一种基于数据安全标识的数据全生命周期安全管理方法与流程

本发明属于数据安全管理，具体涉及一种基于数据安全标识的数据全生命周期安全管理方法。

背景技术：

1、随着互联网、物联网和云计算等技术的快速发展，以及智能终端、网络社会和数字地球等信息体的普及和建设，全球数据量出现爆炸式增长，数据已成为各经济体实现创新发展、重塑人们生活、乃至国家经济社会发展的重要支撑动力。现如今，数据作为一种新型生产要素已正式出现在国家官方文件中，与土地、劳动力、资本和技术等传统要素并列为要素之一，成为推动社会经济发展、改善民生的新“金矿”，也成为了比肩石油的基础性关键战略资源，正在颠覆各个行业的发展模式，各行各业都在积极推动“加快培育数据要素市场”的相关工作。数据作为新型生产要素，具有劳动对象和劳动工具的双重属性，但其可复制、易篡改的特点，导致数据在流通和使用过程中存在广泛的安全风险，如果管理不慎，则将泄漏个人隐私、有损企业利益，甚至危害国家安全。

2、当前，数据归属于不同主体、存在于不同机构，具有场景化、碎片化等特征，数据源多而零散，类型复杂多样、标准不一，数据交互缺乏信任源、数据安全难以保障，这些现象都给数据的流通与利用带来了诸多困难。具体而言如下：

3、1、数据权属界定不清，安全管理缺乏主线抓手。数据的所有者和使用者通常不同，存在数据所有权和使用权分离的情况，数据会脱离数据所有者的控制而存在，由此带来数据滥用、权属不明确和安全监管责任不清晰等安全风险。造成这种局面的核心原因在于数据具有非排他性和可复制性，不同于传统的土地、劳动力等生产要素，数据在流通利用过程中不但不会被消耗殆尽，反而越用越多，这增加了确定数据权属的难度，同时也给数据安全管理提出了新的基本要求，如何实现对数据进行“一以贯之”的管控，成为目前数据安全管理以及数据治理过程中亟待解决的问题。

4、2、数据安全管控手段欠缺，体系化安全防护能力不足。数据在所属业务领域、数据类型、敏感程度和被泄露后所造成的损害程度等方面都存在一定的差异性，面对不同安全级别的数据，其在数据共享、交换、存储、使用等过程对安全防护与管理的强度需求不同，通常的数据安全管控手段，未能统筹考虑数据活动众多参与方的安全诉求，着重于强调数据加密、数据脱敏和访问控制等某一点上的安全，存在安全管控手段不足的情况，缺乏体系化安全防护能力，无法全面解决数据在全生命周期面临的责权利不清、违规泄露和追踪溯源等安全问题。

技术实现思路

1、本发明为了解决背景技术中提到的数据使用过程中存在的问题，提出了以数据为中心并能应用于数据全生命周期进行安全管理的思路，结合组织机构中各类数据业务的发展所体现出的安全需求，开展数据安全管理与保障工作；以数据安全标识和数据确权的方式实现对数据进行一以贯之的安全管控，也能为安全管控提供抓手，在此基础上以安全策略形成对数据全生命周期的体系化的安全防护。

2、本发明采用了以下技术方案来实现目的：

3、一种基于数据安全标识的数据全生命周期安全管理方法，包括：数据安全标识的建立与数据的确权发布，所述数据安全标识的建立完成于数据的产生或采集阶段，所述数据安全标识用于明确数据的属性信息，为数据全生命周期安全管理提供基础依据；所述数据的确权发布基于建立完成的数据安全标识和所对应的数据，对所述数据形成数据权属账本，并公开确认所述数据的权属资源；

4、基于安全策略的数据全生命周期安全管理，所述安全策略基于数据安全标识进行建立，用于在数据全生命周期中的过程点上提供相对应的安全策略执行点，执行数据安全管理操作。

5、进一步的，所述数据安全标识的建立过程包括：

6、标识签发：依据客体数据的类别和所属安全等级，构建数据安全标识并校验签发，所述数据安全标识的结构包括标识id、标识摘要、数据属性和安全属性；

7、标识绑定：将完成签发的数据安全标识与客体数据进行格式化封装，完成绑定操作；所述标识绑定中，将数据安全标识与客体数据进行绑定的方式包括直接绑定和分离绑定；根据所述客体数据的类别，所述标识绑定包括库表安全标识绑定和文件安全标识绑定。

8、进一步的，每个数据安全标识具有唯一匹配的所述标识id；

9、所述标识摘要为一组字符串，所述字符串通过密码算法对所述数据安全标识中的属性信息做散列操作后生成；

10、所述数据属性包括：数据基本信息、数据指纹、数据提供方、数据主体角色、数据前序来源、更新策略和扩展属性；

11、所述安全属性包括：数据分级属性、安全域属性、加密规则和授权规则，所述数据分级属性用于表示客体数据所述的安全等级，分为1级公开数据、2级受限数据、3级敏感数据和4级涉密数据。

12、进一步的，所述标识签发的具体过程包括：

13、设置标识id：将所述客体数据的数据指纹作为对应的标识id；

14、建立映射关系：建立所述客体数据与所述标识id唯一匹配的数据安全标识之间的映射关系；

15、生成标识校验：根据数据安全标识结构中所述标识摘要进行密码算法校验，校验通过后完成数据安全标识的签发操作。

16、进一步的，所述数据的确权发布，具体包括：

17、数据资产请求发布：数据提供方将所述数据安全标识中的所述数据属性发送至区块链服务系统；

18、权属唯一性鉴别：所述区块链服务系统接收所述数据属性后，通过模糊哈希算法对所述数据属性进行模糊匹配和相似度分析，进行权属唯一性鉴别；

19、权属公开确认：权属唯一性鉴别通过后，所述数据安全标识计入所述区块链服务系统，形成对应数据的数据权属账本。

20、进一步的，所述安全策略包括设置部分和执行部分；

21、所述安全策略的设置为：基于数据安全标识，采用规则描述语言，对数据应用过程中的不同实体进行属性描述，通过属性赋值，形成多种具有不同执行点的安全策略。

22、所述安全策略的执行为：对接并响应请求方的数据应用请求；对接所述数据应用请求对应的安全策略执行点，响应所述安全策略执行点的数据访问请求，依据所述数据访问请求中安全策略的内容，采用区块链服务系统中的共识决策算法，决策请求方是否具备所述数据应用请求的操作权限。

23、优选的，所述数据应用请求和所述数据访问请求的操作记录通过智能合约同步至所述区块链服务系统中。

24、进一步的，所述数据全生命周期安全管理，包括数据传输安全管理、数据存储安全管理、数据处理安全管理、数据交换安全管理和数据销毁安全管理。

25、具体的，所述数据传输安全管理，根据数据安全标识，实施数据分级传输保护和传输控制操作；

26、所述数据存储安全管理，根据数据安全标识，实施数据分级存储保护、访问控制和按需备份操作；

27、所述数据处理安全管理，根据数据安全标识，实施数据识别、数据聚合控制、数据脱敏和数据溯源操作；

28、所述数据交换安全管理，根据数据安全标识，实施数据交换控制、数据权属鉴定和数据泄漏防护操作；

29、所述数据销毁安全管理，根据数据安全标识，实施销毁控制和按需销毁处理操作。

30、综上所述，由于采用了本技术方案，本发明的有益效果如下：

31、本发明围绕数据全生命周期，结合数据及所属业务归属等数据资产属性，通过识别数据安全级别、标识数据安全属性、并关联安全防护策略等建立数据安全管控模型，为数据全生命周期各阶段安全防护提供属性标识和安全策略基础支撑，为数据资产的立体纵深防御奠定安全基础，为各类数据应用场景明确数据权属、认定安全责任、监督数据使用提供安全的技术保障手段，解除数据拥有方、数据需求方、监管方的后顾之忧，为数据价值挖掘和数据智慧治理创造安全条件。

32、数据安全标识的建立可代表数据身份，明确数据的安全属性和安全要求，基于数据分级分类技术处理结果，建立数据实体与安全属性的关联，从而为数据全生命周期安全管理建立基础依据。

33、基于数据安全标识，针对数据全生命周期中的不同阶段、不同应用需求，制定不同粒度的安全管控策略，利用区块链技术实现数据应用的细粒度安全管控，满足数据多样化应用的安全管控需求。