基于密码的数据安全防护体系研究

隐私计算研习社

摘　要：数据已成为数字经济时代最核心、最具价值的生产要素，为全球经济增长不断注入新动力、新能量。随着数据利用的不断深入，数据规模不断扩大，数据泄露、滥用等风险日益凸显，亟需建设数据安全防护能力，防范数据安全风险，护航数字经济发展。密码是保护数据安全的关键技术手段，在建立网络主体身份体系，确保数据机密性、完整性，促进数据流通等方面起到核心支撑作用。梳理了近期发布的数据安全相关法律法规中的密码要求，重点分析了数据全生命周期中密码发挥的核心作用，提出了基于密码的数据安全防护体系，并探讨了未来的研究方向和面临的挑战。

0

内容目录

1　数据安全法规中的密码要求

2　数据安全防护中的密码作用

2.1　数据采集阶段

2.2　数据传输阶段

2.3　数据存储阶段

2.4　数据处理阶段

2.5　数据交换阶段

2.6　数据销毁阶段

3　基于密码的数据安全防护体系

3.1　密码服务平台

3.2　数据安全能力

3.3　数据安全标准

3.4　数据安全服务

3.5　数据安全管理

4　发展趋势和建议

5　结　语

2020年，全球47个国家数字经济增加值规模达到32.6万亿美元，我国数字经济规模位近5.4万亿美元，居世界第二位。数据作为一种新兴生产要素，已成为经济社会发展的核心驱动力。数据规模迅猛增长，数据挖掘和利用不断深入，推动了经济发展、社会治理、人民生活模式重大而深刻的改变，同时日益严峻的数据安全风险使得数据安全已成为事关国家安全与经济发展的重大问题。

在数据安全防护中，密码技术是基础和关键技术，在身份认证、访问控制、数字签名、传输加密、存储加密、隐私保护等方面发挥重要作用，是构建数据安全防护体系的基石。

1

数据安全法规中的密码要求

2021年是我国数据安全元年，在国家法律层面，我国相继颁布了《数据安全法》《个人信息保护法》等一系列针对数据安全的法律法规和标准规范，大力推动数据安全的健康发展；在地方政策层面，多省市相继出台与数据相关的地方性法规，针对数据安全问题提出了相应的条例规范并作出具体部署；在行业标准层面，工信部、交通运输部、中国银保监会等部门纷纷发布相应规定，规范各行各业中数据安全管理工作。

法律法规一般包括其发布目的及意义、规范的对象及范围、达到的目的和效果、管理和监督等方面的内容，极少涉及实现其目的使用的技术，但在《个人信息保护法》《网络数据安全管理条例(征求意见稿)》中提出“采取相应的加密、去标识化等安全技术措施”“应当采取备份、加密、访问控制等必要措施”等明确的密码技术要求。标准规范是对法律法规的支撑，细化具体行业或领域要求，量化具体行为，确保其活动和结果能够符合需要。例如，GB/T 37988—2019《信息安全技术数据安全能力成熟度模型》为数据生存周期和通用安全共30个安全过程域量化形成了成熟度模型，其中有10个过程明确要求使用密码技术，另有12个过程选用密码技术作为其技术工具；GB/T 35273—2020《信息安全技术个人信息安全规范》中明确要求“传输和存储个人敏感信息时，应采用加密等安全措施”；GB/T 41479—2022《信息安全技术网络数据处理安全要求》中同样明确要求传输、存储、共享、转让重要数据和个人信息等敏感网络数据，应采用加密、脱敏等安全措施。

在国际层面，发达国家的数据保护起步较早，如德国、英国、意大利在20世纪就发布了各自的数据保护法，进入数字经济时代，世界各国出台了大量的数据法规，这些法规从不同层面和角度描述了各方对数据的权利、义务以及各种情况下的处理原则，其中涉及大量数据安全技术相关的要求，大多以“采用合理的技术手段”指代。国际标准化组织ISO/IEC JTC1/WG9、ITU-T SG17、NIST也发布了多项与数据安全、个人信息保护有关的标准，以最新的ISO/IEC 27002:2022《信息安全网络安全与隐私保护——信息安全控制》为例，其中包含了大量针对密码技术的相关要求，例如，信息传递须使用加密技术保护；口令管理系统应根据批准的口令加密技术对口令进行加密和哈希处理；确保供应商组件真实性的“示例措施”包括防篡改标签、加密哈希验证或数字签名；根据已识别风险，使用加密措施保护备份；动态访问管理系统时需要进行身份鉴别、提供适当的凭证或证书来访问信息等。

可以看出，密码对于数据安全的核心支撑作用得到了世界各国在法律法规层面的认可。

2