案件还原:今年6月24日,中共中央网信办发布公告,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》《数据安全法》,按照《网络安全审查办法》(下称《办法》),2022年6月23日,网络安全审查办公室约谈同方知网(北京)技术有限公司负责人,宣布对知网启动网络安全审查。
图 网络安全审查办公室对知网启动网络安全审查
01
知网被查背后
重要行业重要数据关乎国家安全
根据“网信中国”通报,知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及我国重大项目、重要科技成果及关键技术动态等敏感信息。可以说,在数字经济时代,数据安全直接关乎着国家主权和国家安全,其重要性已经毋庸置疑。“大多数企业都知道数据安全很重要,但并不清楚自己的重要数据、敏感数据等存储在哪儿、哪些环节流通、哪些业务在调用、隐藏着哪些风险。”值此《数据安全法》正式实施一周年之际,作为本期数据安全“四大名侦探”之一,奇安信集团数据安全治理部总经理楚贇认为,以数据分类分级为核心的数据安全治理,是数据安全体系化建设落地实施的基础。
02分类分级做不好
数据安全必然会“危机四伏”
从今年国家级的攻防演习结果来看,因为重要、敏感数据被攻方获取,进而丢失很多分数的企业单位不在少数。经分析发现,很多企业在网络安全的边界防护、终端防护、流量威胁检测及响应方面,做得非常完善,然而由于缺乏对数据的分类分级,在数据安全防护上存在明显的软肋,导致在演习中企业的重要数据和敏感数据被轻易获取,吃亏很大。
从多个真实案例来看,数据分类分级做不好,必然会导致几个结果:
首先是无法满足《数据安全法》中的相关合规要求。 《数据安全法》明确提出国家重要数据、核心数据的概念,即关系国家安全、国民经济命脉、重要民生、重大公共利益等数据,并要求对此类数据实行更加严格的管理制度。显然,对于具有承载着大量科研科技数据的知网而言,科技安全是国家安全的重要组成部分,很多反映科技成果的数据也会直接影响国家安全。楚贇认为,知网不仅仅是个案,对于所有掌握着与国家安全、重点科研、国计民生紧密相关重要和敏感数据的企业平台而言,迫切需要从合规角度,建立数据分类分级管理制度,对数据进行分类分级,识别出涉及国家和行业领域安全的重要数据、核心数据、个人信息数据,并基于分类分级结果、对敏感数据和重要数据的流转及使用情况,结合企业场景化的数据安全风险分析及数据安全能力需求分析,制定企业的数据安全策略和技术防护保障措施。
其次是无法适应数据规模爆发式增长带来的安全挑战。
当前,随着数字化转型的深入,企业的数据规模呈爆发式增长,泛在化流动,并且向平台化集中,同时,随着业务系统上云、数据交互和流通(甚至存在跨境传输)需求的增加,针对于企业业务数据层面的安全管理、安全防护问题也逐渐增多,数据安全形式复杂且变得严峻。
如何对海量数据进行有针对性的防护,促进数据安全有序的流动、保障业务应用安全的使用、及时发现潜在数据安全风险并及时处置等,都是企业当前数据安全管理与防护的难题。
最后是难以支撑企业数据安全保护的常态化管理。
企业在数字化过程中,数据类型多、数据来源复杂、体量大,如果对所有数据无差别地进行安全管理和防护,对于数据安全管理人员来说就显得不科学和不现实。因此,摸清企业的数据资产底账,识别要重点保护的关键数据资产就显得尤为重要,将数据分类分级管理和工作开展赋能到企业的各业务条线,在业务开展过程中就做好数据的分类分级,识别出需要重点保护的关键数据,作为常态化管理工作是一种必然。
03
从冬奥项目看企业如何开展数据分类分级
那么,企业该如何开展数据分类分级工作?在2022北京冬奥的数据安全保障中,对于冬奥数据的分类分级实践,具有很好的启示。
2022北京冬奥可以说是数字科技含量最高的一届冬奥会,运行着60多个技术系统,包括比赛、组织及协调、观赛出席仪式、观赛体验、裁判及竞赛组织、传播及报道等多个类型。仅从用户的维度,就可分为运动员、技术官员、媒体、贵宾、观众、工作人员等六大用户。所有这些,都产生出海量数据,衍生出一系列存储、流转、处理等各种场景,其重要和敏感等级千差万别,都需要针对性的数据分类分级解决方案。
图 北京冬奥会涉及业务环境“数据的分类分级其实是两项复杂的工作,一个是根据数据的属性和特征等划分类别,第二个是根据数据的安全性遭到破坏后带来的影响来划分安全等级。”楚贇认为。在冬奥数据的分类分级过程中,根据数据的特征和属性的不同,将数据划分为个人数据、竞赛数据、业务数据、运行和安全数据四大类别。在安全分级方面,则根据数据的影响对象和程度,结合流转场景和安全需求的不同,
冬奥数据安全保障团队将其划分为公开级(L1)、内部级(L2)、敏感级(L3)、高敏感级(L4)四个等级。
图 冬奥数据分类分级如图所示,个人敏感信息(如生物识别、网络身份鉴权、个人健康生理、个人财产等),竞赛保密数据、业务保密数据(如预算和投资计划、
财务报表等财务保密数据)、运行和安全保密数据(如网络设备/IT系统/应用的密码及关联信息、核心网络设备及IT系统配置数据)等都属于L4高敏感数据。对于这些高敏感数据,在流转范围方面,则按照批准的授权列表严格管理,禁止对外披露或共享高敏感级数据。在管控方面,实施严格的技术和管理措施,保护数据的机密性、完整性和可用性,应加密存储确保数据访问控制安全,并建立严格的数据安全管理规范以及数据实时监控机制。根据这样的分类分级框架和指引,任何数据,都可以对应相应的类别和分级。这样,就可以根据不同的级别、使用场景,制定针对性的安全策略,落实相关管理措施、技术措施、运营服务等。对于广大企业客户而言,如何借鉴冬奥项目,做好数据的安全治理和分类分级?楚贇认为,企业首先要依据行业或者地方的合规要求,结合自身的业务和数据安全管理的需求,结合地方及行业最佳实践,制定适合企业自身的数据安全分类分级标准和规范,明确企业分类分级工作开展的具体要求,方法、流程等,规范企业的数据分类分级工作。其次,在数据分类分级工作的具体开展过程中,企业可以结合自身情况,先选择部分核心业务系统开展数据资产的盘点和分类分级的试点工作,形成内部最佳实践,逐步开展全域数据的分类分级工作。04
做好数据安全
需循序渐进、把握四个方面
对于广大政企客户而言,数据安全的建设迫在眉睫,楚贇认为,数据安全是一项长期复杂工程,需要组织、制度和流程各方面的保障,不能一蹴而就,企业需要从以下四个方面着手,循序渐进开展数据安全能力建设。
首先要切换视角,围绕“保护重要数据资产”为目的,开展数据安全治理,去梳理业务、识别典型业务场景,梳理数据资产,做好分类分级,识别重要的数据资产,摸清现有的管理及技术防护的现状,盘清家底。
详见:企业数据资产盘点与
数据标准梳理方法
图 数据安全治理整体路径
然后,围绕重要的数据资产,重新审视已有的安全措施是否有效并覆盖到了对重要数据资产的保护,加强基础安全能力建设,补足短板。
同时,以数据分类分级为基础,去规划设计数据安全防护体系, 结合业务的场景化以及迫切性,有序建设,逐步补全安全能力,将数据安全能力全面覆盖数据在流转过程中的各阶段,涉及
数据采集、传输、存储、处理、交换和销毁等各环节,使安全能力内生于业务系统以及数据信息化基础环境建设中,在业务流程中按需调用,灵活配置安全能力,达到深度融合、全面覆盖。
详见:拒绝“盲人摸象”,数据分类分级方法论与实战总结
最后,定期开展数据安全能力评估,不断优化和提升数据安全能力,持续运营,只有不断完善、不断改进,数据安全道路才能越走越远
总而言之,安全工作只有起点,没有终点,企业的数据安全不可能一劳永逸。楚贇建议,企业需要开展数据安全治理和分类分级, 建立相应的制度、流程、规范等,以分类分级为基础,进行数据安全管理体系、技术防护体系、运营体系的规划和设计。可以说,以数据分类分级为核心的数据安全治理,是数据安全体系化建设落地实施的基础。
(部分内容来源网络,如有侵权请联系删除)
