Chaincomp的博客

北京炼石网络技术有限公司是一家以“免改造”为创新特色的数据安全产品厂商，国家级专精特新“小巨人”企业，自研可灵活挂载多重安全能力的免改造平台，帮政企客户打造领先的数据安全保护体系，同时敏捷交付国密合规改造。可针对数据在不同处理环节的免改造控制面，施加防绕过动态保护，实现横向可覆盖广泛应用，纵向可叠加多阶安全能力。本产品涉及大量的前沿技术，包括免改造数据安全技术、轻量级密钥管理技术、弹性高效的密码计算技术、多样化的安全认证协议技术等，这些技术在各行业的实施过程中可以得到充分的验证和检验。

包括《工业数据分类分级指南（试行）》《工业领域数据安全能力提升实施方案（2024-2026年）》《工业和信息化领域数据安全管理办法（试行）》《工业和信息化领域数据安全风险评估实施细则（试行）》《工业和信息化领域数据安全事件应急预案（试行）》《工业和信息化领域数据安全风险信息报送与共享工作指引（试行）》《工业和信息化领域数据安全行政处罚裁量指引》《工业和信息化领域数据安全合规指引》等。，加强工业互联网安全工作相关考核激励，建设工业互联网安全资源池，壮大属地安全支撑服务力量。，赋能工业领域的网络安全管理；

炼石收集整理了《网络信息内容生态治理规定》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《互联网信息服务管理办法》等相关文件以供下载参考。《标识办法》聚焦人工智能“生成合成内容标识”关键点，通过标识提醒用户辨别虚假信息，明确相关服务主体的标识责任义务，规范内容制作、传播各环节标识行为，为了让读者更全面了解生成式人工智能内容安全管理的细节，炼石在深入解读《标识办法》的基础上，技术落地维度上，扩展解读了。

数据分类分级是数据安全治理和有效利用的基础环节，是数据要素公平有序、安全有效流通的重要保障。《数据安全法》第21条规定，国家建立数据分类分级保护制度，对数据实行分类分级保护。《网络数据安全管理条例》明确提出，各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的网络数据进行重点保护。为了更好地实施这一制度，国家标准《数据安全技术 数据分类分级规则》（GB/T43697-2024）提供了数据分类分级的通用规则，为数据分类分级管理工作的落地执行提供了重要

全域全方位推进“人工智能+”、“量子技术+”、“数据要素×”等系统工程，为宁夏发展插上智慧的翅膀。深化“人工智能＋”“数据要素×”行动，建立联网调度、普惠易用、绿色安全的全省一体化绿色算力资源公共服务平台，全面提升“数据援青”能级，丰富拓展智算、超算、大模型、数据标注中心、中试场等业态，提高绿色算力资源利用率，打造高价值、可复制、能推广的绿色算电协同示范场景和应用，着力培育全产业链生态圈，推动绿色算电“双向奔赴”、实体经济和数字经济深度融合，乘“数”而上、驾“云”前行，迈进更加美好的“数字未来”。

炼石产品全面兼容鲲鹏、龙芯、申威、飞腾、盘古、海光、麒麟、兆芯等国产CPU平台，适配了麒麟、统信、方德等国产OS平台，支持达梦、柏睿、PolarDB、TDSQL、瀚高、虚谷、南大通用、海盒、金仓、海量、万里、优炫等国产数据库，从数据收集、存储、使用、加工、传输、提供、公开等全生命周期对数据有效防护，以及专业数据安全保障服务，大幅降低安全与业务的融合成本，实现密码与数据安全能力的一体化交付，形成防绕过的数据安全实战保护机制。采用密码产品的目的就是将密码技术在各种应用场景中发挥作用，达到安全防护的目标。

驻足回望，2024年的数据安全行业发展步入“提速期”。与时代同行，炼石在密码与数据安全这片沃土上深耕细作，既是不懈追求产品技术创新的探索者，也是积极推动行业知识传播的先行者，见证并参与了行业的每一次跃迁。这一年，炼石以政策汇总为基，以法规解读为引，以观点升级为翼，输出了一系列原创文稿，为行业发展贡献炼石智慧。愿我们在新的一年里，继续携手同行，共促数据安全行业高质量发展，迈进更加美好的“数字未来”。本文撰写过程中，为便于技术说明和涵义解释，引用了一系列的参考文献，内容如有侵权，请联系本公司修改或删除。

网络与数据安全立法革新，筑牢国家安全发展根基。随着我国数字经济建设的快速推进，网络与数据安全立法不断加速，从最初的单点突破，逐步发展为全面覆盖、系统完善的体系，为我国数字经济的健康发展筑牢了坚实的法治根基。2024年9月30日，国务院发布《网络数据安全管理条例》，自2025年1月1日起施行，标志着我国形成了以《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律为核心，以行政法规、部门规章为依托，地方性法规、地方规章为抓手，国家标准为指南的数据安全法规保障体系。法与时移，数据安全法制化步入 “飞速

办法》落实数据安全责任制，明确数据安全归口管理部门，将数据安全风险纳入全面风险管理体系，强化数据安全评估，建立数据安全保护基线，构建了一个多维度、立体化的数据安全管理框架。2024年12月27日，国家金融监督管理总局发布《银行保险机构数据安全管理办法》（以下简称“办法”），《办法》作为国家金融监督管理总局成立后的首部数据安全立法，旨在充分发挥监管的“指挥棒”作用，通过强化政策要求引导银行保险机构压实主体责任，完善内部机制，采取有效管理和技术措施加强数据安全保护，确保客户信息和金融交易数据安全。

炼石参考工信部《电信和互联网行业数据安全标准体系建设指南》对标准的分类方法，结合《数据安全法》《个人信息保护法》《密码法》等法规，尝试对电信和互联网数据安全标准进行归类分析，包含基础共性、关键技术、安全管理和重点领域等4项一级分类，以及19项二级分类、24项三级分类，并绘制《254项电信与互联网数据安全标准全景图（2024版）》，以供行业用户在安全建设中面临相关应用需求时，可快速查询该领域适用的数据安全标准，指导研发和建设工作的正确开展。安全发展、标准先行，标准化工作是保障电信和互联网数据安全的重要基础。

该标准围绕多方数据共享服务的数据安全构建技术框架，明确适用范围及术语，阐述服务概述，提出基本安全建议，详细规定数据提供方、服务运营方、数据使用方的安全措施，涵盖数据全生命周期各环节，同时通过典型场景应用指导，全面保障数据在共享服务中的安全可控，推动数据合法合规共享利用，适应行业发展与合规需求，促进多方数据共享服务健康有序发展。接收方使用数据的有效期如何控制？数据不得不共享的前提下，必须从技术上实现对合作伙伴使用数据的行为进行控制，防止数据滥用、防止数据泄露给第三方，维护数据所有者的利益。

该标准明确了工业数据、数据脱敏、动静态数据脱敏、脱敏算法等术语定义，将工业数据脱敏产品划分为工业数据源自动发现功能、敏感数据梳理识别、脱敏计划管理、脱敏任务执行、脱敏结果管理、应用展示及安全管理等基本模块功能，并从安全功能、应用场景和安全管理三个维度就工业数据脱敏的产品技术要求和测评方法进行了细致规定。炼石免改造数据脱敏产品内置动态脱敏和静态脱敏模块，能够在用户实时访问数据时，根据其权限级别自动对敏感信息进行脱敏处理，确保只有授权用户才能看到未脱敏的原始数据，在保护隐私的同时，支持业务的连续运行。

商用密码应用安全性评估测评实施指引》文件主要依据GB/T 43206—2023《信息安全技术 信息系统密码应用测评要求》和 GM/T 0116—2021《信息系统密码应用测评过程指南》，结合密码应用技术和管理测评指标，重点给出测评对象确定、测评方式推荐、测评实施操作说明、取证结果说明等内容，对商用密码应用安全性评估的测评实施工作提供指导。在本文件的基础上，评估方可结合有关领域与行业的业务场景和密码应用情况来制定相应的商用密码应用安全性评估作业指导文件。

炼石免改造数据安全产品，凭借技术创新点和金融应用案例，荣获“金帽子”年度优秀金融行业解决方案奖。此项荣誉的获得，体现了业界对炼石在金融数据安全领域深入研究与技术革新的认可。

文中所载的材料和信息，包括但不限于文本、图片、数据、观点、建议等各种形式，不能替代律师出具的法律意见。在顶层规划中，围绕医疗数据的有效保护和合法利用，我国医疗行业形成了以总体国家安全观为指导，以《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律为核心驱动，以《网络安全等级保护条例（征）》《关键信息基础设施安全保护条例》《商用密码管理条例》《网络数据安全管理条例（征）》等条例为抓手的数据安全保障体系，通过赋予数据发展和应用权利，明确数据安全保护义务，要求数据相关方落实安全责任和监管职责。

另一方面，面向运维重构数据边界，没有任何人能从应用后台获取敏感数据明文信息，打造安全机制与业务处理紧密融合的实战化数据防护体系，在数据收集、存储、使用、加工、传输、提供等数据流通各环节提供有效数据保护，增强数据流通相关主体的数据安全能力，保障政务、金融、教育、医疗、文旅、电信等行业数据流通安全。跨域数据管控平台从技术上有效控制合作伙伴的数据使用行为，解决数据流通过程中存在的使用方数据滥用、数据非法外发第三方、有效期内数据管控难等问题，实现离线场景“数据可见不可转”，在线场景“数据可用不可转”。

数据入表围绕数据资产会计核算的全过程，重点从“数据资产确认—数据资产评估—数据资产计量—数据资产披露”四个环节，提出数据资产会计核算的制度安排和技术路径。其中，数据资产评估作为落实数据入表的前提，是推动数据资产交易不可或缺的重要环节，也是揭示数据资产价值的重要标尺。“数据资源入表”作为发挥数据基础资源作用和创新引擎作用的重要支撑，对于探索用货币度量数据要素的资产价值，推动数据资源化、资产化、资本化，更好发挥数据对生产效率提升的倍增效应具有重要意义。数据是数字经济的关键要素。《数据资产评估指导意见》

进而，基于现实重新去思考其数据防护的价值所在，虽然无法杜绝数据泄露，但是可以积极采取技术防护手段，使攻击者对数据的窃取成本高于数据获利，从而让攻击者失去意义，这就是“有效的数据保护”。在数据的市场化配置中，数据在要素市场的价值不断释放，此过程中，数据安全、技术支撑和组织保障需进行同步构建。，不是网络、服务器或应用程序安全性的模型，更强调数据本身的安全性，并从对数据的“应对式”防护，向“主动式”防护转变，重视从业务风险映射视角列举数据保护需求，可以为信息化建设、企业业务架构设计提供数据安全能力参考。