10月14日下午，中國(guó)社會(huì)科學(xué)院法學(xué)研究所研究員周漢華在出席云棲大會(huì)數(shù)據(jù)安全生態(tài)專場(chǎng)時(shí)稱，中國(guó)個(gè)人信息保護(hù)立法與數(shù)據(jù)治理需要借鑒美國(guó)與歐盟各自長(zhǎng)處，并走出一條獨(dú)特的道路，簡(jiǎn)單照搬任何一家做法肯定都沒有出路。

“近年來，國(guó)內(nèi)外發(fā)生各種涉及個(gè)人信息安全案例，如CSDN遭受攻擊、12306網(wǎng)站信息泄露、徐玉玉案、Yahoo郵箱泄露案、Equifax征信信息泄露案等，根源都是安全風(fēng)險(xiǎn)。”11月14日，中國(guó)社會(huì)科學(xué)院法學(xué)研究所研究員周漢華在杭州出席云棲大會(huì)“數(shù)據(jù)經(jīng)濟(jì)生態(tài)共建——數(shù)據(jù)安全可持續(xù)發(fā)展”分論壇時(shí)稱，大數(shù)據(jù)發(fā)展繞不開個(gè)人信息保護(hù)問題，實(shí)現(xiàn)兩者之間的平衡是數(shù)據(jù)治理的關(guān)鍵。

如何保障數(shù)據(jù)安全？已成為政府、企業(yè)和個(gè)人都尤為關(guān)注的現(xiàn)象級(jí)問題。

云棲大會(huì)數(shù)據(jù)安全生態(tài)專場(chǎng)當(dāng)天，阿里巴巴集團(tuán)安全部資深總監(jiān)侯金剛就此宣布稱，阿里將基于數(shù)據(jù)安全能力成熟度模型（Data Security Maturity Model, DSMM）推出“數(shù)據(jù)安全合作伙伴計(jì)劃”，希望通過與合作伙伴的協(xié)同，共享阿里在數(shù)據(jù)安全方面的經(jīng)驗(yàn)與能力，幫助各企業(yè)、行業(yè)建立和提升體系化的數(shù)據(jù)安全能力，以實(shí)現(xiàn)全行業(yè)生態(tài)的可持續(xù)發(fā)展。

首批17家合作伙伴共推DSMM

阿里巴巴安全部資深總監(jiān)侯金剛表示，全面提升數(shù)據(jù)安全水平刻不容緩。

數(shù)據(jù)安全是大數(shù)據(jù)技術(shù)落地、場(chǎng)景價(jià)值發(fā)揮的前提和保障。阿里巴巴一直在數(shù)據(jù)安全方面不斷實(shí)踐并貢獻(xiàn)自己的經(jīng)驗(yàn)。2014年，阿里就率先提出數(shù)據(jù)安全能力成熟度模型（DSMM）概念，并于2015年將數(shù)據(jù)安全經(jīng)驗(yàn)“標(biāo)準(zhǔn)化”，去年DSMM開始在產(chǎn)業(yè)圈落地實(shí)踐。

直到今年，包括德勤華永會(huì)計(jì)師事務(wù)所（特殊普通合伙）、安永（中國(guó)）企業(yè)咨詢有限公司、杭州閃捷信息科技有限公司和立信會(huì)計(jì)師事務(wù)所(特殊普通合伙)等在內(nèi)的17家安全領(lǐng)域知名咨詢機(jī)構(gòu)、專業(yè)服務(wù)公司，與阿里聯(lián)手展開深度合作，為更多有大數(shù)據(jù)管理和保護(hù)意識(shí)、重視大數(shù)據(jù)價(jià)值的組織，提供數(shù)據(jù)安全專業(yè)服務(wù)。

在數(shù)據(jù)安全生態(tài)圈中，評(píng)估咨詢機(jī)構(gòu)、認(rèn)證機(jī)構(gòu)和產(chǎn)品解決方案等服務(wù)機(jī)構(gòu)，都會(huì)根據(jù)DSMM各維度標(biāo)準(zhǔn)，評(píng)估組織的數(shù)據(jù)安全能力級(jí)別，并通過專業(yè)的產(chǎn)品和服務(wù)，對(duì)需要提升數(shù)據(jù)安全能力的組織進(jìn)行專項(xiàng)或綜合性服務(wù)，集聚專業(yè)的力量提高整個(gè)產(chǎn)業(yè)生態(tài)圈的數(shù)據(jù)安全水平。

數(shù)據(jù)安全合作伙伴計(jì)劃，希望通過與評(píng)估咨詢、認(rèn)證、產(chǎn)品解決方案等合作伙伴的協(xié)同，圍繞數(shù)據(jù)安全能力成熟度模型，幫助各企業(yè)、行業(yè)建立和提升體系化的數(shù)據(jù)安全能力。

DSMM是阿里根據(jù)多年數(shù)據(jù)安全實(shí)踐經(jīng)驗(yàn)提煉而成，圍繞數(shù)據(jù)采集、存儲(chǔ)、傳輸、處理、交換、銷毀的六個(gè)數(shù)據(jù)生命周期，在數(shù)據(jù)安全組織建設(shè)、制度流程、技術(shù)工具、人員能力四大維度，不斷提升自身數(shù)據(jù)安全能力積累沉淀而成，阿里希望將數(shù)據(jù)安全能力建設(shè)的經(jīng)驗(yàn)積極推廣到生態(tài)圈，協(xié)同專業(yè)的服務(wù)商參與，使更多企業(yè)受益，共同促進(jìn)國(guó)家大數(shù)據(jù)經(jīng)濟(jì)的健康發(fā)展。

目的旨在要解決大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全管理問題，即專注提升組織機(jī)構(gòu)在業(yè)務(wù)運(yùn)營(yíng)中應(yīng)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的能力，發(fā)現(xiàn)數(shù)據(jù)安全能力短板、查漏補(bǔ)缺，最終使有數(shù)據(jù)安全需求的所有組織機(jī)構(gòu)，都能基于統(tǒng)一標(biāo)準(zhǔn)來評(píng)估和提升其數(shù)據(jù)安全能力，甚至是促進(jìn)大數(shù)據(jù)產(chǎn)業(yè)及數(shù)據(jù)經(jīng)濟(jì)發(fā)展。

阿里巴巴數(shù)據(jù)安全高級(jí)專家潘亮透露，DSMM適用范圍非常廣泛，從現(xiàn)已落地使用的企業(yè)來看，涵蓋了銀行、互聯(lián)網(wǎng)金融、證券等金融行業(yè)，以及百貨零售、電器銷售等零售行業(yè)，也包括體育、音樂、視頻等文娛行業(yè)，乃至乳制品制造、冶金、電力、物流及互聯(lián)網(wǎng)+新型企業(yè)等產(chǎn)業(yè)領(lǐng)域。

據(jù)阿里巴巴集團(tuán)標(biāo)準(zhǔn)化總監(jiān)朱紅儒介紹，DSMM除了正在制定國(guó)家標(biāo)準(zhǔn)外，阿里也在ITU-T牽頭制定《Security reference architecture for lifecycle management of e-commerce business data》的國(guó)際標(biāo)準(zhǔn)，同時(shí)在ISO牽頭制定《Big data security capability maturity model》的國(guó)際標(biāo)準(zhǔn)研究項(xiàng)目，還在CCSA牽頭制定行業(yè)標(biāo)準(zhǔn)《面向互聯(lián)網(wǎng)的數(shù)據(jù)安全能力技術(shù)框架》，DSMM今年年底有望正式成為國(guó)家標(biāo)準(zhǔn)，向全行業(yè)推行。

釘釘、南方電網(wǎng)獲評(píng)數(shù)據(jù)安全標(biāo)桿企業(yè)

從標(biāo)準(zhǔn)架構(gòu)來看，DSMM會(huì)就企業(yè)組織建設(shè)、制度流程、技術(shù)工具和人員能力四個(gè)關(guān)鍵能力維度，至少30多個(gè)安全域進(jìn)行全方位考核評(píng)估，最終將組織機(jī)構(gòu)的數(shù)據(jù)安全能力劃分“非正式執(zhí)行”、“計(jì)劃跟蹤”、“充分定義”、“量化控制”和“持續(xù)優(yōu)化”，一級(jí)至五級(jí)的能力成熟等級(jí)。

一級(jí)是最低等級(jí)為“非正式執(zhí)行”，意味組織的數(shù)據(jù)安全工作來自于被動(dòng)需求或隨機(jī)展開，并未主動(dòng)開展數(shù)據(jù)安全工作。三級(jí)是各個(gè)企業(yè)的基礎(chǔ)目標(biāo)。等級(jí)越高，代表被測(cè)評(píng)的企業(yè)組織機(jī)構(gòu)數(shù)據(jù)安全管理能力越強(qiáng)。

“只有具備了三級(jí)的數(shù)據(jù)安全能力，才意味這家企業(yè)或組織機(jī)構(gòu)能針對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行了全面有效的控制。”會(huì)議當(dāng)天，中國(guó)信息通信研究院就基于DSMM的測(cè)評(píng)，發(fā)布了一份“大數(shù)據(jù)時(shí)代數(shù)據(jù)安全通用最佳實(shí)踐”（下稱《報(bào)告》）。

《報(bào)告》結(jié)果認(rèn)為，依據(jù)DSMM對(duì)一些目標(biāo)企業(yè)機(jī)構(gòu)的評(píng)估發(fā)現(xiàn)，目前國(guó)內(nèi)組織機(jī)構(gòu)的數(shù)據(jù)安全水位線普遍偏低。

但其中，釘釘和南方電網(wǎng)的數(shù)據(jù)安全能力測(cè)評(píng)結(jié)果較好，也因此被評(píng)為數(shù)據(jù)安全標(biāo)桿企業(yè)亮相云棲大會(huì)現(xiàn)場(chǎng)。

釘釘智能移動(dòng)辦公平臺(tái)面市于2015年，以淘寶、天貓、支付寶等積累的多年安全經(jīng)驗(yàn)為前提，建立了強(qiáng)大的移動(dòng)辦公生態(tài)保障體系，為4300萬中小企業(yè)提供“簡(jiǎn)單、高效、安全”的服務(wù)。

第三方評(píng)估專家介紹稱，釘釘和南方電網(wǎng)在數(shù)據(jù)安全方面依照上述數(shù)據(jù)安全管理方法展開了相關(guān)工作，通過技術(shù)創(chuàng)新和大數(shù)據(jù)運(yùn)營(yíng)，有效地對(duì)平臺(tái)運(yùn)營(yíng)過程中數(shù)據(jù)安全進(jìn)行了防護(hù)。

且釘釘不僅通過了中國(guó)公安部的“信息系統(tǒng)安全等級(jí)保護(hù)”三級(jí)認(rèn)證，還是2016年杭州G20峰會(huì)安全保障的唯一溝通協(xié)同平臺(tái)。

阿里巴巴釘釘?shù)臄?shù)據(jù)安全負(fù)責(zé)人羅鋒介紹說，釘釘最大的亮點(diǎn)在于其數(shù)據(jù)安全保密性高。據(jù)稱，釘釘除了自身固有的分布式數(shù)據(jù)存儲(chǔ)加密系統(tǒng)，還引入了一種獨(dú)特的安全服務(wù)模式——第三方加密。

“密鑰由第三方托管，相當(dāng)于給企業(yè)數(shù)據(jù)又加了一把鎖，雙重保險(xiǎn)箱保障只有用戶才能打開數(shù)據(jù)。”羅峰強(qiáng)調(diào)，釘釘是企業(yè)的釘釘，數(shù)據(jù)是屬于用戶企業(yè)的，既不屬于阿里巴巴，也不屬于釘釘，“我們始終保障只有用戶企業(yè)才能打開數(shù)據(jù)。”

阿里協(xié)同合作伙伴構(gòu)建云數(shù)據(jù)安全防護(hù)墻

基于數(shù)據(jù)生命周期的云數(shù)據(jù)安全產(chǎn)品體系。

對(duì)測(cè)評(píng)結(jié)果偏低或不符合標(biāo)準(zhǔn)要求的組織機(jī)構(gòu)，該如何提升數(shù)據(jù)安全水位的問題，阿里巴巴也協(xié)同合作伙伴提出了自己的解決方案。

目前，阿里云已在與合作伙伴共同打造了一套基于DSMM的數(shù)據(jù)安全解決方案體系。該體系從單點(diǎn)的數(shù)據(jù)安全產(chǎn)品模式，進(jìn)化到多個(gè)產(chǎn)品之間相互聯(lián)動(dòng)的解決方案體系，能更好滿足企業(yè)各個(gè)維度對(duì)數(shù)據(jù)安全的保護(hù)。

現(xiàn)階段方案主要還是針對(duì)專有云的數(shù)據(jù)安全解決方案，后續(xù)會(huì)陸續(xù)開展公有云及其他方面的數(shù)據(jù)安全解決方案建設(shè)。

解決方案覆蓋了企業(yè)的三個(gè)方面需求。首先是合規(guī)性遵從需求，解決方案會(huì)幫助企業(yè)更好遵從網(wǎng)絡(luò)安全法、等級(jí)保護(hù)、數(shù)據(jù)安全能力成熟度模型等法規(guī)標(biāo)準(zhǔn)對(duì)企業(yè)數(shù)據(jù)安全能力的要求。

其次，專有云、混合云數(shù)據(jù)安全治理需求，能讓客戶清晰了解云上有多少數(shù)據(jù)、存儲(chǔ)在哪、數(shù)據(jù)的敏感級(jí)別、數(shù)據(jù)安全的風(fēng)險(xiǎn)，以及對(duì)哪些用戶可以訪問什么級(jí)別的數(shù)據(jù)，哪些用戶訪問了不該訪問的數(shù)據(jù)等。

再者，數(shù)據(jù)安全交換需求，保障云上多方數(shù)據(jù)交換安全，并實(shí)現(xiàn)數(shù)據(jù)流出云邊界時(shí)的權(quán)限控制、審計(jì)及脫敏功能。

“如家的數(shù)據(jù)已經(jīng)到一定體量，對(duì)外流通的需求也越來越多，但依舊缺少整體的數(shù)據(jù)安全解決方案支持，這套體系化的解決方案正好符合我們的需求，我們期待能與阿里有更深入的合作。”基于阿里協(xié)同合作伙伴首次提出的云數(shù)據(jù)安全解決方案，合作伙伴首旅如家酒店集團(tuán)IT資深副總裁王波在參加分論壇時(shí)如是說。