MR王峰的专栏

电力数据应用促进了社会经济数字化发展，产业数字化场景更加丰富，涉及国计民生的医药、水利、交通等关键领域和重要行业，这些行业纷纷利用电力数据的优势，实现数字化、信息化转型。数据级别标识从高到低划分为：4、3、2、1，数据重要程度标识从高到低划分为：极高、高、中、低。数据安全运营体系建设按照治理规划、建设、运营、成效评估的实践路线，结合业务发展需要，从数据梳理入手（包含数据分类分级），并针对风险防范、监控预警、应急处理等内容形成一套持续化日常运营、应急响应机制，以保障整个实践过程的持续性建设。

国家在汽车数据方面明确了合规性的要求，作为包含大量汽车数据的车联网数据，属于汽车数据安全管理的重中之重。车联网服务场景复杂，功能多元，涉及到"多端、多平台”，包括车端传感器、路端基础设施，以及 OEM数据平台、公共交通平台、国家监管平台等，从纵向要实现车与人、车与车、车与路、车与云的多维数据交互，扩大了数据交互的范围。车联网数据融合了来自用户、汽车、道路、综合交通系统等多方面的海量数据，涉及的数据类型多、规模大，涉及的数据处理主体众多，如用户、智能网联汽车、OEM、车联网服务云平台、数据监管部门等。

产生安全威胁的主要因素可以分为人为因素和环境因素。随后利用依据法律法规及规范、技术标准、政策要求形成的度量指标（度量指标分为组织建设度量指标、制度流程度量指标、技术工具度量指标、人员能力度量指标）与识别安全现状结果进行对标分析，形成安全评估报告，在对标分析过程中要保持客观性、独立性，真实性、完整性，一致性、谨慎性，条理清楚及判断准备。数据安全评估是指对重要数据、个人信息等数据资产的价值与权益、合规性、威胁、脆弱性、防护等进行分析和判断，以评估数据安全事件发生的概率和可能造成的损失，并采取相应的措施和建议。

随着数字化建设号角全面吹响并逐步驶入快车道，数据流动和安全发展的矛盾逐渐显现：在开放共享过程中，数据泄露、数据贩卖、数据滥用事件频发，为个人隐私、商业秘密、国家重要数据存储与使用带来了严重的安全隐患。由此，推进数字建设，既应促进数据按需共享开放、充分发挥数据的创新引擎作用，还需严守安全防线、避免数据基座“漏水”。这就需要理性审视二者的矛盾根源，合理运用科学的方法论找寻规避矛盾的策略，精准把握二者矛盾的平衡点。

贯彻落实《密码法》关于信息系统密码应用的要求，结合《国家电子政务建设指导意见》，建设密码应用及密码应用与安全性评估体系，主动发现风险隐患及不合规处，明确密码应用加固点，全面支撑密码应用工作有序开展，有效保障国家密码应用战略执行。

一、建设背景 随着边缘计算的普及，以及5G环境加持，越来越多IoT设备和用在用户环境或远程设施的本地化部署形式部署在企业边缘，企业安全防护工作面临不断新挑战。由于边缘计算服务模式存在实时性、复杂性、感知性和数据多元异构等特性，传统云计算架构中的隐私保护和数据安全机制无法完全适用，随着智慧医疗、智慧交通、智慧工厂、智能家居、自动驾驶等新场景不断涌现，数据的计算安全、存储安全、共享安全等问题变的越来越突出。作为一种新的技术形式，边缘计算有着信息系统存在的典型安全问题，也有新技术、新业务、新场景下...

一、数据供应链安全建设背景 数字红利不断挖掘与释放，为各行各业提供新的“窗口”，以数据作为组织发展基础原动力，推动业务多样且深入发展，已成为各行业急迫要解决的问题。数据流动才能产生价值，流动范围越大，其产生价值也越大。“数据内循环”与“数据外循环”的结合才能产生更大数据效益，释放更大数据价值。数据内循环是以组织内为单位，结合自身业务场景的数据使用。数据外循环是以产业链、城市群为单位，打通上下游组织“隔板”，建立数据流动“沟渠”，使数据在不同个体间“穿梭”，产生更大的数据价值。数据将产业链上...

一、系统建设背景 数据是石油、数据是血液、数据是业务的促进剂、数据是“大脑”运转所需的能量。数据在流动过程中产生的价值越来越高，也越来越多样化，与之而来的是，数据生命周期下的问题和风险也越发严重，作为监管部门，如何清晰了解被监管对象的数据安全整体防护能力，作为数据安全建设部门，如何直观化、全面化展示当前数据安全防护能力和清晰化未来数据安全建设方向和内容也越来越迫切。 《数据安全法》（草案）第二十八条明确了对重要数据的处理者应定期对其数据活动定期开展风险评估，并向有关主管部门报送...

中台概念、数据安全中台能做什么，实现什么效果，（技术、管理）实现数据安全中台需要做些什么：技术架构、业务改动、管理（企业战略重点关注）技术架构：网络SDN化、系统池化、功能服务化与策略集中化。业务改动：由点到面、由简到难、有边缘到中心管理体系：...

近年来，数据泄露事件越来越多，无论从外部合规要求还是内部安全需求，保障数据的完整性、一致性、可用性已经成为组织内部首要关注点。组织内部数据可分为结构化及非结构化两种类型，结构化数据安全防护技术已经相对成熟，如数据库审计、防火墙、脱敏、加密、备份等产品可支撑数据生命周期下对数据的安全管控要求，但针对非结构化数据目前处于火热阶段，已是数据安全产品新的发力点，主要技术为DLP即数据泄露防护，DLP分...

一、背景随着组织业务不断发展，数据利用率越来越高，从数据孤岛到数据整合，从关系型存储到非关系型存储，从简单报表到敏捷BI，从原有单点利用到现有全部支撑，可见数据如何充分利用已成为支撑组织发展战略不可缺少的板块。在组织内部业务不断发展过程中，在数据不断被不法份子利用过程中，在国家对数据安全高度重视过程中，数据安全的问题日益突出，从战术层面如何解决数据安全问题，从战略层面如何让安全与业务融合，...

上篇《基于数据安全的风险评估-脆弱性识别》，是从脆弱性识别内容、识别方式、脆弱性定级，三个部分进行介绍。与脆弱密切相关的是威胁，威胁是一种对组织及资产构成潜在破坏的可能性因素，威胁需要利用资产脆弱性才能产生危害。造成威胁的因素可分为人为因素（恶意和非恶意）和环境因素（不可抗力和其它）。本篇威胁性识别将从威胁来源、威胁识别与分类、威胁等级划分三个部分进行介绍。一、威胁来源在对威胁进行分类前，...

上篇文章《基于数据安全的风险评估-数据资产识别》内容为数据资产识别，数据资产识别是风险评估的开始，而脆弱性是对一个或多个资产弱点的集合，脆弱性识别也可称为弱点识别，而该弱点是资产本身存在的，如果没有威胁利用，单纯的弱点不会引发安全事件。威胁总是利用资产脆弱点才能造成破坏，这也是弱点和威胁的区别。本篇文章将从脆弱性识别内容、识别方式、脆弱性定级，三个部分进行介绍。一、脆弱性识别内容资产脆...

现今信息系统的风险评估体系已非常完善，但数据安全方面并没有形成相关评估内容，整个体系中缺少数据安全相关的检测与评估项，所以近期一直思考数据安全风险评估应是如何，应该从哪些方面进行检测与评估？威胁分类有哪些？脆弱性有哪些？如何与现有评估体系融合等问题。本文产生的目就是希望解决如上一系列数据安全风险评估疑问，尽可能从资产识别、威胁分类、脆弱性识别、风险计算、处置建议等5个环节进行完善，通过不断持续...

数据安全治理与以网络为中心的安全建设的核心区别在于是否关注业务，数据安全治理关注业务其目的是更好了解数据传输、数据存储、数据处理等环节的情况，以便有针对性进行数据管控，而网络为中心的安全建设是通过网络传输内容进行管控，特点为重网络，轻业务。简单来说，数据安全治理是项目型，网络安全更多是产品型。现今数据安全治理相关人员既要懂安全、懂网络，也要懂客户业务，这是数据安全治理难点同样也是价值所在。...

前几篇写到关于数据安全治理相关内容，数据安全治理是一项非常庞大的工程，包含管理、运维、风险管控、技术支撑、标准化等一系列内容，数据治理及安全治理，是当企业发展一定程度（既有业务层的深度，又有产品线的广度），需利用已有数据，推动业务进入一种新的形态，最终谋求利润最大化的过程。 一般企业并没有达到需要治理的程度（没有达到治理的程度来自多方面，如战略层，阶段下以业务为主、安全为辅，从投入产出比来说，预算...