2021年,《中华人民共和国数据安全法》(以下简称《数据安全法》)《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)相继正式施行。这既体现了国家对于数据安全的高度重视,也进一步表明数据安全已经成为大数据时代信息安全的核心。
图片
新变化:大数据时代信息安全的再认知
对数据安全的重视与数据价值的实现密不可分。数字化的发展,使我们认识到“数字化”的核心是“数据”,而不是“化”,“化”只是一种手段、一种过程。“数字化”最终的目的是最大程度地实现数据的价值,而数据价值的实现需要数据安全作为保障。
两个维度:数据安全的新视野。
与传统的信息系统安全不同,数据安全是以数据为着眼点的全过程安全,与以系统为着眼点的传统信息安全有所不同,主要有两个维度——一个是数据安全,一个是数据防护安全。数据安全主要关注的是数据的完整性、保密性和可用性,主要防范的是数据的丢失、泄密、窃取和滥用等问题;数据防护安全主要包括承载数据资源的信息基础设施和系统的安全,主要防范的是硬件故障、断电、死机、人为的误操作、程序缺陷、病毒或黑客等问题。数据安全保护的是数据内容本身的安全,保证其价值的实现;而数据防护安全则更多地是保护数据载体的安全,保障载体功能不失效。
三部法律:数据安全的新高度。
数据是大数据时代最核心、最具价值的生产要素。伴随着对“数字化”从表象到本体的认知,数据安全也变得越来越重要。2017年6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)施行,填补了我国综合性网络信息安全基本大法、核心的网络信息安全法的空白,而2021年施行的《数据安全法》和《个人信息保护法》则补上了信息安全专门法律的缺口。这三部法律出台后,中国互联网领域基础性的法律法规框架体系已经完成,再加上国家网信办出台的《网络安全审查办法》《网络数据安全管理条例》和工信部颁布的《网络数据安全标准体系建设指南》,以及各地方政府在实施层面出台的配套法规办法,一个由法律、法规、部门规章、地方性法规组成,覆盖互联网、个人信息和数据活动的方方面面的网络和数据的法律法规体系已经形成。同时,网络和数据的法律法规体系的形成,从国家战略层面将网络信息安全纳入国家总体安全体系,并上升为国家意志。
四大标准:数据安全的新框架。
《数据安全法》第三条对数据安全给出了明确的定义,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。要保证这种要求的数据安全就必须“标准先行”。数据安全标准体系包括基础共性、关键技术、安全管理和重点领域等标准。其中,基础共性标准包括术语定义、数据安全框架、数据分类分级等,为各类标准提供基础支撑。关键技术标准从数据采集、传输、存储、处理、交换、销毁等全生命周期维度,对数据安全关键技术进行规范。安全管理标准包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等。重点领域标准主要是结合相关领域的实际情况和具体要求。目前,我国已经制定和发布322项国家标准,共有12项包括我国技术贡献和提案的国际标准发布,网络数据安全国家标准体系日益完善。
新路径:大数据时代数据安全治理的再探索
大数据时代,数据安全的实现需要数据安全治理。《数据安全法》第三条对于数据安全的定义有三个“关键词”:“有效保护”“合法利用”以及“持续安全状态”,这就需要“以数据的安全使用为目的”的数据安全治理。
两个关键:提升数据安全意识和数据治理能力。
2015年图灵奖获得者、世界著名密码技术与安全技术专家惠特菲尔德·迪菲表示:“数据量越大,安全保障的重要性就越大。”数据安全是数字经济、数字社会、数字政府建设的基础,没有数据安全就没有“数字强国”。据国家互联网应急中心发布的《2020年中国互联网网络安全报告》显示,2020年捕获恶意程序样本数量超4200万个,日均传播次数为482万余次。我国境内受恶意程序攻击的IP地址约5?541万个,约占我国IP地址总数的14.2%。未脱敏展示公民个人信息事件107起,涉及未脱敏个人信息近10万条,累计监测发现个人信息非法售卖事件203起。数字世界并不风平浪静,数字疆界也并非固若金汤。我们要时刻紧绷“数据安全”这根弦,提升数据安全意识,守好数据这个“21世纪的石油”,守住全球最大的数据圈。同时,从决策到技术、从制度到工具、从组织架构到安全技术通盘考虑数据安全治理能力建设,确定科学数据安全治理策略,制定数据安全使用(管理)规范,导入数据安全治理创新技术,监督数据安全使用规范执行,持续提升数据安全治理能力。
三个重点:强化数据隐藏加密、敏感数据访问与管控、数据治理稽核。
数据安全在数据流动和使用状态中的数据保护,不同于以前防火墙式的静态保护,数据安全治理更倾向于动态保护。因此,数据安全要做好传输介质的隐藏和传输端口数据库的加密。
这里要指出的是,现在的数据安全,包括云平台的数据安全,更多的应用是通过中间件进行隐蔽和加密,而针对数据库本身的数据加密和传输过程,数据介质的动态保护还是比较少。敏感数据访问与管控主要解决的是:数据的提取、分发管控;敏感数据的访问、批量数据的下载审批的执行落地;基于数据库的权限破权管控;高效运行与数据库的权控体系的融合;测试环境、开发环境和 BI 分析环境中的敏感数据模糊化等。数据治理稽核主要包括:如何实现对账号和权限变化的追踪,保证对敏感数据的访问在既定策略和规范内;如何发现非正常的访问行为和系统中存在的潜在漏洞问题并进行建模,避免系统面临大规模失控;如何实现全面的日志审计,对各种通讯协议、云平台支撑、大体量存储进行日志的分析和检索,采用数字水印、Hash算法等不可篡改技术,明晰数据流通过程中各方的责任。
四个步骤:实施全面评估、数据治理、流程管控、持续监管。
与传统的信息安全以边界防护为主要手段不同,数据安全是一种主动安全,它贯穿于数据的全生命周期。
所以,保障数据安全,首先要对数据基础风险、数据安全能力、数据安全合规风险、数据全生命周期风险进行全面评估。针对数据库、大数据平台进行安全基线检查、漏洞扫描,并从风险视角和入侵视角两大视角,对数据采集、传输、存储、处理、交换和销毁施行全过程风险识别,并通过定性分析、定量分析,建立风险分析的模型,确保数据生命周期流通和使用的合规合法。
其次,通过对数据进行分级分类,开展数据治理。根据来源、用途、内容、业务以及管理要求对数据进行梳理,并按照《信息安全技术数据安全分类分级实施指南》的要求,根据数据价值、重要性、敏感度以及影响范围对数据进行分级分类,形成数据发现和分类数据资产清单,对敏感数据进行发现定位和分类分级。
再次,结合数据分级分类的结果,针对已有风险,采取有针对性的保护措施,对于违规操作做到能发现、能预警、可拦截。
最后,持续优化安全策略与流程,通过安全设备运行态势、数据资产分布态势、数据安全态势的感知,对数据资产、事件、告警等进行汇总分析,对安全治理的成果进行持续改进。
新格局:大数据时代数据安全治理模式的再深化
2020年,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,正式将数据与土地、劳动力、资本、技术一起明确为五大生产要素,确立了数据作为基础战略资源的地位与价值。数据作为人类发展的新变量,其价值唯有在数据、组织与治理的深度融合中才能得以实现。
一个中心:安全为先。
当前,数据安全正成为网络信息安全的重中之重,在思想观念上树立数据安全是数字经济、数字社会、数字政府建设的战略支撑,确立以数据为中心的安全保护理念,重新认识数据作为一种新型的生产要素具有的增值性、流动性、权属性等特征,改变长期以来“重搜集、轻保护”“强防护、弱内容”“守疆界、任流动”的安全指导思想,从内容安全、技术安全、共享安全三个方面强化对数据安全全要素的防护。同时,要在数字强国建设过程中,切实提高数据安全在实际工作中的优先级,在信息基础设施建设、数据归集治理、数据开发利用的同时,将数据安全作为国家总体安全一并考虑,统一规划、统一部署、统一推进、统一实施,严防技术隐患和政策漏洞。
两个基本点:既要数据安全 也要数据畅通。
网络安全和信息化是一体之两翼,驱动之双轮。数据安全和数据畅通也是数字经济、数字社会、数字政府发展的“一体两面”。解决好“数字强国”战略在执行过程中的“攻”和“守”问题,以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展,力求在动态数据开发利用过程中促进数据安全,在确保数据安全的前提下开展数据的开发利用,实现数据开发利用和数据安全相互促进、共同发展,实现数据畅通和数据安全的转化分解和数据利用、产业发展过程中的“攻守转换”。
三层网络体系网:预警网、防护网和保障网疏而不漏。
构建安全的大数据生态网络体系,建立数据安全的预警网、防护网和保障网,力争做到“能预防、早预警、进不来、拿不走、有标准、有体系”。创建大数据安全人工智能系统,对大数据安全从技术上做到实时安全预防,受到攻击时有效监控,及时发出预警。强化密码、区块链、分布式存储等技术在保障大数据安全中的支撑作用;出现安全漏洞及时主动地进行有效控制和处置,加强实时安全管理。加强对数据安全的法律、标准、政策和资金的综合支持;加强数据安全技术基础设施建设;加强对大数据安全管理,树立动态的数据安全观。以数据安全为核心,建设制度保障、技术手段、体系三位一体的大数据总体安全保障体系,增强关键数据安全韧度,强化综合平台安全防护强度,提升信息安全事件响应速度。
Copyright © 2005-2021 网信安全世界版权所有