核心提示:《數(shù)據(jù)安全法》要點(diǎn)梳理,以可視化技術(shù)回答數(shù)據(jù)安全的“十萬(wàn)個(gè)為什么”。
網(wǎng)絡(luò)安全和數(shù)據(jù)安全
從狹義來(lái)說(shuō),網(wǎng)絡(luò)安全指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或惡意的原因遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷,保障網(wǎng)絡(luò)信息的存儲(chǔ)安全,以及信息的產(chǎn)生、傳輸和使用過(guò)程中的安全。
從廣義來(lái)說(shuō),凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性、可控性的技術(shù)和理論,都是網(wǎng)絡(luò)安全的研究領(lǐng)域。所以廣義的網(wǎng)絡(luò)安全還包括設(shè)備的物理安全性,如場(chǎng)地環(huán)境保護(hù)、防火、防靜電、防水防潮、電源保護(hù)等。
數(shù)據(jù)安全也有兩方面的含義:
一是數(shù)據(jù)本身的安全。主要是采用現(xiàn)代密碼算法對(duì)數(shù)據(jù)進(jìn)行主動(dòng)保護(hù),如數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向強(qiáng)身份認(rèn)證等。
二是數(shù)據(jù)防護(hù)的安全。主要是采用現(xiàn)代信息存儲(chǔ)手段對(duì)數(shù)據(jù)進(jìn)行主動(dòng)保護(hù),如通過(guò)磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)等手段保證數(shù)據(jù)安全。
簡(jiǎn)單來(lái)說(shuō),網(wǎng)絡(luò)安全偏向于“動(dòng)態(tài)”安全,即信息系統(tǒng)和信息傳遞過(guò)程中的安全;而數(shù)據(jù)安全側(cè)重于“靜態(tài)”的數(shù)據(jù)自身安全狀態(tài)。在數(shù)據(jù)完整生命周期保護(hù)的角度,兩者既有交集,又有各自的偏重。
數(shù)據(jù)安全的重要性
隨著跨企業(yè)、跨行業(yè)、跨國(guó)別合作的模式變遷,數(shù)據(jù)的流轉(zhuǎn)使用越來(lái)越凸顯其價(jià)值。有價(jià)數(shù)據(jù)在生產(chǎn)、采集、存儲(chǔ)、加工、分析、使用等各個(gè)環(huán)節(jié)都面臨著嚴(yán)重威脅,屢屢發(fā)生的數(shù)據(jù)破壞、數(shù)據(jù)泄露事件,對(duì)社會(huì)和組織機(jī)構(gòu)造成了一定危害。
因此,國(guó)家對(duì)數(shù)據(jù)安全的重視程度也越來(lái)越高。2020年4月,中共中央、國(guó)務(wù)院發(fā)布《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》,將數(shù)據(jù)與土地、勞動(dòng)力、資本、技術(shù)并列為生產(chǎn)要素。2021年9月,《數(shù)據(jù)安全法》正式實(shí)施,維護(hù)我國(guó)的數(shù)據(jù)主權(quán)。
《數(shù)據(jù)安全法》要點(diǎn)梳理
1、數(shù)據(jù):任何以電子或其他方式對(duì)信息的記錄。
2、保護(hù)要求:采取必要措施,對(duì)數(shù)據(jù)進(jìn)行有效保護(hù)與合法利用,并持續(xù)保持其安全能力。
3、關(guān)鍵行業(yè):工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主要行業(yè),要落地?cái)?shù)據(jù)保護(hù)行業(yè)規(guī)范。
4、分類分級(jí):建立數(shù)據(jù)分類分級(jí)保護(hù)制度,對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù),并確定重要數(shù)據(jù)目錄,加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。
5、風(fēng)險(xiǎn)評(píng)估:建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制。
6、應(yīng)急處置:建立數(shù)據(jù)安全應(yīng)急處置機(jī)制。
7、安全審查:建立數(shù)據(jù)安全審查制度。
8、出口管制:對(duì)屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制,可根據(jù)實(shí)際情況對(duì)該國(guó)家或地區(qū)對(duì)等采取措施。
9、數(shù)據(jù)收集:任何組織、個(gè)人收集數(shù)據(jù),必須采取合法、正當(dāng)?shù)姆绞,不得竊取或以其他非法方式獲取數(shù)據(jù)。
10、不履行規(guī)定保護(hù)義務(wù):責(zé)令改正和警告,給予單位5萬(wàn)至50萬(wàn)元罰款,給予責(zé)任人1萬(wàn)至10萬(wàn)元罰款。拒不改正或造成大量數(shù)據(jù)泄露等嚴(yán)重后果的,給予單位50萬(wàn)至200萬(wàn)元罰款,最高責(zé)令吊銷相關(guān)業(yè)務(wù)許可證或營(yíng)業(yè)執(zhí)照,給予負(fù)責(zé)人5萬(wàn)至20萬(wàn)元罰款。
11、向境外提供重要數(shù)據(jù)的:責(zé)令改正,給予警告,可以并處10萬(wàn)至100萬(wàn)元罰款,對(duì)直接負(fù)責(zé)的主管人員和其他責(zé)任人員給予1萬(wàn)至10萬(wàn)元罰款。情節(jié)嚴(yán)重的,給予100萬(wàn)至1000萬(wàn)元罰款,責(zé)令停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或營(yíng)業(yè)執(zhí)照,對(duì)負(fù)責(zé)人給予10萬(wàn)至100萬(wàn)元罰款。
數(shù)據(jù)安全,從看見(jiàn)數(shù)據(jù)現(xiàn)狀開始
傳統(tǒng)的數(shù)據(jù)安全防護(hù)可以應(yīng)對(duì)單一的業(yè)務(wù)系統(tǒng)數(shù)據(jù),但隨著數(shù)據(jù)產(chǎn)業(yè)的發(fā)展變化,特別是在大數(shù)據(jù)、多業(yè)務(wù)構(gòu)成的廣泛交互場(chǎng)景中,傳統(tǒng)數(shù)據(jù)保護(hù)顯現(xiàn)出了局限性。
以全局?jǐn)?shù)據(jù)安全的視角來(lái)看,重要數(shù)據(jù)廣泛分布在各業(yè)務(wù)系統(tǒng)和業(yè)務(wù)人員終端上,數(shù)據(jù)安全責(zé)任人想要看清:重要數(shù)據(jù)都有什么,都在哪里,主體是誰(shuí)?數(shù)據(jù)的訪問(wèn)控制和訪問(wèn)權(quán)限是否符合要求?是否存在數(shù)據(jù)破壞及數(shù)據(jù)泄露的風(fēng)險(xiǎn)?
只有看清重要數(shù)據(jù)、用戶賬號(hào)、訪問(wèn)行為,才能進(jìn)行具體的數(shù)據(jù)保護(hù),落實(shí)《數(shù)據(jù)安全法》關(guān)于分類分級(jí)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急處置、安全審查、出口管制等的管理制度。
企業(yè)機(jī)構(gòu)需要在整體數(shù)據(jù)治理框架下,確定數(shù)據(jù)分類分級(jí)管理標(biāo)準(zhǔn),對(duì)數(shù)據(jù)流動(dòng)過(guò)程實(shí)現(xiàn)可視化管理,進(jìn)而制定有效的數(shù)據(jù)安全保護(hù)策略,最終讓管理者看清數(shù)據(jù)安全的“十萬(wàn)個(gè)為什么”:
任何具體時(shí)刻,網(wǎng)絡(luò)中有哪些數(shù)據(jù)在流動(dòng),其中是否有敏感數(shù)據(jù)。
任何具體時(shí)刻,有多少設(shè)備接入網(wǎng)絡(luò),有多少用戶在使用網(wǎng)絡(luò)。
用戶在訪問(wèn)什么應(yīng)用、什么業(yè)務(wù)、什么數(shù)據(jù)。
哪些敏感數(shù)據(jù)被移動(dòng)了,誰(shuí)在使用、從哪臺(tái)設(shè)備使用、在哪個(gè)物理位置使用。
哪些敏感數(shù)據(jù)有泄露風(fēng)險(xiǎn),哪些用戶可能有風(fēng)險(xiǎn)行為。
數(shù)據(jù)安全可視化,看得見(jiàn)才管得住
安博通深耕網(wǎng)絡(luò)安全領(lǐng)域11年,具有自研的網(wǎng)絡(luò)安全可視化技術(shù)。在數(shù)據(jù)安全領(lǐng)域,形成了“元溯”數(shù)據(jù)資產(chǎn)監(jiān)測(cè)與溯源分析平臺(tái),以“五維能力”架構(gòu),實(shí)現(xiàn)數(shù)據(jù)安全的可視化管理。
針對(duì)企業(yè)核心網(wǎng)絡(luò)區(qū)域、關(guān)鍵業(yè)務(wù)應(yīng)用的數(shù)據(jù)資產(chǎn),對(duì)其在網(wǎng)絡(luò)中的傳輸過(guò)程和交互行為進(jìn)行監(jiān)控審計(jì),提取涉及到的用戶、設(shè)備、應(yīng)用等要素并關(guān)聯(lián)分析,實(shí)時(shí)呈現(xiàn)數(shù)據(jù)資產(chǎn)在網(wǎng)絡(luò)中流動(dòng)的全息視圖。
數(shù)據(jù)流動(dòng)可視讓安全管理清晰有界,數(shù)據(jù)溯源審計(jì)讓安全追溯更加簡(jiǎn)單。安博通“元溯”為更多用戶提供數(shù)據(jù)深度可視、精準(zhǔn)溯源取證、泄露違規(guī)監(jiān)測(cè)、數(shù)據(jù)合規(guī)管理等價(jià)值,為更多行業(yè)提供自上而下的數(shù)據(jù)安全治理方案。
從狹義來(lái)說(shuō),網(wǎng)絡(luò)安全指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或惡意的原因遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷,保障網(wǎng)絡(luò)信息的存儲(chǔ)安全,以及信息的產(chǎn)生、傳輸和使用過(guò)程中的安全。
從廣義來(lái)說(shuō),凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性、可控性的技術(shù)和理論,都是網(wǎng)絡(luò)安全的研究領(lǐng)域。所以廣義的網(wǎng)絡(luò)安全還包括設(shè)備的物理安全性,如場(chǎng)地環(huán)境保護(hù)、防火、防靜電、防水防潮、電源保護(hù)等。
數(shù)據(jù)安全也有兩方面的含義:
一是數(shù)據(jù)本身的安全。主要是采用現(xiàn)代密碼算法對(duì)數(shù)據(jù)進(jìn)行主動(dòng)保護(hù),如數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向強(qiáng)身份認(rèn)證等。
二是數(shù)據(jù)防護(hù)的安全。主要是采用現(xiàn)代信息存儲(chǔ)手段對(duì)數(shù)據(jù)進(jìn)行主動(dòng)保護(hù),如通過(guò)磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)等手段保證數(shù)據(jù)安全。
簡(jiǎn)單來(lái)說(shuō),網(wǎng)絡(luò)安全偏向于“動(dòng)態(tài)”安全,即信息系統(tǒng)和信息傳遞過(guò)程中的安全;而數(shù)據(jù)安全側(cè)重于“靜態(tài)”的數(shù)據(jù)自身安全狀態(tài)。在數(shù)據(jù)完整生命周期保護(hù)的角度,兩者既有交集,又有各自的偏重。
數(shù)據(jù)安全的重要性
隨著跨企業(yè)、跨行業(yè)、跨國(guó)別合作的模式變遷,數(shù)據(jù)的流轉(zhuǎn)使用越來(lái)越凸顯其價(jià)值。有價(jià)數(shù)據(jù)在生產(chǎn)、采集、存儲(chǔ)、加工、分析、使用等各個(gè)環(huán)節(jié)都面臨著嚴(yán)重威脅,屢屢發(fā)生的數(shù)據(jù)破壞、數(shù)據(jù)泄露事件,對(duì)社會(huì)和組織機(jī)構(gòu)造成了一定危害。
因此,國(guó)家對(duì)數(shù)據(jù)安全的重視程度也越來(lái)越高。2020年4月,中共中央、國(guó)務(wù)院發(fā)布《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》,將數(shù)據(jù)與土地、勞動(dòng)力、資本、技術(shù)并列為生產(chǎn)要素。2021年9月,《數(shù)據(jù)安全法》正式實(shí)施,維護(hù)我國(guó)的數(shù)據(jù)主權(quán)。
《數(shù)據(jù)安全法》要點(diǎn)梳理
1、數(shù)據(jù):任何以電子或其他方式對(duì)信息的記錄。
2、保護(hù)要求:采取必要措施,對(duì)數(shù)據(jù)進(jìn)行有效保護(hù)與合法利用,并持續(xù)保持其安全能力。
3、關(guān)鍵行業(yè):工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主要行業(yè),要落地?cái)?shù)據(jù)保護(hù)行業(yè)規(guī)范。
4、分類分級(jí):建立數(shù)據(jù)分類分級(jí)保護(hù)制度,對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù),并確定重要數(shù)據(jù)目錄,加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。
5、風(fēng)險(xiǎn)評(píng)估:建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)報(bào)告、信息共享、監(jiān)測(cè)預(yù)警機(jī)制。
6、應(yīng)急處置:建立數(shù)據(jù)安全應(yīng)急處置機(jī)制。
7、安全審查:建立數(shù)據(jù)安全審查制度。
8、出口管制:對(duì)屬于管制物項(xiàng)的數(shù)據(jù)依法實(shí)施出口管制,可根據(jù)實(shí)際情況對(duì)該國(guó)家或地區(qū)對(duì)等采取措施。
9、數(shù)據(jù)收集:任何組織、個(gè)人收集數(shù)據(jù),必須采取合法、正當(dāng)?shù)姆绞,不得竊取或以其他非法方式獲取數(shù)據(jù)。
10、不履行規(guī)定保護(hù)義務(wù):責(zé)令改正和警告,給予單位5萬(wàn)至50萬(wàn)元罰款,給予責(zé)任人1萬(wàn)至10萬(wàn)元罰款。拒不改正或造成大量數(shù)據(jù)泄露等嚴(yán)重后果的,給予單位50萬(wàn)至200萬(wàn)元罰款,最高責(zé)令吊銷相關(guān)業(yè)務(wù)許可證或營(yíng)業(yè)執(zhí)照,給予負(fù)責(zé)人5萬(wàn)至20萬(wàn)元罰款。
11、向境外提供重要數(shù)據(jù)的:責(zé)令改正,給予警告,可以并處10萬(wàn)至100萬(wàn)元罰款,對(duì)直接負(fù)責(zé)的主管人員和其他責(zé)任人員給予1萬(wàn)至10萬(wàn)元罰款。情節(jié)嚴(yán)重的,給予100萬(wàn)至1000萬(wàn)元罰款,責(zé)令停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或營(yíng)業(yè)執(zhí)照,對(duì)負(fù)責(zé)人給予10萬(wàn)至100萬(wàn)元罰款。
數(shù)據(jù)安全,從看見(jiàn)數(shù)據(jù)現(xiàn)狀開始
傳統(tǒng)的數(shù)據(jù)安全防護(hù)可以應(yīng)對(duì)單一的業(yè)務(wù)系統(tǒng)數(shù)據(jù),但隨著數(shù)據(jù)產(chǎn)業(yè)的發(fā)展變化,特別是在大數(shù)據(jù)、多業(yè)務(wù)構(gòu)成的廣泛交互場(chǎng)景中,傳統(tǒng)數(shù)據(jù)保護(hù)顯現(xiàn)出了局限性。
以全局?jǐn)?shù)據(jù)安全的視角來(lái)看,重要數(shù)據(jù)廣泛分布在各業(yè)務(wù)系統(tǒng)和業(yè)務(wù)人員終端上,數(shù)據(jù)安全責(zé)任人想要看清:重要數(shù)據(jù)都有什么,都在哪里,主體是誰(shuí)?數(shù)據(jù)的訪問(wèn)控制和訪問(wèn)權(quán)限是否符合要求?是否存在數(shù)據(jù)破壞及數(shù)據(jù)泄露的風(fēng)險(xiǎn)?
只有看清重要數(shù)據(jù)、用戶賬號(hào)、訪問(wèn)行為,才能進(jìn)行具體的數(shù)據(jù)保護(hù),落實(shí)《數(shù)據(jù)安全法》關(guān)于分類分級(jí)、風(fēng)險(xiǎn)評(píng)估、應(yīng)急處置、安全審查、出口管制等的管理制度。
企業(yè)機(jī)構(gòu)需要在整體數(shù)據(jù)治理框架下,確定數(shù)據(jù)分類分級(jí)管理標(biāo)準(zhǔn),對(duì)數(shù)據(jù)流動(dòng)過(guò)程實(shí)現(xiàn)可視化管理,進(jìn)而制定有效的數(shù)據(jù)安全保護(hù)策略,最終讓管理者看清數(shù)據(jù)安全的“十萬(wàn)個(gè)為什么”:
任何具體時(shí)刻,網(wǎng)絡(luò)中有哪些數(shù)據(jù)在流動(dòng),其中是否有敏感數(shù)據(jù)。
任何具體時(shí)刻,有多少設(shè)備接入網(wǎng)絡(luò),有多少用戶在使用網(wǎng)絡(luò)。
用戶在訪問(wèn)什么應(yīng)用、什么業(yè)務(wù)、什么數(shù)據(jù)。
哪些敏感數(shù)據(jù)被移動(dòng)了,誰(shuí)在使用、從哪臺(tái)設(shè)備使用、在哪個(gè)物理位置使用。
哪些敏感數(shù)據(jù)有泄露風(fēng)險(xiǎn),哪些用戶可能有風(fēng)險(xiǎn)行為。
數(shù)據(jù)安全可視化,看得見(jiàn)才管得住
安博通深耕網(wǎng)絡(luò)安全領(lǐng)域11年,具有自研的網(wǎng)絡(luò)安全可視化技術(shù)。在數(shù)據(jù)安全領(lǐng)域,形成了“元溯”數(shù)據(jù)資產(chǎn)監(jiān)測(cè)與溯源分析平臺(tái),以“五維能力”架構(gòu),實(shí)現(xiàn)數(shù)據(jù)安全的可視化管理。
針對(duì)企業(yè)核心網(wǎng)絡(luò)區(qū)域、關(guān)鍵業(yè)務(wù)應(yīng)用的數(shù)據(jù)資產(chǎn),對(duì)其在網(wǎng)絡(luò)中的傳輸過(guò)程和交互行為進(jìn)行監(jiān)控審計(jì),提取涉及到的用戶、設(shè)備、應(yīng)用等要素并關(guān)聯(lián)分析,實(shí)時(shí)呈現(xiàn)數(shù)據(jù)資產(chǎn)在網(wǎng)絡(luò)中流動(dòng)的全息視圖。
數(shù)據(jù)流動(dòng)可視讓安全管理清晰有界,數(shù)據(jù)溯源審計(jì)讓安全追溯更加簡(jiǎn)單。安博通“元溯”為更多用戶提供數(shù)據(jù)深度可視、精準(zhǔn)溯源取證、泄露違規(guī)監(jiān)測(cè)、數(shù)據(jù)合規(guī)管理等價(jià)值,為更多行業(yè)提供自上而下的數(shù)據(jù)安全治理方案。