今天,《中华人民共和国数据安全法》正式施行,这是我国第一部有关数据安全的专门法律。在这部国家安全领域的重要法律中,到底哪些重点最受到大家关注?数据安全与哪几类企业关联最为密切?相关主体应当如何建设数据安全能力?
01 数据分类分级,为何最受关注?
在数据安全保护中,数据分类分级、权限划定、数据流转的监测和溯源等流程都十分重要,而《数据安全法》首次提出建立数据分类分级保护制度,并提出了重要数据、核心数据等概念。
建立数据分类分级保护制度,对数据实行分类分级保护;并基于数据分类分级确定重要数据目录和国家核心数据,进行重点保护。 ——《数据安全法》第二十一条
其中,重要、核心的判断标准主要是:
1)在经济社会发展中的重要程度;
2)一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度。
为何这一点会受到最多关注?因为国家鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展,但同时又必须保证数据在流动过程中的安全性。于是,数据对外开放交流的“沟通成本”和对内的“管理成本”,几乎是所有主体单位最在意的事情。
分类分级之后,各方才能更容易确定可分享的数据部分,在完全开放和完全不开放之间寻求平衡。数据如果不做分类分级,在政务、金融这类更加传统严谨的领域,为求安全,主体单位可能会采取一刀切的“闭关”形式,数据的交流合作也就无从谈起。
对于主体单位的负责人员和安全管理人员来讲,首先要做好数据资产盘点和数据分类分级工作,需要知道企业当前敏感数据分布以及数据安全现状,包括数据类型、风险级别、当前安全能力等。但企业和组织里的数据规模巨大,当前数据分类分级的主要方式是人工和基于正则表达式的工具,效率和准确性都较低,企业和组织自身也希望拥有更加自动化的数据分类分级工具。
02 哪几类企业与“数据安全”的关联最为敏感密切?
毋庸置疑的是,各类政府机构、军事、医疗、教育等行业的数据关系国家安全、国民经济命脉、重要民生、重大公共利益,属于国家核心数据,是“数据安全”的重点保护对象。
那么企业呢?《数据安全法》的施行对于企业来说有哪些影响?与“数据安全”关联最紧密的企业又是哪几类?过去,对很多企业来说,数据安全是个可有可无的部门,而从现在到以后,“信息安全”或“数据安全”将成为企业不可或缺的一部分,数据保护将被纳入到企业整体发展战略当中。
目前,具有信息化程度高、业务事关国计民生、涉及跨国经营等特点企业,对于该法的反应更为敏感。
一,像运营商、能源、电力等行业的企业,要么属于基础设施运营者,要么其经营数据承担着国计民生的重大安全责任,所以其IT架构和信息安全的合规性非常重要。
二,那些掌握个人信息数据的企业在数据保护上面对的场景也较为复杂。以网上购物平台和快递企业为例,有数据显示在2020年上半年时,我国网购人数就达到了7.49亿,而大型快递企业通常在全国有数万网点,数十万快递员,服务数量庞大的客户群体,企业的业务数据和客户的个人信息安全,就是这类企业关心的重中之重。
三,就目前的政策导向来说,跨国企业也是较为敏感的群体,该群体涉及跨境数据传输的风险。这其中涉及到数据的跨境保护问题,《数据安全法》原则上不搞数据孤岛、不搞封闭,但前提是安全有序,这需要对跨境的数据进行分类监管,比如涉国家秘密的数据不能出境,一般的数据跨境,需要经过国家互联网信息办公室的评估。而行业数据中,诸如医疗健康、汽车行驶、工业数据等,则由各自行业主管部门来进行评估。
03 如何建设数据安全能力?
信息安全行业专家表示,数据安全能力建设并非单一产品或平台的构建,而是覆盖数据全部使用场景的数据安全体系建设。
企业需要健全数据安全制度,确定数据安全保护义务,建立数据分级分类制度,再根据定级规定义务。
以数据生命周期为基础,通过对数据采集场景、数据存储场景、数据传输场景、数据处理场景、数据使用场景、数据销毁场景的分析,梳理资产、数据、用户、权限等要求,针对数据的采集、存储、使用、传输的每一步,都采取数据所对应等级的有效的安全措施,实现以场景化方式指导安全技术、管理、运营能力进行落地。
数据采集阶段主要的风险集中在采集源、采集终端、采集过程中,包括采集阶段面临的非授权采集、数据分类分级不清、敏感数据识别不清、采集时缺乏细粒度的访问控制、数据无法追本溯源、采集到敏感数据的泄密风险、采集终端的安全性以及采集过程的事后审计等。
在数据存储和传输阶段,需要建立相关加密措施来保障数据在存储、传输过程中的机密性、完整性和可信任性。
为了保证在数据生命周期的各个阶段和不同场景下的数据机密性和完整性,允许合法使用者访问数据资产,防止非法使用者访问数据资产,防止合法使用者对数据资产进行非授权的操作访问,往往需要对数据访问权限加以控制和管理。
针对用户的不同需求,可以采用基于角色访问控制、基于风险的访问控制、基于属性访问控制等技术,通过制定基于主体属性和客体属性的细粒度访问控制授权策略来灵活设定用户对数据的使用权限,从而实现数据细粒度的访问控制。
数据源于业务系统,数据的下载和传播都是人为操作,需要通过边界(网络、终端、虚拟化等物理边界和逻辑边界进行泄漏,所以,数据泄漏防护的核心思想就是沿着数据传递方向逐级进行防护,进而达到降低风险的效果。
敏感数据在使用过程中存在被非法泄露、被非授权篡改、假冒、非法使用等安全风险。而数据脱敏,即在保留数据原始特征的同时改变它的部分数值,避免未经授权的人非法获取组织敏感数据。借助数据脱敏,信息依旧可以被使用并与业务相关联,不会违反相关规定,而且也避免了数据泄露的风险。
数据控制权的转移带来新的审计问题,由于数据处理各方对数据都具有访问权限,加上数据本身具有易复制、易扩散的特点,导致在发生数据泄露等安全事件时,往往难以界定安全责任。因此,数据安全审计需要由以系统为核心向以数据为核心进行转变。
数据销毁主要是指获得组织、用户的授权许可或请求后对数据进行清除或销毁。使用组织授权的技术和方法对敏感信息进行清除或销毁,保证无法还原,并且具备安全审计能力。数据安全销毁能够提供数据销毁过程的安全审计功能,审计覆盖到各系统每个用户,对数据销毁过程中的重要用户行为和重要安全事件保留审计日志并进行审计。
总的来说,在数据的使用阶段遵循“最小权限访问”及“从不信任,永远验证”原则,杜绝非授权访问,避免明文,进行脱敏、掩码处理,或者加水印、禁止截屏等;在数据的传输阶段监控追踪数据流向,限定传输方式等都可以作为数据安全防护的重要手段。
《数据安全法》的颁布,传达的不仅是“数据安全”受到国家前所未有的重视,数据安全需要的是整个网络环境的安全和对数据全生命周期的防护。可以确定的是,这将是对各行业各领域“网络安全建设”的一次里程碑式的考验和升级。我们期待更多配套法案的出台,进一步让数据安全有法可依,有规可循。