基于區(qū)塊鏈技術(shù)的企業(yè)數(shù)據(jù)安全交換和共享方法研究

關(guān)鍵詞：區(qū)塊鏈;數(shù)據(jù)安全，數(shù)據(jù)資產(chǎn)管理，數(shù)據(jù)資產(chǎn)交換和共享

1 ? ? 概述

數(shù)據(jù)安全，是指通過(guò)采取必要措施，保障數(shù)據(jù)得到有效保護(hù)和合法利用，并持續(xù)處于安全狀態(tài)的能力。維護(hù)數(shù)據(jù)安全，應(yīng)當(dāng)堅(jiān)持總體國(guó)家安全觀(guān)，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。

隨著現(xiàn)代信息化建設(shè)和互聯(lián)網(wǎng)應(yīng)用不斷的普及，人們已經(jīng)習(xí)慣并依賴(lài)使用信息系統(tǒng)來(lái)進(jìn)行生活和工作，這種網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)應(yīng)用的深度化的狀態(tài)也產(chǎn)生了新的問(wèn)題和挑戰(zhàn)。信息和數(shù)據(jù)作為現(xiàn)代信息化社會(huì)最重要的資產(chǎn)，是數(shù)據(jù)所有人在當(dāng)今社會(huì)中的重要權(quán)利和資產(chǎn)組成部分。大數(shù)據(jù)的廣泛應(yīng)用，帶來(lái)便捷的同時(shí)也伴隨著隱患，導(dǎo)致我國(guó)的信息安全中數(shù)據(jù)安全問(wèn)題發(fā)生的越來(lái)越多，嚴(yán)重侵害了數(shù)據(jù)擁有的企業(yè)和個(gè)人的基本權(quán)利和利益。近期發(fā)生了滴滴泄漏中國(guó)用戶(hù)信息的數(shù)據(jù)安全問(wèn)題，以及阿里巴巴發(fā)現(xiàn)系統(tǒng)重大Bug（Apache log4j2漏洞）而沒(méi)有匯報(bào)給中國(guó)相關(guān)主管政府和行業(yè)協(xié)會(huì)，導(dǎo)致國(guó)內(nèi)的信息系統(tǒng)在至少半個(gè)月的時(shí)間內(nèi)處于不設(shè)防的重大信息安全管理問(wèn)題出現(xiàn)，對(duì)國(guó)內(nèi)社會(huì)高度信息化背景下的數(shù)據(jù)安全管理體系敲響了警鐘。隨著此類(lèi)問(wèn)題出不窮。個(gè)人和企業(yè)的數(shù)據(jù)資產(chǎn)保護(hù)的問(wèn)題，已經(jīng)到了非要解決的時(shí)候。

2 ? ? 問(wèn)題分析和提出

我國(guó)為了保障信息社會(huì)的數(shù)據(jù)安全，在歐洲的數(shù)據(jù)安全法（通用數(shù)據(jù)保護(hù)條例，GDPR）之后，于2020年6月28日推出了《中華人民共和國(guó)數(shù)據(jù)安全法》，以及《個(gè)人信息保護(hù)法》，《私營(yíng)部門(mén)的模型數(shù)據(jù)保護(hù)條例》，《互聯(lián)網(wǎng)消費(fèi)者個(gè)人信息和通信保護(hù)的電子商務(wù)條例》等法律法規(guī)為代表的一系列法律法規(guī)。2021年12月22日，為貫徹落實(shí)《中華人民共和國(guó)數(shù)據(jù)安全法》等法律法規(guī)，加強(qiáng)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)信息獲取、分析、研判和預(yù)警工作，及時(shí)掌握工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全整體態(tài)勢(shì)，提高數(shù)據(jù)安全風(fēng)險(xiǎn)處置能力，工業(yè)和信息化部研究起草了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)信息報(bào)送與共享工作指引（試行）（征求意見(jiàn)稿）》面向社會(huì)公開(kāi)征求意見(jiàn)。近日，國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、公安部、國(guó)家安全部、財(cái)政部、商務(wù)部、中國(guó)人民銀行、國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家廣播電視總局、中國(guó)證券監(jiān)督管理委員會(huì)、國(guó)家保密局、國(guó)家密碼管理局等十三部門(mén)聯(lián)合修訂發(fā)布《網(wǎng)絡(luò)安全審查辦法》，自2022年2月15日起施行。這是我國(guó)信息產(chǎn)業(yè)領(lǐng)域主管政府為了防范不斷發(fā)生的信息安全問(wèn)題中最難以防范和解決的數(shù)據(jù)安全問(wèn)題的惡化做出的制度性的應(yīng)對(duì)措施。同時(shí)，信息行業(yè)主管機(jī)構(gòu)也紛紛推出（大數(shù)據(jù)能力成熟度模型，DCMM）和（大數(shù)據(jù)安全成熟度模型，DSMM）等各種信息行業(yè)企業(yè)數(shù)據(jù)資產(chǎn)管理體系和管理制度規(guī)范標(biāo)準(zhǔn)，希望采用標(biāo)準(zhǔn)體系和最佳實(shí)踐指導(dǎo)，以及第三方認(rèn)證等手段加速規(guī)范數(shù)據(jù)安全問(wèn)題的自我管理水平，以控制和減少層出不窮的數(shù)據(jù)安全問(wèn)題的發(fā)生，以及造成的連帶影響的損失。但是數(shù)據(jù)安全問(wèn)題的造成需要?dú)w因于長(zhǎng)期以來(lái)我國(guó)信息化建設(shè)的盲點(diǎn)和規(guī)則的遺漏點(diǎn)，單純依靠主管行政管理部門(mén)的行政管理手段，企業(yè)貫標(biāo)和第三方標(biāo)準(zhǔn)評(píng)測(cè)的手段在短期內(nèi)是無(wú)法根本解決此類(lèi)問(wèn)題的發(fā)生和蔓延的。

數(shù)據(jù)這種信息承載載體的類(lèi)型和相關(guān)關(guān)系實(shí)在是過(guò)于復(fù)雜，其數(shù)據(jù)資產(chǎn)識(shí)別充分性和保護(hù)的效果都十分有限，不能滿(mǎn)足當(dāng)前海量增長(zhǎng)的數(shù)據(jù)管理和安全防護(hù)的需要，已經(jīng)成為當(dāng)前推動(dòng)信息化和智能化社會(huì)發(fā)展的重大瓶頸。

數(shù)據(jù)尤其是和個(gè)人信息相關(guān)的隱私數(shù)據(jù)等。都是數(shù)據(jù)資產(chǎn)中核心的部分。當(dāng)前這些數(shù)據(jù)主要都保存在個(gè)人的手機(jī)移動(dòng)終端。等智能設(shè)備，或者需要使用這些數(shù)據(jù)資產(chǎn)的公眾服務(wù)平臺(tái)上。對(duì)數(shù)據(jù)信息所有者而言，其所有的數(shù)據(jù)資產(chǎn)，尤其是個(gè)人隱私等數(shù)據(jù)資產(chǎn)，是無(wú)法有效地行使個(gè)人的管理權(quán)利的。當(dāng)有組織或者個(gè)人想獲取此類(lèi)數(shù)據(jù)資產(chǎn)，并不是去征得資產(chǎn)所有人的認(rèn)可。而是通過(guò)數(shù)據(jù)使用者直接訪(fǎng)問(wèn)數(shù)據(jù)，資產(chǎn)存儲(chǔ)或者具有使用能力的第三方平臺(tái);同時(shí)存在著存儲(chǔ)這些數(shù)據(jù)資產(chǎn)的第三方平臺(tái)本身存在著因?yàn)槭杪┗蛘吒揪褪怯幸庾R(shí)的非法使用這些數(shù)據(jù)資產(chǎn)的意向和行為。這就是當(dāng)前數(shù)據(jù)安全的問(wèn)題，如此嚴(yán)重的原因。區(qū)域的所有者和數(shù)據(jù)的使用者的管理制度和手段非常不清晰，也無(wú)法有效控制數(shù)據(jù)資產(chǎn)的使用范圍和方式。其本質(zhì)是數(shù)據(jù)資產(chǎn)無(wú)法管理其內(nèi)容和使用的方式，無(wú)法有效的在一定工具的支持下將二者統(tǒng)一進(jìn)行管理，有效的區(qū)分?jǐn)?shù)據(jù)的使用者和數(shù)據(jù)所有者之間的關(guān)系和使用方式，產(chǎn)生了數(shù)據(jù)資產(chǎn)權(quán)利和使用方式的矛盾和背離，造成了數(shù)據(jù)安全問(wèn)題的根本原因。

3 ? ? 解決方案說(shuō)明

本文認(rèn)為當(dāng)前數(shù)據(jù)安全問(wèn)題的解決需要分成兩個(gè)步驟，一個(gè)是加強(qiáng)企業(yè)和機(jī)構(gòu)內(nèi)部信息化建設(shè)中的數(shù)據(jù)安全建設(shè)需求的實(shí)現(xiàn)和應(yīng)用;另一方面，為了不影響現(xiàn)有信息化社會(huì)的正常運(yùn)行，需要提供一種為信息社會(huì)局部應(yīng)用提供通用數(shù)據(jù)安全交換的解決方案。這種方案是建立在區(qū)塊鏈技術(shù)的不可篡改性的基礎(chǔ)上實(shí)現(xiàn)的。

區(qū)塊鏈本質(zhì)上是一個(gè)去中心化的數(shù)據(jù)庫(kù)，是一串使用密碼學(xué)方法相關(guān)聯(lián)產(chǎn)生的數(shù)據(jù)塊，每一個(gè)數(shù)據(jù)塊中包含了數(shù)據(jù)資產(chǎn)或者交易的信息，用于驗(yàn)證其信息的有效性和生成下一個(gè)區(qū)塊。區(qū)塊鏈技術(shù)有五大特點(diǎn)，分別是“去中心化”、開(kāi)放及匿名性、不可篡改性、可追溯性和支持可編程智能合約。區(qū)塊鏈技術(shù)的底層技術(shù)框架適用于諸多行業(yè)，對(duì)傳統(tǒng)技術(shù)架構(gòu)情況下面臨的困難，其技術(shù)也可以很好地解決，特別是可在保證交易數(shù)據(jù)真實(shí)性和安全性的基礎(chǔ)上，實(shí)現(xiàn)和管理可信數(shù)據(jù)的產(chǎn)生、存取和使用的模式。實(shí)現(xiàn)了在互聯(lián)網(wǎng)范圍內(nèi)行為的真實(shí)記錄和管理體系，并產(chǎn)生了和現(xiàn)實(shí)社會(huì)行為的對(duì)照，奠定了和現(xiàn)有真實(shí)社會(huì)的融合的基礎(chǔ)，現(xiàn)實(shí)社會(huì)行為規(guī)則也映射到區(qū)塊鏈的管理，運(yùn)行和審計(jì)規(guī)則。以區(qū)塊鏈技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)化和智能化社會(huì)的行為模式必將統(tǒng)一，建立面對(duì)全社會(huì)的數(shù)據(jù)資產(chǎn)使用和管理問(wèn)題的復(fù)雜解決方案。

本文針對(duì)所提出的數(shù)據(jù)安全交接和共享問(wèn)題，可以使用區(qū)塊鏈的技術(shù)框架，利用區(qū)塊鏈的賬本技術(shù)的透明性，可追溯性，不可抵賴(lài)性，自說(shuō)明和自驅(qū)動(dòng)的能力，基于區(qū)塊鏈系統(tǒng)技術(shù)架構(gòu)，數(shù)據(jù)資產(chǎn)的區(qū)塊描述手段，構(gòu)建數(shù)據(jù)資產(chǎn)內(nèi)容，級(jí)別，授權(quán)和使用一體的技術(shù)平臺(tái)和數(shù)據(jù)安全保護(hù)的解決方案。其主要內(nèi)容包括：社會(huì)應(yīng)用數(shù)據(jù)交換中心，個(gè)人或企業(yè)等數(shù)據(jù)資產(chǎn)所有者，數(shù)據(jù)資產(chǎn)的使用者，數(shù)據(jù)資產(chǎn)使用和管理規(guī)則制定機(jī)構(gòu)和第三方審計(jì)機(jī)構(gòu)等構(gòu)成，其相互關(guān)系詳見(jiàn)（圖1：社會(huì)數(shù)據(jù)安全共享和交換平臺(tái)架構(gòu)圖）：

社會(huì)應(yīng)用數(shù)據(jù)中心按照數(shù)據(jù)資產(chǎn)使用和管理規(guī)則制定機(jī)構(gòu)設(shè)定的規(guī)則定義社會(huì)應(yīng)用使用個(gè)人和企業(yè)數(shù)據(jù)資產(chǎn)的級(jí)別，范圍和使用方式。負(fù)責(zé)收集、存儲(chǔ)、驗(yàn)證和管理個(gè)人和企業(yè)數(shù)據(jù)的有效性和真實(shí)性，負(fù)責(zé)更新和銷(xiāo)毀數(shù)據(jù)確保數(shù)據(jù)安全性，避免遭受信息攻擊和不當(dāng)使用的行為發(fā)生;同時(shí)，也要管理數(shù)據(jù)訪(fǎng)問(wèn)操作范圍和使用方式。同時(shí)社會(huì)應(yīng)用的數(shù)據(jù)交換中心會(huì)對(duì)數(shù)據(jù)資產(chǎn)所有者和特定使用者提供對(duì)應(yīng)數(shù)據(jù)資產(chǎn)使用和維護(hù)的查詢(xún)，追溯的權(quán)利和服務(wù)功能。

其次，作為數(shù)據(jù)資產(chǎn)所有者需要遵守?cái)?shù)據(jù)資產(chǎn)使用的法律法規(guī)，將個(gè)人或者企業(yè)將通用或者定制的數(shù)據(jù)資產(chǎn)，通過(guò)手機(jī)，電腦端的智能程序提交給社會(huì)應(yīng)用數(shù)據(jù)中心，而且社會(huì)應(yīng)用數(shù)據(jù)中心系統(tǒng)上提交數(shù)據(jù)資產(chǎn)時(shí)，不僅要提交數(shù)據(jù)資產(chǎn)內(nèi)容，同時(shí)需要進(jìn)行數(shù)據(jù)資產(chǎn)對(duì)應(yīng)的使用授權(quán)設(shè)定，用以建立和完善數(shù)據(jù)資產(chǎn)的使用范圍和方式。這種授權(quán)控制的模式是多種的，例如：僅當(dāng)前一次使用，長(zhǎng)期授權(quán)，在什么情況下不允許訪(fǎng)問(wèn)或者取消權(quán)限等多種設(shè)置，使用的收費(fèi)和特定對(duì)象或者條件等;在以后的訪(fǎng)問(wèn)過(guò)程中都會(huì)持續(xù)驗(yàn)證這種設(shè)置，除非數(shù)據(jù)所有者改變了數(shù)據(jù)使用設(shè)置。

再次，需要對(duì)數(shù)據(jù)資產(chǎn)使用者現(xiàn)有的信息系統(tǒng)，對(duì)敏感數(shù)據(jù)和數(shù)據(jù)信息資產(chǎn)使用的方式進(jìn)行調(diào)整和升級(jí)，對(duì)現(xiàn)有信息系統(tǒng)需要使用的數(shù)據(jù)，都需要按照數(shù)據(jù)資產(chǎn)的安全級(jí)別以及使用范圍的定義，改變當(dāng)前數(shù)據(jù)資產(chǎn)使用和訪(fǎng)問(wèn)的規(guī)則。當(dāng)系統(tǒng)訪(fǎng)問(wèn)數(shù)據(jù)時(shí)，不能直接向個(gè)人和企業(yè)索要相關(guān)信息，第一次使用時(shí)需要通過(guò)以上的授權(quán)功能批準(zhǔn)授權(quán)后，從個(gè)人在社會(huì)應(yīng)用的數(shù)據(jù)交換中心是獲取對(duì)應(yīng)的信息，包括信息的內(nèi)容范圍，使用范圍和使用方式，之后才能通過(guò)訪(fǎng)問(wèn)社會(huì)應(yīng)用的數(shù)據(jù)交換中心驗(yàn)證后獲得數(shù)據(jù)資產(chǎn)內(nèi)容;每次數(shù)據(jù)資產(chǎn)使用之后，系統(tǒng)應(yīng)該將沒(méi)有獲得數(shù)據(jù)資產(chǎn)所有者授權(quán)的存儲(chǔ)權(quán)限的數(shù)據(jù)資產(chǎn)進(jìn)行銷(xiāo)毀，并將銷(xiāo)毀提交給社會(huì)應(yīng)用數(shù)據(jù)中心變行記錄。允許得到了數(shù)據(jù)資產(chǎn)所有者的授權(quán)，可以在系統(tǒng)中暫時(shí)存儲(chǔ)數(shù)據(jù)資產(chǎn)，也需要每次使用時(shí)，將使用的信息提交給社會(huì)應(yīng)用數(shù)據(jù)中心進(jìn)行記錄。以便于確認(rèn)數(shù)據(jù)資產(chǎn)的使用情況。

最后，還需要由數(shù)據(jù)資產(chǎn)使用和管理規(guī)則制定機(jī)構(gòu)設(shè)立對(duì)應(yīng)的數(shù)據(jù)資產(chǎn)使用的法律法規(guī)，授權(quán)和監(jiān)管規(guī)范等，也需要將個(gè)人和企業(yè)數(shù)據(jù)資產(chǎn)的使用方式納入今后信息化建設(shè)的基本規(guī)則和約束條件。為了保證隨著社會(huì)發(fā)展，數(shù)據(jù)資產(chǎn)使用的方式與時(shí)俱進(jìn)，這個(gè)機(jī)構(gòu)的工作將持續(xù)進(jìn)行，所制定的規(guī)則，將在其管轄的聯(lián)盟鏈范圍內(nèi)不定期的更新和維護(hù)。其所制定的法規(guī)和規(guī)則也應(yīng)該由第三方審計(jì)機(jī)構(gòu)進(jìn)行定期審計(jì)和維護(hù)，確保這個(gè)規(guī)則體系的有效運(yùn)行。

這個(gè)系統(tǒng)所進(jìn)行的數(shù)據(jù)資產(chǎn)的輸入輸出操作，都采用對(duì)應(yīng)的數(shù)據(jù)加密的傳輸算法，對(duì)于個(gè)別的數(shù)據(jù)應(yīng)用可以使用通過(guò)授權(quán)認(rèn)證的數(shù)據(jù)脫敏的技術(shù)，確保在數(shù)據(jù)傳輸過(guò)程中的相關(guān)信息不能夠被第三方獲取而造成數(shù)據(jù)安全信息。平臺(tái)上所進(jìn)行的主要的業(yè)務(wù)，都需要具備對(duì)應(yīng)的追溯功能，確保數(shù)據(jù)在不當(dāng)使用的情況下，都能夠及時(shí)有效的進(jìn)行信息安全操作的責(zé)任追溯。最大化的控制和管理數(shù)據(jù)安全事件的發(fā)生，并最小化的減少事件所造成的影響。

在這個(gè)系統(tǒng)中所有的數(shù)據(jù)都采用區(qū)塊鏈的方式進(jìn)行采集，存儲(chǔ)和使用，所有者使用方式以及相關(guān)其他操作條件給記錄和說(shuō)明，系統(tǒng)每次對(duì)數(shù)據(jù)資產(chǎn)的使用都必須審核數(shù)據(jù)資產(chǎn)記錄中限定的要求，只有滿(mǎn)足了這些要求之后，才通過(guò)平臺(tái)提取數(shù)據(jù)資產(chǎn)的內(nèi)容，并根據(jù)使用規(guī)則交給特定有授權(quán)的數(shù)據(jù)資產(chǎn)使用者使用，并將此過(guò)程記錄在系統(tǒng)中，以便于后期查詢(xún)和追溯。

這種新型架構(gòu)和對(duì)應(yīng)的個(gè)人和企業(yè)數(shù)據(jù)資產(chǎn)使用的方式，基于區(qū)塊鏈技術(shù)的有效能力，把個(gè)人和企業(yè)的數(shù)據(jù)資產(chǎn)看成一個(gè)可以自我管理和控制的委托存儲(chǔ)對(duì)象，并將管理職責(zé)授權(quán)給具有數(shù)據(jù)資產(chǎn)安全管理的社會(huì)第三方機(jī)構(gòu)-社會(huì)應(yīng)用數(shù)據(jù)中心進(jìn)行統(tǒng)一托管并提供有驗(yàn)證的數(shù)據(jù)使用服務(wù)。基于社會(huì)數(shù)據(jù)資產(chǎn)管理規(guī)則以及個(gè)人使用授權(quán)管理機(jī)制，將數(shù)據(jù)資產(chǎn)的使用規(guī)范成為一項(xiàng)定制化的服務(wù)，提供給數(shù)據(jù)資產(chǎn)所有者及使用者有效授權(quán)控制的互動(dòng)功能。使數(shù)據(jù)資產(chǎn)的使用成為一個(gè)可以被定義，管理，控制，追蹤和可追溯的活動(dòng)，將有效的避免數(shù)據(jù)泄漏和不當(dāng)使用的問(wèn)題泛濫發(fā)生的情況，以及所造成的巨大社會(huì)負(fù)面影響和連帶個(gè)人和企業(yè)的經(jīng)濟(jì)損失。

4 ? ? 結(jié)束語(yǔ)

本文通過(guò)給當(dāng)前社會(huì)上發(fā)生的數(shù)據(jù)資產(chǎn)安全問(wèn)題提出了一種基于區(qū)塊鏈技術(shù)框架的社會(huì)統(tǒng)一數(shù)據(jù)資產(chǎn)管理平臺(tái)的解決方案。在方案中改變了當(dāng)前個(gè)人和企業(yè)數(shù)據(jù)資產(chǎn)使用的方式，將數(shù)據(jù)資產(chǎn)作為委托對(duì)象提交給社會(huì)應(yīng)用數(shù)據(jù)中心，成為其托管的資產(chǎn)對(duì)象的解決方式。在此基礎(chǔ)之上可以有效的規(guī)避數(shù)據(jù)泄露和不當(dāng)使用。本方案可以有效的解決和方范當(dāng)前的數(shù)據(jù)安全問(wèn)題的發(fā)生和由此引發(fā)的社會(huì)損失，幫助社會(huì)深入進(jìn)行和諧穩(wěn)定的社會(huì)主義社會(huì)建設(shè)目標(biāo)的達(dá)成。

參考文獻(xiàn)：

[1] 蔡鵬華 區(qū)塊鏈技術(shù)在征信領(lǐng)域的應(yīng)用探析[J] 時(shí)代金融 2019年10期

[2] 董成東 區(qū)塊鏈在互聯(lián)網(wǎng)金融征信領(lǐng)域的運(yùn)用分析[J] 智富時(shí)代 2019年01期

[3] 吳迪 區(qū)塊鏈技術(shù)在金融業(yè)的應(yīng)用[J] 納稅 2018年24期

[4] 楊博涵 試論區(qū)塊鏈技術(shù)在金融業(yè)發(fā)展的影響[J] 時(shí)代經(jīng)貿(mào) 2018年14期

[5] 連國(guó)華 企業(yè)信息資產(chǎn)的識(shí)別和保護(hù)研究[J] ?光盤(pán)技術(shù) 2009年10月

[6] 鄧柯 區(qū)塊鏈技術(shù)的實(shí)質(zhì)、落地條件和應(yīng)用前景[J] 深圳大學(xué)學(xué)報(bào)（人文社會(huì)科學(xué)版） 2018年04期