基于区块链技术的企业数据安全交换和共享方法研究

关键词：区块链;数据安全，数据资产管理，数据资产交换和共享

1     概述

数据安全，是指通过采取必要措施，保障数据得到有效保护和合法利用，并持续处于安全状态的能力。维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。

随着现代信息化建设和互联网应用不断的普及，人们已经习惯并依赖使用信息系统来进行生活和工作，这种网络建设和网络应用的深度化的状态也产生了新的问题和挑战。信息和数据作为现代信息化社会最重要的资产，是数据所有人在当今社会中的重要权利和资产组成部分。大数据的广泛应用，带来便捷的同时也伴随着隐患，导致我国的信息安全中数据安全问题发生的越来越多，严重侵害了数据拥有的企业和个人的基本权利和利益。近期发生了滴滴泄漏中国用户信息的数据安全问题，以及阿里巴巴发现系统重大Bug（Apache log4j2漏洞）而没有汇报给中国相关主管政府和行业协会，导致国内的信息系统在至少半个月的时间内处于不设防的重大信息安全管理问题出现，对国内社会高度信息化背景下的数据安全管理体系敲响了警钟。随着此类问题出不穷。个人和企业的数据资产保护的问题，已经到了非要解决的时候。

2     問题分析和提出

我国为了保障信息社会的数据安全，在欧洲的数据安全法（通用数据保护条例，GDPR）之后，于2020年6月28日推出了《中华人民共和国数据安全法》，以及《个人信息保护法》，《私营部门的模型数据保护条例》，《互联网消费者个人信息和通信保护的电子商务条例》等法律法规为代表的一系列法律法规。2021年12月22日，为贯彻落实《中华人民共和国数据安全法》等法律法规，加强工业和信息化领域数据安全风险信息获取、分析、研判和预警工作，及时掌握工业和信息化领域数据安全整体态势，提高数据安全风险处置能力，工业和信息化部研究起草了《工业和信息化领域数据安全风险信息报送与共享工作指引（试行）（征求意见稿）》面向社会公开征求意见。近日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布《网络安全审查办法》，自2022年2月15日起施行。这是我国信息产业领域主管政府为了防范不断发生的信息安全问题中最难以防范和解决的数据安全问题的恶化做出的制度性的应对措施。同时，信息行业主管机构也纷纷推出（大数据能力成熟度模型，DCMM）和（大数据安全成熟度模型，DSMM）等各种信息行业企业数据资产管理体系和管理制度规范标准，希望采用标准体系和最佳实践指导，以及第三方认证等手段加速规范数据安全问题的自我管理水平，以控制和减少层出不穷的数据安全问题的发生，以及造成的连带影响的损失。但是数据安全问题的造成需要归因于长期以来我国信息化建设的盲点和规则的遗漏点，单纯依靠主管行政管理部门的行政管理手段，企业贯标和第三方标准评测的手段在短期内是无法根本解决此类问题的发生和蔓延的。

数据这种信息承载载体的类型和相关关系实在是过于复杂，其数据资产识别充分性和保护的效果都十分有限，不能满足当前海量增长的数据管理和安全防护的需要，已经成为当前推动信息化和智能化社会发展的重大瓶颈。

数据尤其是和个人信息相关的隐私数据等。都是数据资产中核心的部分。当前这些数据主要都保存在个人的手机移动终端。等智能设备，或者需要使用这些数据资产的公众服务平台上。对数据信息所有者而言，其所有的数据资产，尤其是个人隐私等数据资产，是无法有效地行使个人的管理权利的。当有组织或者个人想获取此类数据资产，并不是去征得资产所有人的认可。而是通过数据使用者直接访问数据，资产存储或者具有使用能力的第三方平台;同时存在着存储这些数据资产的第三方平台本身存在着因为疏漏或者根本就是有意识的非法使用这些数据资产的意向和行为。这就是当前数据安全的问题，如此严重的原因。区域的所有者和数据的使用者的管理制度和手段非常不清晰，也无法有效控制数据资产的使用范围和方式。其本质是数据资产无法管理其内容和使用的方式，无法有效的在一定工具的支持下将二者统一进行管理，有效的区分数据的使用者和数据所有者之间的关系和使用方式，产生了数据资产权利和使用方式的矛盾和背离，造成了数据安全问题的根本原因。

3     解决方案说明

本文认为当前数据安全问题的解决需要分成两个步骤，一个是加强企业和机构内部信息化建设中的数据安全建设需求的实现和应用;另一方面，为了不影响现有信息化社会的正常运行，需要提供一种为信息社会局部应用提供通用数据安全交换的解决方案。这种方案是建立在区块链技术的不可篡改性的基础上实现的。

区块链本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了数据资产或者交易的信息，用于验证其信息的有效性和生成下一个区块。区块链技术有五大特点，分别是“去中心化”、开放及匿名性、不可篡改性、可追溯性和支持可编程智能合约。区块链技术的底层技术框架适用于诸多行业，对传统技术架构情况下面临的困难，其技术也可以很好地解决，特别是可在保证交易数据真实性和安全性的基础上，实现和管理可信数据的产生、存取和使用的模式。实现了在互联网范围内行为的真实记录和管理体系，并产生了和现实社会行为的对照，奠定了和现有真实社会的融合的基础，现实社会行为规则也映射到区块链的管理，运行和审计规则。以区块链技术为基础的网络化和智能化社会的行为模式必将统一，建立面对全社会的数据资产使用和管理问题的复杂解决方案。

本文针对所提出的数据安全交接和共享问题，可以使用区块链的技术框架，利用区块链的账本技术的透明性，可追溯性，不可抵赖性，自说明和自驱动的能力，基于区块链系统技术架构，数据资产的区块描述手段，构建数据资产内容，级别，授权和使用一体的技术平台和数据安全保护的解决方案。其主要内容包括：社会应用数据交换中心，个人或企业等数据资产所有者，数据资产的使用者，数据资产使用和管理规则制定机构和第三方审计机构等构成，其相互关系详见（图1：社会数据安全共享和交换平台架构图）：

社会应用数据中心按照数据资产使用和管理规则制定机构设定的规则定义社会应用使用个人和企业数据资产的级别，范围和使用方式。负责收集、存储、验证和管理个人和企业数据的有效性和真实性，负责更新和销毁数据确保数据安全性，避免遭受信息攻击和不当使用的行为发生;同时，也要管理数据访问操作范围和使用方式。同时社会应用的数据交换中心会对数据资产所有者和特定使用者提供对应数据资产使用和维护的查询，追溯的权利和服务功能。

其次，作为数据资产所有者需要遵守数据资产使用的法律法规，将个人或者企业将通用或者定制的数据资产，通过手机，电脑端的智能程序提交给社会应用数据中心，而且社会应用数据中心系统上提交数据资产时，不仅要提交数据资产内容，同时需要进行数据资产对应的使用授权设定，用以建立和完善数据资产的使用范围和方式。这种授权控制的模式是多种的，例如：仅当前一次使用，长期授权，在什么情况下不允许访问或者取消权限等多种设置，使用的收费和特定对象或者条件等;在以后的访问过程中都会持续验证这种设置，除非数据所有者改变了数据使用设置。

再次，需要对数据资产使用者现有的信息系统，对敏感数据和数据信息资产使用的方式进行调整和升级，对现有信息系统需要使用的数据，都需要按照数据资产的安全级别以及使用范围的定义，改变当前数据资产使用和访问的规则。当系统访问数据时，不能直接向个人和企业索要相关信息，第一次使用时需要通过以上的授权功能批准授权后，从个人在社会应用的数据交换中心是获取对应的信息，包括信息的内容范围，使用范围和使用方式，之后才能通过访问社会应用的数据交换中心验证后获得数据资产内容;每次数据资产使用之后，系统应该将没有获得数据资产所有者授权的存储权限的数据资产进行销毁，并将销毁提交给社会应用数据中心变行记录。允许得到了数据资产所有者的授权，可以在系统中暂时存储数据资产，也需要每次使用时，将使用的信息提交给社会应用数据中心进行记录。以便于确认数据资产的使用情况。

最后，还需要由数据资产使用和管理规则制定机构设立对应的数据资产使用的法律法规，授权和监管规范等，也需要将个人和企业数据资产的使用方式纳入今后信息化建设的基本规则和约束条件。为了保证随着社会发展，数据资产使用的方式与时俱进，这个机构的工作将持续进行，所制定的规则，将在其管辖的联盟链范围内不定期的更新和维护。其所制定的法规和规则也应该由第三方审计机构进行定期审计和维护，确保这个规则体系的有效运行。

这个系统所进行的数据资产的输入输出操作，都采用对应的数据加密的传输算法，对于个别的数据应用可以使用通过授权认证的数据脱敏的技术，确保在数据传输过程中的相关信息不能够被第三方获取而造成数据安全信息。平台上所进行的主要的业务，都需要具备对应的追溯功能，确保数据在不当使用的情况下，都能够及时有效的进行信息安全操作的责任追溯。最大化的控制和管理数据安全事件的发生，并最小化的减少事件所造成的影响。

在这个系统中所有的数据都采用区块链的方式进行采集，存储和使用，所有者使用方式以及相关其他操作条件给记录和说明，系统每次对数据资产的使用都必须审核数据资产记录中限定的要求，只有满足了这些要求之后，才通过平台提取数据资产的内容，并根据使用规则交给特定有授权的数据资产使用者使用，并将此过程记录在系统中，以便于后期查询和追溯。

这种新型架构和对应的个人和企业数据资产使用的方式，基于区块链技术的有效能力，把个人和企业的数据资产看成一个可以自我管理和控制的委托存储对象，并将管理职责授权给具有数据资产安全管理的社会第三方机构-社会应用数据中心进行统一托管并提供有验证的数据使用服务。基于社会数据资产管理规则以及个人使用授权管理机制，将数据资产的使用规范成为一项定制化的服务，提供给数据资产所有者及使用者有效授权控制的互动功能。使数据资产的使用成为一个可以被定義，管理，控制，追踪和可追溯的活动，将有效的避免数据泄漏和不当使用的问题泛滥发生的情况，以及所造成的巨大社会负面影响和连带个人和企业的经济损失。

4     结束语

本文通过给当前社会上发生的数据资产安全问题提出了一种基于区块链技术框架的社会统一数据资产管理平台的解决方案。在方案中改变了当前个人和企业数据资产使用的方式，将数据资产作为委托对象提交给社会应用数据中心，成为其托管的资产对象的解决方式。在此基础之上可以有效的规避数据泄露和不当使用。本方案可以有效的解决和方范当前的数据安全问题的发生和由此引发的社会损失，帮助社会深入进行和谐稳定的社会主义社会建设目标的达成。

参考文献：

[1] 蔡鹏华 区块链技术在征信领域的应用探析[J] 时代金融 2019年10期

[2] 董成东 区块链在互联网金融征信领域的运用分析[J] 智富时代 2019年01期

[3] 吴迪 区块链技术在金融业的应用[J] 纳税 2018年24期

[4] 杨博涵 试论区块链技术在金融业发展的影响[J] 时代经贸 2018年14期

[5] 连国华 企业信息资产的识别和保护研究[J]  光盘技术 2009年10月

[6] 邓柯 区块链技术的实质、落地条件和应用前景[J] 深圳大学学报（人文社会科学版） 2018年04期