以数据为中心:《数据安全法》下的新安全 | 慧盾安全解读
星期日, 六月 27, 2021
《中华人民共和国数据安全法》(以下简称《数据安全法》)已正式公布,慧盾认为:《数据安全法》以数据为中心;与《网络安全法》同为《国家安全法》的配套法律,都是国家整体安全观的组成部分,同属上位法,是法律效力最高的法律;《数据安全法》与《网络安全法》将各有侧重,互相补充,共同构筑网络空间安全与数据安全;体现出“新定位”、“新技术”、“新实践”的全新特点。
一、《数据安全法》要点解读
总则
本法开宗明义定义数据安全法的目标与定位,「为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法」(第一条)。
数据处理包括「数据的收集、存储、使用、加工、传输、提供、公开等」(第三条)。
以数据为中心,「建立健全数据安全治理体系,提高数据安全保障能力。」(第四条)
解读
《数据安全法》明确区分网络安全和数据安全的差异,赋予了数据安全新的定位;构建数据全生命周期安全,保障数据依法有序流动;以数据安全治理推动数据安全体系建设。
明确指出使用的范围和角色:(第六条)
「各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。」
「工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。」
「公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。」
「国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。」
解读
《数据安全法》适用于数据所有单位、数据运营和使用单位以及主要行业的监管单位;主要行业应「依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平」(第十条)。
数据安全与发展
坚持安全与发展并重「以数据安全保障数据开发利用和产业发展。」(第十三条)
「国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。」(第十四条)
解读
《数据安全法》多处体现了“促进以数据为关键要素的数字经济发展”的价值取向,以数据为中心,以数据安全为基础;尤其在大数据战略中,数据基础设施的安全,即大数据平台安全,尤为重要。
数据安全制度
构筑国家数据安全基本制度,涵盖数据分类分级保护制度及重要数据目录;数据安全风险评估、报告、信息共享、监测预警制度;数据安全应急处置制度、数据安全审查和出口管制制度等。(第二十一条至第二十五条)
解读
《数据安全法》指出数据分类分级制度是整个数据安全制度的基础;数据的分类分级和重要数据目录是「根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度」进行划分的,是数据的自身属性,与环境、场景、应用无关。
数据安全保护义务
「开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。」(第二十七条)
解读
《数据安全法》明确指出在履行数据安全保护义务时,需要在网络安全等级保护技术基础上,应用新的技术措施,保障数据安全。以重要数据(数据分类分级)为锚点,对重要数据的处理活动(数据全生命周期)提出了若干延展数据安全保护义务。
政务数据安全与开放
以“安全开放”为目标的政务数据体系建设「国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平台,推动政务数据开放利用。」(第四十二条)
解读
在我国从电子政务向数字政府发展的历史阶段,应用大数据技术和建设政务大数据平台是业务数字化变革的重要支撑。因此《数据安全法》特别强调大数据平台安全的建设是政务数据开放的基础保障。
法律责任
本法明确将在数据处理活动存在的安全风险作为数据安全违法行为的定义和划分,并赋予了多项处罚说明。「对违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。」(第四十二条)
解读
《数据安全法》特别强调数据的泄密、篡改、损毁是数据安全违法的行为,是以数据为中心的体现;同时也明确和《网络安全法》的区分。
二、新定位
以数据为中心,促进数据开发利用!
数据的价值是在流动中体现的,所以是开放的、没有边界的;而网络是封闭的、有清晰边界的。
数据安全是对在数据处理的各环节中的数据安全防护,是数据的主动安全;而网络安全是通过对网络的安全防护,进而保障网络数据的安全,是数据的被动安全。
因此,数据安全的提出,必然引发新的思路、新的技术路线,产生新的技术。
1.目标
《数据安全法》总则第一条“为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法”。
《网络安全法》总则第一条“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法”。
2.定义
《数据安全法》总则第三条“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”。
《网络安全法》第七十六条(二)“网络安全,是指采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力”。
三、新技术
以数据分类分级为依据、以数据生命周期为维度、以数据处理场景为目标,构建数据安全防护能力。
数据加密
与传统DLP的加密不同,应具备“通过数据识别,依据数据分类分级管理要求,实现对数据内容的加密”,具体加密对象包括结构化/半结构化数据字段和非结构化文件。同时,针对大数据(数据量大、速度快)的的特点,加密效率也是重要指标。
数据审计
传统网络安全中的审计,实质上都是对操作行为的审计,比如哪个用户登录了数据库,针对哪个表、哪个字段进行了增删改查操作等。而数据安全中的数据审计应该是对操作数据内容的审计,比如对于数据库的select查询,数据库会把所有符合条件的数据全部返回回来,然而对于一些业务场景和最小化授权原则,是不能返回这么多数据的,因此这里需要进行有效的审计与控制(截断或阻断)。
3.数据水印
主要应用在数据对外共享时,涉及多媒体数据、文本数据、以及结构化数据。数据水印主要实现将定制的水印数据嵌入到共享数据中,且不会轻易被发觉和消除,从而实现数据的溯源。
4.数据访问控制
数据的价值越来越大,针对数据的攻击也越来越多,勒索病毒就是非常典型的攻击。传统的防护方法都是利用网络安全技术和数据备份技术(但最新的勒索病毒呈现出的攻击已不仅仅是数据损毁了,还包括数据窃取),但防护效果一般,尤其是当病毒通过社会工程学绕过网络边界的防护,从内部直接发起攻击时,可以说是如入无人之境。因此需要数据的访问控制保护,作为数据的最后一层防线。
5.交换数据画像
「以数据安全保障数据开发利用」,数据的开发利用离不开数据的交换和流动。面对各式各样的应用,加密/不加密的网络信道,如何识别在授权的数据交换时有没有数据窃取、数据越权、数据夹带等?交换数据画像,根据不同的共享场景和共享数据属性,构建数据画像,进而识别。
四、新实践
大数据在十八届五中全会上上升成为国家战略,大数据安全是数据安全的全新实践。
大数据系统(等保2.0中定义)由大数据平台和大数据应用构成,其中大数据平台又分为基础设施层、数据平台层和计算分析层。因此大数据平台的安全应是融合了网络安全(面向基础设施层)和数据安全(面向数据平台层和计算分析层)。
大数据平台数据安全应包括:平台数据处理安全、平台数据操作审计与控制、平台数据交换安全、以及用户访问平台数据安全。
五、慧盾大数据系统-数据安全体系
依据《数据安全法》,通过设立“数据安全治理组织”,建立健全“数据安全治理制度和流程”,加强“数据安全管理”和“安全运营管理”,适度、有效地应用“技术保护”手段,构建数据安全治理体系。
其中数据安全的技术保护,是以数据“防泄密、防篡改、防损毁”为目标,从三个维度建设的数据安全技术体系。其中“数据安全”是从数据全生命周期出发,针对各环节下数据的自身安全,是数据的主动安全;“大数据平台安全”是依据大数据的特点,保障数据的基础设施安全;“大数据场景安全”是针对大数据平台在数据处理活动中典型应用场景的数据安全风险的安全防护,是数据的被动安全。数据安全技术体系是对应数据拥有方、数据运营方、和数据使用方的全面的数据安全技术体系。
慧盾信息安全科技(苏州)股份有限公司(以下简称公司)成立于2010年12月,由“华为十大王牌军”之一的周亮团队创建。公司是致力于数据安全的自主研发和技术服务的国家高新技术企业,拥有行业最完整的物联网安全和大数据安全解决方案。