基于區(qū)塊鏈技術(shù)的企業(yè)數(shù)據(jù)安全交換和共享方法研究

關(guān)鍵詞：區(qū)塊鏈;數(shù)據(jù)安全，數(shù)據(jù)資產(chǎn)管理，數(shù)據(jù)資產(chǎn)交換和共享

1 ? ? 概述

數(shù)據(jù)安全，是指通過采取必要措施，保障數(shù)據(jù)得到有效保護和合法利用，并持續(xù)處于安全狀態(tài)的能力。維護數(shù)據(jù)安全，應(yīng)當(dāng)堅持總體國家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。

隨著現(xiàn)代信息化建設(shè)和互聯(lián)網(wǎng)應(yīng)用不斷的普及，人們已經(jīng)習(xí)慣并依賴使用信息系統(tǒng)來進行生活和工作，這種網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)應(yīng)用的深度化的狀態(tài)也產(chǎn)生了新的問題和挑戰(zhàn)。信息和數(shù)據(jù)作為現(xiàn)代信息化社會最重要的資產(chǎn)，是數(shù)據(jù)所有人在當(dāng)今社會中的重要權(quán)利和資產(chǎn)組成部分。大數(shù)據(jù)的廣泛應(yīng)用，帶來便捷的同時也伴隨著隱患，導(dǎo)致我國的信息安全中數(shù)據(jù)安全問題發(fā)生的越來越多，嚴(yán)重侵害了數(shù)據(jù)擁有的企業(yè)和個人的基本權(quán)利和利益。近期發(fā)生了滴滴泄漏中國用戶信息的數(shù)據(jù)安全問題，以及阿里巴巴發(fā)現(xiàn)系統(tǒng)重大Bug（Apache log4j2漏洞）而沒有匯報給中國相關(guān)主管政府和行業(yè)協(xié)會，導(dǎo)致國內(nèi)的信息系統(tǒng)在至少半個月的時間內(nèi)處于不設(shè)防的重大信息安全管理問題出現(xiàn)，對國內(nèi)社會高度信息化背景下的數(shù)據(jù)安全管理體系敲響了警鐘。隨著此類問題出不窮。個人和企業(yè)的數(shù)據(jù)資產(chǎn)保護的問題，已經(jīng)到了非要解決的時候。

2 ? ? 問題分析和提出

我國為了保障信息社會的數(shù)據(jù)安全，在歐洲的數(shù)據(jù)安全法（通用數(shù)據(jù)保護條例，GDPR）之后，于2020年6月28日推出了《中華人民共和國數(shù)據(jù)安全法》，以及《個人信息保護法》，《私營部門的模型數(shù)據(jù)保護條例》，《互聯(lián)網(wǎng)消費者個人信息和通信保護的電子商務(wù)條例》等法律法規(guī)為代表的一系列法律法規(guī)。2021年12月22日，為貫徹落實《中華人民共和國數(shù)據(jù)安全法》等法律法規(guī)，加強工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險信息獲取、分析、研判和預(yù)警工作，及時掌握工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全整體態(tài)勢，提高數(shù)據(jù)安全風(fēng)險處置能力，工業(yè)和信息化部研究起草了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險信息報送與共享工作指引（試行）（征求意見稿）》面向社會公開征求意見。近日，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部、財政部、商務(wù)部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、中國證券監(jiān)督管理委員會、國家保密局、國家密碼管理局等十三部門聯(lián)合修訂發(fā)布《網(wǎng)絡(luò)安全審查辦法》，自2022年2月15日起施行。這是我國信息產(chǎn)業(yè)領(lǐng)域主管政府為了防范不斷發(fā)生的信息安全問題中最難以防范和解決的數(shù)據(jù)安全問題的惡化做出的制度性的應(yīng)對措施。同時，信息行業(yè)主管機構(gòu)也紛紛推出（大數(shù)據(jù)能力成熟度模型，DCMM）和（大數(shù)據(jù)安全成熟度模型，DSMM）等各種信息行業(yè)企業(yè)數(shù)據(jù)資產(chǎn)管理體系和管理制度規(guī)范標(biāo)準(zhǔn)，希望采用標(biāo)準(zhǔn)體系和最佳實踐指導(dǎo)，以及第三方認(rèn)證等手段加速規(guī)范數(shù)據(jù)安全問題的自我管理水平，以控制和減少層出不窮的數(shù)據(jù)安全問題的發(fā)生，以及造成的連帶影響的損失。但是數(shù)據(jù)安全問題的造成需要歸因于長期以來我國信息化建設(shè)的盲點和規(guī)則的遺漏點，單純依靠主管行政管理部門的行政管理手段，企業(yè)貫標(biāo)和第三方標(biāo)準(zhǔn)評測的手段在短期內(nèi)是無法根本解決此類問題的發(fā)生和蔓延的。

數(shù)據(jù)這種信息承載載體的類型和相關(guān)關(guān)系實在是過于復(fù)雜，其數(shù)據(jù)資產(chǎn)識別充分性和保護的效果都十分有限，不能滿足當(dāng)前海量增長的數(shù)據(jù)管理和安全防護的需要，已經(jīng)成為當(dāng)前推動信息化和智能化社會發(fā)展的重大瓶頸。

數(shù)據(jù)尤其是和個人信息相關(guān)的隱私數(shù)據(jù)等。都是數(shù)據(jù)資產(chǎn)中核心的部分。當(dāng)前這些數(shù)據(jù)主要都保存在個人的手機移動終端。等智能設(shè)備，或者需要使用這些數(shù)據(jù)資產(chǎn)的公眾服務(wù)平臺上。對數(shù)據(jù)信息所有者而言，其所有的數(shù)據(jù)資產(chǎn)，尤其是個人隱私等數(shù)據(jù)資產(chǎn)，是無法有效地行使個人的管理權(quán)利的。當(dāng)有組織或者個人想獲取此類數(shù)據(jù)資產(chǎn)，并不是去征得資產(chǎn)所有人的認(rèn)可。而是通過數(shù)據(jù)使用者直接訪問數(shù)據(jù)，資產(chǎn)存儲或者具有使用能力的第三方平臺;同時存在著存儲這些數(shù)據(jù)資產(chǎn)的第三方平臺本身存在著因為疏漏或者根本就是有意識的非法使用這些數(shù)據(jù)資產(chǎn)的意向和行為。這就是當(dāng)前數(shù)據(jù)安全的問題，如此嚴(yán)重的原因。區(qū)域的所有者和數(shù)據(jù)的使用者的管理制度和手段非常不清晰，也無法有效控制數(shù)據(jù)資產(chǎn)的使用范圍和方式。其本質(zhì)是數(shù)據(jù)資產(chǎn)無法管理其內(nèi)容和使用的方式，無法有效的在一定工具的支持下將二者統(tǒng)一進行管理，有效的區(qū)分?jǐn)?shù)據(jù)的使用者和數(shù)據(jù)所有者之間的關(guān)系和使用方式，產(chǎn)生了數(shù)據(jù)資產(chǎn)權(quán)利和使用方式的矛盾和背離，造成了數(shù)據(jù)安全問題的根本原因。

3 ? ? 解決方案說明

本文認(rèn)為當(dāng)前數(shù)據(jù)安全問題的解決需要分成兩個步驟，一個是加強企業(yè)和機構(gòu)內(nèi)部信息化建設(shè)中的數(shù)據(jù)安全建設(shè)需求的實現(xiàn)和應(yīng)用;另一方面，為了不影響現(xiàn)有信息化社會的正常運行，需要提供一種為信息社會局部應(yīng)用提供通用數(shù)據(jù)安全交換的解決方案。這種方案是建立在區(qū)塊鏈技術(shù)的不可篡改性的基礎(chǔ)上實現(xiàn)的。

區(qū)塊鏈本質(zhì)上是一個去中心化的數(shù)據(jù)庫，是一串使用密碼學(xué)方法相關(guān)聯(lián)產(chǎn)生的數(shù)據(jù)塊，每一個數(shù)據(jù)塊中包含了數(shù)據(jù)資產(chǎn)或者交易的信息，用于驗證其信息的有效性和生成下一個區(qū)塊。區(qū)塊鏈技術(shù)有五大特點，分別是“去中心化”、開放及匿名性、不可篡改性、可追溯性和支持可編程智能合約。區(qū)塊鏈技術(shù)的底層技術(shù)框架適用于諸多行業(yè)，對傳統(tǒng)技術(shù)架構(gòu)情況下面臨的困難，其技術(shù)也可以很好地解決，特別是可在保證交易數(shù)據(jù)真實性和安全性的基礎(chǔ)上，實現(xiàn)和管理可信數(shù)據(jù)的產(chǎn)生、存取和使用的模式。實現(xiàn)了在互聯(lián)網(wǎng)范圍內(nèi)行為的真實記錄和管理體系，并產(chǎn)生了和現(xiàn)實社會行為的對照，奠定了和現(xiàn)有真實社會的融合的基礎(chǔ)，現(xiàn)實社會行為規(guī)則也映射到區(qū)塊鏈的管理，運行和審計規(guī)則。以區(qū)塊鏈技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)化和智能化社會的行為模式必將統(tǒng)一，建立面對全社會的數(shù)據(jù)資產(chǎn)使用和管理問題的復(fù)雜解決方案。

本文針對所提出的數(shù)據(jù)安全交接和共享問題，可以使用區(qū)塊鏈的技術(shù)框架，利用區(qū)塊鏈的賬本技術(shù)的透明性，可追溯性，不可抵賴性，自說明和自驅(qū)動的能力，基于區(qū)塊鏈系統(tǒng)技術(shù)架構(gòu)，數(shù)據(jù)資產(chǎn)的區(qū)塊描述手段，構(gòu)建數(shù)據(jù)資產(chǎn)內(nèi)容，級別，授權(quán)和使用一體的技術(shù)平臺和數(shù)據(jù)安全保護的解決方案。其主要內(nèi)容包括：社會應(yīng)用數(shù)據(jù)交換中心，個人或企業(yè)等數(shù)據(jù)資產(chǎn)所有者，數(shù)據(jù)資產(chǎn)的使用者，數(shù)據(jù)資產(chǎn)使用和管理規(guī)則制定機構(gòu)和第三方審計機構(gòu)等構(gòu)成，其相互關(guān)系詳見（圖1：社會數(shù)據(jù)安全共享和交換平臺架構(gòu)圖）：

社會應(yīng)用數(shù)據(jù)中心按照數(shù)據(jù)資產(chǎn)使用和管理規(guī)則制定機構(gòu)設(shè)定的規(guī)則定義社會應(yīng)用使用個人和企業(yè)數(shù)據(jù)資產(chǎn)的級別，范圍和使用方式。負(fù)責(zé)收集、存儲、驗證和管理個人和企業(yè)數(shù)據(jù)的有效性和真實性，負(fù)責(zé)更新和銷毀數(shù)據(jù)確保數(shù)據(jù)安全性，避免遭受信息攻擊和不當(dāng)使用的行為發(fā)生;同時，也要管理數(shù)據(jù)訪問操作范圍和使用方式。同時社會應(yīng)用的數(shù)據(jù)交換中心會對數(shù)據(jù)資產(chǎn)所有者和特定使用者提供對應(yīng)數(shù)據(jù)資產(chǎn)使用和維護的查詢，追溯的權(quán)利和服務(wù)功能。

其次，作為數(shù)據(jù)資產(chǎn)所有者需要遵守數(shù)據(jù)資產(chǎn)使用的法律法規(guī)，將個人或者企業(yè)將通用或者定制的數(shù)據(jù)資產(chǎn)，通過手機，電腦端的智能程序提交給社會應(yīng)用數(shù)據(jù)中心，而且社會應(yīng)用數(shù)據(jù)中心系統(tǒng)上提交數(shù)據(jù)資產(chǎn)時，不僅要提交數(shù)據(jù)資產(chǎn)內(nèi)容，同時需要進行數(shù)據(jù)資產(chǎn)對應(yīng)的使用授權(quán)設(shè)定，用以建立和完善數(shù)據(jù)資產(chǎn)的使用范圍和方式。這種授權(quán)控制的模式是多種的，例如：僅當(dāng)前一次使用，長期授權(quán)，在什么情況下不允許訪問或者取消權(quán)限等多種設(shè)置，使用的收費和特定對象或者條件等;在以后的訪問過程中都會持續(xù)驗證這種設(shè)置，除非數(shù)據(jù)所有者改變了數(shù)據(jù)使用設(shè)置。

再次，需要對數(shù)據(jù)資產(chǎn)使用者現(xiàn)有的信息系統(tǒng)，對敏感數(shù)據(jù)和數(shù)據(jù)信息資產(chǎn)使用的方式進行調(diào)整和升級，對現(xiàn)有信息系統(tǒng)需要使用的數(shù)據(jù)，都需要按照數(shù)據(jù)資產(chǎn)的安全級別以及使用范圍的定義，改變當(dāng)前數(shù)據(jù)資產(chǎn)使用和訪問的規(guī)則。當(dāng)系統(tǒng)訪問數(shù)據(jù)時，不能直接向個人和企業(yè)索要相關(guān)信息，第一次使用時需要通過以上的授權(quán)功能批準(zhǔn)授權(quán)后，從個人在社會應(yīng)用的數(shù)據(jù)交換中心是獲取對應(yīng)的信息，包括信息的內(nèi)容范圍，使用范圍和使用方式，之后才能通過訪問社會應(yīng)用的數(shù)據(jù)交換中心驗證后獲得數(shù)據(jù)資產(chǎn)內(nèi)容;每次數(shù)據(jù)資產(chǎn)使用之后，系統(tǒng)應(yīng)該將沒有獲得數(shù)據(jù)資產(chǎn)所有者授權(quán)的存儲權(quán)限的數(shù)據(jù)資產(chǎn)進行銷毀，并將銷毀提交給社會應(yīng)用數(shù)據(jù)中心變行記錄。允許得到了數(shù)據(jù)資產(chǎn)所有者的授權(quán)，可以在系統(tǒng)中暫時存儲數(shù)據(jù)資產(chǎn)，也需要每次使用時，將使用的信息提交給社會應(yīng)用數(shù)據(jù)中心進行記錄。以便于確認(rèn)數(shù)據(jù)資產(chǎn)的使用情況。

最后，還需要由數(shù)據(jù)資產(chǎn)使用和管理規(guī)則制定機構(gòu)設(shè)立對應(yīng)的數(shù)據(jù)資產(chǎn)使用的法律法規(guī)，授權(quán)和監(jiān)管規(guī)范等，也需要將個人和企業(yè)數(shù)據(jù)資產(chǎn)的使用方式納入今后信息化建設(shè)的基本規(guī)則和約束條件。為了保證隨著社會發(fā)展，數(shù)據(jù)資產(chǎn)使用的方式與時俱進，這個機構(gòu)的工作將持續(xù)進行，所制定的規(guī)則，將在其管轄的聯(lián)盟鏈范圍內(nèi)不定期的更新和維護。其所制定的法規(guī)和規(guī)則也應(yīng)該由第三方審計機構(gòu)進行定期審計和維護，確保這個規(guī)則體系的有效運行。

這個系統(tǒng)所進行的數(shù)據(jù)資產(chǎn)的輸入輸出操作，都采用對應(yīng)的數(shù)據(jù)加密的傳輸算法，對于個別的數(shù)據(jù)應(yīng)用可以使用通過授權(quán)認(rèn)證的數(shù)據(jù)脫敏的技術(shù)，確保在數(shù)據(jù)傳輸過程中的相關(guān)信息不能夠被第三方獲取而造成數(shù)據(jù)安全信息。平臺上所進行的主要的業(yè)務(wù)，都需要具備對應(yīng)的追溯功能，確保數(shù)據(jù)在不當(dāng)使用的情況下，都能夠及時有效的進行信息安全操作的責(zé)任追溯。最大化的控制和管理數(shù)據(jù)安全事件的發(fā)生，并最小化的減少事件所造成的影響。

在這個系統(tǒng)中所有的數(shù)據(jù)都采用區(qū)塊鏈的方式進行采集，存儲和使用，所有者使用方式以及相關(guān)其他操作條件給記錄和說明，系統(tǒng)每次對數(shù)據(jù)資產(chǎn)的使用都必須審核數(shù)據(jù)資產(chǎn)記錄中限定的要求，只有滿足了這些要求之后，才通過平臺提取數(shù)據(jù)資產(chǎn)的內(nèi)容，并根據(jù)使用規(guī)則交給特定有授權(quán)的數(shù)據(jù)資產(chǎn)使用者使用，并將此過程記錄在系統(tǒng)中，以便于后期查詢和追溯。

這種新型架構(gòu)和對應(yīng)的個人和企業(yè)數(shù)據(jù)資產(chǎn)使用的方式，基于區(qū)塊鏈技術(shù)的有效能力，把個人和企業(yè)的數(shù)據(jù)資產(chǎn)看成一個可以自我管理和控制的委托存儲對象，并將管理職責(zé)授權(quán)給具有數(shù)據(jù)資產(chǎn)安全管理的社會第三方機構(gòu)-社會應(yīng)用數(shù)據(jù)中心進行統(tǒng)一托管并提供有驗證的數(shù)據(jù)使用服務(wù)?；谏鐣?shù)據(jù)資產(chǎn)管理規(guī)則以及個人使用授權(quán)管理機制，將數(shù)據(jù)資產(chǎn)的使用規(guī)范成為一項定制化的服務(wù)，提供給數(shù)據(jù)資產(chǎn)所有者及使用者有效授權(quán)控制的互動功能。使數(shù)據(jù)資產(chǎn)的使用成為一個可以被定義，管理，控制，追蹤和可追溯的活動，將有效的避免數(shù)據(jù)泄漏和不當(dāng)使用的問題泛濫發(fā)生的情況，以及所造成的巨大社會負(fù)面影響和連帶個人和企業(yè)的經(jīng)濟損失。

4 ? ? 結(jié)束語

本文通過給當(dāng)前社會上發(fā)生的數(shù)據(jù)資產(chǎn)安全問題提出了一種基于區(qū)塊鏈技術(shù)框架的社會統(tǒng)一數(shù)據(jù)資產(chǎn)管理平臺的解決方案。在方案中改變了當(dāng)前個人和企業(yè)數(shù)據(jù)資產(chǎn)使用的方式，將數(shù)據(jù)資產(chǎn)作為委托對象提交給社會應(yīng)用數(shù)據(jù)中心，成為其托管的資產(chǎn)對象的解決方式。在此基礎(chǔ)之上可以有效的規(guī)避數(shù)據(jù)泄露和不當(dāng)使用。本方案可以有效的解決和方范當(dāng)前的數(shù)據(jù)安全問題的發(fā)生和由此引發(fā)的社會損失，幫助社會深入進行和諧穩(wěn)定的社會主義社會建設(shè)目標(biāo)的達成。

參考文獻：

[1] 蔡鵬華 區(qū)塊鏈技術(shù)在征信領(lǐng)域的應(yīng)用探析[J] 時代金融 2019年10期

[2] 董成東 區(qū)塊鏈在互聯(lián)網(wǎng)金融征信領(lǐng)域的運用分析[J] 智富時代 2019年01期

[3] 吳迪 區(qū)塊鏈技術(shù)在金融業(yè)的應(yīng)用[J] 納稅 2018年24期

[4] 楊博涵 試論區(qū)塊鏈技術(shù)在金融業(yè)發(fā)展的影響[J] 時代經(jīng)貿(mào) 2018年14期

[5] 連國華 企業(yè)信息資產(chǎn)的識別和保護研究[J] ?光盤技術(shù) 2009年10月

[6] 鄧柯 區(qū)塊鏈技術(shù)的實質(zhì)、落地條件和應(yīng)用前景[J] 深圳大學(xué)學(xué)報（人文社會科學(xué)版） 2018年04期