国家标准《信息安全技术 网络数据分类分级要求》于2022年9月14日公开征求意见。数据分类分级保护是我国数据安全管理基础制度之一,数据分类分级标准支撑国家数据分类分级保护制度建设,给出数据分类分级的通用原则和方法,识别重要数据的基本原则、考虑因素和重要数据描述格式。
分类分级是数据全流程动态保护的基本前提,也是数据安全治理的第一步。在做好数据分类分级后,如何持续进行数据安全治理是企业或组织共同面对的问题。
自数据资产梳理评估及分类分级外,我们可以围绕制度建设、技术管控、策略优化这一持续循环过程,为数据中心构建一套行之有效的数据安全治理体系。数据安全建设需要从制度规范、评价体系、安全威胁、安全方案、安全运营多个维度进行落地,通过全面了解数据安全威胁,建立数据安全解决方案,数据安全运营能力建设,实现数据安全运营流程化、集中化。同时,数据安全治理需要数据安全管理/监督方建立管理能力和运营监管能力,数据安全运营方建立日常运营(监测和管理)能力,数据作业方建立监测和防护能力,从而构建运营体系、管理体系、监控体系阶段相辅相成的行之有效的数据安全治理体系。
在落地实践过程中,除制定分类分级规范外,还需制定数据安全管理办法、数据安全管理规范、数据安全关键流程管理规范,通过日常运营工作台支撑数据安全运营业务流程,通过可视化运营监管能力帮助管理者全面掌握数据安全运营状况,从而提升数据安全保障能力、追踪溯源风险源头、对数据资源全生命周期管理,建立安全集中管控、事件集中处理、风险集中处置的数据安全闭环管理。
本文从《数据安全法》其他条款角度出发,在应对网络攻击、不同业务场景、利用数据价值、数据处理活动层面帮助梳理分类分级后如何有效利用数据安全技术持续进行数据安全治理建设之路。
1 应对网络攻击层面
可参考《数据安全法》“第六条 各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。”
国际国内网络空间形势愈加复杂,过去的网络攻击主要针对系统,黑客以破坏企业的IT系统为乐,但并不针对企业组织的数据资产,从2015年起,网络攻击的风向开始转向攻击数据,黑客以数据为目标加密数据,让企业的生产停顿,这是一个重要的变化。随着网络攻击方式的变化,网络安全问题已经从过去的单单是系统问题转向系统加数据的问题,针对这样的变化,企业网络安全要怎么做,无疑也需要进一步转变跟进,才能真正做到保护企业数字资产的安全。
数据安全在此大环境下要采取更多的防护手段。首先承载关键数据的信息系统要具有隐蔽性,包含人员、环境的防护;若网络攻击者找到承载关键数据的信息系统,我们就需做好技术层面的防护措施,例如访问控制、身份鉴别,数据脱敏加密,数据防泄露、数据水印等手段。
其中的关键技术涵盖数据脱敏与数据水印技术。作为重要的单点防护技术,数据脱敏可在加工测试、共享开放等环节中协助用户掌握敏感数据分布、提高脱敏效率、规范数据共享流程,满足企业在运维侧、应用侧的数据匿名化与脱敏需求,保护隐私数据免遭泄露;数据水印技术可对数据外发行为提供“事前数据发现梳理-事中添加数据标记-自动生成水印-事后文件外发行为审计-疑似泄露数据追溯”等功能。
传统的静态防御系统已不能抵抗网络攻击,为了应对挑战,当下亟需一套系统自动化梳理的方法,来自动发现和管理数据资产,分别从系统侧和大数据侧进行数据资产的识别;或是通过自动化漏洞挖掘,帮助企业在一定程度上确保数据资产的安全,这也是当下在网络攻击层面中数据安全技术的难点。
2 不同业务场景层面
可参考《数据安全法》“第七条 国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”
数据安全要充分结合业务,根据不同的业务采取特定性的保护措施。
例如1)在金融行业中,数据安全和隐私保护高要求、严监管的现状对隐私计算在金融场景中的落地起到了极大的推动作用,可以实现数据可用不可见,同时兼顾数据安全与应用。
2)在工业领域的众多业务场景中,数据的类型、种类、数据敏感性存在差异化。在进行数据安全管理活动中,厘清并识别出工业企业关键性、核心性业务场景,是做数据安全风险识别的先决条件。其次,围绕敏感数据(含重要数据、核心数据),发现关键的数据访问业务系统的场景,通过开展数据安全维度的风险分析,暴露出典型业务场景中的数据安全风险问题,选取针对性的数据安全能力,并落地技术防护措施,确保典型业务场景下数据安全使用和数据安全能力的持续。
隐私计算技术以其“可用不可见”的特性,成为实现数据利用与安全保护的利器,也在除金融、工业外的医疗、能源、制造等更多行业发挥着重要作用。隐私计算是包含多方安全计算、联邦学习、机密计算等一系列技术的系统,隐私计算能够不存储用户原始数据,可防止未经授权的访问,以实现对数据用法用量的更精细化的管控。然而,当前对隐私计算的关注多聚焦于单点应用,系统性长远性思考仍显不足,更需有完善的平台防护技术协同,打造更加夯实的技术基础。
3 利用数据价值层面
可参考《数据安全法》“第十三条 国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。”
数据安全技术的制高点是解决数据价值挖掘与数据隐私保护之间矛盾,要在保护数据安全的前提下,最大限度挖掘数据的价值。由于数据是在流动中产生价值,数据分类分级工作可以帮助我们明确哪些是重要数据,哪些是可以有限开放的。定义了数据的重要性之后,我们要采用不同的技术手段让数据既能够得到有效防护,又能充分共享。为了保障数据隐私安全,建议采用“数据可用不可见”的原则,为了更好地开放共享数据价值,建议采用“分享价值不分享数据”的原则。
例如1)在存储和传输过程中,通常对数据进行加密处理,在进行数据交互和共享时,将数据中的敏感信息如个人身份信息进行脱敏或匿名化处理要进行加密监管。数据加密技术可以帮助用户实现数据加密存储、访问控制增强等功能,可满足数据规模大、密文数据存在复杂查询和统计分析、性能要求高等应用场景需求。
2)对于业务数据要根据访问者的身份、使用场景来设定防火墙的机制,及其他相应的管控机制;运维人员若接触数据,要进行身份识别,运维记录,数据动态脱敏等。其中运维人员管控是当前防核心数据泄露的重要环节,需要为用户数据运维安全提供“事前申请-事中控制-事后追溯”的有效管控手段,规范运维行为,保护用户核心数据。
我们希望的是不要让技术手段限制数据的流动性,同时把数据安全做好,充分发挥数据的最大价值,这也是当前业界所面临的共同挑战。
4 数据处理活动层面
可参考《数据安全法》“第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。”网络安全等级保护制度是国家安全保障工作的基本制度,是实现国家对重要网络系统重点保护的重大措施,也是维护国家关键信息基础设施的重要手段。
在数据处理活动上履行等保要求的同时,可以在安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等注重数据安全技术的使用。
例如,1)安全管理中心的系统管理中提出:“在网络系统的安全管理中心建设中常采用网络安全管理平台”,我们可以在保障网络运行安全的同时,采用数据安全管理平台解决网络数据安全,促使管理平台支持对数据安全产品(如数据安全风险评估(分类分级)、数据库防火墙、数据库安全审计、数据库脱敏、数据水印等)的使用。
2)安全管理中心的安全管理中提出:“安全管理平台能对网络系统安全产品的安全策略进行设置”。我们建议也可以采用数据安全管理平台对网络数据安全产品的安全策略进行设置,比如进行数据分类分级打标、数安法和个保法及行业数据安全标准合规策略、数据库防火墙的数据包过滤规则、数据库运维安全的访问控制策略、数据库安全审计产品的审计策略、数据脱敏策略等,并支持对安全策略进行添加、删除、修改和分发。
以上的各个环节中均涵盖在使用场景下的数据库安全防护技术。数据库安全防护技术现较为成熟,其通过支持丰富的数据库安全策略,并可通过防数据库扫描探测、防口令爆破、防注入和漏洞攻击、防高危操作、防拖库和数据泄露等能力,为数据库提供增强级安全防护保障。
此外,平台防护技术将成为数据处理活动中做好数据安全管理运营的主流趋势。平台防护技术包括数据安全运营平台、数据隐私计算平台、数据安全监测平台、零信任数据安全平台等,平台防护技术尚未完全成熟,但它将会成为未来企业数据安全防护中的发力点,也是帮助数据安全厂商从单点化产品打造向体系化方案转变的重要抓手。
数据安全治理技术体系全景图
5 总结
对于企业或组织,数据驱动业务发展是数字经济时代的显著特征,实现数据开发利用和安全合规的平衡是个重要问题,做好数据安全治理,必然会给企业或组织带来更稳健的收益。同时,数据安全治理能够辅助数字经济发展,数据安全要贯穿在数字经济的发展过程中,为数字经济夯实前行道路。有规划地逐步建设发展,使得数据安全治理与数字经济的发展相辅相成,才是正确的数据安全治理之道。
(本文作者:北京安华金和科技有限公司 谭峻楠 金晨)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。