數據安全文獻的問題研究與分析

韓文聰

摘要：對數據安全文獻的問題進行了研究與分析。首先，明確了研究的目的和重要性，即解決當前數據安全問題，提高數據保護水平。其次，詳細討論了數據安全的理論框架、數據安全的實際應用，分析了數據安全市場的規模和情況。然后，從數據安全治理合規性、數據安全治理管理層面、數據安全治理技術層面揭示了數據安全治理面臨的挑戰和痛點。再次，探討了數據安全的未來發展趨勢并對現有數據安全方面的文獻進行了批評。最后，提出了一些改進的建議和未來的研究方向。

關鍵詞：數據安全；文獻批評；問題分析；未來趨勢

一、前言

隨著網絡接口及應用程序數量爆炸式增長，網絡安全受到了很大的影響，數據安全的問題也同樣不容忽視，畢竟網絡接口及應用程序的數量增加直接導致數據體量的增加，導致了攻擊面擴大，每一個網絡接口都可能成為攻擊者的目標。此外，隨著數據存儲和流通的增加，樞紐數據泄露風險劇增。在這樣的環境下，數據安全的重要性顯得尤為突出。數據安全是指通過采取必要措施，確保數據處于被有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力[1]。數據安全是當前信息技術領域的重要研究方向，其研究成果對于保障網絡安全、防止信息泄露具有重要意義。文獻批評是文獻綜述的重要組成部分，是對研究課題現有知識的理解，分析先前的知識是如何回答研究問題的。然而，當前的文獻在處理數據安全問題時存在一些問題，如方法的局限性、理論與實踐脫節等。本文將對這些問題進行批評和分析。

二、數據安全的理論框架

數據安全的理論框架主要是以數據的生命周期為基礎，通過建立組織數據安全規范、構建數據安全技術體系和建設數據安全人才梯隊等方式，確保數據的有效保護和合法利用。這個框架強調以數據為中心，關注數據的采集、傳輸、存儲、使用、共享、銷毀等全生命周期的各個環節，因為不同環節的特性不同，面臨的數據安全威脅與風險也大相徑庭。此外，《數據安全治理白皮書5.0》中提出的數據安全治理框架，也對數據安全需求與框架進行了全面、系統的介紹，并解讀了最新的法律法規及標準等監管要求與技術規范。同時，也有一些專門的數據安全能力框架，例如，“CAPE”數據安全能力框架，該框架包含數據安全管控、安全可控數據流通、安全可信融合計算三大核心能力，實現數據“可用不可見”的安全目標。總的來說，在處理數據安全問題時，應考慮各種因素，采用綜合性的方法，既要注重技術手段，也要注重管理和制度建設。

大數據時代下的數據融合、流通、共享是必然趨勢，海量數據分析在現代研究中的需求越來越突出，而分析過程中不可避免地會有不同敏感級別的數據共存，數據分類分級管理是數據實現共享和開放最基礎的工作[2]。2021年6月10日發布了《中華人民共和國數據安全法》，為數據安全治理提供了法律上的依據，此外，《數據出境安全評估辦法》《網絡數據安全管理條例（征求意見稿）》等法律法規進一步對數據安全的理論架構進行補充。當然，國家也頒布了各領域的數據安全相關標準，用以指導和規范數據的安全使用，例如，國家推薦性標準《信息安全技術 健康醫療數據安全指南（GB/T 39725-2020）》給出了健康醫療數據控制者在保護健康醫療數據時可采取的安全措施。《金融數據安全 數據安全分級指南（JRT 0197-2020）》給出了金融數據安全分級的目標、原則和范圍，以及數據安全定級的要素、規則和定級過程。此外，各地也針對性地頒布了相關標準用以規范數據資源的安全防控，如貴州省地方標準《政府數據：數據分類分級指南（DB52/T 1123-2016）》。這些標準、政策、法規共同構建起了數據安全的理論框架，同時，為數據安全治理提供了最佳實踐。

三、數據安全的實際應用

數據安全在實際應用中，主要目標是保護計算機系統中的數據免受偶然和惡意的破壞、更改和泄露，確保數據的可用性、完整性和保密性，包括對數據的整個生命周期進行保護。具體來說，數據安全的實際應用包括數據庫安全、數據防泄漏、文檔加密、容災備份等技術工具。這些工具和技術主要用于防止數據的非法訪問和泄露，確保數據的安全存儲和使用。此外，為了應對新形勢下的數據安全問題，如數據交換、數據集成、數據存儲、數據資產管理等方面的安全風險，還需要關注數據安全合規治理、數據供應鏈安全、數據保險以及新型數據安全產業等方面的發展。在技術層面，數據安全應用層可以利用一種或多種數據安全技術組合來實現數據安全保護、安全監測、隱私保護、追蹤溯源等應用場景下的數據安全功能。例如，采用數據加密、數據脫敏、數據識別、數據標記、數字水印和隱私計算等關鍵技術來提高數據的安全性。總的來說，數據安全的實際應用需要綜合考慮各種因素，采用綜合性的方法，既要注重技術手段，也要注重管理和制度建設。

四、數據安全市場分析

就2022年而言，數據安全產業市場規模突破100億，為102億元，同比增長15%[3]，見圖1。從數據來看，數據安全產業發展迅速，這與網絡環境有直接關聯。此外，國內政策環境、社會環境、經濟環境和技術環境都為數據安全產業的發展提供了優渥的土壤。

首先是政策環境。2023年1月，工業和信息化部等十六部門印發了《關于促進數據安全產業發展的指導意見》，該文件對數據安全產業的規模、核心技術、應用推廣、產業生態等發展目標作出了規定。2023年2月，中共中央、國務院印發了《數字中國建設整體布局規劃》，該規劃提出“數字基礎設施高效聯通，數據資源規模和質量加快提升，數據要素價值有效釋放，數字經濟發展質量效益大幅增強”[4]。就社會環境而言，各行業對數據安全的認知并不相同，學歷背景、工作環境、個人認知等都影響著人們對數據安全行業的印象和感官。相較而言，政府機關、金融機構、醫療機構、教育機構等對數據安全的重視程度要遠高于其他行業。當然，近年來，人們對數據安全的重視程度是逐年遞增的，這是一個好的發展。經濟環境方面，2022年我國數據產量達8.1ZB，同比增長22.7%，全球占比達10.5%，位居世界第二[5]。這與互聯網的發展有密不可分的關聯，同時，也說明越來越多的企業開始重視數據的重要價值。在這樣的經濟背景下，數據安全行業才具備了更廣闊的發展前景。今年，數據安全技術受國內政策和法規影響，有了明顯的提升，但是仍然有很大的進步空間。

五、數據安全治理面臨的挑戰和痛點

數據安全作為數字化社會的重要生產要素，在當今社會扮演著十分重要的角色。雖然企業、社會、國家對數據安全治理日益重視，但是在開展數據安全治理的過程中，依舊面臨著巨大的挑戰。

（一）數據安全治理合規性面臨的挑戰

2017年頒布的《中華人民共和國網絡安全法》成為構建我國網絡安全和數據安全的基石，此外，2019年頒布的《中華人民共和國密碼法》、2021年頒布的《中華人民共和國數據安全法》《關鍵信息基礎設施安全保護條例》以及同年頒布的《中華人民共和國個人信息保護法》等法律法規組成了數據安全治理體系的政策基礎。盡管如此，數據安全依舊面臨著巨大的風險和嚴峻的挑戰。加強數據安全治理是刻不容緩的。在合規性層面上來說，企業面臨的主要問題有以下幾點：

首先，數據安全治理是覆蓋全生命周期的。對于中小型企業來說，數據治理的成本和精力大大增加。此外，企業往往更關注存儲和使用過程中的數據安全，對于采集、傳輸、共享、銷毀等生命周期的數據安全關注較少，往往成為數據安全治理過程中的風險點，也被稱為攻擊者眼中最重要的漏洞。

其次，法律法規和監督要求在不斷細化。《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》都對敏感信息提出了要求，《個人信息出境安全評估辦法（征求意見稿）》《網絡數據安全管理條例（征求意見稿）》《數據出境安全評估辦法》《工業和信息化領域數據安全管理辦法（試行）》《關于促進數據安全產業發展的指導意見》《數字中國建設整體布局規劃》等法律法規及政策文件同樣對數據安全和信息安全做出了要求。此外，與數據安全相關的國家標準不少于42個、信息通信行業標準6個、金融領域行業標準不少于7個。這些法律法規、政策文件、國家標準、行業標準種類繁多，領域范圍廣闊，又有交叉重疊，細化程度各不相同，企業如何落實這些文件，又如何將這些文件結合到自身企業文化和企業特點中來，確實是一個巨大挑戰。

再次，數據價值挖掘在經濟社會各個層面開始受到重視。在合規的情況下進行數據價值挖掘成為企業研究的重要方向。在這種情況下，企業進行數據安全治理需要提供新的技術，新技術是否合規也成為數據安全治理面臨的新挑戰。

最后，是數據跨境合規性的問題。網絡時代，互聯網發展迅速并且覆蓋全球，數據跨境幾乎是不可避免的，而數據跨境合規性監管的難度往往較大，畢竟每個國家對于數據安全的管理要求和政策法規不完全相同，甚至是完全不相同的。 導致數據跨境的原因很多，其中，人員跨境引發的數據跨境是最初對跨境數據的定義中最主要的部分。事實上，除人員跨境引發的數據跨境外，還有商業、資本和服務的跨境流動引起的數據跨境，尤其是跨國企業經營中涉及的數據跨境，跨國企業往往業務眾多、數據交互頻繁，既涉及個人數據，也涉及商戶數據、商品數據、支付數據、物流數據等[6]。尤其是現在，在“一帶一路”、經濟全球化的大環境下，全球經濟貿易往來頻繁，跨境經貿、跨境電商越來越頻繁，數據跨境不出意料地大幅度增加，數據跨境合規性成為企業需要關注的重點。

（二）數據安全治理管理層面面臨的挑戰

數據安全管理工作的前提是樹立責任意識，同時，應該強調相關人員對數據安全的認知。但是，在實際工作中數據安全的責任卻是難以落實的。因為數據是無形的，而且數據的流動傳輸過于頻繁，且管理不夠精細化，甚至很多企業并沒有明確的數據安全管理制度，這為企業數據安全管理帶來了巨大的挑戰。

傳統的數據管理模式下，用戶大多是各自為營，使用的方式和軟件各不相同，并沒有統一、高效的方式或者軟件。在經濟全球化的今天，這種傳統的數據管理模式很難適應體量激增的數據，且管理成本越來越高，因此，這種落后的數據管理模式也成了數據管理的“絆腳石”。

管理成本的高昂是數據安全治理不容忽視的問題。數據安全治理是在全生命過程中進行的，數據量越大，其花費越大。尤其是現在的數據安全治理大多是基于業務流程的，企業的業務流程越細化，業務量越大，需要治理的數據就越多，管理成本就越高。況且，數據安全治理所包含的內容不僅僅是應對數據安全風險，還涉及數據備份、應急響應等方面，這些都是高成本的。對于中小型企業而言，這樣高昂的管理成本是不友好的。

（三）數據安全治理技術層面面臨的挑戰

當前，企業安全技術主要停留在網絡安全技術，大多數企業現今并未對數據安全有充分的認知，部分企業雖然已經開始重視數據安全，但是由于數據安全的核心技術大多是基于大數據等近年才興起的技術。因此，現在的數據安全治理技術多是基于信息技術的，但是，信息技術的迭代速度很快，意味著數據安全治理技術也在快速更新換代。在這樣的情況下，企業相關人員需要隨時迎接新技術帶來的挑戰。因此，數據安全治理相關從業人員需要持續學習。大數據時代龐大的數據量是數據安全治理技術層面不容忽視的難題。

六、數據安全的未來發展趨勢

隨著大數據、云計算等新技術的發展，數據安全問題將更加復雜。未來的研究需要更加注重理論與實踐的結合，同時，也需要關注新的技術和方法在數據安全中的應用。從全球范圍來看，數據互聯互通是打破“數字孤島”、防范“數據圈地”的必由之路[7]。因此，倡導數字領域國際化規則刻不容緩。此外，與數據相關的技術和概念中，數據倉庫和云數據是這兩年被提及得最多的兩個詞。云數據是目前最“火”的研究方向，云數據與數據安全是今后很長一段時間不容忽視的一個研究方向。另外，人工智能也是近兩年很熱門的一個領域。人工智能的很多應用都離不開機器學習，而機器學習在一定程度上基于龐大的數據，因此，人工智能與數據安全同樣是一個比較有意義的研究方向。從應用視覺層面看，區塊鏈則是一個分布式的共享賬本和數據庫，它具有去中心化、不可篡改、全程留痕、可以追溯、集體維護以及公開透明等特點[8]。因此，數據安全與區塊鏈同樣會成為一個值得深度研究的課題，畢竟區塊鏈是當今世界最炙手可熱的前沿技術之一。

七、對現有文獻的批評

本文對現有文獻進行了深度批評，揭示了其在處理數據安全問題時的不足。《中華人民共和國數據安全法》的發布，標志著我國以數據安全保障為前提的數據開發利用和產業發展全面進入法治化軌道。它系統地反映了當前國家整體的數據安全觀，對于我國構建數據安全保護體系具有重要的戰略意義。狹義上，數據安全治理以數據為中心，圍繞數據的全生命周期，包括對數據的采集、傳輸、存儲、使用、共享、銷毀等各個環節實施一系列的活動，如建立組織數據安全規范、構建數據安全技術體系、建設數據安全人才梯隊等。同時，企業也逐漸意識到了數據安全治理的重要性與緊迫性。然而，針對科研數據安全的研究在國內外仍較少。此外，隨著全球化的發展，一些國家和地區也開始制定相關法律以保護其數據安全，例如美國的《澄清域外合法使用數據法》和歐盟的《一般數據保護條例》。盡管如此，這些法律法規均有一定的局限性，因此，制定一種普遍適用的規定或者標準依舊是刻不容緩的。

八、改進建議和未來的研究方向

數據安全改進措施需要從多個維度進行考慮。首先，建立數據安全治理體系是至關重要的，包括制定數據安全規范、構建數據安全技術體系以及建設數據安全人才梯隊等。組織建設數據安全治理體系至少需要涵蓋數據安全戰略、數據全生命周期安全以及基礎安全等三個方面[9]。數據安全戰略主要包括數據安全規劃和機構人員管理。數據全生命周期安全主要是數據采集、傳輸、存儲、使用、共享和銷毀過程中的安全。基礎安全主要是數據分類分級、合規管理、合作方管理、監控審計、身份認證與訪問控制、安全風險分析和安全事件應急。構建數據安全體系的基礎是數據安全法律法規和數據標準的制定，這是一個重要的研究和改進方向。數據標準是對數據交換、數據采集和數據使用的一種規范。因此，數據標準是建立數據安全體系的重要環節。

數據安全治理未來需要關注以下幾點：

首先，政策合規性是數據安全治理的重要驅動力，企業自身的發展戰略需要與政策法規相適應，才能更好地讓數據安全產業發揮其應有的作用。政策合規性為數據安全治理提供了必要的指導和支持，確保組織在處理個人和敏感數據時遵循最佳的實踐和標準。沒有這些規定，數據的安全可能會受到威脅，導致不可預測的后果。

其次，現今的數據安全治理幾乎都建立在業務及其流程的基礎之上，可能導致數據安全治理的責權認定不清楚、責任邊界難以清晰體現的情況發生，因此，建立一套完善且與企業業務相適應的數據安全治理制度和流程是需要重點關注的。數據安全治理制度和流程是企業信息安全管理的重要組成部分，它涉及數據的收集、存儲、處理、傳輸和使用等各個環節。在該過程中，需要重點關注企業實施數據安全的目標和策略，同時需要設立數據安全管理部門，另外還需要制定詳細的操作規程和行之有效的技術措施，當然，定期的安全審計是必不可少的，員工安全意識的提升和培訓以及應急響應機制的建立也是不可忽視的。

再次，現今的數據具有存儲體量大、傳輸量大、流動性強等特點，導致被威脅、暴露的可能性和風險發生的概率大大增加，因此，全生命過程的風險監測與評估成為一種趨勢。這意味著企業需要在整個數據的生命周期中都進行風險評估和管理，包括數據的收集、存儲、處理、傳輸和使用等各個環節。只有這樣，才能有效地識別和管理潛在的風險，保護數據不受威脅。

最后， 第三方數據安全評估機構能夠有效地幫助企業做好數據安全治理的工作，并幫助企業提高數據安全治理的質量。當然，這是通過風險轉移的方式來消化數據安全方面帶來的各種安全問題和風險，通過第三方機構的評估和監測，可以進一步強化數據安全治理的成果，同時也可節省時間，提升效率。

數據安全改進措施中提升數據安全技術的研發與應用水平也是必要的，例如，采用更智能化的敏感數據識別技術，結合規則匹配、自然語言處理等技術擴大識別范圍，提高識別精度。此外，企業也需要不斷優化制度流程落地效果，強化人員的安全意識與能力，明確未來數據安全治理的發展方向。

在未來的數據安全研究方向中，一方面，可以研究如何更好地實施數據分類分級和策略管控，以滿足不同類型和級別的數據對安全性的不同需求；另一方面，隱私計算作為一種新的數據處理技術，其如何在保障數據隱私的同時實現數據的合理利用也是一個值得研究的課題。當然，網絡安全等級保護下數據安全治理也是一個很好的研究方向。隨著國家網絡安全等級保護 2.0 系列標準2019 版的發布實施，網絡安全等級保護的建設也在各行業逐步推進實施。在國家網絡安全等級保護2.0的基礎上，數據安全治理將提升一個檔次。同時，隨著全球化的發展，如何構建適應不同國家和地區情況的數據安全保護體系將成為一個重要的研究方向。

九、結語

本文對數據安全文獻進行了深入批評和分析，旨在解決當前的數據安全問題并提高數據保護水平。研究發現，盡管數據安全的重要性日益凸顯，但在實踐中仍存在許多問題。例如，數據安全治理的合規性、管理和技術層面都面臨著巨大的挑戰。因此，文章提出了一些改進的建議和未來的研究方向。首先，企業或組織需要更加關注數據安全治理的實踐問題，提出更具操作性的解決策略。其次，企業或組織需要進一步研究數據安全的技術手段，以提高數據保護的效率和效果。最后，企業或組織需要關注數據安全的未來發展趨勢，以便及時應對新的挑戰和問題。

參考文獻

[1]宋璟，邸麗清，楊光，等.新時代下數據安全風險評估工作的思考[J].中國信息安全，2021（9）：62-65.

[2]高潮.大數據時代用戶消費型數據的分級分類隱私保護策略研究[J].廣東通信技術，2016，36（9）：10-12+17.

[3]王盈.數據安全細分市場調研報告[R].國家網絡安全產業園區（通州園）：嘶吼安全產業研究院，2023-07.

[4]新華社.中共中央 國務院印發《數字中國建設整體布局規劃》[DB/OL].[2023-02-27].https：//www.gov.cn/zhengce/2023-02/27/content_5743484.htm？eqid=f00424e10002111f00000006646491f2.

[5]國家互聯網信息辦公室.數字中國發展報告（2022年）[R/OL].[2023-04-27].https：//www.cac.gov.cn/rootimages/uploadimg/1686402331296991/1686402331296991.pdf？eqid=97108e280004e0d2000000026486781a.

[6]朱揚勇，熊贇.數據跨境監管初探[J].大數據，2021，7（01）：135-144.

[7]林愛珺，章夢天.全球數據資源爭奪與風險防范[J].新聞愛好者，2022（06）：13-18.

[8]程亞玲.區塊鏈探析[J].發明與創新·職業教育，2020（07）：131.

[9]華清信安.數據安全系列（六）丨數據安全治理[DB/OL].[2023-09-12].https：//baijiahao.baidu.com/s？id=1776823322453852214&wfr=spider&for=pc.

責任編輯：張津平、尚丹