《《数据安全法》背景下的企业数据安全方案.docx》由会员分享,可在线阅读,更多相关《《数据安全法》背景下的企业数据安全方案.docx(11页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、数据安全法背景下的企业数据安全方案【摘要】信息安全是一场永无止境的战斗,而且会越来越难以取胜,数 据安全的风险防御更是任重而道远,为更好的解决数据安全的问题只有通过有 效的技术措施结合管理手段,从里到外识别风险,并解决风险。深刻理解2021 年9月1日开始施行的数据安全法,会让企业在数据安全防御方面事半功 倍。概述2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过了中华人民共和国数据安全法,下文简称数据安全法,并定于2021年 9月1日施行。其主要目的是为了规范数据处理活动,保障数据安全,促进数 据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益, 制定的
2、法律。同时随着互联网的迅速发展,万物互联崛起,对数据保护的需求 也越发迫切,非常有必要单独出台一部针对数据安全保障领域的法律来加强对 数据的监管,对数据的有效监管实现了有法可依,填补了数据安全保护立法的 空白。内部人员窃取 在任何的公司总有这么一些人为了个人利益出卖集团利益,虽然入职时签署了 各种保密协议、敬业协议,但仍会为蝇头小利窃取企业的核心数据。这类人一 般都很小心,“潜伏”在公司内部,很难被发现,却时常用自身的职位权力获 取利益,一般的信息安全防御手段很难发现,所以对企业来说他们具有极强的 杀伤力。- 数据灾难数据作为企业的核心资产一直被严格保护,但是天有不测风云,很多企业由于 自身成
3、本或者基础设施的问题,不能确保数据100%的安全。各种意外事件导致 数据丢失也在所难免,如人为误删除、建筑塌陷、自然因素等。- 脆弱性口令最容易忽略的问题,往往会造成最严重的事件。系统上的脆弱性口令直接导致 企业核心数据的泄漏,尤其在传统的制造企业。根据第三方评测机构的数据显 示,12345这样的密码大量被使用,而且一般都被核心人员使用。强化数据安全措施数据安全法的落地,很好的指引企业该如何正确的收集数据、使用数据、 流转数据和保护数据。通过对七章节的学习和个人理解,总结出符合企业更好 的落实数据安全保护的经验。要更好的保护数据,确保数据安全,就要在管理 和技术两个方面下功夫,从数据的产生一直
4、到消亡进行保护。数据安全技术- 数据采集数据采集是数据生命周期的第一个步骤,这个阶段的安全重要性不言而喻,直 接关系到后续工作的顺利开展。此阶段有几个点的安全需要重点考虑:1 .制定严格的访问控制策略,非授权的采集请求应通过技术手段直接拒绝,确 保数据采集端与信息主体处于相互信任的情况;.在数据采集前后采取校验码等技术对数据完整性进行校验,如使用数字签 名、Hash算法校验等方式;2 .对数据采集接口与后端进行加密对接。-数据传输数据在传输阶段易遭到截取,甚至造成篡改。在此环节重点可以考虑:1 .使用https等类似的协议,使传输通道进行加密,防止被恶意窃听;.通过证书或者其他手段对数据进行加
5、密,防止在传输过程中被篡改。-数据存储数据存储阶段保证数据不被恶意调用和访问,此环节重点可以考虑:1 .对落盘的数据进行加密存储;.收缩DBA权限最小化,控制数据库访问权限。-数据使用 数据使用阶段要确保正确的人使用正确的数据,此环节重点可以考虑:1 .对核心数据通过技术手段进行脱敏;.做好数据分级和分类,对数据进行标签化;2 .数据的使用和流转需进行授权,实现可追溯。数据消匚数据消亡阶段要确保数据不可被技术恢复,此环节重点可以考虑:1 .对存储数据的硬盘要进行不少于4次的格式化和复写操作;.核心数据的硬件要进行粉碎处理。数据安全管理国家层面在大数据时代,全民数据安全意识增强的背景下,各个国家
6、分别出台了大量的 关于数据安全的法规和标准,国家在2021年出台了数据安全法和个人信 息保护法,用于规范和合规企事业单位在数据采集、使用、流转等多个过程 中的行为,其根本目的是要提升国家数据安全的保障能力和数字经济的治理能 力。-行业层面 随着国家层面的关于数据安全的法律法规的落地,各个行业也开始制定相关的 管理规定和标准,对企业和政府单位的数据安全策略和数据安全体系建设情况 进行指导与监督。如工信部将在国家相关法律和机制框架下,依据职责,围绕 行业数据安全监管、提升数据安全监管能力建设、促进数据安全产业发展等几 方面开展工作。企业层面作为企业要严格遵守国家及行业的规定,从以下几方面对数据安全
7、进行管理:1 .建立数据安全管理组织或机构,制定指导方针和发展策略,指明方向;.编制和下发各种数据安全相关的管理制度和数据调用流程;2 .对企业内部数据进行分类和分级,所有数据标签化;.依托中台理念,建设企业数据中台,实现数据归一化、可复用、可视化;3 .通过运营的思路进行数据安全管理,如日常的数据管理、数据监管,指从资 产、数据、业务、合规、事件处置、风险管理等多方面对数据进行监管,掌握 数据安全运营情况。结束语信息安全本身就是一场永无止境的战斗,而且会越来越难以取胜,数据安全的 风险防御更是任重而道远,为更好的解决数据安全的问题只有通过有效的技术 措施结合管理手段,从里到外识别风险,并解决
8、风险。深刻理解数据安全 法,会让企业在数据安全防御方面事半功倍。因文章内容有限,将不在此处详述各个条款的内容,只是根据个人理解,总结 出若干点针对企业内最为关注的重点条款进行说明,更加详细的条款,可以详 参数据安全法正文。-全文完-数据安全法已于2021年9月1日正式落地实施,这标志着国家在数据安全 方面已经初步建立起一套法律框架。在数字化转型浪潮中,数据作为业务的驱 动,已经为各行业企业的关键生产要素,于国家而言,更是具有深远战略价值的 核心资产。在未来,各行各业若要实现数字化到智能化的转型,海量数据的价 值转化及挖掘是必经之路。数据安全法介绍我们要更好的践行数据安全法的要求及遵守相应的管理
9、条例,就要先了解 和理解其内容。数据安全法全文共有七章五十五条,主要从数据安全与发 展、数据安全制度、数据安全保护义务、政务数据安全与开放及法律责任的角 度对数据安全保护的义务和法律责任进行规定。内容概述数据安全法是我国实施数据安全监督和管理的一部基础法律,其根本目的 是要提升国家数据安全的保障能力和数字经济的治理能力。作为国家的第一部 关于数据安全的法律,不仅受到了安全从业者,也受到了来自各界人士的广泛 关注:数据安全与发展众所周知,数字化转型的基石就是数据,以数据驱动业务发展,物联网的发展 更是使数据爆炸性的增长,其中蕴含的价值,无法估量,这让国家和企业都越 发的意识到数据的重要性,无论是
10、从国家战略还是企业战略出发,都已经将数 据作为核心资产,甚至上升到国家安全层面。为此合理有效的利用数据,不仅关系个人、企业的利益,更关系到社会和经济 的平稳发展,甚至影响国家安全。因此,数据安全法明确了数据安全与发展的 关系,强调“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据 安全,以数据安全保障数据开发利用和产业发展”。数据安全制度数据安全法明确了六项数据安全制度:o数据分类分级与核心数据保制度:根据数据在经济社会发展中的重要程 度及受到破坏后对国家安全、公共利益或个人、组织合法权益造成的危 害程度进行分类分级,协调有关部门编制重要数据目录,要求下发到个 地方,由地方部门按照要求
11、编制地区的重要数据具体目录,对所列目录 的数据加强保护。同时强调了对于关系国家安全、国民经济命脉、重要 民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制 度。数据安全风险评估与工作协调机制:规定国家建立集中统一、高效权威 的数据安全风险评估、报告、信息共享、监测预警机制,建立工作协调 机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。O数据安全应急处置机制:国家建立数据安全应急处置机制,当发生数据安全事件,主管部门应当依法启动应急预案,采取相应的应急处置措 施,防止危害扩大,消除安全隐患,及时向社会发布有关的警示信息。O数据安全审查制度:要求对影响或者可能影响
12、国家安全的数据处理活 动,国家有权进行安全审查。O数据出口管制制度:对与维护国家安全和利益、履行国际义务相关的属 于管制物项的数据依法实施出口管制,规定在与数据和数据开发利用技 术等有关的投资或贸易等方面,对我国采取相关歧视性的禁止、限制或 者其他类似措施的国家和地区,我国可以对其采取对等措施。数据安全保护义务数据安全法规定了四类数据安全义务:O数据处理者的安全义务:明确指出,重要数据的处理者应明确数据安全 的负责人和组织架构,按照要求定期的展开风险评估,并将发现的风险 主动报送主管部门。对于关基的运营,要求运营者在境内运营过程中产 生或收集的重要数据,数据的出境安全管理,必须依据网络安全法执
13、 行,其他数据处理者的数据出境管理由网信办另行制定政策,要求组 织、个人必须合法、依规收集和使用数据等。O数据交易中介服务机构义务:数据交易中介服务机构应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。O有关组织、个人的数据支持义务:任何组织、个人收集数据,应当采取 合法、正当的方式,不得窃取或者以其他非法方式获取数据。公安或国 家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按 照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应 当予以配合。O跨境司法或执法机构数据提供审批义务:未经主管机关批准,境内的任 何组织及个人不得向境外司法或者执法机构
14、提供存储于境内的数据。政务数据安全与开放数据安全法就政务数据安全与开放作出相应规定:O政务数据安全要求:国家机关需要建立健全数据安全管理制度,落实数 据安全保护责任,保障政务数据安全。同时要求国家机关应当依法合规 收集和使用的个人隐私、个人信息、商业秘密、保密商务信息等数据, 应当依法予以保密,不得泄露或者非法向他人提供。O外包政务系统数据安全要求:国家机关委托他人建设、维护电子政务系 统,存储、加工政务数据,应当经过严格的批准程序,受托方应当依照 法律、法规的规定和合同约定履行数据安全保护义务,同时国家机关应 当监督受托方履行相应的数据安全保护义务。政务数据开放要求:除依法不予公开的数据外,
15、国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据,同时应制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数 据开放平台,推动政务数据开放利用。-法律责任对于数据处理者与数据交易中介服务机构不履行数据安全义务、数据安全监管 履职国家工作人员滥权舞弊、违法获取或滥用数据等行为,数据安全法也作出 了相应的处罚规定。其中,对于不履行数据安全义务的数据处理者除罚款外可 以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,而 对于违反国家核心数据管理制度且构成犯罪的可以追究刑事责任,对于违规数 据出境或未经授权向外国司法或者执法机构提供数据的,同样会处以相
16、应处 罚。企业责任随着万物互联时代的来临,数据安全法的正式落地实施,助推了大数据、 云计算、物联网、人工智能等技术平台的蓬勃发展与安全保障。作为企业更应 该在数据安全法落地后,持续加大数据安全的投入,将保护企业核心数据 资产作为第一要务。同时针对2c业务,要尊重终端用户的数据所有权和使用 权,并严格保障终端用户的隐私安全。企业在关注信息安全的同时,更要突出数据安全的重要性。要时刻谨记,安全 是所有业务正常运行的前提条件。企业面临的数据安全风险 在了解了数据安全法之后,目前企业主要面临的数据安全风险有哪些?识 别这些风险,有利于企业更好的完善数据安全防护方面的短板,提升企业整体 数据安全防御能力
17、,保护核心数据资产的安全。存在的挑战现在我们已经进入了大数据时代,各行各业所产生的数据量呈现爆炸式增长。随着数字化转型步伐的加快,数据资产的重要性就尤为重要。数据不仅是企业 的核心资产,更是数字化转型的创新驱动。2021年一系列的关于安全的法律法规陆续出台,从国家层面已经意识到数据的 重要性,甚至上升到国家安全层面。同时也迫使企业必须意识到了解数据、保 护数据和发掘数据价值的重要性。企业既要保护数据安全,也要确保业务的稳定,从个人理解来看,目前企业针 对数据安全保护主要面临以下四大挑战:海量数据万物互联时代,数据量成指数级激增,按照第三方机构的统计,数据量每两年 就会增加一倍从2010年到20
18、20年,数据量就增长了超过50倍。可想而知,作 为企业很难厘清内部所有的数据,并从中发现哪些数据是核心的,哪些不是。如此大的数据量,企业甚至更无法准确定位这些数据都存储在具体的哪些位 置。存储分散 现在的企业都非常的重视数据的安全,深知数据的重要性,所以会把数据分散 存储到不同的数据中心。随着云计算的发展,数据上云也是混合云战略的体 现,充分利用云资源实现按需的快速交付。但这种对基础设施架构的优化也带 来了数据存储地点分散,加大了数据保护的难度。- 攻击频繁网络连接万物,我们的生活、工作对网络的依赖程度越来越深,网络安全事件 也在近几年呈现攻击类型多、攻击范围广、攻击模式组织化、防御难度大的趋
19、 势,几乎每天都有企业被攻击沦陷。以Globelmposter、Crysis为代表的勒索 病毒日渐猖獗,各种挖矿病毒更是如洪水猛兽。他们攻击的对象也瞄准了政府 单位和各种转型中的企业,如制造业。勒索病毒的影响力和破坏性可见一斑, 多次引发社会各界的广泛关注。- 数据合规大数据时代的到来,给企业自身的数据安全带来了挑战。目前尤其是传统企 业,经常忽视安全审计在数据安全中的重要性。安全审计应贯穿应用系统的全 生命周期,从设计到消亡,从代码安全到存储安全。同时安全审计人员较为短 缺,随着数据安全法的落地,企业应关注数据安全审计人员的培养。面临的风险大数据时代给企业带来长远价值的同时,也让企业面临来自
20、不同方面的数据安 全问题,根据个人经验,分为以下6类:网络攻击 互联网的发达不但方便了 “我们”,也方便了 “他们”。近年来网络攻击呈现 向上暴增趋势,而且越来越具有针对性,他们攻击的目标就是数据,尤其是企 业的核心数据。正所谓无利不起早,黑客往往会对有价值的对象发起攻击。他 们通常会采用数据获取后到黑市贩售,或者通过更加暴力的勒索方式让受害者 支付赎金。在大数据时代,数据安全面临的最直接的、最频繁的威胁就是来自 网络的各种恶意攻击。- APP数据泄露移动办公已成员工工作的新方式,尤其是在疫情频发的阶段,远程办公已经进 入常态化。便捷的办公方式使员工可以随时随地轻松的接入公司内网,访问内 网资
21、源,同时也满足企业业务发展的需求。便捷的同时也给企业的数据安全带来了新的风险和挑战。移动设备多为开源系 统,时常出现系统漏洞或者后门,其便利性的特点使其易丢失,给企业造成不 可估量的安全风险。当下各种APP泛滥,研发标准不一,有些APP自带后门和 恶意程序,对脆弱的移动设备的安全使用环境造成威胁,所以在移动办公过程 中极易发生信息泄露事件。- 员工跳槽现在越来越多的商业机密泄露行为主要来自内部,过往很多企业的信息安全防 御重心放在了企业外围,如网络攻击、黑客渗透等,忽略了来自内部的人员泄 露行为。商业化竞争的加剧,跳槽成为一种常态。核心人员的离职很可能直接 带走企业多年的研究成果,对企业造成严重影响。