理解《數據安全法》-強化數據安全防御

理解《數據安全法》，強化數據安全防御

【摘要】信息安全是一場永無止境的戰(zhàn)斗，而且會越來越難以取勝，數據安全的風險防御更是任重而道遠，為更好的解決數據安全的問題只有通過有效的技術措施結合管理手段，從里到外識別風險，并解決風險。深刻理解2021年9月1日開始施行的《數據安全法》，會讓企業(yè)在數據安全防御方面事半功倍。概述2021年6月10日第十三屆全國人民代表大會常務委員會第二十九次會議通過了《中華人民共和國數據安全法》，下文簡稱《數據安全法》，并定于2021年9月1日施行。其主要目的是為了規(guī)范數據處理活動，保障數據安全，促進數據開發(fā)利用，保護個人、組織的合法權益，維護國家主權、安全和發(fā)展利益，制定的法律。同時隨著互聯(lián)網的迅速發(fā)展，萬物互聯(lián)崛起，對數據保護的需求也越發(fā)迫切，非常有必要單獨出臺一部針對數據安全保障領域的法律來加強對數據的監(jiān)管，對數據的有效監(jiān)管實現(xiàn)了有法可依，填補了數據安全保護立法的空白?！稊祿踩ā芬延?021年9月1日正式落地實施,這標志著國家在數據安全方面已經初步建立起一套法律框架。在數字化轉型浪潮中，數據作為業(yè)務的驅動，已經為各行業(yè)企業(yè)的關鍵生產要素,于國家而言,更是具有深遠戰(zhàn)略價值的核心資產。在未來，各行各業(yè)若要實現(xiàn)數字化到智能化的轉型，海量數據的價值轉化及挖掘是必經之路。數據安全法介紹我們要更好的踐行《數據安全法》的要求及遵守相應的管理條例，就要先了解和理解其內容?！稊祿踩ā啡墓灿衅哒挛迨鍡l，主要從數據安全與發(fā)展、數據安全制度、數據安全保護義務、政務數據安全與開放及法律責任的角度對數據安全保護的義務和法律責任進行規(guī)定。內容概述《數據安全法》是我國實施數據安全監(jiān)督和管理的一部基礎法律，其根本目的是要提升國家數據安全的保障能力和數字經濟的治理能力。作為國家的第一部關于數據安全的法律，不僅受到了安全從業(yè)者，也受到了來自各界人士的廣泛關注：數據安全與發(fā)展眾所周知，數字化轉型的基石就是數據，以數據驅動業(yè)務發(fā)展，物聯(lián)網的發(fā)展更是使數據爆炸性的增長，其中蘊含的價值，無法估量，這讓國家和企業(yè)都越發(fā)的意識到數據的重要性，無論是從國家戰(zhàn)略還是企業(yè)戰(zhàn)略出發(fā)，都已經將數據作為核心資產，甚至上升到國家安全層面。為此合理有效的利用數據，不僅關系個人、企業(yè)的利益，更關系到社會和經濟的平穩(wěn)發(fā)展，甚至影響國家安全。因此，數據安全法明確了數據安全與發(fā)展的關系，強調“國家統(tǒng)籌發(fā)展和安全，堅持以數據開發(fā)利用和產業(yè)發(fā)展促進數據安全，以數據安全保障數據開發(fā)利用和產業(yè)發(fā)展”。數據安全制度數據安全法明確了六項數據安全制度：數據分類分級與核心數據保制度：根據數據在經濟社會發(fā)展中的重要程度及受到破壞后對國家安全、公共利益或個人、組織合法權益造成的危害程度進行分類分級，協(xié)調有關部門編制重要數據目錄，要求下發(fā)到個地方，由地方部門按照要求編制地區(qū)的重要數據具體目錄，對所列目錄的數據加強保護。同時強調了對于關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。數據安全風險評估與工作協(xié)調機制：規(guī)定國家建立集中統(tǒng)一、高效權威的數據安全風險評估、報告、信息共享、監(jiān)測預警機制，建立工作協(xié)調機制統(tǒng)籌協(xié)調有關部門加強數據安全風險信息的獲取、分析、研判、預警工作。數據安全應急處置機制：國家建立數據安全應急處置機制，當發(fā)生數據安全事件，主管部門應當依法啟動應急預案，采取相應的應急處置措施，防止危害擴大，消除安全隱患，及時向社會發(fā)布有關的警示信息。數據安全審查制度：要求對影響或者可能影響國家安全的數據處理活動，國家有權進行安全審查。數據出口管制制度：對與維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制，規(guī)定在與數據和數據開發(fā)利用技術等有關的投資或貿易等方面，對我國采取相關歧視性的禁止、限制或者其他類似措施的國家和地區(qū)，我國可以對其采取對等措施。數據安全保護義務數據安全法規(guī)定了四類數據安全義務：數據處理者的安全義務：明確指出，重要數據的處理者應明確數據安全的負責人和組織架構，按照要求定期的展開風險評估，并將發(fā)現(xiàn)的風險主動報送主管部門。對于關基的運營，要求運營者在境內運營過程中產生或收集的重要數據，數據的出境安全管理，必須依據網絡安全法執(zhí)行，其他數據處理者的數據出境管理由網信辦另行制定政策，要求組織、個人必須合法、依規(guī)收集和使用數據等。數據交易中介服務機構義務：數據交易中介服務機構應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄。有關組織、個人的數據支持義務：任何組織、個人收集數據，應當采取合法、正當的方式，不得竊取或者以其他非法方式獲取數據。公安或國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據，應當按照國家有關規(guī)定，經過嚴格的批準手續(xù)，依法進行，有關組織、個人應當予以配合?？缇乘痉ɑ驁?zhí)法機構數據提供審批義務：未經主管機關批準，境內的任何組織及個人不得向境外司法或者執(zhí)法機構提供存儲于境內的數據。政務數據安全與開放數據安全法就政務數據安全與開放作出相應規(guī)定：政務數據安全要求：國家機關需要建立健全數據安全管理制度，落實數據安全保護責任，保障政務數據安全。同時要求國家機關應當依法合規(guī)收集和使用的個人隱私、個人信息、商業(yè)秘密、保密商務信息等數據，應當依法予以保密，不得泄露或者非法向他人提供。外包政務系統(tǒng)數據安全要求：國家機關委托他人建設、維護電子政務系統(tǒng)，存儲、加工政務數據，應當經過嚴格的批準程序，受托方應當依照法律、法規(guī)的規(guī)定和合同約定履行數據安全保護義務，同時國家機關應當監(jiān)督受托方履行相應的數據安全保護義務。政務數據開放要求：除依法不予公開的數據外，國家機關應當遵循公正、公平、便民的原則，按照規(guī)定及時、準確地公開政務數據，同時應制定政務數據開放目錄，構建統(tǒng)一規(guī)范、互聯(lián)互通、安全可控的政務數據開放平臺，推動政務數據開放利用。法律責任對于數據處理者與數據交易中介服務機構不履行數據安全義務、數據安全監(jiān)管履職國家工作人員濫權舞弊、違法獲取或濫用數據等行為，數據安全法也作出了相應的處罰規(guī)定。其中，對于不履行數據安全義務的數據處理者除罰款外可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照，而對于違反國家核心數據管理制度且構成犯罪的可以追究刑事責任，對于違規(guī)數據出境或未經授權向外國司法或者執(zhí)法機構提供數據的，同樣會處以相應處罰。企業(yè)責任隨著萬物互聯(lián)時代的來臨，《數據安全法》的正式落地實施，助推了大數據、云計算、物聯(lián)網、人工智能等技術平臺的蓬勃發(fā)展與安全保障。作為企業(yè)更應該在《數據安全法》落地后，持續(xù)加大數據安全的投入，將保護企業(yè)核心數據資產作為第一要務。同時針對2C業(yè)務，要尊重終端用戶的數據所有權和使用權，并嚴格保障終端用戶的隱私安全。企業(yè)在關注信息安全的同時，更要突出數據安全的重要性。要時刻謹記，安全是所有業(yè)務正常運行的前提條件。企業(yè)面臨的數據安全風險在了解了《數據安全法》之后，目前企業(yè)主要面臨的數據安全風險有哪些？識別這些風險，有利于企業(yè)更好的完善數據安全防護方面的短板，提升企業(yè)整體數據安全防御能力，保護核心數據資產的安全。存在的挑戰(zhàn)現(xiàn)在我們已經進入了大數據時代，各行各業(yè)所產生的數據量呈現(xiàn)爆炸式增長。隨著數字化轉型步伐的加快，數據資產的重要性就尤為重要。數據不僅是企業(yè)的核心資產，更是數字化轉型的創(chuàng)新驅動。2021年一系列的關于安全的法律法規(guī)陸續(xù)出臺，從國家層面已經意識到數據的重要性，甚至上升到國家安全層面。同時也迫使企業(yè)必須意識到了解數據、保護數據和發(fā)掘數據價值的重要性。企業(yè)既要保護數據安全，也要確保業(yè)務的穩(wěn)定，從個人理解來看，目前企業(yè)針對數據安全保護主要面臨以下四大挑戰(zhàn)：海量數據萬物互聯(lián)時代，數據量成指數級激增，按照第三方機構的統(tǒng)計，數據量每兩年就會增加一倍從2010年到2020年，數據量就增長了超過50倍?？上攵?，作為企業(yè)很難厘清內部所有的數據，并從中發(fā)現(xiàn)哪些數據是核心的，哪些不是。如此大的數據量，企業(yè)甚至更無法準確定位這些數據都存儲在具體的哪些位置。存儲分散現(xiàn)在的企業(yè)都非常的重視數據的安全，深知數據的重要性，所以會把數據分散存儲到不同的數據中心。隨著云計算的發(fā)展，數據上云也是混合云戰(zhàn)略的體現(xiàn)，充分利用云資源實現(xiàn)按需的快速交付。但這種對基礎設施架構的優(yōu)化也帶來了數據存儲地點分散，加大了數據保護的難度。攻擊頻繁網絡連接萬物，我們的生活、工作對網絡的依賴程度越來越深，網絡安全事件也在近幾年呈現(xiàn)攻擊類型多、攻擊范圍廣、攻擊模式組織化、防御難度大的趨勢，幾乎每天都有企業(yè)被攻擊淪陷。以GlobeImposter、Crysis為代表的勒索病毒日漸猖獗，各種挖礦病毒更是如洪水猛獸。他們攻擊的對象也瞄準了政府單位和各種轉型中的企業(yè)，如制造業(yè)。勒索病毒的影響力和破壞性可見一斑，多次引發(fā)社會各界的廣泛關注。數據合規(guī)大數據時代的到來，給企業(yè)自身的數據安全帶來了挑戰(zhàn)。目前尤其是傳統(tǒng)企業(yè)，經常忽視安全審計在數據安全中的重要性。安全審計應貫穿應用系統(tǒng)的全生命周期，從設計到消亡，從代碼安全到存儲安全。同時安全審計人員較為短缺，隨著數據安全法的落地，企業(yè)應關注數據安全審計人員的培養(yǎng)。面臨的風險大數據時代給企業(yè)帶來長遠價值的同時，也讓企業(yè)面臨來自不同方面的數據安全問題，根據個人經驗，分為以下6類：網絡攻擊互聯(lián)網的發(fā)達不但方便了“我們”，也方便了“他們”。近年來網絡攻擊呈現(xiàn)向上暴增趨勢，而且越來越具有針對性，他們攻擊的目標就是數據，尤其是企業(yè)的核心數據。正所謂無利不起早，黑客往往會對有價值的對象發(fā)起攻擊。他們通常會采用數據獲取后到黑市販售，或者通過更加暴力的勒索方式讓受害者支付贖金。在大數據時代，數據安全面臨的最直接的、最頻繁的威脅就是來自網絡的各種惡意攻擊。APP數據泄露移動辦公已成員工工作的新方式，尤其是在疫情頻發(fā)的階段，遠程辦公已經進入常態(tài)化。便捷的辦公方式使員工可以隨時隨地輕松的接入公司內網，訪問內網資源，同時也滿足企業(yè)業(yè)務發(fā)展的需求。便捷的同時也給企業(yè)的數據安全帶來了新的風險和挑戰(zhàn)。移動設備多為開源系統(tǒng)，時常出現(xiàn)系統(tǒng)漏洞或者后門，其便利性的特點使其易丟失，給企業(yè)造成不可估量的安全風險。當下各種APP泛濫，研發(fā)標準不一，有些APP自帶后門和惡意程序，對脆弱的移動設備的安全使用環(huán)境造成威脅，所以在移動辦公過程中極易發(fā)生信息泄露事件。員工跳槽現(xiàn)在越來越多的商業(yè)機密泄露行為主要來自內部，過往很多企業(yè)的信息安全防御重心放在了企業(yè)外圍，如網絡攻擊、黑客滲透等，忽略了來自內部的人員泄露行為。商業(yè)化競爭的加劇，跳槽成為一種常態(tài)。核心人員的離職很可能直接帶走企業(yè)多年的研究成果，對企業(yè)造成嚴重影響。內部人員竊取在任何的公司總有這么一些人為了個人利益出賣集團利益，雖然入職時簽署了各種保密協(xié)議、敬業(yè)協(xié)議，但仍會為蠅頭小利竊取企業(yè)的核心數據。這類人一般都很小心，“潛伏”在公司內部，很難被發(fā)現(xiàn)，卻時常用自身的職位權力獲取利益，一般的信息安全防御手段很難發(fā)現(xiàn)，所以對企業(yè)來說他們具有極強的殺傷力。數據災難數據作為企業(yè)的核心資產一直被嚴格保護，但是天有不測風云，很多企業(yè)由于自身成本或者基礎設施的問題，不能確保數據100%的安全。各種意外事件導致數據丟失也在所難免，如人為誤刪除、建筑塌陷、自然因素等。脆弱性口令最容易忽略的問題，往往會造成最嚴重的事件。系統(tǒng)上的脆弱性口令直接導致企業(yè)核心數據的泄漏，尤其在傳統(tǒng)的制造企業(yè)。根據第三方評測機構的數據顯示，12345這樣的密碼大量被使用，而且一般都被核心人員使用。強化數據安全措施《數據安全法》的落地，很好的指引企業(yè)該如何正確的收集數據、使用數據、流轉數據和保護數據。通過對七章節(jié)的學習和個人理解，總結出符合企業(yè)更好的落實數據安全保護的經驗。要更好的保護數據，確保數據安全，就要在管理和技術兩個方面下功夫，從數據的產生一直到消亡進行保護。數據安全技術數據采集數據采集是數據生命周期的第一個步驟，這個階段的安全重要性不言而喻，直接關系到后續(xù)工作的順利開展。此階段有幾個點的安全需要重點考慮：1.制定嚴格的訪問控制策略，非授權的采集請求應通過技術手段直接拒絕，確保數據采集端與信息主體處于相互信任的情況；2.在數據采集前后采取校驗碼等技術對數據完整性進行校驗，如使用數字簽名、Hash算法校驗等方式；3.對數據采集接口與后端進行加密對接。數據傳輸數據在傳輸階段易遭到截取，甚至造成篡改。在此環(huán)節(jié)重點可以考慮：1.使用https等類似的協(xié)議，使傳輸通道進行加密，防止被惡意竊聽；2.通過證書或者其他手段對數據進行加密，防止在傳輸過程中被篡改。數據存儲數據存儲階段保證數據不被惡意調用和訪問，此環(huán)節(jié)重點可以考慮：1.對落盤的數據進行加密存儲；2.收縮DBA權限最小化，控制數據庫訪問權限。數據使用數據使用階段要確保正確的人使用正確的數據，此環(huán)節(jié)重點可以考慮：1.對核心數據通過技術手段進行脫敏；2.做好數據分級和分類，對數據進行標簽化；3.數據的使用和流轉需進行授權，實現(xiàn)可追溯。數據消亡數據消亡階段要確保數據不可被技術恢復，此環(huán)節(jié)重點可以考慮：1.對存儲數據的硬盤要進行不少于4次的格式化和復寫操作；2.核心數據的硬件要進行粉碎處理。數據安全管理國家層面在大數據時代，全民數據安全意識增強的背景下，各個國家分別出臺了大量的關于數據安全的法規(guī)和標準，國家在2021年出臺了《數據安全法》和《個人信息保護法》，用于規(guī)范和合規(guī)企事業(yè)單位在數據采集、使用、流轉等多個過程中的行為，其根本目的是要提升國