摘要:进入新时代,在我国社会高速发展的背景下,科学技术得到快速进步。本文就大数据时代的数据量呈指数型增长,需要通过分类分级对数据进行管理。本文通过对数据进行分类分级,结合相关法律或标准,提出数据安全的两个要素:受侵害客体与受侵害程度,得到数据的安全级别,并设计了大数据安全防控模型。基于数据安全防控模型,实现基于分类分级的静态授权、对数据安全级别的动态控制、基于数据安全级别的动态授权与数据脱敏。数据的分类分级应当以法律、行业标准为依据,实施静态的分类分级工作,在此基础上采取动态定级、实时调控措施,才能保障数据安全可控。
关键词:大数据;数据分类分级;数据安全
引言
数据分类分级政策是信息化时代的研究热点,是开展数据治理及信息资源管理的关键环节,也是国际规则博弈中的战略制高点,其在数据流通、数据安全、数据共享等方面发挥着重要作用。近年来,“数据分类分级”在国家政策中被频繁提及,我国的“十三五”和“十四五”规划都
突出了数据分类分级的重要性。2020年颁布的《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》首次将“数据”纳入生产要素,并且提出要完善适用于大数据环境的数据分类分级安全保护制度。要使数据发挥出最大生产力,就必须开展数据治理工作,而数据分类分级是一切数据资源管理的基础,因此制定统一可行的数据分类分级制度迫在眉睫。同时,针对数据分类分级的研究也日益受到学术界的关注。例如,完颜邓邓等调查分析了国外政府数据分类分级授权协议的应用情况;赵润娣调查分析了国内8个开放政府数据平台教育主题数据资源的分类分级状况90-100;洪延青从国家安全的角度阐述了数据分类分级保护制度;张勇在数据分类分级的基础上,对数据犯罪进行了罪质界定和罪量评价,并对数据安全保护的关联罪名予以界分17-27;郑曦探究了刑法领域的数据分类分级框架3-16。以上研究有利于推动我国数据分类分级政策的制定和完善。不过,现有研究多局限于法学视角和技术视角,并没有对我国已出台的数据分类分级政策文本进行分析。基于此,笔者选择我国已出台的数据分类分级政策文本为研究对象,分析其外部特征及文本内容,并讨论其演化趋势,此研究对完善我国数据分类分级政策具有一定现实意义。 1数据安全级别定义
九江县一中造型艺术的特点
通常数据分类分级都是从元数据层面进行设置,控制主数据的使用。事实上,除分类与分级外,时间、业务、数据状态或资源规模等诸多因素都会改变数据的敏感度,这些信息未在现有的分类分级系统中体现。这就需要在分类分级的结果上,动态判定数据的最终定级,以满足不同场景的业务使用需求。在此为区别于数据分级概念,将数据的最终级别定义为数据安全级别。参照《中华人民共和国数据安全法》第21条规定,本文将数据安全级别定义为:数据对于国家安全、社会稳定、组织利益和公民安全的重要程度,以及一旦遭到滥用、泄露、丢失后,以对党政机关、公共服务机构、其他机构组织以及公民和法人的合法权益造成的侵害程度来确定的级别。
2政策建议
公共基础设施
2.1地方政府加大投入,积极参与数据治理
随着海量数据的爆发式增长和信息技术的发展,以及网络空间治理和数据治理的不断推进,相关领域对于数据分类分级处理的能力要求也越来越高。由于政策发展起步期的需求大多停留在战略等宏观层面,应用领域也主要集中在一些数据流动小、容易收集、易于管理的安全和科学领域,对于数据分类分级底层技术的要求较低。因此,地方政府在该阶段
热衷于出台一些数据分类分级政策,具有一定的先进性。在政策发展加速期,随着分类分级规则、具体操作方式等微观层面逐步细化,应用领域不断扩大,数据管理难度增大,对技术的要求也会不断提升。因此,国家级政府和地方政府在同一政策实施过程中出现两极分化是不可避免的。为了应对基层政府推动力不足的问题,我国需要加大地方政府在数据分类分级相关技术、资金、人才等方面的投入,提升其积极参与数据治理的能力。首先,中央各部门应按要求制定数据分类分级的详细规则,设计并建设数据分类分级的平台、基础设施等,将其下发给地方政府,使各地可以在国家标准的基础上,按自身发展特进行完善创新,保持与中央高度相近的技术层级。同时,中央还应为地方政府开展数据分类分级的培训活动,保障其技术的更迭速度,做到与时俱进。其次,应向地方政府划拨专项资金,明确该项资金仅用于数据分类分级的技术扩展及专项人才引进,使地方政府具备高素质的专项人才和技术能力。最后,鼓励地方政府积极参与数据治理工作。虽然国家需要统一的数据治理、数据分类分级标准,但是地方政府在处理数据时也应遵循具体问题具体分析的原则。因此,国家需要激发地方政府参与建设数据分类分级的积极性,以此保障我国数据分类分级政策的长久高效精准实施。探头板
马尼拉公约2.2探索区域数据分类分级标准的共享与互认
国家统一大市场建设的新规定,呼唤区域数据分类分级标准的共享与互认。从现有数据分类分级标准看,主要涉及长三角经济区、成渝经济区等区域的核心城市。目前我国重点推进的区域发展战略主要涉及到长三角、成渝、京津冀、珠三角、粤港澳大湾区等,如果能够以这些核心城市的公共数据分类分级标准为辐射,推进数据分类分级标准的共享互认,将有利于我国在重点区域公共数据分类分级标准的协同对接,从而合力强化标准实施,促进区域公共数据共享开放中的融合互动。此外,加快建立区域联动,注重发挥区域协同作用,积极共享区域协同执行的数据类分级标准成果,这有利于推动形成统一的区域数据要素市场、数据市场准入和监管规则,从而整体优化区域整体数据交易流通环境,有利于在此基础上为建立数据分类分级的国家标准积累经验。
2.3基于数据安全级别的动态授权策略
传统的授权是静态的,粗粒度的,且授权过程仅发生在首次访问资源节点,完成后就不再进行控制,无法满足动态、精细化的访问控制需求。对数据的访问涉及到四个因素:访问用户、访问环境、被访问资源和操作内容。不同的访问用户拥有各自的角信息与预设的访问权限级别,角信息决定了用户可访问哪些类别的数据资源。访问的权限受环境因素 影响,包括访问主体所处的网络环境、时空环境、硬件环境、后台应用环境。被访问的资源具有预设的分类分级信息,以及依托于时间、规模、业务状态而动态控制的数据安全级别。不同的操作内容,根据其可能造成的结果也影响了本次访问的权限研判。
结语
对所有数据“一视同仁”的传统处理模式无法适应大数据时代的管理需求,传统的分类分级策略缺乏对数据多维度多层次的安全控制。本文从数据资源、字段、字段关系出发对数据进行分类,从数据资源、字段、记录出发进行分级。另一方面,基于分类分级,以相关法律法规、标准规范为依据,获得最终的数据安全级别,并基于此设计由静态授权策略、数据安全级别的动态控制策略、动态授权策略和数据脱敏策略构成的大数据安全防控模型,满足数据工程在治理、组织、服务和应用过程中的需求,确保数据的安全性。
参考文献
[1]赵润娣.我国政府数据开放分类分级研究:基于开放政府数据平台教育类数据的调查[J].现代情报,2021,41(4):90-100.
[2]完颜邓邓,陶成煦.美国政府数据分类分级管理的实践及启示[J].情报理论与实践及启示[J].情报理论与实践,2020,43(12):172-177,155.
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议