2022年6月9日,国家市场监督管理总局、国家互联网信息办公室发布了《关于开展数据安全管理认证工作的公告》 ,基于 《信息安全技术 网络数据处理安全要求》(以下简称“GB/T 41479”)等相关标准规范开展数据安全管理认证工作, 也可简称DSM认证,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护,并发布了《数据安全管理认证实施规则》(以下简称“《规则》”)来指导具体的认证工作。
01 数据安全管理体系化建设的必要性
DSM认证不是针对某个产品或服务的单独认证,是基于GB/T41479等相关标准规范从数据处理全生命周期的安全技术要求(包括收集、存储、使用、传输、提供、删除、访问控制等),以及安全管理要求(包括数据安全负责人、人力保障、事件应急处置),双重维度来分析数据处理行为的安全与合规。
网络运营者以往仅以“防黑客攻击与满足合规性”为焦点,难以满足GB/T41479的要求,因此亟需围绕“数据的安全使用”开展更加严格、具体、有效且持续的建设,通过数据安全治理体系化建设,实现“数据安全防护、敏感信息管理与合规”的重要目标,以体系化的思路建设数据安全管理能力对于日后经营业务的顺利展开具有重大意义。
02 数据安全管理的技术体系支撑能力
网络运营者在进行数据安全管理体系化建设的时候,应参照标准GB/T 41479中提出的具体要求,本文从标准应用角度出发,详解标准内容,展示实践案例,供参考:
4数据处理安全总体要求 4.1数据识别 4.2分类分级 | 网络运营者应按照相关国家标准,根据合同规定和业务运营需要﹐对所识别的数据进行分类分级管理。 |
条款解析 | 网络运营者应使用数据资产梳理工具,按合同规定和业务运营需要,对数据库中的敏感数据分类分级。网络运营者有一份比较准确和清楚的数据资产清单,是做好数据安全治理的前提。 |
实践建议:数据资产梳理和分类分级依赖的关键技术主要有基于数据源探测/数据识别算法,发现数据源,识别数据特征,通过字段名、数据、字段描述三要素进行数据特征识别。利用多维度规则进行表/字段名称与备注拆分,针对业务属性进行统计分析,表/字段自动关联统计,机器学习/建模/持续更新,进行分类分级结果发布与使用。
4.3 风险防控 | 网络运营者开展数据处理时,应按照合同约定履行数据安全保护义务,开展数据处理活动应加强风险监测,发现数据安全缺陷,漏洞等风险时,应采取加密、脱敏.备份、访问控制、审计等技术或者其他必要措施,加强数据安全防护,保护数据免受泄露、窃取,篡改,损毁、不正当使用等;对重要数据和敏感个人信息进行重点保护,应按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应包括处理的重要数据的种类,数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。 |
条款解析 | 网络运营者应使用数据安全运营管控平台,通过集中化、日常化的数据安全运营流程,持续发现数据库安全问题,对暴露的安全风险和安全事件实现闭环管理,使数据安全工作进入常态化。 |
实践建议:首先要将数据安全管理体系与数据安全技术体系二者以有效运营的方式持续建设并推行。围绕数据安全工作需求,实现“集中化、规范化、流程化”的日常化数据安全运营。数据安全运营管控平台整合了风险评估、分类分级、事件监测、加密、脱敏、审计、防护等关键技术,通过可视化的运营监管功能界面设计,从资产、数据、业务、合规、事件、处置、风险等多维度进行监管,帮助管理者全面掌握数据安全运营状况,落实数据安全保护义务。
4.4审计追潮 | 网络运营者应对数据处理的全生存周期进行记录,确保数据处理可审计,可追溯。 |
条款解析 | 网络运营者应使用成熟的数据库安全审计工具,对运维操作要做到全审计,数据库审计虚拟化插件要测试稳定性,要选择审计记录准确,高并发的情况下不丢语句,这样才能确保数据处理实现全审计和可追溯。 |
实践建议:数据库安全审计关键技术涵盖数据库网络流量分析技术、数据库访问协议精确解析和词法语法分析、高性能入库技术、虚拟化环境下的插件引流技术、大数据分析技术和可视化展现技术。很多数据入侵和非法访问掩盖在合理的授权下,通过数据分析技术,对异常行为准确发现和定义,及时向用户告警。
5数据处理安全技术要求 5.3 存储 | 网络运营者应对数据存储活动采取安全措施,包括: a)存储重要数据和个人信息等敏感网络数据,应采用加密,安全存储,访问控制、安全审计等安全措施; |
条款解析 | 网络运营者:应采用数据库透明加解密工具,实现对高敏感数据的全加密,同时配合权限控制,对敏感数据的加解密和密文访问权限变更进行安全审计。 |
实践建议:数据库透明加解密关键技术使得数据库的存储加密保证数据在物理层得到安全保障,加密技术的关键是解决几个核心问题:加密与权控技术的整合;加密后的数据可快速检索,应用透明。
5.5加工 | 网络运营者在开展转换,汇聚、分析等数据加工活动的过程中,知道或者应知道可能危害国家安全、公共安全,经济安全和社会稳定的,应立即停止加工活动。 |
5.7.2数据出境 | 网络运营者向境外提供个人信息或者重要数据的,应遵循国家相关规定和相关标准的要求。境内用户在境内访问境内网络的其流量不应路由至境外。 |
条款解析 | 网络运营者:采用Web敏感数据监测工具,发现和监测各应用间API接口和敏感数据访问,尤其监测API越权攻击、应用层中转等恶意攻击行为,对数据出境流量要做好敏感数据监测,做好应用和API接口备案。 |
实践建议:web敏感数据监测的关键技术基于网络流量通讯协议分析和解析技术,具有API接口自动发现、敏感数据识别、应用账号发现、流式计算引擎及高速策略匹配引擎等核心技术。可帮助用户全面掌握敏感数据使用状况,及时防控敏感数据行为风险,针对数据泄露事件进行有效溯源,快速梳理业务应用及接口资产。
5.7提供 5.7.1向他人提供 | b)共享,转让重要数据,应与数据接收方通过合同等形式明确双方的数据安全保护责任和义务,采取加密,脱敏等措施保障重要数据安全。 |
条款解析 | 网络运营者:采用数据库动态脱敏工具,对于实时传输的数据进行脱敏。对于共享和转让的重要数据,要根据业务需要和安全需求进行静态脱敏,在数据自由使用的同时保证其安全性。 |
实践建议:数据脱敏技术是解决数据共享过程中敏感数据匿名化的关键技术,脱敏技术依赖的关键技术包括:数据语义保持;数据间关系的保持;增量数据脱敏;可逆脱敏。
5.12 访问控制与审计 | 网络运营者开展数据处理活动时,应: a) 基于数据分类分级,明确相关人员的访问权限,防止非授权访问。 b) 对重要数据、个人信息的关键操作(例如批量修改、拷贝、删除、下载等),设置内部审批和审计流程,并严格执行。 |
条款解析 | 网络运营者应使用数据库运维安全工具实现对重要数据和个人信息的关键操作审批,要对运维人员的身份认证,采用密码代填、违规操作即时中断、返回的批量敏感数据遮盖、个人信息的关键操作全审计等功能。 |
实践建议:数据库运维安全的关键技术包括运维管控到表、列级及各种数据库操作;可精确控制到具体的语句、语句执行的时间、执行阈值;满足事前审批,事中控制、事后全审计的模式。同时,对返回的敏感数据实现部分遮盖。
03 总结
对于数据安全管理认证工作的开展,充分体现了国家对数据安全的高度重视,也将督促广大政企单位在相关标准规范之下,开展网络数据处理活动的合规建设,加强数据安全的防护力度。两部委鼓励网络运营者通过DSM认证方式规范网络数据处理活动,通过相关测评认证来提升自身的数据安全能力。网络运营者可以基于GB/T 41479标准中的数据处理安全总体要求和数据处理技术要求,以数据安全治理体系化建设思路,让数据安全从被动合规变为主动风控,增加外界公众对网络运营者的信任度,从而获得更大的业务发展机会及更好的经济效益。
(本文作者:北京安华金和科技有限公司 谭峻楠)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。