新年伊始,2个关于数据安全的国家级法规及指引落地,吹响了数据安全建设“冲锋号”!
2025年1月1日,我国数据安全领域的一部重要行政法规《网络数据安全管理条例》(以下简称《条例》)正式开始施行。
2025 年 1 月 6 日,国家发展改革委、国家数据局、工业和信息化部印发《国家数据基础设施建设指引》(以下简称《指引》》的通知。
新法规和新指引对数据安全防护有哪些新规范与新要求?
企事业单位除了满足合规,还应该做好哪些关键举措?
接下来我们将为各位“圈好重点”,剖析新阶段数据安全的关键问题,新的一年在数据安全建设中拿出“高分答卷”!
专章规范安全防护,2项关键要求需重视
研读《条例》和《指引》,不难发现数据安全防护在其中都占据重要篇幅,最终都指向数据传输、使用的风险评估和预防上。
1.数据安全建设,由被动应对到主动防御
《条例》要求重要数据处理者在提供、委托处理、共同处理重要数据前,应当进行风险评估,且应当每年度对其网络数据处理活动开展风险评估。通过主动监测、评估和处置数据安全风险,实现对重要数据的有效保护。
传统的数据安全管理,对于数据安全风险往往是出了事之后的被动、滞后处理,虽能亡羊补牢,但可能给企业单位甚至国家带来无法挽回的损失,如交通、能源、金融等关基单位或大型企业。
在《指引》第八章节“安全防护”中,也明确提出在数据流通利用安全层面,综合利用隐私保护计算、区块链、数据使用控制等技术手段,保证数据的可信采集、加密传输、可靠存储、受控交换共享、销毁确认及存证溯源等,规避数据隐私泄露、违规滥用等风险。
《条例》第七章明确了网信办的监管职责,将会定期组织开展本行业、本领域网络数据安全风险评估,履行监督检查和指导督促整改的责任。
相比以往满足合规,新法规提出了数据安全风险可视、主动评估预防的新要求,也明确监督主体,换言之,数据安全管理不再仅限于对数据的梳理,而是识别、监测和把控数据的流动与使用。
2. 数据风险识别,从关注静态到动静态并重
《条例》中不仅要求按照数据分类分级保护制度确定重要数据,更明确要对数据的处理动向开展风险评估并及时报送。
这充分说明,数据安全的风险不仅仅来源于静态数据,更存在于用数活动中。数据的识别与管理,不仅要做静态数据,更要注重流动数据。
而过往因技术的局限和业务数据的复杂,常常在做静态数据识别上就花费了大量人力精力。传统NLP识别技术虽能提升部分效率,但也只能识别静态数据,且依赖于庞大的数据集来训练,难以理解不同行业不同企业的非结构化数据,花费时间精力也难以监测用数风险。
结合两个关键点,如何用更加简单有效的方式实现动静态数据的可视,将成为数据安全建设的核心能力。大模型技术的应用,提供了一种新解法。
数据流动与风险3张图可视,数据安全建设化繁为简
深信服于业界率先实现动态数据分类分级,通过安全GPT数据安全大模型突出的自然语言理解能力、跨行业泛化能力和推理生成能力,实现动静态数据自动化分类分级、常态化智能风险监测预警,帮助用户降低管理和建设数据安全的门槛。
通过大模型技术赋能,用户只需要通过“3张图”就可看清数据的分布、流动及使用风险。
1. 数据资产一张图,敏感数据心中有数
安全GPT数据安全大模型基于强大的文本数据理解和跨行业数据识别能力,能够自动对企业数据和上传的分类分级模板进行理解、分析和匹配,不止能识别静态数据,更能突破业界方案局限,对流动数据进行识别,最终生成完整的动静态数据资产地图。
2. 数据流转路径图,数据动向清晰可见
大模型通过追踪数据流转,能够针对单类重要数据流转绘制路径,汇总访问应用及高频访问用户,数据动向清晰可见,及时调查重要数据是否存在异常访问,针对性输出预防或调整策略。
3. 智能风险研判图,用数行为风险可视可溯
安全GPT数据安全大模型针对用数行为过程实时进行风险检测,并及时研判生成事件。对于隐蔽性高、非常像正常业务行为的风险,大模型也能够监控到异常,并调查上下文信息,对该用数账号的更多异常行为进行关联分析,对风险进行综合研判,像真正的数据安全专家一样,定性真实数据安全风险。
大模型之所以能够实现数据可视,在于对动静态数据的高效识别与分类分级。用户只要导入行业分类分级模版,大模型就能自动生成带有行业属性的分类分级清单,实现以下效果:
- 通过自动化技术实现动静态数据分类分级,识别率高,效率提升约40倍。
- 常态化值守实现风险持续预警研判,准确率高,检出率达90%以上。
大模型通过多个智能体实现敏感数据智能推理及自动分类分级
培育发展数据要素市场,释放数据红利,已成为推动经济高质量发展的新动能,数据安全保护则是数据要素市场健康发展的基石。深信服用大模型技术赋能数据安全建设,为各企事业单位提供更简单有效的防护方案,共同抓住数字机遇,共谋高质量发展。