引言
我国于 2017 年 6 月 1 日正式施行《中华人民共和国网络安全法》,规定了网络运营者对 其收集的公民个人信息
必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。 个人信息安全得到真正的法律保护,从此确立了公民个人信息保护的基本法律制度,促进经济 社会信息化健康发展。
依据《中华人民共和国网络安全法》第三十一条,阐明了保护范围是国家对公共通信和信 息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭 到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基 础设施。保护方法为在网络安全等级
保护制度的基础上,实施重点保护。重点保护的对象及关 键信息基础设施,包括设施保护、数据保护、产品和服务保护,而数据保护的对象为“个人信 息”与“重要数据”。
以《中华人民共和国
网络安全法》为核心,我国就数据安全依法出台多项新政策,就包括 已提请审议草案的《数据安全法》,对外征求意见的《数据安全管理办法》《个人信息出境安 全评估办法》,已发布的有《信息安全技术个人信息安全规范》《儿童个人信息网络保护规定》 《网络安全等级保护制度》 2.0,所有新政的数据保护核心对象依然都是“个人信息”和“重 要数据”。
从上述内容可以看出国家在数据安全保护层
面的力度,以及对数据安全保护的重视。
一 数据安全
概览
一直以来,我国政府积极探索和研究云计算在电子政务中的应用,也鼓励党政部门使用云 计算进行服务模式创新,并开展了一系列试点示范工作。现在,政务云已经在全国范围内建设 和普及,为我国政府进行职能转变,构建为民务实高效政府,落实厉行节约工作,发挥了积极 作用。目前,我国电子政务进入了改革的深水区,正在加快落实“互联网+政务服务”,数据 交换和信息共享已经是信息化建设重点,各领域的政务信息系统和政务数据、公民个人信息, 已经或正在迁移至政务云平台上,加强网络和信息安全保护工作已经成为必然,其中数据安全 是重中之重。
数据安全建设工作难点
随着云计算、大数据、物联网、移动互联网、人工智能等新技术的发展,网络边界被不断 打破,数字双生、敏捷创新、安全合规驱动快速转型,社会和企业都在面临数字化的转型带来 的数据安全风险。
近年来数据泄露的安全事件频发,国家和机构对数据安全的重视程度不断提高,数据安全 已经与关键信息基础设施一并成为影响国家稳定、民生安全及社会安全的关键因素。
企业的数据安全体系建设不完善
传统信息安全体系无法保护数据安全:有别与传统信息安全防护体系,由于数据安 全防护体系将保护对象聚焦在“数据资产”这样的无形资产上,数据资产的机密 性、完整性以及可用性与硬件资产存在着巨大差别,这导致传统信息安全防护体系 通常不具备对数据安全的有效保护能力。
静态防护策略无法保护数据安全:通常一个信息系统中的硬件资产数量是有限的, 且在没有重大的系统变更时不会发生显著变化,所以传统信息安全体系的安全策略 的设计思路往往是静态的。而随着大数据技术的广泛应用,以及移动互联网应用的 蓬勃发展,企业数据存储、处理平台所承载的数据量正在以极快的速度爆炸式增长,若仍以静态的视角看待数据资产势必无法应对数据量急剧增长带来的数据泄 漏、数据损坏、数据篡改以及对数据主体造成影响等安全问题。并且由于数据资产 对流动性的要求,仅考虑当前主体的静态防护策略显然无法有效保证数据的安全。
数据资产的权责不一致:数据通常来自于企业的业务部门,在业务部门使用,并且 数据的所有权也常常属于业务部门,但由于数据安全策略有时会限制业务部门对数 据使用的权力,而数据安全体系建设工作由安全部门主导,数据安全防护体系的建 设会很有可能受到来自于业务部门的阻力,数据安全体系建设工作推动困难。
数据安全体系建设目标模糊、建设步骤不清晰
- 缺少数据安全体系建设指导方针:数据资产在许多环境下对可用性的要求极高,并 且由于数据资产对流动性的依赖,如何在保障数据可用性与流动性的前提下落实对 数据机密性与完整性的保护是企业所面临的重要问题。
- 缺乏数据安全体系建设经验:由于数据安全体系建设与传统信息系统安全建设存在 着保护范围不同、保护对象不同、安全策略类型不同以及安全建设思路不同等差 异,对于企业来说数据安全建设是一项全新的课题。
- 缺少合适的建设指导:由于我国的数据安全研究正处在逐步推进的阶段,暂时缺少 直接有效的指导标准或行业最佳实践帮助企业明确数据安全体系建设的方法与步 骤。
- 缺乏有经验的数据安全人员:由于我国数据安全建设工作正处在起步阶段,企业安 全团队缺少有数据安全经验的人员,这导致数据安全建设难以有效的执行。
1.2 数据安全整体架构
在数据安全建设体系上绿盟科技提出“一个中心,四个领域,五个阶段”的顶层设计。一 个中心是指以数据安全防护为中心。四个领域是指的数据安全建设的四个领域:组织建设、制 度流程,技术工具和人员能力。五个阶段是指的数据安全建设的五个阶段:业务梳理,分级分 类,策略制定,技术管控,优化改进。
[图片上传失败...(image-67647e-1665454276206)]
图 1.1 绿盟科技数据安全建设体系顶层设计
在数据安全建设体系中,组织建设、制度流程,技术工具,人员能力,4 个领域都需要同 步开展建设工作,组织层面,决策层、管理层、执行层必须在数据安全建设领域达成一致,数 据安全建设工作必须得到组织高层的支持。组织高层在数据安全领域的战略目标应该能够被 管理层和执行层实现。
配套着在人员方面,要有相应的各级人员团队去进行相应的工作,数据安全相关工作人员 应该依据岗位不同,具备管理能力、运营能力、技术建设能力,最关键的是要具备合规能力。 目前数据安全法律法规对企业数据相关业务影响很大,一旦出现不合规情况也会造成很严重 的后果。
在流程制度方面,从宏观的组织发展方针、组织战略,到中观的管理制度规范,一直到微 观的计划报告表格日志等等,应该同步的进行建设。阐述清楚数据在组织中的战略地位,明确 数据应该如何被管理,技术如何保障,进而逐步细化到日常企业的报告表格日志等运营工具的 建设。通过流程制度建设指导“人”利用“工具”实现组织的数据安全战略目标。在技术层面, 分级分类,数据防护,数据脱敏,流程审批,权限管理,数据标准等等,在各个领域都应该由 技术工具予以支持。技术方面的内容我们后面也会详细介绍。
我们日常所说的“三分技术七分管理”也好“七分技术三分管理”也罢,都是在表明,管 理是技术的运营依据、技术是管理的落地保障,两者要相辅相成。
二. 数据安全体系建设的步骤
数据安全体系建设的步骤,应借鉴 Gartner 的数据安全治理框架,其中定义了数据安全 建设的五个阶段,及业务梳理、分级分类、策略制定、技术管控、策略优化。
[图片上传失败...(image-891d7e-1665454276207)]
图 2.1 Gartner《How to Use the Data Security Governance Framework》
绿盟科技通过对国内法规的理解,以及对国内企业情况的研究,形成了一套具有中国特 色的数据安全方法论。总结起来就是五个字“知”、“识”、“控”、“察”、“行”。
[图片上传失败...(image-387489-1665454276207)]
图 2.2 绿盟科技数据安全方法论
- 知:分析政策法规、梳理业务及人员对数据的使用规范,定义敏感数据;
- 识:根据定义好的敏感数据,利用工具对全网进行敏感数据扫描发现,对发现的数 据进行数据定位、数据分类、数据分级。
- 控:根据敏感数据的级别,设定数据在全生命周期中的可用范围,利用规范和工具 对数据进行细粒度的权限管控。
- 察:对数据进行监督监察,保障数据在可控范围内正常使用的同时,也对非法的数 据行为进行了记录,为事后取证留下了清晰准确的日志信息。
- 行:对不断变化的数据做持续性的跟踪,提供策略优化与持续运营的服务。
参考资料
绿盟 2020 数据安全白皮书2.0
友情链接
GA 311-2021 警鞋 男棉皮鞋
