日前，在第四屆全球工業(yè)互聯(lián)網(wǎng)大會——網(wǎng)絡(luò)和數(shù)據(jù)安全論壇期間，由工業(yè)和信息化部網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展中心（工業(yè)和信息化部信息中心）牽頭組織編制的《數(shù)據(jù)傳輸安全白皮書》（以下簡稱《白皮書》）正式發(fā)布。

　　據(jù)介紹，本次《白皮書》編制工作主要基于當(dāng)前形勢研判，聚焦數(shù)字政府建設(shè)、數(shù)字金融、互聯(lián)網(wǎng)等領(lǐng)域中數(shù)據(jù)傳輸安全典型應(yīng)用場景，探討了主要風(fēng)險(xiǎn)點(diǎn)與解決方案，展望了數(shù)據(jù)傳輸安全發(fā)展趨勢，以期集聚產(chǎn)業(yè)優(yōu)勢資源，加強(qiáng)協(xié)同合作交流，為政府部門提供決策參考，共繪產(chǎn)業(yè)發(fā)展新圖景。

　　《白皮書》研究認(rèn)為：數(shù)據(jù)已成為關(guān)鍵生產(chǎn)要素，是數(shù)字經(jīng)濟(jì)創(chuàng)新發(fā)展的“石油”。與此同時(shí)，數(shù)據(jù)安全成為全球關(guān)注焦點(diǎn)，面臨更多風(fēng)險(xiǎn)挑戰(zhàn)。各行業(yè)各領(lǐng)域企業(yè)需要積極利用新技術(shù)不斷提升數(shù)據(jù)安全保障能力。

　　《白皮書》從“形式和挑戰(zhàn)”、“概念界定和范圍”、“政策梳理”、“合規(guī)要點(diǎn)”、“數(shù)據(jù)政府應(yīng)用場景”、“數(shù)字金融應(yīng)用場景”、“互聯(lián)網(wǎng)應(yīng)用場景”、“趨勢展望”等八個(gè)章節(jié)，闡述了近年來數(shù)據(jù)安全傳輸安全的趨勢情況。

　　數(shù)據(jù)傳輸安全是指通過采取必要措施，確保數(shù)據(jù)在傳輸階段，處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

　　在2021年9月1日正式施行的《中華人民共和國數(shù)據(jù)安全法》第一章第三條中，明確將數(shù)據(jù)定義為任何以電子或者其他方式對信息的記錄；將數(shù)據(jù)處理定義為數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等；將數(shù)據(jù)安全定義為通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

　　1.從管理方面入手

　　通過制定數(shù)據(jù)安全規(guī)則、開展員工安全培訓(xùn)等方式提升數(shù)據(jù)傳輸安全意識；明確規(guī)范操作流程，減少由人為操作失誤而造成的數(shù)據(jù)傳輸安全問題。

　　2.從技術(shù)方面入手

　　利用加密技術(shù)對數(shù)據(jù)進(jìn)行加密，保護(hù)傳輸?shù)臄?shù)據(jù)安全；利用身份鑒別技術(shù)確認(rèn)傳輸節(jié)點(diǎn)身份，保證傳輸?shù)墓?jié)點(diǎn)安全；使用成熟的安全傳輸協(xié)議，保證傳輸?shù)耐ǖ腊踩?/p>

　　隨著數(shù)字化浪潮席卷全球，各國政府逐漸意識到，數(shù)據(jù)已成為與國家安全和國際競爭力緊密關(guān)聯(lián)的重要資源要素，對數(shù)據(jù)安全的認(rèn)知已從傳統(tǒng)的個(gè)人隱私保護(hù)上升到維護(hù)國家安全的高度。各行業(yè)各領(lǐng)域企業(yè)內(nèi)生發(fā)展需求和外部合規(guī)要求激增，正在積極利用新技術(shù)不斷提升數(shù)據(jù)安全保障能力。

　　1.從國家層面看

　　保障數(shù)據(jù)傳輸安全是保護(hù)數(shù)據(jù)安全，維護(hù)國家安全，保障數(shù)字經(jīng)濟(jì)健康發(fā)展，推動(dòng)構(gòu)筑國家競爭新優(yōu)勢的重要部分。

　　對國家安全而言，保障數(shù)據(jù)傳輸安全與國家公共服務(wù)、社會治理、經(jīng)濟(jì)運(yùn)行、國防安全等方面密切相關(guān)，個(gè)人信息、企業(yè)經(jīng)營管理數(shù)據(jù)和國家重要數(shù)據(jù)的流動(dòng)，尤其是跨境流動(dòng)，存在多種安全風(fēng)險(xiǎn)挑戰(zhàn)；

　　對數(shù)字經(jīng)濟(jì)而言，隨著新一輪科技革命和產(chǎn)業(yè)變革的加快推進(jìn)，數(shù)據(jù)作為新型生產(chǎn)要素，有效促進(jìn)數(shù)字基礎(chǔ)設(shè)施發(fā)展與產(chǎn)業(yè)迭代升級，數(shù)字經(jīng)濟(jì)已成為我國經(jīng)濟(jì)高質(zhì)量發(fā)展的新引擎，保障數(shù)據(jù)傳輸安全，已成為我國數(shù)字經(jīng)濟(jì)蓬勃發(fā)展的關(guān)鍵所在；

　　對國家競爭優(yōu)勢而言，發(fā)展數(shù)字技術(shù)、數(shù)字經(jīng)濟(jì)，加強(qiáng)數(shù)據(jù)治理，綜合運(yùn)用政策、監(jiān)管、法律等多種手段確保數(shù)據(jù)安全和有序流動(dòng)，是全球科技革命和產(chǎn)業(yè)變革的先機(jī)，是新一輪國際競爭重點(diǎn)領(lǐng)域，是構(gòu)筑國家競爭新優(yōu)勢的重要因素。

　　保障數(shù)據(jù)傳輸安全已經(jīng)為維護(hù)國家主權(quán)、安全和發(fā)展利益不可所缺的重要部分。

　　2.從企業(yè)層面看

　　保障數(shù)據(jù)傳輸安全對于保護(hù)企業(yè)數(shù)據(jù)安全，維護(hù)企業(yè)經(jīng)濟(jì)利益、競爭力以及持續(xù)經(jīng)營能力有著重要意義。

　　在數(shù)字化轉(zhuǎn)型大趨勢下，數(shù)據(jù)已成為企業(yè)日常辦公、生產(chǎn)經(jīng)營、技術(shù)創(chuàng)新、戰(zhàn)略發(fā)展等活動(dòng)的基礎(chǔ)，數(shù)據(jù)安全已成為數(shù)字企業(yè)健康穩(wěn)定發(fā)展的基本保證。

　　目前，數(shù)據(jù)在傳輸過程中面臨著傳輸主體多樣、處理活動(dòng)復(fù)雜、攻擊手段升級、內(nèi)部泄露頻發(fā)等安全風(fēng)險(xiǎn)挑戰(zhàn)。保障數(shù)據(jù)在傳輸過程中的安全性、完整性和可用性，對于維護(hù)企業(yè)業(yè)務(wù)連續(xù)性，保護(hù)企業(yè)競爭力、經(jīng)濟(jì)利益，確保企業(yè)安全轉(zhuǎn)型和持續(xù)健康發(fā)展有著重要意義。

　　3.從個(gè)人層面看

　　保障數(shù)據(jù)傳輸安全對于保護(hù)個(gè)人信息安全，維護(hù)個(gè)人合法權(quán)益和人身安全有著重要作用。

　　在數(shù)字社會中伴隨日常活動(dòng)，會產(chǎn)生大量個(gè)人數(shù)據(jù)，反之這些數(shù)據(jù)也能反映個(gè)人活動(dòng)的方方面面。保障個(gè)人數(shù)據(jù)傳輸安全，確保個(gè)人數(shù)據(jù)在傳輸過程中不被篡改、破壞、泄露、竊取和非法利用，關(guān)系到個(gè)人的隱私權(quán)、決定權(quán)、知情權(quán)、人格權(quán)等多種權(quán)利，甚至關(guān)系到個(gè)人財(cái)產(chǎn)和人身安全。

　　通過采取必要措施保護(hù)個(gè)人數(shù)據(jù)傳輸安全，能更加全面地保護(hù)個(gè)人信息安全，維護(hù)數(shù)字社會中個(gè)人的人格尊嚴(yán)和自由，保障個(gè)人合法權(quán)利、利益與人身安全不受侵害。

　　數(shù)據(jù)傳輸過程的數(shù)據(jù)加密，是確保數(shù)據(jù)傳輸安全最有效的技術(shù)之一。數(shù)據(jù)傳輸加密包括網(wǎng)絡(luò)通道加密和信源加密，其中網(wǎng)絡(luò)通道加密包括基于SSL和IPSEC協(xié)議的VPN技術(shù)，依托協(xié)議中的加密和認(rèn)證技術(shù)，實(shí)現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包的機(jī)密性和完整性保護(hù)，滿足移動(dòng)辦公接入、安全組網(wǎng)等需求。

　　信源加密會在數(shù)據(jù)流動(dòng)之前先應(yīng)用加密技術(shù)進(jìn)行加密，在接收端對加密的數(shù)據(jù)進(jìn)行解密。每一次兩點(diǎn)之間的數(shù)據(jù)傳輸過程，都會有加密及解密的過程，一個(gè)數(shù)據(jù)到達(dá)目的地之前，可能會經(jīng)過很多的傳輸鏈路，也會經(jīng)歷很多加解密的過程。

　　在線加密技術(shù)可以有效確保在網(wǎng)絡(luò)傳輸過程的數(shù)據(jù)流是處于非明文狀態(tài)，縱使被黑客攔截，也可以有效保障數(shù)據(jù)安全性，防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，以及數(shù)據(jù)傳輸過程中被竊取和篡改。這是比較成熟的技術(shù)方案，但在實(shí)踐應(yīng)用過程，需要結(jié)合以下要點(diǎn)綜合全面考慮環(huán)境部署。

　　1.數(shù)據(jù)機(jī)密性

　　數(shù)據(jù)傳輸過程的數(shù)據(jù)機(jī)密性，即傳輸?shù)臄?shù)據(jù)不能明文，這是數(shù)據(jù)傳輸安全最基本的要求。常見的數(shù)據(jù)加解密算法有以下幾種：對稱算法（國產(chǎn)算法SM1、SM4，國際算法DES、3DES、AES），非對稱算法（國產(chǎn)算法SM2，國際算法RSA）以及哈希算法（國產(chǎn)算法SM3，國際算法SHA512）。

　　對稱算法加解密優(yōu)點(diǎn)是加密解密的速度快，適合于大量數(shù)據(jù)的加密；非對稱算法的加解密效率低，一般也沒有必須用于大量數(shù)據(jù)的加密，通常可以用于數(shù)據(jù)加密秘鑰交換的加密。一般數(shù)據(jù)傳輸過程，采用TLS、SSH等加密協(xié)議，可以認(rèn)為數(shù)據(jù)傳輸過程中數(shù)據(jù)保密性合規(guī)。

　　組織并不會使用單一的加密技術(shù)，往往會各類技術(shù)混合使用、互補(bǔ)優(yōu)缺點(diǎn)使數(shù)據(jù)的傳輸更加安全。

　　2.數(shù)據(jù)完整性

　　數(shù)據(jù)傳輸過程的數(shù)據(jù)完整性，可以通過校驗(yàn)技術(shù)或密碼技術(shù)來檢測包括鑒別數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、審計(jì)數(shù)據(jù)、配置數(shù)據(jù)、重要個(gè)人信息、網(wǎng)絡(luò)數(shù)據(jù)等數(shù)據(jù)，確保數(shù)據(jù)正常傳輸、不掉包、傳輸過程未被篡改以及非授權(quán)訪問。數(shù)據(jù)傳輸過程一般會通過協(xié)議來實(shí)現(xiàn)數(shù)據(jù)報(bào)文的完整性校驗(yàn)。如數(shù)據(jù)傳輸應(yīng)用TLS、SSH協(xié)議，會通過MAC來校驗(yàn)，可以認(rèn)為數(shù)據(jù)傳輸過程中數(shù)據(jù)完整性合規(guī)。

　　3.數(shù)據(jù)可用性

　　數(shù)據(jù)傳輸過程的數(shù)據(jù)可用性，主要為了保障對數(shù)據(jù)的持續(xù)訪問以及當(dāng)數(shù)據(jù)遭受意外攻擊或破壞時(shí)，可以迅速恢復(fù)并能投入使用。具體包括為了避免網(wǎng)絡(luò)設(shè)備以及通信線路出現(xiàn)故障時(shí)引起數(shù)據(jù)通信中斷，針對關(guān)鍵鏈路采用冗余技術(shù)設(shè)計(jì)等手段增強(qiáng)數(shù)據(jù)訪問的可靠性；為保障應(yīng)用場景下的業(yè)務(wù)連續(xù)性，實(shí)現(xiàn)冗余系統(tǒng)的平穩(wěn)及時(shí)切換，快速恢復(fù)運(yùn)行，盡可能減少數(shù)據(jù)傳輸?shù)闹袛鄷r(shí)間，例如通過磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)等手段，以規(guī)避硬件故障、軟件故障、環(huán)境風(fēng)險(xiǎn)、人為故障、自然災(zāi)害等風(fēng)險(xiǎn)，確保合法用戶可以對信息和資源的順利使用。

　　《數(shù)據(jù)安全法》已于2021年9月1日正式落地施行，數(shù)據(jù)安全產(chǎn)業(yè)進(jìn)入了高速發(fā)展期，已經(jīng)成為保障數(shù)字經(jīng)濟(jì)健康發(fā)展的基石。面對數(shù)據(jù)傳輸安全層出不窮的應(yīng)用場景，機(jī)遇和挑戰(zhàn)并存。充分發(fā)揮數(shù)據(jù)規(guī)模和數(shù)據(jù)應(yīng)用優(yōu)勢，更好釋放數(shù)據(jù)紅利，加強(qiáng)數(shù)據(jù)安全監(jiān)管，營造安全有序的市場環(huán)境。

　　趨勢展望：

　　1.戰(zhàn)略高度和重要價(jià)值

　　提升對數(shù)據(jù)傳輸安全重要意義的認(rèn)識，聚焦數(shù)據(jù)傳輸環(huán)節(jié)，規(guī)范數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)資源的高效開發(fā)利用和安全有序流動(dòng)。

　　2.頂層設(shè)計(jì)和體系建設(shè)

　　推動(dòng)業(yè)務(wù)與安全體系深入融合，基于業(yè)務(wù)特點(diǎn)，跨部門統(tǒng)籌做好數(shù)據(jù)分類分級，建立層次清晰、職責(zé)明確的安全合規(guī)體系，全面落實(shí)個(gè)人信息保護(hù)與數(shù)據(jù)安全等責(zé)任義務(wù)。

　　3.技術(shù)應(yīng)用和需求牽引

　　保障關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)產(chǎn)業(yè)鏈供應(yīng)鏈安全穩(wěn)定，加強(qiáng)數(shù)據(jù)傳輸安全需求方建設(shè)經(jīng)驗(yàn)實(shí)踐的分享交流，打造分領(lǐng)域分行業(yè)案例庫策略庫。

　　4.監(jiān)管審計(jì)和培訓(xùn)考核

　　關(guān)注數(shù)據(jù)跨境傳輸?shù)缺O(jiān)管新規(guī)，深入研究并探索制定可執(zhí)行可落地的行業(yè)監(jiān)管審計(jì)標(biāo)準(zhǔn)指南，鼓勵(lì)相關(guān)行業(yè)企業(yè)加強(qiáng)合規(guī)培訓(xùn)，增強(qiáng)數(shù)據(jù)傳輸安全保護(hù)責(zé)任意識。