随着《中华人民共和国网络安全法》、《中华人民共和国密码法》、《中华人民共和国数据安全保护法》和《中华人民共和国个人信息保护法》等相关法律法规的颁布实施以及配套相关标准规范的落地执行,数据安全保护开始成为网络安全工作和监管的重点。
2022年7月21日,滴滴全球股份有限公司因存在8个方面16项违法违规事实被国家相关部门处80.26亿元罚款,成为迄今我国网络安全和数据安全领域公开处罚的最大罚单。该公司不仅违法过量收集的数据和个人信息量级巨大,未尽数据安全保护职责和义务,还存在严重影响国家安全的数据处理活动。结合近年来发生的多起重要行业大量敏感数据泄露的数据安全事件,可以窥见当前众多重大数据安全事件的冰山一角,我国网络安全和数据安全工作任重而道远。
公安部信息安全等级保护评估中心结合多年网络安全等级保护、关键信息基础设施安全保护和数据安全保护实战经验,提出以下六点工作建议供运营者参考。
1. 识别核心重要数据,对数据进行分类分级,是数据安全保护工作的前提。
数据安全保护的重心是对核心和重要的数据进行安全保护。运营者首先应全面的梳理组织数据资产清单,识别出核心和重要的数据,并依据相关政策标准对数据进行分类分级。关键信息基础设施的运营者,还应该通过对关键信息基础设施的关键业务流进行分析,识别出关键信息基础设施的关键数据资产。
运营者可以参考《网络安全标准实践指南 网络数据分类分级指引》和行业数据安全分类分级标准对数据进行分类分级。数据分类方面,可以从公民个人维度、公共管理维度、信息传播维度、组织经营维度、行业领域维度进行数据分类。数据分级方面,可以从数据受到破坏后对国家安全、社会秩序和公众利益、个人隐私、组织及其它法人造成的侵害程度来进行分级,可以分为一般数据、重要数据和核心数据。
2. 提炼数据安全需求,建立数据安全保护策略,是数据安全保护工作的重心。
合规要求、业务需求和数据安全面临的风险是指导数据安全保护的最主要安全需求。
目前我国《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》均对数据安全提出了保护要求,同时运营者还应根据其组织的业务特点梳理各自需要满足的安全政策和行业标准。如涉及数据出境的组织还应满足《数据出境安全评估办法》的要求。
对于业务需求和数据安全风险来说,需要运营者根据实际情况进行分析和梳理,通过业务流程分析、威胁建模和风险评估等方法分析组织面临的数据安全威胁和风险,例如敏感数据在不安全的环境传输或存储,就会存在安全风险,需要对其进行识别。
基于合规要求、业务需求和数据安全风险,组织提炼出数据安全需求,参考DSMM模型和行业最佳实践等,建立贴合组织现状的数据安全保护策略,构建数据安全保障架构,指导数据安全保护工作的开展。
3. 满足网络安全等级保护基本要求和关键信息基础设施安全保护要求,是数据安全保护工作的基础。
数据安全保护的基础是对数据承载环境的安全保护。因此运营者应依据网络安全等级保护政策和标准要求开展安全建设工作,保证等级保护对象满足相应等级的安全要求。关键信息基础设施运营者还应在等级保护工作基础上开展关键信息基础设施安全保护工作(简称关基保护)。
网络安全等级保护基本要求和关键信息基础设施安全保护要求也对数据安全提出了相关保护要求。等级保护基本要求强调了对鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息的保护,包括基于安全策略的访问控制要求,传输和存储的保密性要求和完整性要求,以及重要数据备份和恢复的要求,并对个人信息保护进一步强调了收集限制和禁止非授权访问等。关键信息基础设施安全保护要求中,也在分析识别、安全防护等方面对数据提出了安全保护要求。以上均需运营者重点关注并给出对应的安全保护措施。
4. 构建数据安全技术体系,保证数据的产生、采集、传输、存储、使用、共享和销毁各阶段的安全,是数据安全保护工作的技术抓手。
面向数据安全合规和具体业务安全需求,运营者还应在等级保护和关基保护的工作基础上,进一步识别和分析数据资源在产生、采集、传输、存储、使用、共享和销毁各阶段面临的网络安全威胁,特别是云计算等新技术、新应用和新模式带来的新威胁,并针对性的强化数据安全安全防护手段和措施,进而融合已有措施构建一个覆盖数据全生命周期的综合性安全防护技术体系。以技术作为抓手,落实数据安全管理要求,支撑数据安全运行工作。各阶段常见的数据安全技术手段或措施可能包括:
(1)数据的采集阶段:通过技术手段和措施如最小化采集等方式,确保数据采集过程依法合规。在数据采集时,应告知数据采集的目的、范围并通过技术措施保证个人在同意后方可收集。
(2)数据的传输阶段:通过密码技术和协议等措施保证重要数据传输的机密性和完整性。
(3)数据的存储阶段:应保证不同级别数据之间的隔离性,通过合理的授权和访问控制机制保证数据免受非授权访问;通过加密和HMAC等方式保证数据存储的机密性和完整性。
(4)数据的使用阶段:通过最小权限授权和采取细粒度动态访问控制措施限制对数据的使用,通过数据防泄漏机制防止数据使用过程中的泄露。对于需要从原始数据进行大数据分析的离线数据,使用前应进行数据匿名化或脱敏处理。
(5)数据的共享阶段:应采取技术手段保证数据在与其他组织之间共享的安全,如数据匿名化、多方安全计算、同态加密和个人隐私计算等方式。
(6)数据的销毁阶段:数据进入销毁阶段时,尤其是个人信息在个人用户选择和要求删除的情况下(被遗忘权),应采取技术手段删除个人信息。
5. 建立完善的数据安全组织架构、制度流程和培训考核机制,是数据安全保护工作的管理手段。
根据《中华人民共和国数据安全法》要求,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任,建立健全全流程数据安全管理制度,组织开展数据安全教育培训。
运营者应根据法律法规要求及组织内部实际情况,充分落实安全管理要求,保证数据安全通过正确、规范、逻辑闭环的数据安全管理体系进行要求和执行。
6. 加强数据安全运营和实战演练,做到平战结合,是数据安全保护工作的落脚点。
数据安全工作最终要落到日常安全运营和实战中去。因此运营者应该根据数据安全管理要求,利用数据安全技术工具开展数据安全运营工作。通过合理的配置管理、变更管理、介质管理、设备管理、网络安全管理、事件处置机制、应急管理等工作流程,做好日常运营工作。通过数据安全态势感知平台等持续对核心和重要数据进行监测和检测,定级检查对外提供服务的API接口安全和重要配置以防止错误配置导致数据泄露。同时开展风险评估、安全评估、渗透测试、攻防实战等工作,做到平战结合,真正承担起保护数据的职责。
综上所述,运营者根据数据安全法律法规对数据进行分类分级,建立数据安全总体策略,从六点建议中结合自身业务实际通过技术,管理和运营构建数据安全保障体系,从而有效的保护核心和重要数据安全。
保障数据安全是一项复杂的系统工程,需要从顶而下的开展数据安全治理工作,保障核心和重要数据安全,降低数据安全风险。除运营者做好自己的数据安全保护工作外,还需要监管部门、数据安全厂商和服务商等多方合作,构建数据安全合作生态,共同维护我国网络数据安全。
作者:公安部信息安全等级保护评估中心 王勇
(原创版权所有,引用请标明出处)