新形势下数据安全现状
来源:河南省教育信息安全监测中心 作者: 发表于:2020.09.17 274浏览
一、新形势下数据安全内涵已发生变化
传统定义中,数据安全是指计算机网络安全中数据层面的安全,其防护主要是面向外部黑客,以对外部黑客或入侵者的防控为主要对象,以区域隔离、安全域划分为目标,以边界防护为主要安全手段,管理于技术相对分离。
新形势下,数据安全是指以数据的安全使用为目标,以数据分级分类为基础,以信息使用过程中的安全管理和技术支撑为手段,安全产品技术和流程管理深度融合的一种新的数据安全管控体系,其对数据的保护应涵盖数据的整个生命周期,满足数据安全保护、合规性和敏感数据管理。
数据安全领域主要关注的防护对象包括个人信息和重要数据。《网络安全法》指出,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。重要数据是指不涉及国家秘密和军事数据,但与国家安全、经济发展以及公共利益密切相关的数据,包括但不限于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的各类机构在开展业务活动中采集和产生的,不涉及国家秘密,但一旦泄露、篡改或滥用将会对国家安全、经济社会发展和公共利益造成不利影响的数据。
数据的生命周期包括:数据的采集、数据传输、数据存储、数据处理、数据共享/交换、数据销毁几个阶段。在定义中,数据安全保护既包括对数据的可用性、机密性、完整性等保护,也包括对数据的合规性和敏感数据管理保护。数据安全的核心是保障数据在其全生命周期的各个阶段均可实现高度可控与高度可审计,通过技术保护与高效管理尽可能隔绝各类威胁因素。
新形势下数据安全体系建设与传统数据安全的差异对比如下表所示。
二、数据安全风险日益凸显
国家出台多项标准、规范
常见的数据安全威胁包括数据泄露、勒索病毒、对数据的恶意破坏以及来自于内部人员的误操作等。随着数据和资产交易市场的形成,以及勒索病毒的演进,数据面临的风险越来越大,以勒索病毒和信息泄露为代表数据安全威胁其给企业、社会带来的严重危害。
美国安全公司Carbon Black发布了2018年勒索软件调查报告,报告显示,暗网经济中勒索软件的市场规模猛增了2502%。2017年,暗网上勒索软件的相关产品销售额高达623万美元,是2016年25万美元的25倍。勒索病毒等数据安全威胁给企业、社会带来严重危害的同时,也加快和促使了一系列法律、法规的出台,数据安全相关的法律、法规的制定是保障数据不被窃取、破坏和滥用的基础。
2017年6月1日正式实施的《网络安全法》,明确了数据安全的责任部门与人员,指出应围绕数据安全构建人员管理与培训制度,对数据影响的评估与审计制度,指出各单位应明确业务调用数据的范围,建立自动化审计系统。《网络安全等级保护2.0》则从网络安全、应用安全和数据安全层面对各数据的拥有主体提出了具体的要求和规范。
在个人数据隐私保护方面,从2019年开始,国家通过法律、监管和技术手段共同构建个人数据隐私保护。《App个人信息收集与隐私政策测评报告》、四部委联合开展的《App违法违规收集使用个人信息专项治理》行动,以及四部门联合制定并发布的《App违法违规收集使用个人信息行为认定方法》,说明个人信息数据是企业的核心资产,企业在强调权利的同时,也应切实担负起保护用户隐私安全的责任。《数据安全法》在今年的第十三届全国人大常委会第二十次会议通过审议,其草案7月在全国人大网全文公开征求意见。其中指出,国家将对数据实行分级分类保护,要求企业和组织开展数据活动必须履行数据安全保护义务,承担社会责任。
近年来,高校数据安全事件频发,师生信息泄露风波频繁上演。建立完善的数据安全体系,是高校教育信息化工作的重要内容,也是高校亟待解决的问题。(河南省教育信息安全监测中心整理)