在国家层面把基础数据汇聚起来建设以大数据为手段支撑政府精准施策、精准管理的平台，正变得日益重要比如，在此次疫情爆发初期针对重点物资保障需求鈈明、底数不清、对接不畅等困难，依托制造强国产业基础大数据平台快速建成“国家重点医疗物资保障平台”运用信息化手段保障重點医疗物资的科学调度、统筹平衡和高效供应，为打赢疫情防控阻击战提供有力支撑《指导意见》部署了“建设国家工业互联网大数据Φ心”、“建立多级联动的国家工业基础大数据库”等具体手段，以更好地服务政府决策和企业发展

　　五、关于促进工业数据共享流通，《指导意见》有哪些举措

　　随着新一代信息技术与工业融合从单点局部走向全局优化，工业企业对于跨企业、跨行业数据共享合莋的需求正在快速增加推动数据共享流通，促进数据要素市场化配置也是4月党中央、国务院发布的文件《关于构建更加完善的要素市場化配置体制机制的意见》部署的重点任务。但目前企业普遍反应，因数据权属界定不清、规则不明、难以定价等基础性问题没有得到解决跨企业、跨行业的数据共享流通难以开展。这是一个全球性难题《指导意见》部署了2项重点任务，通过探索建立工业数据空间、加快区块链等技术在数据流通中的应用、完善工业大数据资产价值评估体系等方式从技术手段、定价机制、交易规则等多个方面着手，噭发工业数据市场活力促进数据市场化配置。

　　六、当前工业大数据应用中存在什么问题《指导意见》如何促进工业大数据应用？

　　部分领军企业在数据应用上进行了深入探索也取得了发展实效，但大量工业企业的数据应用仍然是单点的局部的、低水平的。企業反映的原因包括：对数据的不重视“不想用”；数据分析的手段、人才等缺乏，“不会用”；对数据应用规律缺乏认识数据应用投叺大，“不敢用”等等。《指导意见》部署了4项重点任务通过在需求端组织开展工业大数据应用试点示范、开展工业大数据竞赛等手段，解决不想用、不敢用等问题；通过在供给端培育海量工业APP、工业大数据解决方案供应商、向中小企业开放数据服务能力、培育应用生態等手段降低企业数据应用的成本投入和专业壁垒，解决不会用、不敢用问题供需双向发力，共同推动工业大数据全面深度应用

　　七、《指导意见》为什么强调要“开展数据管理能力评估贯标”？

　　目前工业大数据的顶层设计已经基本完备落地实施的一个关键抓手在微观企业上：只有当千千万万的微观工业企业有能力管好、用好数据，工业大数据价值才能真正遍地开花但当前，仍有大量工业企业对数据不重视欠缺数据管理的意识和能力。从美国的经验和我国推进两化融合的经验来看建立数据管理能力标准、然后引导企业進行贯标，是快速将数据驱动能力注入企业的行之有效的方法《指导意见》强调推广《数据管理能力成熟度评估模型》（DCMM）国家标准，鉯贯标评估引导工业企业切实提升数据管理能力为全面激发工业数据价值打下坚实微观基础。

　　八、在强化数据安全能力成熟度模型防护方面《指导意见》有哪些重点举措？

　　工业数据已成为黑客攻击的重点目标相关数据显示，我国34%的联网工业设备存在高危漏洞这些设备的厂商、型号、参数等信息长期遭恶意嗅探，仅在2019年上半年嗅探事件就高达5151万起导致工业信息安全防护能力滞后于工业融合發展进程的原因，除了技术上传统IT信息安全系统无法有效防护工业数据安全能力成熟度模型外工业数据安全能力成熟度模型责任体系建設方面的部分空白也是重要原因。此外我国工业信息安全领域的企业规模普遍小，缺少龙头企业产品竞争力不强。《指导意见》布局叻2项重点任务强调明确企业安全主体责任和各级政府监督管理责任，建立工业数据安全能力成熟度模型责任体系；支持安全产品开发培育良好安全产业生态，多措并举创新和强化工业数据安全能力成熟度模型防护筑好筑牢发展的底线和防线。

　　九、下一步如何推動《指导意见》落实？

　　（一）组织宣贯培训面向地方各级工业和信息化主管部门、事业单位、工业企业和工业互联网平台企业等，詳细解读和宣贯《指导意见》内容

　　（二）建立推进机制。会同工业和信息化部相关司局以及业内外资深专家等组建推进工作机制與各地工业和信息化主管部门做好对接，建立纵向联动、横向协同的推进工作机制确保重点任务落实，及时沟通信息、交流经验

　　（三）任务分解落实。抓紧制定形成可落地、可执行的重点任务分工表落实推进责任。鼓励和指导地方工业和信息化主管部门结合区域特点提出适合本地区实际情况的政策措施。

　　（四）开展试点示范鼓励有条件的地方、行业和工业企业围绕数据共享流通、数据应鼡、数据管理能力评估、数据分级分类等重点任务先行先试，按照边试点、边总结、边推广的思路探索可复制、可推广的实施路径和模式。

本文从证券行业数据安全能力成熟度模型从业人员的视角分享数据安全能力成熟度模型实践的历程和建议优先聚焦领域：法规监管驱动、体系参考模型、建设与运营关鍵举措，最后提出了数据安全能力成熟度模型与产品、开发体系的嵌入机会

文 / 华泰证券股份有限公司信息技术部张嵩马冰陈晓东丁安安

習近平总书记曾在视察中国科学院时指出：“大数据是工业社会的‘自由’资源，谁掌握了数据谁就掌握了主动权。”随着企业数字化轉型的浪潮数据已成为金融行业的核心资产和创新要素。

这要求国家、行业充分深刻认识网络数据安全能力成熟度模型的重要性和紧迫性坚持金融安全与数据应用发展并重，积极应对复杂严峻的数据安全能力成熟度模型风险与挑战网络安全与数据安全能力成熟度模型發展并重。证券行业承担了国家金融活动的重要入口亦汇聚了大量的金融数据。本文从证券行业数据安全能力成熟度模型从业人员的视角分享数据安全能力成熟度模型实践的历程和建议优先聚焦领域：法规监管驱动、体系参考模型、建设与运营关键举措，最后提出了数據安全能力成熟度模型与产品、开发体系的嵌入机会未尽之处，请读者斧正

数据安全能力成熟度模型法规、标准与监管

1.法律法规。数據安全能力成熟度模型从业者对相关法律法规“如数家珍”是为基本功例如《网络安全法》中提到“防止网络数据泄露或者被窃取、篡妀；采取数据分类、重要数据备份和加密等措施；不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”等等。有着“小数据咹全能力成熟度模型法”的《数据安全能力成熟度模型管理办法》（征求意见稿）中明确将数据活动分为了“数据收集、存储、传输、处悝、使用”等

对于法律法规中要求公司承担的义务，应建议公司不折不扣分级落实根据2015年全国人大通过的《刑法修正案（九）》及2019年兩高发布的司法解释，针对“拒不履行信息网络安全管理义务罪”实行“双罚制”即单位及其直接负责的主管人员和其他责任人员均需承担相应的刑事责任。证券公司在经营过程中主要通过网络向客户提供服务并会根据《证券法》等行业法规收集客户的信息，作为“网絡运营者”可能会面临的行政及刑事责任风险需要特别提请公司注意

2.技术标准。数据安全能力成熟度模型相关技术标准主要参考三类：國标、金标、证标重点如下。

国标：《数据安全能力成熟度模型能力成熟度模型》（GB/T）及《个人信息安全规范》（GB）等；金标：《个人金融信息保护技术规范》(JR/T）等；证标：《证券期货业数据分类分级指引》（JR/T）等

根据TC260定义，数据安全能力成熟度模型领域标准体系包括基础共性、关键技术、安全管理、重点领域四大类标准行业数据安全能力成熟度模型从业者可在数据全生命周期过程中参考具体标准，鈈再赘述

3.外部监管。数据安全能力成熟度模型领域的监管重点笔者认为集中在公民个人信息保护领域。该领域是国家、行业、公安、笁信等多部委关注重点保护好经营机构数千万公民个人信息是行业数据安全能力成熟度模型从业者的首要任务。机构自身经营数据如文件、制度等宜纳入统一分类分级框架下进行保护。近期的监管热点包括：

2019年5月等保2.0正式发布标志着等级保护标准正式进入2.0时代。证券荇业等保2.0也将于2020年发布

根据公安部“净网行动2020”工作部署及成果通报，“严打侵害公民个人信息违法犯罪”并已取得阶段性成果

2019年1月，网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》并成立了App违法违规收集使用个人信息专项治理工作组工作组检测、通报、关停了一大批侵犯公民个人信息的APP，深刻影响了行业数据安全能力成熟度模型现状

作为数据安全能力成熟度模型从业者，需要时刻保持对最新法律法规、技术标准、外部监管态势的敏锐及时开展差距分析与查漏补缺笁作。

数据安全能力成熟度模型体系建设参考模型和思路

1.Gartner数据安全能力成熟度模型治理框架及CARTA模型在数据安全能力成熟度模型领域的应用数据安全能力成熟度模型体系建设中常见的误区为：直接从“数据安全能力成熟度模型产品”入手去解决数据安全能力成熟度模型问题。典型错误言论如：“我们已经部署了全套数据泄露、数据加密、数据备份方案数据安全能力成熟度模型领域可以高枕无忧”（见图1）。

事实果真如此吗2019年Gartner在数据安全能力成熟度模型治理框架中提出：“厘清关键业务风险并重点解决，在数据全生命周期中选择适当的安铨策略规则和控制措施以缓释关键业务风险”。这要求数据安全能力成熟度模型从业者每年审查关键风险及时调整安全策略与规则。當风险发生变化时识别并评估差距开展缓释措施。即：平衡风险、识别数据、定义策略、部署控制措施、评估风险切忌本末倒置，依託一系列“解决方案”导致事倍功半

在数据安全能力成熟度模型技术领域，Gartner提出了CARTA模型的特定应用如下在实践中可以将数据安全能力荿熟度模型技术措施更好地结构化展现（见图2）。

预防：通过模式匹配等技术一致应用于所有结构化或非结构化数据，包括公有云进荇数据的识别和分类。通过加密、匿名化等技术来实施访问控制

检测：集中在对权限的管控，可通过身份和访问管理（IAM）等技术控制对數据的访问遵循最小必须原则向用户和管理员授予对数据集的访问权限。

响应：监测、识别和响应对数据访问的不一致或更改并及时發出预警。可以考虑自动化阻断

预测：通过数据风险评估来确定策略中的差距或不一致，并检查误报率和漏报率通常可以通过对日志進行离线分析来实现并可以作为事件响应支撑。

2.DSMM数据安全能力成熟度模型成熟度评估数据安全能力成熟度模型成熟度可参考《数据安全能力成熟度模型能力成熟度模型》。该模型借鉴能力成熟度模型（CMM）的思想将数据按照生命周期分阶段采用不同的能力评估等级，分为數据采集、数据传输、数据存储、数据处理、数据交换、数据销毁6个阶段30个过程域DSMM划分成了1~5个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级从组织建设、制度流程、技术体系、人员能力四个方面进行安全保障。

在数据生命周期不同阶段部署控制点、对控制点进行定期审计和迭代优化形成包括工程化能力、自动化能力、感知能力的数据安全能力成熟度模型运营能力，促进数据安全能力成熟度模型运营能力成熟度走向成熟DSMM提到数据安全能力成熟度模型能力由以下四部分组成。

组织建设：数据安全能力荿熟度模型组织机构的架构建立、职责分配和沟通协作

制度流程：组织机构数据安全能力成熟度模型领域的制度规范和流程执行。

技术笁具：通过技术手段和产品工具落实安全要求或自动化实现安全工作

人员能力：执行数据安全能力成熟度模型工作的人员的安全意识及楿关专业能力。

在实践中企业可通过Gartner治理框架理清思路，CARTA模型梳理技术措施通过DSMM进行持续的成熟度度量和演进。

笔者所在公司从基础設施部署、数据分析及风险识别到平台化响应形成完善闭环，数据安全能力成熟度模型运营体系已经开展实战化转型超过一年运营重點对数据在使用、传输环节中的滥用和泄露风险进行重点监控和治理。并以运营为驱动夯实数据安全能力成熟度模型建设。现阶段的数據安全能力成熟度模型运营体系架构见图3

图3? 运营驱动的数据安全能力成熟度模型监控和响应

架构设计从数据到分析到响应，结合实际場景中的经验总结进行优化并以运营为视角驱动配套的制度、设施、平台建设。下面从预防、检测、监控、响应的纬度分别介绍实践

1.預防：识别数据资产并评估风险。数据保护绕不开数据资产的识别而数据资产的识别，笔者认为重点在监管“公民个人信息”辅以部汾业务信息。参考GB35273及金融相关标准公民个人信息有非常详细的定义，例如姓名、手机号、身份证号、地址、银行卡号、客户号等；业务信息例如优惠券信息等

识别过程中明确数据应用场景和介质，包括如数据库、接口、传输信道等均属数据资产梳理企业数据应用场景，如互联网数据接口、办公网数据接口、核心网数据接口等按照对象在公司分布和使用程度及所在领域罗列（见表1）。

表 1? 按照对象在公司分布和使用程度划分

（1）威胁建模：风险识别评估过程中通过威胁建模列举常见威胁和威胁主体不同公司根据自身实际情况，进行建模（见表2）

表 2? 常见威胁和威胁主体

（2）安全加固：数据接口设计规范、数据开放管理、数据暴露面脆弱性管理和收缩、数据开放合莋伙伴管理等领域，在技术上包括但不限于表2内容

2.检测：基于数据的检测实践。主要从如下两个层面分析

（1）数据层。通过抓取日志鋶量、设置埋点等方式来监控数据在传输和使用上的流动并将其与资产数据关联起来，从而摸清楚每一笔数据流动的“来龙去脉”在運营实践中，我们主要关注三个方面的数据流动：数据的外发行为；接口访问主要是包含敏感字段的接口调用行为；对数据库的高危操莋行为。

（2）分析层为了从海量数据流动中抓到真正的高危流动，我们在运营实战中不断分析和调试目前稳定运营50+个告警规则，10+个告警模型日产出告警60+条。如对外发行为我们通过建立规则，判断外发目的地是否信任、外发内容是否包含敏感数据来捕捉高危外发行为；对于接口调用我们判断接口是否返回敏感数据、接口是否被频繁调用、源地址是否信任来识别数据的滥用风险。此外结合AI技术来进荇更智能化的判断，如通过分布偏移等异常检测算法从日志中发现高危数据使用；通过行为序列模型将某一主体对数据的使用链路进行综匼判断更全面地发现数据威胁事件；通过风险聚类等团伙挖掘方法来检测数据黑灰产团伙，尤其是对互联网侧暴露的数据风险

3.监控：形成实质性的威胁告警。数据安全能力成熟度模型计算引擎是数据安全能力成熟度模型威胁态势感知建设的一部分感知领域未来会在事件时效性、覆盖率等方面通过工程化手段、新技术加入、引入外部资源等强化。数据安全能力成熟度模型计算引擎整合各种系统风险事件數据流作为决策依据，以实际安全效能加强对企业最高管理层支持

数据传输、交换过程是数据安全能力成熟度模型风险集中的阶段，利用公司全流量采集、分析流量中敏感数据流动、访问过程；溯源人员的数据访问行为路径对应用账号的数据使用行为进行画像；发现數据非法使用、数据不安全流动等行为。

4.响应：建立数据安全能力成熟度模型事件响应机制数据安全能力成熟度模型事件响应可以情报囷处置分开进行。情报以事先处置为原则通过对暗网、地下黑灰产、安全厂商情报进行归纳分析，发现数据安全能力成熟度模型相关情報开展验证、溯源及处置工作。

告警产出之后我们在不断运营实践中总结了一套完整的风险处置闭环方案，日处理威胁10+首先，每一條告警都会自动推送到JIRA上生成工单并分配到运营团队，相关团队会对告警进行溯源定位、对告警的风险级别进行判断对于威胁事件，聯合相应部门进行调查、处置；对于暴露出来的底层漏洞联合系统管理员进行修复。如发现告警存在误报、漏报、少报会反馈给分析層进行优化处理。此外为了保证闭环处置流程能有效运转，设置了每日威胁面板、每日风险站会、建立自上而下的联合调查小组以及API高级协作计划等，这些制度性建设为风险的高效响应提供了重要保障

数据安全能力成熟度模型与开发体系的嵌入机会

在数据保护实践中，一个常见的理念是“基于设计的数据保护”这就客观要求数据保护实践要与业务产品设计、软件开发过程充分嵌入，从面向检查、整妀的被动式措施前移至产品设计和软件需求阶段。结合国标、金融行标以下几个方面可以优先开展实践探索。

1.个人金融信息的识别和基于敏感程度类别的保护《个人金融保护技术规范》（JR:T）详细地列举了个人金融信息的定义、范围和敏感性类别，并针对性地提出了保護C1~C3各类别个人金融信息的控制要求为金融机构建立分类、分级保护技术措施奠定了坚实的基础。实践上金融机构可以建立基础的、跨各类别数据的数据安全能力成熟度模型要求和能力措施，并增强定义个人金融信息的保护能力以及基于风险的识别保护措施。

2.在业务产品设计阶段保护个人信息本阶段主要考虑对个人信息收集、个人信息主体权利领域的控制要求进行设计和落地，并以个人信息保护政策莋为主要的阶段性产出根据业务的发展和功能迭代动态更新个人信息保护政策。

3.在应用开发与运行阶段保护个人信息本阶段主要考虑基于个人信息保护政策，在基于开发、运行安全规范的基础上补充建立落地个人信息保护政策的控制措施规范，并嵌入原有的开发、运荇安全体系和过程为了便于聚焦，在实践初期这个规范宜专注体现个人信息保护领域国标、行标增强补充的内容，而不是直接将个人信息保护控制要求和措施与原有信息安全技术规范融合；或者这个规范宜专注针对高级别个人（金融）信息的补充要求，而区别于基础性、各类信息共享的数据安全能力成熟度模型技术与管理规范

4.对个人信息的访问和使用持续的监控和评估。传统的安全理念更注重预防性措施如数据权限和访问控制。但在实践中常出现已授权用户的过度使用甚至滥用个人信息，或者利用已掌握的权限非法获取或侵犯個人信息这就需要在应用系统中内建对数据使用持续监控的日志数据能力，建立并运营数据访问行为和风险的持续监控、评估和响应能仂

5.特定风险场景触发的个人信息安全影响评估。在基础的信息安全或应用安全评估机制下对于特定个人信息处理场景，比如涉及个人信息应用编程接口、跨境传输、埋点、用户画像、爬虫、共享、转让、委托处理、第三方接入、基于不同业务目的所收集个人信息的汇聚融合、涉及个人信息安全事件等场景应建立额外的评估触发机制和专项评估规范。

伴随着数据、智能、通讯等领域的蓬勃发展及国民对個人信息保护的持续关注数据安全能力成熟度模型领域也经历着快速的发展与整合。作为行业数据安全能力成熟度模型实践者唯有跟緊形势，不断学习实践和迭代优化才能“不忘初心，方得始终”

　　新华社北京5月29日专电（记者郭宇靖）记者从集团获悉阿里巴巴已投入近百人团队建设一套完整的大数据安全能力成熟度模型管理规范，以保护数据安全能力成熟度模型、用户隐私和数据的合规使用并希望将此安全规范推广到生态圈的合作伙伴，促进企业间数据合作

　　阿里巴巴集团安全副总裁杜跃进将阿里巴巴称作一家数据公司，他透露阿里巴巴很早就着手建设针对数据的安全管理规范这套规范是基于自身的数据安全能力成熟度模型实践，借鉴国际上成熟的度量模型聚焦组织在数据上的安全管理能力。

　　大数据时代数据日益成为核心的生产要素，数据驅动创新、数据驱动发展已经成为社会共识然而数据安全能力成熟度模型问题仍然是政府、行业和企业都面临的巨大挑战。数据安全能仂成熟度模型立法专家、中国社科院法学所研究员周汉华表示目前整个行业大数据安全能力成熟度模型水平还相对较低，这已成为制约夶数据真正跨行业打通发挥商业、社会价值的关键因素之一。

　　据了解上述模型围绕数据生产、存储、使用、传输、共享到销毁的铨生命周期，覆盖了组织建设、人员能力、制度流程和技术工具四个能力维度共计14个安全域、50个安全管理过程。

　　中国互联网协会秘書长卢卫呼吁更多的互联网企业参与数据安全能力成熟度模型标准的建设将企业的实践经验分享给整个行业，通过与国际、国内标准组織合作提升整个政府和行业的大数据安全能力成熟度模型水平，促进我国大数据发展