多方数据安全运算；基于非对称加密、不经意传输等密码学技术的匿踪查询，使数据提供方保持数据资源控制权，数据请求方不再使用明文查询，查询入参增加随机密钥，确保仅得到匹配的查询结果却不留查询痕迹。真正实现数据可用不可见，数据使用可控可计量，不共享数据，只共享数据价值。（2）如果数据需求方有实际应用场景，但是本身模型算法能力不足，数据安全协同平台除了有常规数据提供方、数据需求方、平台管理方的角色，还可以提供类似于数据增值服务方的第三方角色。第三方的服务提供商可以利用自身丰富的算法资源和数据挖掘、数据分析能力，将自己所的模型/算法部署到数据安全开发利用平台，协助他人进行数据统计、分析、运算等工作，以供数据使用方选择使用。算法提供方提供算法逻辑，数据提供方/需求方提供数据资源，既可以对数据进行标准化、精细化权限管控，又能保证多方协作时的责权清晰、边界明确、安全可控，提升平台整体使用感受和管理质量。（3）数据流通/融合的安全保障不是一个单独产品可以独立完成的。实际生产环境中用户的应用场景复杂多样，且存在多种需求能力交叉。不仅需要多方数据进行隐私保护运算、联合建模训练，可能还需要对内或对外直接进行数据安全分发共享。多种数据安全保障能力融合的数据安全协同平台，既可以实现隐私计算、数据共享、安全沙箱环境等多种数据使用安全手段自由组合，也可以针对不同用户场景拆分能力适应实际业务需求。往期推荐精华观点|数安先锋行：“数据安全合规与治理”主题沙龙安华金和数据安全协同平台入选“2022数据安全典型实践案例”安华金和携手中国软件评测中心共建政务数据全合规联合实验室如何从数据分类分级出发，精准管控持续保障数据安全运营

7月25日，《致敬数字安全探索者：ISC十周年系列评选》颁奖典礼在京盛大召开。会上，正式发布十年优秀案例评选结果，北京安华金和科技有限公司作为数据安全领域的前行者，助力中国电信股份有限公司新疆分公司完成的“数据安全治理实践项目”凭借技术创新与推广价值获得业界权威专家一致认可，成功入选“ISC十周年案例”。

7月21日，以“护航数字经济，共话数字安全”为主题的2022数字安全与法治高峰论坛盛大举行。本次大会由中央网信办网络法治局、浙江省委网信办共同指导，中国网络空间安全协会、杭州市人民政府联合主办，旨在洞悉数字经济新热点、把握数字安全新方向，共话数字安全领域创新前沿与技术实践。会上，中国网络空间安全协会重磅发布2022年数据安全典型实践案例，安华金和数据安全协同平台（DSCP）凭借技术创新、产品优势和应用价值，在众多优秀案例中脱颖而出，成功入选！

区别于传统以安全技术能力建设为主要目标的数据安全平台方案，安华金和数据安全运营平台（DSOP）将数据安全的管理体系以及数据安全的运营体系提升至与安全技术能力建设同等重要的高度。对于一个综合性的数据安全平台，参与到相关数据安全建设中的角色也必然是多样的；除传统意义上利用技术工具来执行操作的数据使用人员之外，数据安全的管理方和运营监督方也要具备相应的手段来完成自身角色所承担的任务，使得“管理、技术、运营”三个体系相辅相成，共同将整体解决方案落地。场景分析从《数据安全法》的实施逻辑看，“数据分类分级保护”是原则，也是先决条件。首先，建设相关制度并形成数据分类分级清单，为数据安全防护明确管控基调；其次，建立健全基于数据全生命周期的数据安全管理制度及流程，并依据管理要求形成可落地的技术防护策略及防御手段，实现对数据的分类分级管控；最终，在完成健全分类分级、制度流程和技术防护工作之后，再针对残余数据风险及可能触发的数据安全事件，采取必要的相关监测、应急、处置防护方法，以避免数据安全风险事件的发生。

2022年7月13日，嘶吼安全产业研究院联合国家网络安全产业园区（通州园）正式发布《嘶吼2022网络安全产业图谱》。本次图谱调研成功收录312家网络安全企业，共分为六大类别，囊括102个细分领域。安华金和凭借过硬的产品实力与优秀的安全服务能力强势入选其中五大类别，共计32个细分领域。网络安全已经走过风雨30年，自主创新一直是网络安全产业高质量发展的基石。《嘶吼2022网络安全产业图谱研究报告》显示，随着互联网、移动互联网、云计算、大数据等科技不断演进与发展，网络安全产业也在不断更新迭代，2021年中国网络安全厂商总营收达到868亿元，同比增长47%，近10年来中国网络安全厂商成立也迎来了集中爆发增长期。数据显示，威胁对抗与安全管理、应用与产业安全和数据安全是目前网络安全产业三大主要方向，占比分别为29.1%、25.0%和15.4%。本次图谱收录中安华金和于基础技术与通用能力、网络与通信安全、威胁对抗与安全管理、应用与产业安全、数据安全五大类别、32个细分领域的实力上榜彰显了公司在网络安全产业的重要地位。同时，安华金和在安全服务9项细分领域的全覆盖，数据安全12项细分领域的入围，充分肯定了公司多年来自主研发的技术成果及体系化服务能力的优秀口碑。十三年积淀，安华金和已为政府、金融、能源、企业、教育、医疗、运营商等众多行业近3000家客户提供服务，保护数据库60000+，出众的技术实力及优质的服务水平不仅获得用户的青睐，也多次获得了业界权威媒体和行业组织的高度认可。百舸争流，奋楫者先。作为数据安全产业的领跑者之一，安华金和将在大力发展数字经济的当下，充分发挥自身技术创新的核心竞争力，为用户提供覆盖数据全生命周期的产品、平台和服务，让数据使用自由而安全，与数安产业同发展共成长！01基础技术与通用能力审计（1个细分领域）02网络与通信安全网络与网关安全（1个细分领域）网络安全管理（2个细分领域）用户行为分析、网络监控与可视化分析

7月13日，由中国信息产业商会信息安全产业分会、中国计算机学会计算机安全专业委员会、中关村网络安全与信息化产业联盟指导，中关村网络安全与信息化产业联盟数据安全治理委员会主办，北京安华金和科技有限公司与《中国信息安全》杂志社联合承办的“数安先锋行”系列沙龙活动正式启航。

1.出台背景随着全球化与数字经济的发展，数据作为具有极大经济价值的生产要素，在国际间的流动越来越频繁，而且数量呈逐年增长趋势。然而，数据跨境的无序流动会给数据主体和数据安全带来风险，还关乎国家安全和社会公共利益。为了防范数据跨境流动中存在的各种风险，我国一直积极推动相关立法规范数据的跨境流动，例如《汽车数据安全管理若干规定（试行）》和《网络安全审查办法》修订。2022年7月7日，国家互联网信息办公室出台了《数据出境安全评估办法》（以下简称“评估办法”），全面和系统地提出了我国数据出境“安检”的具体要求，也标志着《网络安全法》（以下简称“网安法”）首次确立的数据出境安全评估制度正式落地。实际上，国家互联网信息办公室分别于2017年和2019年就数据出境安全评估出台过两个办法的征求意见稿，即2017年4月11日的《个人信息和重要数据出境安全评估办法（征求意见稿）》（“17年版评估办法”）和2019年6月13日的《个人信息出境安全评估办法（征求意见稿）》（“19年版评估办法”）。随着《数据安全法》（以下简称“数安法”）《个人信息保护法》（以下简称“个保法”）的正式颁布实施，国家网信部门持续不断深入研究国外相关立法现状，结合17年版评估办法和19年版评估办法制定工作经验，在广泛吸收社会各方意见基础上，打磨完善而形成目前的《评估办法》。《评估办法》的颁布实施具有重要现实意义：一是落实上位法的数据出境管理规定和要求；二是保障数字经济健康有序发展；三是应对数据跨境传输和境外汇聚的安全风险。2.适用范围虽然上位法《网安法》、《数安法》、《个保护》均从不同角度提到过数据出境需要进行安全评估的情形，而《评估办法》首次完整地规定了安全评估的具体适用范围。首先，《评估办法》第二条将“数据出境”定义为“向境外提供”。在实践中，“提供”可以有多种呈现情形。通常理解的情形是数据处理者将数据转移至中国境外的地方。但是有一种情形是数据并未转移至境外，而依旧存储在境内，不过数据处理者将境内数据库的访问登录信息或接口提供给境外主体，以便后者可以在境外远程访问查看（“远程访问情形”）。例如，有些外资企业的信息技术团队部署在中国境外，其通过互联网访问并处理境内服务器上存储的数据来提供远程技术服务。鉴于远程访问情形也会对境内存储的数据构成一定风险威胁，从数据跨境流动安全管理的角度来看，其理论上属于“向境外提供”。另外一种情况是数据虽然转移至境外，但是数据处理者未将存储在境外数据的访问权交付给任何一个境外接收方，例如：数据处理者将数据上传到境外自己的云存储空间，仅供自己使用。在这种情况下，虽然不存在明确的境外接收方，但数据已经处于我国司法管辖范围之外，理论上境外主体（如云服务商）可以访问数据，而且也面临境外政府调取的风险，因此该场景也应属于“向境外提供”。其次，《评估办法》第二条规定需要安全评估的出境数据系在中华人民共和国境内运营中收集和产生的。由此推断出数据出境排除了境外数据“过境”我国的场景，体现了监管手段与目的之间匹配的适当性和合理性。而且，《评估办法》第二条（结合第四条）明确在出境数据涉及重要数据的情况下，安全评估是强制性的。需要注意的是这是首次将重要数据需要进行安全评估的范围从关键信息基础设施的运营者扩大至所有数据处理者。《网安法》第三十七条明确要求关键信息基础设施的运营者向境外提供重要数据需要进行安全评估。《数安法》第三十一条重申了以上立场，并在此基础上将其他数据处理者向境外提供重要数据所适用的具体出境安全管理办法交“由国家网信部门会同国务院有关部门制定”。此次《评估办法》第二条正是呼应了《数安法》第三十一条，将其他数据处理者向境外提供重要数据的情形也纳入安全评估范围。而且，《评估办法》自2017年《网安法》引入重要数据这个概念之后首次在部门规章的高度对其进行全面的界定，即“指一旦遭到篡改、破坏、泄露或者非法获取、非法利用、可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”（在此之前，《汽车数据安全管理若干规定（试行）》明确在汽车数据场景下“涉及个人信息主体超过10万人的个人信息”属于重要数据，《信息安全技术

2022年7月7日，北京安华金和科技有限公司与中国软件评测中心联合共建的政务数据安全合规联合实验室正式揭牌成立。中国软件评测中心副主任刘龙庚、中国软件评测中心信创中心主任翟艳芬、北京安华金和科技有限公司副总裁崔媛媛、解决方案部总工程师魏力共同参与揭牌仪式。2021年以来，我国陆续颁布《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》，各行各业对数据安全的关注达到历史新高度。政务数据是政府部门履行职能过程中收集、产生、使用的重要资源，具有极高的国家战略价值。加强政务数据安全合规管理、规范政务数据处理活动，是确保政务数据处理全过程合法合规的必然要求，也是维护国家和公共利益、个人合法权益的现实需要。在此背景下，中国评测与安华金和基于各自在政务、数据安全领域多年的资源优势，联合发起政务数据安全合规实验室。希望广泛团结产学研各方力量，聚焦政务数据安全合规领域共同开展政务数据安全合规相关技术与产品研究，探索政务数据分类分级方法、政务数据安全合规评估方法，政务数据安全治理框架体系，推进数据安全相关标准研制，推动数据安全重大专项课题研究，深化产学研用协同模式，打造具有特色的“政务数据安全合规联合实验室”，为促进政务数据安全共享开放，释放政务数据价值贡献力量。中国软件评测中心政务数据安全合规团队长年支撑主管部委和各级地方主管部门，参与相关政策研究，具有政务数据安全合规领域丰富的第三方服务经验，帮助政府用户梳理自身的数据安全现状，识别数据安全合规要求适用范围和潜在风险，制定安全合规路线图和行动计划，通过管理和技术工具的落地，实现对数据安全合规风险的有效管控，达到政务数据共享交换价值最大化。北京安华金和科技有限公司专注数据安全领域13年，是中国专业的数据安全产品与解决方案提供商，中国“数据安全治理”理念、体系的提出者和践行者。公司面向数据中心，提供覆盖数据安全合规、数据安全保护、数据安全管理、数据安全共享四大领域的数据安全整体解决方案，产品、平台和服务覆盖数据全生命周期。同时，安华金和凭借过硬的技术创新能力及体系化的服务能力，已于政务、金融、能源、医疗、教育、企业、运营商等国家重点行业树立了一系列标杆案例。当前，政务数据政策法规和标准体系建设步伐全面加快，政务数据与社会数据对接融合逐步加深，数据安全管理建设正趋向精细化发展。北京安华金和科技有限公司与中国软件评测中心将基于政务数据安全合规联合实验室，共同探索新技术、新应用和新模式的守正创新，守护数据安全，为推动政务数据安全合规开放注入新动力。往期推荐2022“DSG数安先锋行”正式启航关于数据安全治理，必须要知道的内行经验安华金和再度荣登网络安全版“大众点评”百强榜单安华金和多领域上榜中国信通院数据安全产业图谱

由中国信息产业商会信息安全产业分会、中国计算机学会计算机安全专业委员会、中关村网络安全与信息化产业联盟指导，中关村网络安全与信息化产业联盟数据安全治理委员会主办，北京安华金和科技有限公司与《中国信息安全》杂志社联合承办的“数安先锋行”系列沙龙活动正式启航，首期”数据安全合规与治理“主题沙龙将于7月13日与您线上相约。2022年5月13日至27日，以“数安新征程、共探治理路”为主题的第五届中国数据安全治理高峰论坛云上论坛圆满举办，把握前沿趋势，紧扣时代脉搏，为构建数据安全产业新业态献智献策，收获业界的广泛关注和高度认可。中国数据安全治理高峰论坛自2017年起已成功举办五届，打造了数据安全治理领域极具专业性和影响力的年度盛会。为给产业界持续提供开放交流的平台，不断推动数据安全治理实践落地，“数安先锋行”系列沙龙将围绕数据安全热点话题，分享前沿产品技术与解决方案，致力于成为以技术创新驱动产业发展，以行业实践夯实产业根基，聚焦技术成果和实践案例的分享交流平台。数字经济时代，数据安全合规与治理已成为数据处理者关注的重点。首期“数据安全合规与治理”主题沙龙将由业界权威专家围绕数据安全合规治理、数据安全风险管理、实践成果分享、技术创新应用等方向发表真知灼见，为推进数据安全治理的进一步落地提供新思路、新途径。名额有限，欲报从速