2023(第八届)供水高质量发展论坛上，合肥供水集团有限公司总经济师朱波以“供水技术标准转型中的数据安全”为题做了分享。他表示，数据安全治理是数据治理的一个子集，安全治理既可在数据治理框架下进行，也可独立实施。欲速则不达，数据的安全问题得不到妥善解决，那么宁愿数字化转型慢一点，或者不转型，也不能在错误的方向上渐行渐远。

朱波

合肥供水集团始建于1954年，国有独资大型企业，注册资本9亿元，主要承担合肥市区和巢湖、肥西、北城等区域的供水保障与服务工作。目前，集团资产总额132亿元，下辖制水厂9个，日供水能力295.5万立方米，直径75毫米以上供水管网11277公里，用户304万户，服务面积897平方公里。

数据安全领域的“三驾马车”，深度解读《数据安全法》

2021年6月10日，十三届全国人大常委会第二十九次会议表决通过了《中华人民共和国数据安全法》，于2021年9月1日起施行。《数据安全法》与《网络安全法》、《个人信息保护法（草案）》一起成为数据安全领域基础性法律体系“三驾马车”，保证数据安全实践有法可依，同时将数据安全提升至国家层面的新高度。

《数据安全法》的制定，是维护国家安全的必要要求，是维护人民群众合法权益的客观需要，同时也是促进数字经济健康发展的重要举措。《数据安全法》的价值定位包括坚持安全与发展并重、加强具体制度与法律框架衔接、回应实践问题及社会关切。

《数据安全法》是数据安全领域的基础性法律，基础性法律的功能更多注重的不是解决问题，而是为问题的解决提供指导思路，问题的解决需要依靠相配套的法律法规。

监管主体和工作机制方面，中央国家安全领导机构作为总体统筹，国家网信部门、中央军事委员会、公安/国家安全机关等部门、组织组成监管执行，为各行业制定数据行为规范，加强数据安全保护。

伴随数据安全领域法律法规、合规政策的陆续颁布，监管机制逐步完善，数据安全事件的影响已经不局限于经济损失、声誉损害，还可能面临巨额罚款和刑事责任。

根据供水领域要求，制定数据安全标准体系

领域热点方面，包括数据安全工具、数据安全治理、数据安全培训、数据安全咨询四部分。

数据安全工具：数据资产体量巨大、分布广泛、动态流转，高效的数据安全工具是数据安全保护的战略制高点。在数据资产梳理、数据分类分级、隐私计算、数据脱敏、数据安全运营等方向，数据安全厂商正在积极布局。

数据安全治理：围绕数据生命周期，建立数据安全治理体系是数据安全保障的基础。DSMM作为国内探索、实践多年的数据安全治理抓手，助力持续提升数据安全治理成熟度水平，确保数据安全合规运营。

数据安全培训：场景化宣贯提高数据安全理论水平，实战化培训验证数据安全技术能力。数据安全意识的普及，有利于规范数据保护理念与行为，营造数据安全氛围与生态，帮助数据安全保障工作持续、有序、稳定开展。

数据安全咨询：数据价值凸显，数据安全意识觉醒。数据安全风险通过数据流转，形成难以分割的动态风险整体，增加数据安全保障的难度。数据安全咨询成为破局的关键，市场需求与日俱增。

朱波表示，维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。

数据安全制定方面，根据国家对供水行业的要求，共分为数据分类分级、数据安全风险评估、数据安全应急处置、数据安全审查、数据出口管制、数据反歧视、数据安全管理、数据交易管理共八个方面。

数据安全发展主要包括数据安全标准、数据安全服务、数据应用创新三方面。

朱波表示：“数据安全国家标准方面，从数据安全方向、个人信息保护方向出发，颁布了安全及技术要求标准、管理指南类标准以及测试评估规范类标准三类标准。电信行业、金融行业等都有相应的数据标准，但供水领域数据安全标准体系尚未建立，这将是供水企业今后努力的方向及目标。”

针对数据安全治理难点，分享实践经验

数据安全治理路径主要是以数据为中心，围绕数据生命周期全过程，融合技术、管理和运营，打造涵盖“云、网、端”的时空一体化动态安全防护体系，确保数据流转全过程持续处于有效保护、合法利用的状态，保障数据安全释放价值。

数据安全治理难点可以总结为数据是否泄漏无感知、泄漏途径难确认、泄漏事件难溯源、数据资产不清晰、数据分级分类无法落地、数据访问控制难落地、数据安全人才缺失七个方面。

朱波介绍，核心技术能力主要包括智能数据分类分级、数据风险监测、数据泄密溯源、数据安全管控四方面。

智能数据分类分级：通过人工智能和机器学习技术，自动提取数据特征，进行数据分类分级标签推荐，从而大幅提升数据分类分级的效率。

数据风险检测：基于大数据计算以及用户行为分析技术，对用户数据访问流量进行建模，自动生成安全基线；基线内容如谁在访问数据，访问什么数据，通过何种途径，什么时间，访问了多少数据等；基于安全基线以及异常行为特征模型对数据访问行为进行研判，感知风险，上报告警，如：数据越权使用、API异常调用、运维人员批量读取敏感数据等。

数据泄密溯源：当前主流数据共享方式中，传统的嵌入追溯水印方式不再有效。通过可疑第三方检测模型对数据泄露内容进行数据检测，快速定位出可能的数据泄露源头，大大提升数据泄露溯源的速度。

数据安全管控：基于智能数据分类分级结果，对不同角色用户访问数据进行不同数据安全访问策略控制。

会上，朱波也将合肥供水集团的实践经验进行了分享。

在高度重视下，数据安全事件仍然频发。内因是获取数据有利可图，数据凭借自身价值，拥有“内泄外窃/越权使用”的天然驱动力。外因是数据安全保护不力，涉及数据权责不明确、数据状况不清晰、制度策略不完备、防护理念不匹配等层面的问题。各行业数据安全风险大、泄露事件频发。

在此背景下，合肥供水集团建立数据安全助力框架。

管理体系方面，定目标、规框架，建立企业级数据中心。合肥供水集团详细调研31个主要业务系统、16个业务部门，进行数据规划，形成9大标准规范，数据中心已采集数据18亿条，已治理数据8.9亿条。数据共享交换具有8.3亿条共享能力，共享至表务系统2500万条、管网运维系统58万条、超等额累进加价系统233万条、合肥市数据资源局1100万条等。

数据安全治理制度框架方面，合肥供水集团为决策者、管理层、执行层分别制定了相应匹配的制度，并建立了相应的32个一类到四类的数据安全办法、规范、细则和手册。

技术体系方面，基于零信任构筑的数据安全。采用SDP（软件定义边界）架构打造的新一代终端安全接入架构，由零信任安全网关、管理平台、客户端及终端安全监测四个部分构成，提供多种认证、终端环境检查、跨网隔离、非法外联检测、NAT溯源等能力的端到端安全防护，构建安全、易用、易管、稳定的可控可管的 “一机两网” 安全环境。

 技术体系：合肥供水集团数据安全体系

技术体系：数据全生命周期安全体系建设

朱波最后表示，数据安全治理是数据治理的一个子集，安全治理既可在数据治理框架下进行，也可独立实施。欲速则不达，数据的安全问题得不到妥善解决，那么宁愿数字化转型慢一点，或者不转型，也不能在错误的方向上渐行渐远。理想的方案是获取全量数据安全指标；经济的方案是能够满足当前业务的风险控制需求。把未知的风险转变为已知的风险，再去寻找抵御风险和提升防御能力的方法。

数据安全治理只有起点没有终点，数据安全保护永远在路上。