中国信息安全测评中心：从数据全生命周期看数据泄露防护事件

 

　　2.鼓励研发大数据关键技术

 

　　大数据核心技术不能安全可控是我国现在乃至将来一段时间面临的主要安全问题。为实现“自主创新、持续发展”的目标，应尽快建立一套完善的制度法规保护大数据安全。第一，科研和专项经费支持。通过科研和专项经费等推动科研机构和产业界开展大数据关键技术研究，提高自主创新能力；第二，依托大数据国家工程实验室。通过发改委批准的11个大数据国家工程实验室，提升大数据计算技术、分析技术等关键技术研发能力和在医疗、交通、教育、安全等领域的应用推广；第三，政府扶持。在能够满足业务需求的情况下，政府行业的用户优先采用本国研发和设计的产品，支持本国产品的研发，为大数据关键技术的发展提供舒适的环境。

 

　　3.建设以数据为核心的泄露防护体系

 

　　针对大数据泄露防护面临的问题，构建以数据安全为核心的动态安全防控体系，通过数据治理、安全机制、风险识别和审计溯源等重点识别和控制数据访问、应用和流转等动态过程中的安全风险。第一，数据治理。通过大数据治理实现数据分类分级、数据溯源，能够从全域的角度“看得见、看得清”所有的数据，包括数据存储、使用流转情况和对应的数据安全策略。掌握数据流动情况，包括表与表之间的流动、系统之间的流动、部门之间的流动、单位之间的流动等等；第二，部署安全防护措施。在大数据基础设施、数据挖掘分析和共享交易等方面采取安全防护措施，保障数据安全；第三，主动识别和控制风险。通过收集基础设施、用户操作、数据流转等方面的日志数据，对数据的访问操作和数据流转为核心，识别用户对数据的异常操作风险和数据的异常流动风险；第四，安全审计与溯源分析。通过细粒度的数据行为审计与溯源能力建设，形成事后可审计、可溯源、可追责的威慑体系。