Chaincomp的博客

一是在信息收集方面，《管理办法》规定，对用户选择使用网号、网证登记、核验真实身份的，除法律、行政法规另有规定或者用户同意外，互联网平台不得要求用户另行提供明文身份信息，从而减少互联网平台收集个人身份信息带来的安全风险。《反电信网络诈骗法》第33条规定，“国家推进网络身份认证公共服务建设，支持个人、企业自愿使用，电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者对存在涉诈异常的电话卡、银行账户、支付账户、互联网账号，可以通过国家网络身份认证公共服务对用户身份重新进行核验”。

数字时代数据为基，风险评估安全护航。与此同时，数据安全风险和违法违规问题依然严峻，国家数据安全、企业商业秘密和公民个人信息安全防护需求迫切。为了规范数据处理活动，保障数据安全，《数据安全法》明确提出建立数据安全风险评估机制要求。数据安全风险评估，主要针对数据处理者的数据和数据处理活动进行风险评估，旨在掌握数据安全总体状况，发现存在的数据处理不合理、缺少有效的数据安全措施等风险隐患，为进一步健全数据安全管理制度和技术措施，提高数据安全治理能力奠定基础。由于作者水平有限，欢迎业界同仁共同探讨完善。

炼石密改方案广泛适用于政府、金融、交通、电信、医疗、教育、工业、能源、商业等多行业客户，支撑保障关基、等保三级、政务等重要网络与信息系统“三同步、一评估”建设。炼石自研免改造的全面数据保护产品，依托免改造引擎平台，构建覆盖识别、防护、检测、响应、追溯等安全能力模块的数据安全实战防护产品体系，具有应用架构兼容多、免改造应用交付快、密码安全一体化防护好、安全建设成本省、适应业务数据流向管控准等优势，覆盖事前事中事后的安全防控，为用户数据安全体系建设提供技术支撑，防范化解重大安全风险，增强数据安全保障能力。

办法》旨在规范中国人民银行业务领域数据的安全管理并促进开发利用，将进一步夯实数据安全的法治基础，指导督促金融从业机构依法依规开展涉及货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等中国人民银行业务领域数据处理活动，筑牢金融安全防线。为提供一个更为全面的视角，炼石进一步图解了金监局《银行保险机构数据安全管理办法》、中国证监会《证券期货业网络和信息安全管理办法》、（原）中国银保监会《中国银保监会监管数据安全管理办法（试行）》等重要政策；

近日，炼石成功中标某股份制银行国密项目。针对该项目中某股份制银行系统“数据体量庞大、业务实时高频、内外部交互复杂、强监管合规”等特点，炼石基于免改造技术引擎平台，为海量个人隐私信息与重要数据资产提供全生命周期保护，实现核心业务系统国密合规升级，获得客户高度认可。

炼石密改方案广泛适用于政府、金融、交通、电信、医疗、教育、工业、能源、商业等多行业客户，支撑保障关基、等保三级、政务等重要网络与信息系统“三同步、一评估”建设。炼石自研免改造的全面数据保护产品，依托免改造引擎平台，构建覆盖识别、防护、检测、响应、追溯等安全能力模块的数据安全实战防护产品体系，具有应用架构兼容多、免改造应用交付快、密码安全一体化防护好、安全建设成本省、适应业务数据流向管控准等优势，覆盖事前事中事后的安全防控，为用户数据安全体系建设提供技术支撑，防范化解重大安全风险，增强数据安全保障能力。

北京炼石网络技术有限公司是一家以“免改造”为创新特色的数据安全产品厂商，国家级专精特新“小巨人”企业，自研可灵活挂载多重安全能力的免改造平台，帮政企客户打造领先的数据安全保护体系，同时敏捷交付国密合规改造。可针对数据在不同处理环节的免改造控制面，施加防绕过动态保护，实现横向可覆盖广泛应用，纵向可叠加多阶安全能力。本产品涉及大量的前沿技术，包括免改造数据安全技术、轻量级密钥管理技术、弹性高效的密码计算技术、多样化的安全认证协议技术等，这些技术在各行业的实施过程中可以得到充分的验证和检验。

炼石产品全面兼容鲲鹏、龙芯、申威、飞腾、盘古、海光、麒麟、兆芯等国产CPU平台，适配了麒麟、统信、方德等国产OS平台，支持达梦、柏睿、PolarDB、TDSQL、瀚高、虚谷、南大通用、海盒、金仓、海量、万里、优炫等国产数据库，从数据收集、存储、使用、加工、传输、提供、公开等全生命周期对数据有效防护，以及专业数据安全保障服务，大幅降低安全与业务的融合成本，实现密码与数据安全能力的一体化交付，形成防绕过的数据安全实战保护机制。采用密码产品的目的就是将密码技术在各种应用场景中发挥作用，达到安全防护的目标。

驻足回望，2024年的数据安全行业发展步入“提速期”。与时代同行，炼石在密码与数据安全这片沃土上深耕细作，既是不懈追求产品技术创新的探索者，也是积极推动行业知识传播的先行者，见证并参与了行业的每一次跃迁。这一年，炼石以政策汇总为基，以法规解读为引，以观点升级为翼，输出了一系列原创文稿，为行业发展贡献炼石智慧。愿我们在新的一年里，继续携手同行，共促数据安全行业高质量发展，迈进更加美好的“数字未来”。本文撰写过程中，为便于技术说明和涵义解释，引用了一系列的参考文献，内容如有侵权，请联系本公司修改或删除。

网络与数据安全立法革新，筑牢国家安全发展根基。随着我国数字经济建设的快速推进，网络与数据安全立法不断加速，从最初的单点突破，逐步发展为全面覆盖、系统完善的体系，为我国数字经济的健康发展筑牢了坚实的法治根基。2024年9月30日，国务院发布《网络数据安全管理条例》，自2025年1月1日起施行，标志着我国形成了以《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律为核心，以行政法规、部门规章为依托，地方性法规、地方规章为抓手，国家标准为指南的数据安全法规保障体系。法与时移，数据安全法制化步入 “飞速

办法》落实数据安全责任制，明确数据安全归口管理部门，将数据安全风险纳入全面风险管理体系，强化数据安全评估，建立数据安全保护基线，构建了一个多维度、立体化的数据安全管理框架。2024年12月27日，国家金融监督管理总局发布《银行保险机构数据安全管理办法》（以下简称“办法”），《办法》作为国家金融监督管理总局成立后的首部数据安全立法，旨在充分发挥监管的“指挥棒”作用，通过强化政策要求引导银行保险机构压实主体责任，完善内部机制，采取有效管理和技术措施加强数据安全保护，确保客户信息和金融交易数据安全。

该标准围绕多方数据共享服务的数据安全构建技术框架，明确适用范围及术语，阐述服务概述，提出基本安全建议，详细规定数据提供方、服务运营方、数据使用方的安全措施，涵盖数据全生命周期各环节，同时通过典型场景应用指导，全面保障数据在共享服务中的安全可控，推动数据合法合规共享利用，适应行业发展与合规需求，促进多方数据共享服务健康有序发展。接收方使用数据的有效期如何控制？数据不得不共享的前提下，必须从技术上实现对合作伙伴使用数据的行为进行控制，防止数据滥用、防止数据泄露给第三方，维护数据所有者的利益。

该标准明确了工业数据、数据脱敏、动静态数据脱敏、脱敏算法等术语定义，将工业数据脱敏产品划分为工业数据源自动发现功能、敏感数据梳理识别、脱敏计划管理、脱敏任务执行、脱敏结果管理、应用展示及安全管理等基本模块功能，并从安全功能、应用场景和安全管理三个维度就工业数据脱敏的产品技术要求和测评方法进行了细致规定。炼石免改造数据脱敏产品内置动态脱敏和静态脱敏模块，能够在用户实时访问数据时，根据其权限级别自动对敏感信息进行脱敏处理，确保只有授权用户才能看到未脱敏的原始数据，在保护隐私的同时，支持业务的连续运行。

发展低空经济，是塑造发展新动能新优势、打造经济增长新引擎的重要举措，是建设现代化产业体系、推动实现高质量发展的必然要求。炼石打造“一套技术底座、三大产品线”，即：免改造技术引擎平台、国密合规产品、实战防护产品、数据流通合规产品，具有应用架构兼容多、免改造应用交付快、密码安全一体化防护好、安全建设成本省优势，跨越“主路密码、旁路审计难以形成统一平台”的技术鸿沟，大幅降低安全与业务的融合成本，实现密码与数据安全能力的一体化交付，形成防绕过的数据安全实战保护机制，防范化解重大安全风险，增强用户数据安全防护能力。

近日，由中国计算机学会（CCF）抗恶劣环境计算机专委会、中关村华安关键信息基础设施安全保护联盟、信息产业信息安全测评中心、安全牛联合发起的第十二版《网络安全企业100强》榜单正式揭晓。炼石凭借自研的免改造技术优势、卓越的产品创新实力、专业的信创安全建设能力，以及出色的市场应用表现，成功跻身百强榜单。

炼石持续组建专业高效的技术和服务队伍，打造4项通用服务和2项专项咨询服务，让数据安全防护成效倍增，全面贴合用户业务需求，为用户数据安全体系建设提供技术支撑，可支撑开展分类分级、合规检查、风险评估、安全审计、个人信息安全影响评估、商用密码应用咨询等专项工作，为工业、能源、政府、金融、交通、电信、医疗、教育等行业用户提供专业的、定制化的服务方案，满足用户在数据安全领域技术咨询、合规建设及决策建议等诉求，提高国家基础信息网络和重要信息系统的数据安全保障能力。05个人信息安全影响评估服务。

当前，数据安全已成为事关国家安全与经济社会发展的重大议题，在党中央高度重视和周密部署下，我国数据安全工作已经进入了战略规划和顶层设计落地实施的关键阶段。

针对企业数据安全实际需求和防护难点，炼石结合国家法律法规及数据安全行业监管要求，以“数据”为中心，以“业务应用”为抓手，基于免开发改造应用的数据安全技术、高性能国产密码和去标识化技术，形成高覆盖的数据控制点，横向覆盖营销与服务、业务开发与运营、资源与基础功能以及合作伙伴关系管理等应用，纵向叠加发现识别、加密、去标识化、检测/响应、审计追溯等安全能力，实现集中式管控、分布式保护。同时，支持多并发、多线程数据加密，适用于单表数亿条级别的数据加密、历史数据全量加密分批操作等，实现系统影响最小化。

本内容撰写过程中，为便于技术说明和涵义解释，引用了一系列的参考文献，内容如有侵权，请联系本公司修改或删除。2023年2月，工业和信息化部根据《工业和信息化部全面推行行政执法公示制度执法全过程记录制度重大执法决定法制审核制度暂行实施方案》的相关要求，结合有关法律法规依据的修订情况及行政执法工作实际，编制发布了《工业和信息化部行政执法项目清单（2022年版）》，“清单”共涉及296项，其中涉及网络安全领域38项、数据安全领域15项、个人信息保护领域4项，总计45项行政处罚、12项行政检查。

团队八年如一日地积极探索数据安全纵深防御理念和实践，坚持原创自研和持续迭代，形成“一平台：数据安全主平台，多模块：识别、防护、检测/响应、恢复、审计/追溯等安全能力模块”的数据安全产品矩阵，覆盖数据在不同处理环节的免改造控制点，横向覆盖广泛应用，纵向叠加多阶安全能力，并进一步强化配套服务，包含数据安全战略规划、数据安全合规咨询、数据安全治理体系设计等，致力于满足企业发展战略、合规要求和风险治理等诉求，让数据安全防护成效“1+1>2”。从服务上，要想客户所想、急客户所急，专业、快速、满意地响应客户。

炼石针对用户在数据安全落地时的“应用改造痛点”，原创自研和持续升级“数据安全主平台”，并覆盖数据在不同处理环节的免改造控制点，叠加多阶安全能力模块，包含识别、防护、检测/响应、恢复、审计/追溯等，形成“一平台、多模块”数据安全产品矩阵，并进一步强化配套服务，包含数据安全战略规划、数据安全合规咨询、数据安全治理体系设计等，致力于满足企业发展战略、合规要求和风险治理等诉求，全面保障用户数据安全。数据安全需求，来自于业务处理的“风险映射”，而凡是有处理数据的业务场景，就会存在风险，也就有了数据安全。

各行业在落实顶层规划时，结合本行业特色进行立法创新，相继出台规范本行业数据管理要求，体现了政策的统一性、规则的一致性、执行的协同性，充分发挥法治的引领、规范、保障作用，为加快建立全国统一的数据要素市场制度规则、推动中国式现代化发展提供有力支撑。，除工信领域外，金融、交通、医疗、教育等行业均颁布相应法规，以数据安全保障数据开发利用，推动行业数字化发展。原创声明：本文图解及对比图片皆为原创，版权为炼石网络所有，如需转载，请关注公众号回复“转载”，或在文章下方留言。以期为数据安全产业同仁提供参考。

二是人体生物特征数据，分别从步态、基因、声纹、人脸等多个维度，规定了在数据收集、存储、使用、传输、提供、公开、删除等活动中，对数据处理者的具体安全要求；本文解读的12项数据安全国标从个人信息安全工程、人体生物特征数据、社会生活服务数据等维度，提出细化的、契合实战的安全要求，为企业的合规落实提供了指引，同时也为主管监管机构对不同场景数据处理活动的监督管理评估提供依据，对维护社会经济发展过程中数据要素安全具有关键意义。关注本账号，私信小编，即可打包下载12项数据安全国家标准的幻灯片PDF高清版。

关注本账号，私信小编，即可打包下载《个人信息保护认证实施规则》《数据安全管理认证实施规则》《移动互联网应用程序（App）安全认证实施规则》，以及依据标准GB/T 35273《信息安全技术 个人信息安全规范》、TC260-PG-20222A《个人信息跨境处理活动安全认证规范》、GB/T 41479《信息安全技术 网络数据处理安全要求》的六项文件的图解PDF版及政策原文。本内容中所载的材料和信息，包括但不限于文本、图片、数据、观点、建议等各种形式，不能替代律师出具的法律意见。

本文件规定了网上购物服务的收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。概述/要求：本文件规定了网络支付服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。概述/要求：本文件规定了即时通信服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动安全要求。概述/要求：本文件规定了快递物流服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动安全要求。本文件适用于数据处理者安全开展人脸识别数据处理活动。

数据是国家基础战略资源，也是数字经济深化发展的核心引擎，如何提升数据管理能力，促进数据的使用、流动与共享，释放数据潜在价值，保障数据安全，成为数字经济时代的重要命题。本标准适用于行业领域主管（监管）部门参考制定本行业本领域的数据分类分级标准规范，也适用于各地方、各部门开展本地区、本部门的数据分类分级工作，同时还可为数据处理者进行数据分类分级提供实施参考。然而，各行业在开展相关工作时，由于缺乏国家统一的数据分类分级规则，导致出现国家数据安全相关制度、数据分类分级保护要求不易落地等问题。

2022年8月18日，“首届全国商用密码应用优秀案例”评选结果重磅揭晓，炼石网络与陕西移动联合打造的“面向重要数据与个人信息保护的商用密码解决方案”，凭借创新性及技术优势，从102个案例中脱颖而出、成功入选，并被收录至《全国商用密码应用优秀案例汇编》。

受益于互联网核心技术的快速演进、数据经济的蓬勃发展以及政策因素的导向作用，国内数据安全厂商在传统产品领域将更多的新技术与原有产品进行融合，数据安全产品和服务在政务、金融、交通、教育、工业互联网、电信等领域的应用程度逐渐升高，数据安全市场逐步走向成熟。近年来，国家高度重视安全建设，统筹发展和安全，推进行业数据安全保障能力提升，构建起坚实有力的安全法律屏障，形成了《网络安全法》《密码法》《数据安全法》和《个人信息保护法》“四法共治”的新局面，使得合规监管权责更鲜明、制度更健全、技术更创新。...

密码作为保障数据安全的核心技术和基础支撑，已经渗透到社会生产生活的方方面面，在维护国家安全、促进经济社会发展、保护人民群众利益等方面发挥着不可替代的重要作用。近年来，我国陆续出台《密码法》、《商用密码管理条例（修订草案征求意见稿）》等法律法规，不断完善密码法治体系框架，要求重点领域和关键环节开展密码应用安全性评估（简称密评）。密评作为规范商用密码应用、发挥商用密码作用的必要手段，是支撑网络和数据安全发展、护航数字经济安全的基线要求。依据《密码法》等法律法规，按照相关工作安排，中国密码学会密评联委会修订了《商

2022年7月7日，国家互联网信息办公室公布《数据出境安全评估办法》（以下简称《办法》），自2022年9月1日起施行。近年来，随着数字经济的蓬勃发展，数据跨境活动日益频繁，数据处理者的数据出境需求快速增长。同时，由于不同国家和地区法律制度、保护水平等的差异，数据出境安全风险也相应凸显。数据跨境活动既影响个人信息权益，又关系国家安全和社会公共利益。世界上许多国家和地区相继从本国、本地区实际出发，对数据跨境安全管理作了制度探索。制定出台《办法》是落实《网络安全法》、《数据安全法》、《个人信息保护法》有关数据出境

解读

近日，广东省商用密码协会发布《信息系统密码应用方案评估规范》（T/GDCCA 0001-2022）、《信息系统密码应用方案评估过程指南》（T/GDCCA 0002-2022)，并于2022年6月1日正式实施，对于规范密码应用方案评估过程，指导密码应用方案编制工作具有重要意义。密评政策标准体系概览密评全称是商用密码应用安全性评估，作为规范商用密码应用、发挥商用密码作用的必要手段，是支撑网络和数据安全发展、护航数字经济安全的客观要求。我国陆续出台《密码法》、《商用密码管理条例（修订草案征求意见稿）》等法律法规，

2022年5月26日，由国家发改委、工信部、国家网信办和贵州省人民政府联合主办的中国国际大数据产业博览会（简称：数博会）成功举行。国家实施大数据战略，而数据安全是保障大数据有序开发利用、促进大数据产业发展的关键，为健全数据安全治理体系，构建数据安全产业生态，“数据安全产业公共服务平台”在数博会上正式宣布上线，由中国软件评测中心(工业和信息化部软件与集成电路促进中心) 组织评选的2022年首批数据安全产业成果——典型应用案例，在数据安全产业公共服务平台上正式揭晓，评选遵从公平公正的原则，依据实用性、可复制性、

2022年5月12日，国内权威第三方研究机构“嘶吼产业安全研究院”正式发布《博观约取·精微入神：2022数据安全产业竞合力洞察报告》，报告根据自主调研数据绘制我国数据安全产业需求行为全景图谱，囊括用户多领域需求。炼石作为“专精型”数据安全典型厂商，凭借精研技术、创新产品和市场表现，入选数据安全产业需求行为全景图谱中的五大领域，分别是：解决数据资产梳理/分类分级问题、解决数据安全防护问题、解决数据安全体系建设问题、解决敏感数据共享/流通问题、解决数据访问控制问题。​政策强推，需求爆发。从政策环境来看，《数据安

2022年4月“《数据安全法》实施参考”（简称《实施参考》）第一版正式发布，该书由中国网络安全产业联盟数据安全工作委员会（简称“CCIA数安委”）组织，中国网络安全产业联盟、全国信息安全标准化技术委员会秘书处指导，炼石网络作为副主编单位参与编制，旨在推动产业界凝聚共识，提出实用、管用的解决方案和产品服务，促进各行业通过实施《数据安全法》切实提升数据安全保障能力。​《实施参考》以《数据安全法》前七章中五十五条为基础编撰，编排结构上与《数据安全法》基本保持一致，内容编排中两处创新点：

一篇读懂无行业、十省市数据法规要求

2022年3月17日，中国网络安全产业联盟数据安全工作委员会（以下简称数安委），发布关于表彰2021年度数据安全工作先进的决定。为了表彰在2021年度对数安委工作做出积极贡献的会员单位，根据各单位积分，经委员会提名、常务理事会审议批准，决定授予21家单位2021年度“表现优异奖”，北京炼石网络技术有限公司位列其中。中国网络安全产业联盟（CCIA）是在中央网信办网络安全协调局指导下的网络安全行业全国性组织，其宗旨是聚合产业势能，营造良好产业发展环境，推动网络安全产业做大做强，为实现网络

460页呕心编辑，业务视角讲密码、20种密码应用模式、密评改造方案，速来下载！

2021年12月14日，互联网安全大会ISC 2021网络安全创新能力百强（简称“创新百强”）颁奖典礼在上海数字创新大会上圆满落幕。本届评选由ISC平台发起，联合赛迪顾问、数世咨询、数说安全、安在、看雪等网络安全分析机构、垂直媒体，共同聚焦网络安全创新的核心能力，绘就网络安全行业的创新技术全景图谱。经过专家评审团以及客户智库的双重评审，创新百强最终甄选出年度网络安全十大热点领域的创新产品。炼石凭借在业内的技术创新能力，斩获“密码技术安全领域”、“数据安全领域”、“年度创新力十强”三项大奖！此次创新百

近日，信息技术应用创新安全优秀解决方案评选结果正式出炉。本次方案征集由国家工业信息安全发展研究中心组织落实，信创工委会安全中心技术委员会提供技术支持及组织专家评审。经过材料征集、形式审查、专家评审、结果审议等环节，评选出34个信创安全优秀解决方案。其中，炼石自主研发的“基于密码技术的新一代数据安全解决方案”，凭借创新性及技术优势从众多参评的解决方案中脱颖而出，成功入选。一、乘信创发展之势 安全防护再升级新兴技术飞速发展催生产业新形态，正成为经济社会发展的新动能。与之相伴的是，数据安全风险日益成为影响