日前，在第四屆全球工業(yè)互聯(lián)網大會——網絡和數據安全論壇期間，由工業(yè)和信息化部網絡安全產業(yè)發(fā)展中心（工業(yè)和信息化部信息中心）牽頭組織編制的《數據傳輸安全白皮書》（以下簡稱《白皮書》）正式發(fā)布。

　　據介紹，本次《白皮書》編制工作主要基于當前形勢研判，聚焦數字政府建設、數字金融、互聯(lián)網等領域中數據傳輸安全典型應用場景，探討了主要風險點與解決方案，展望了數據傳輸安全發(fā)展趨勢，以期集聚產業(yè)優(yōu)勢資源，加強協(xié)同合作交流，為政府部門提供決策參考，共繪產業(yè)發(fā)展新圖景。

　　《白皮書》研究認為：數據已成為關鍵生產要素，是數字經濟創(chuàng)新發(fā)展的“石油”。與此同時，數據安全成為全球關注焦點，面臨更多風險挑戰(zhàn)。各行業(yè)各領域企業(yè)需要積極利用新技術不斷提升數據安全保障能力。

　　《白皮書》從“形式和挑戰(zhàn)”、“概念界定和范圍”、“政策梳理”、“合規(guī)要點”、“數據政府應用場景”、“數字金融應用場景”、“互聯(lián)網應用場景”、“趨勢展望”等八個章節(jié)，闡述了近年來數據安全傳輸安全的趨勢情況。

　　數據傳輸安全是指通過采取必要措施，確保數據在傳輸階段，處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

　　在2021年9月1日正式施行的《中華人民共和國數據安全法》第一章第三條中，明確將數據定義為任何以電子或者其他方式對信息的記錄；將數據處理定義為數據的收集、存儲、使用、加工、傳輸、提供、公開等；將數據安全定義為通過采取必要措施，確保數據處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

　　1.從管理方面入手

　　通過制定數據安全規(guī)則、開展員工安全培訓等方式提升數據傳輸安全意識；明確規(guī)范操作流程，減少由人為操作失誤而造成的數據傳輸安全問題。

　　2.從技術方面入手

　　利用加密技術對數據進行加密，保護傳輸的數據安全；利用身份鑒別技術確認傳輸節(jié)點身份，保證傳輸的節(jié)點安全；使用成熟的安全傳輸協(xié)議，保證傳輸的通道安全。

　　隨著數字化浪潮席卷全球，各國政府逐漸意識到，數據已成為與國家安全和國際競爭力緊密關聯(lián)的重要資源要素，對數據安全的認知已從傳統(tǒng)的個人隱私保護上升到維護國家安全的高度。各行業(yè)各領域企業(yè)內生發(fā)展需求和外部合規(guī)要求激增，正在積極利用新技術不斷提升數據安全保障能力。

　　1.從國家層面看

　　保障數據傳輸安全是保護數據安全，維護國家安全，保障數字經濟健康發(fā)展，推動構筑國家競爭新優(yōu)勢的重要部分。

　　對國家安全而言，保障數據傳輸安全與國家公共服務、社會治理、經濟運行、國防安全等方面密切相關，個人信息、企業(yè)經營管理數據和國家重要數據的流動，尤其是跨境流動，存在多種安全風險挑戰(zhàn)；

　　對數字經濟而言，隨著新一輪科技革命和產業(yè)變革的加快推進，數據作為新型生產要素，有效促進數字基礎設施發(fā)展與產業(yè)迭代升級，數字經濟已成為我國經濟高質量發(fā)展的新引擎，保障數據傳輸安全，已成為我國數字經濟蓬勃發(fā)展的關鍵所在；

　　對國家競爭優(yōu)勢而言，發(fā)展數字技術、數字經濟，加強數據治理，綜合運用政策、監(jiān)管、法律等多種手段確保數據安全和有序流動，是全球科技革命和產業(yè)變革的先機，是新一輪國際競爭重點領域，是構筑國家競爭新優(yōu)勢的重要因素。

　　保障數據傳輸安全已經為維護國家主權、安全和發(fā)展利益不可所缺的重要部分。

　　2.從企業(yè)層面看

　　保障數據傳輸安全對于保護企業(yè)數據安全，維護企業(yè)經濟利益、競爭力以及持續(xù)經營能力有著重要意義。

　　在數字化轉型大趨勢下，數據已成為企業(yè)日常辦公、生產經營、技術創(chuàng)新、戰(zhàn)略發(fā)展等活動的基礎，數據安全已成為數字企業(yè)健康穩(wěn)定發(fā)展的基本保證。

　　目前，數據在傳輸過程中面臨著傳輸主體多樣、處理活動復雜、攻擊手段升級、內部泄露頻發(fā)等安全風險挑戰(zhàn)。保障數據在傳輸過程中的安全性、完整性和可用性，對于維護企業(yè)業(yè)務連續(xù)性，保護企業(yè)競爭力、經濟利益，確保企業(yè)安全轉型和持續(xù)健康發(fā)展有著重要意義。

　　3.從個人層面看

　　保障數據傳輸安全對于保護個人信息安全，維護個人合法權益和人身安全有著重要作用。

　　在數字社會中伴隨日常活動，會產生大量個人數據，反之這些數據也能反映個人活動的方方面面。保障個人數據傳輸安全，確保個人數據在傳輸過程中不被篡改、破壞、泄露、竊取和非法利用，關系到個人的隱私權、決定權、知情權、人格權等多種權利，甚至關系到個人財產和人身安全。

　　通過采取必要措施保護個人數據傳輸安全，能更加全面地保護個人信息安全，維護數字社會中個人的人格尊嚴和自由，保障個人合法權利、利益與人身安全不受侵害。

　　數據傳輸過程的數據加密，是確保數據傳輸安全最有效的技術之一。數據傳輸加密包括網絡通道加密和信源加密，其中網絡通道加密包括基于SSL和IPSEC協(xié)議的VPN技術，依托協(xié)議中的加密和認證技術，實現(xiàn)對網絡數據包的機密性和完整性保護，滿足移動辦公接入、安全組網等需求。

　　信源加密會在數據流動之前先應用加密技術進行加密，在接收端對加密的數據進行解密。每一次兩點之間的數據傳輸過程，都會有加密及解密的過程，一個數據到達目的地之前，可能會經過很多的傳輸鏈路，也會經歷很多加解密的過程。

　　在線加密技術可以有效確保在網絡傳輸過程的數據流是處于非明文狀態(tài)，縱使被黑客攔截，也可以有效保障數據安全性，防止非授權用戶的搭線竊聽和入網，以及數據傳輸過程中被竊取和篡改。這是比較成熟的技術方案，但在實踐應用過程，需要結合以下要點綜合全面考慮環(huán)境部署。

　　1.數據機密性

　　數據傳輸過程的數據機密性，即傳輸的數據不能明文，這是數據傳輸安全最基本的要求。常見的數據加解密算法有以下幾種：對稱算法（國產算法SM1、SM4，國際算法DES、3DES、AES），非對稱算法（國產算法SM2，國際算法RSA）以及哈希算法（國產算法SM3，國際算法SHA512）。

　　對稱算法加解密優(yōu)點是加密解密的速度快，適合于大量數據的加密；非對稱算法的加解密效率低，一般也沒有必須用于大量數據的加密，通常可以用于數據加密秘鑰交換的加密。一般數據傳輸過程，采用TLS、SSH等加密協(xié)議，可以認為數據傳輸過程中數據保密性合規(guī)。

　　組織并不會使用單一的加密技術，往往會各類技術混合使用、互補優(yōu)缺點使數據的傳輸更加安全。

　　2.數據完整性

　　數據傳輸過程的數據完整性，可以通過校驗技術或密碼技術來檢測包括鑒別數據、業(yè)務數據、審計數據、配置數據、重要個人信息、網絡數據等數據，確保數據正常傳輸、不掉包、傳輸過程未被篡改以及非授權訪問。數據傳輸過程一般會通過協(xié)議來實現(xiàn)數據報文的完整性校驗。如數據傳輸應用TLS、SSH協(xié)議，會通過MAC來校驗，可以認為數據傳輸過程中數據完整性合規(guī)。

　　3.數據可用性

　　數據傳輸過程的數據可用性，主要為了保障對數據的持續(xù)訪問以及當數據遭受意外攻擊或破壞時，可以迅速恢復并能投入使用。具體包括為了避免網絡設備以及通信線路出現(xiàn)故障時引起數據通信中斷，針對關鍵鏈路采用冗余技術設計等手段增強數據訪問的可靠性；為保障應用場景下的業(yè)務連續(xù)性，實現(xiàn)冗余系統(tǒng)的平穩(wěn)及時切換，快速恢復運行，盡可能減少數據傳輸的中斷時間，例如通過磁盤陣列、數據備份、異地容災等手段，以規(guī)避硬件故障、軟件故障、環(huán)境風險、人為故障、自然災害等風險，確保合法用戶可以對信息和資源的順利使用。

　　《數據安全法》已于2021年9月1日正式落地施行，數據安全產業(yè)進入了高速發(fā)展期，已經成為保障數字經濟健康發(fā)展的基石。面對數據傳輸安全層出不窮的應用場景，機遇和挑戰(zhàn)并存。充分發(fā)揮數據規(guī)模和數據應用優(yōu)勢，更好釋放數據紅利，加強數據安全監(jiān)管，營造安全有序的市場環(huán)境。

　　趨勢展望：

　　1.戰(zhàn)略高度和重要價值

　　提升對數據傳輸安全重要意義的認識，聚焦數據傳輸環(huán)節(jié)，規(guī)范數據處理活動，保障數據安全，促進數據資源的高效開發(fā)利用和安全有序流動。

　　2.頂層設計和體系建設

　　推動業(yè)務與安全體系深入融合，基于業(yè)務特點，跨部門統(tǒng)籌做好數據分類分級，建立層次清晰、職責明確的安全合規(guī)體系，全面落實個人信息保護與數據安全等責任義務。

　　3.技術應用和需求牽引

　　保障關鍵信息基礎設施相關產業(yè)鏈供應鏈安全穩(wěn)定，加強數據傳輸安全需求方建設經驗實踐的分享交流，打造分領域分行業(yè)案例庫策略庫。

　　4.監(jiān)管審計和培訓考核

　　關注數據跨境傳輸等監(jiān)管新規(guī)，深入研究并探索制定可執(zhí)行可落地的行業(yè)監(jiān)管審計標準指南，鼓勵相關行業(yè)企業(yè)加強合規(guī)培訓，增強數據傳輸安全保護責任意識。