网安法和数安法的双法时代,中安威士开启“学法行动”
——中安威士专家团数据安全法解读系列之一
摘要
2016年《网络安全法》和2021年《数据安全法》的颁布,使得数据安全进入了双法时代。作为深耕于数据安全领域近20年的中安威士准备开启学习行动。我们将从多个角度全面分析数据安全法对行业带来的影响,并尝试分析数据安全领域的现状与发展趋势,努力为数据安全需求侧和供应侧企业提供有价值的参考。
01数安法发布和实施
2021年6月10日,中华人民共和国主席令第84号发布,《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日正式表决通过,正式公布。本法自2021年9月1日起施行。
02数安法地位
《数据安全法》为我国关于数据安全的首部律法,受到了社会各界人士的广泛关注。自2020年6月28日以来,《数据安全法》经历了三次审议与修改,确定将于2021年9月1日正式施行,标志我国在数据安全领域有法可依,为各行业数据安全提供监管依据。随着《数据安全法》的出台,我国在网络与信息安全领域的法律法规体系得到了进一步的完善。
《数据安全法》的地位是仅次于《刑法》和《民法》这样由全国人大颁布的基本法律之外、由全国人大常委会颁布的其他法律。作为专业领域的法律,《数据安全法》的地位非常高,充分体现了数据安全的重要性以及国家对数据安全的高度重视。
03系列解读计划
《数据安全法》正式发布和施行,将对相关机构尤其是数据运营企业、数据安全厂商、数据安全服务、数据安全技术产生重大影响。为此,中安威士专家团计划持续针对企业应对路线、咨询服务、数据安全技术、数据安全管理等方面推出系列解读。
3.1对领域的影响
《数据安全法》的发布势必会对整个数据安全领域产生深远的影响,会影响到监管单位、开展数据处理活动的组织和个人、数据安全市场、数据安全能力供应、人才供应、数据安全服务供应和资本市场的投资取向等方面,《数据安全法》的颁布会让以上各个方面都会有新的战略部署和安排。
3.2企业应对路线
随着《数据安全法》正式发布和实行,以数据为关键要素并拥有大量数据资产的企业和组织,首先应该对数据安全防护现状进行合规性评估,并对标行业数据安全标准、规范和防护能力最佳实践,找出差距并进行数据安全防护能力的顶层设计。从策略、组织、制度、技术等维度进行全方位数据安全体系设计,制定数据安全近期和中长期规划,并按照规划分步建设、完善数据安全防护能力体系。近期工作应该是按照本行业监管要求开展安全合规评估项目,对发现的问题进行及时处理,通过查缺补漏的方式,设计安全能力建设方案。中期工作应该建立比较完善的数据安全技术体系,采用数据库审计、数据库防火墙、数据加密、数据脱敏、大数据安全加固、数据安全态势感知等系统构建全面防护技术体系。长期工作应该建设综合的数据安全治理平台,整体全面把控数据安全态势,促进数据安全水平持续提高。
数据安全厂商则应该借助本次数据安全法发布、实施的东风及时开发法律法规要求的数据安全能力应对型新技术、新产品并积极开拓市场、全面保护开展数据活动的组织和企业的数据安全,承担起国家数据安全建设应有的责任和担当。
3.3咨询服务范围以及服务具体方向
咨询服务作为软能力是数据安全能力建设中必不可少的内容,数据安全咨询服务的范围和方向包括:
(1) 服务范围。按照数据安全法律法规等监管要求,结合行业实际情况,制定数据分类分级标准、数据安全技术标准和检测评估规范,提供数据安全合规评估检测服务。
(2) 服务方向。数据安全合规性评估、数据安全风险评估两项服务。
3.4数据安全技术范围以及具体方向
对数据库、大数据和非结构化数据这三类对象进行全面覆盖保护,建立健全数据安全治理体系,如下图所示:
数据安全治理体系以数据安全为目标,保护三类数据:结构化数据、半结构化数据-大数据和非结构化数据-文件类数据等。满足三个方面需求:法规需求、业务需求、标准需求。全面涵盖策略、组织、流程三个层面来建设数据安全技术能力。
其中,数据安全治理工具涵盖的技术体系涉及资产管理、访问控制与审计、加密、脱敏、数字水印、流量监测、态势感知、安全合规评估等技术。
保护对象分为数据库、大数据和非结构化数据,功能类别分为基础服务类、访问控制类、检测检查类。具体技术分为如下类别:
(1)数据资产。采用可视化技术,对数据资产的统计信息、资产变化、资产归属分布进行直观展示;通过资产清单、分类分级、资产归属三个维度建立资产台账,支持多渠道、多场景应用;对资产进行分析,展示关联关系、发现潜在风险以便及时规避;
(2)数据访问审计。采用日志智能分析、高效检索等技术,对日志记录进行综合分析,全面追踪最终用户,进行风险预警和责任认定;
(3)数据防火墙。采用多因子认证、攻击检测、虚拟补丁、自动行为基线、连接监控等技术屏蔽危险访问、阻止外部攻击并防止内部人员泄漏敏感数据;
(4)数据透明加密。采用先进密码技术、密文索引技术、多级密钥管理、增强审计、增强访问控制、多因子认证技术实现透明加密,提高数据存储安全性,防止数据拖库撞库等敏感数据批量泄漏的风险;
(5)数据脱敏。集成丰富的敏感数据扫描规则和专业的脱敏规则,支持敏感数据定级,对数据进行分类分级梳理,支持多租户模式,支持对已脱敏数据增加数据水印标记;
(6)数字水印与分发。将水印标记嵌入到原始数据,实现数据分发后进行精确溯源、追踪泄密用户,也可用于规范数据分发流程、实现数据版权保护;
(7)大数据安全加固。采用大数据审计技术、大数据访问控制、大数据透明加密技术、大数据脱敏技术等对大数据系统进行安全加固;
(8)数据安全合规评估。按照业务系统梳理数据资产,查验数据分类分级检测,发现数据安全漏洞,检测数据操作日志合规性,检测个人信息去标识化,满足监管机构对数据安全合规性监管要求;
(9)数据安全态势感知。提供数据资产分布态势和数据流动态势、用户行为态势、风险分布态势,支持数据泄漏溯源,让用户整体把控数据安全态势。
上述技术大部分已经开始得到广泛使用,取得了良好的保护效果,将会在各行业进一步快速推广,并不断升级以满足持续发展的数据安全需求。
3.5 数据安全管理范围以及具体方向
数据安全管理范围应该包括:数据安全管理战略、数据安全管理流程和管理制度、数据安全标准和规范、数据安全应急演练和应急处理以及数据安全相关的培训与考核。
具体方向包括数据范围(业务范围和流转范围)、分类分级、资产梳理,策略制定,机构、角色和职责(决策、管理和执行),标准、规范,制度、流程,技术措施,应急演练和应急处理、教育培训。
(1) 从领导层面应该高度重视数据安全,制定组织的数据安全战略;
(2) 根据数据安全战略制定数据安全管理流程和管理制度;制定一系列数据安全管理制度,包括数据分类分级、数据安全评估、数据备份和加密、数据变更审批、数据外发、数据上报、数据出境管理等;
(3) 在管理中需要用到的数据安全标准和规范,并相应制定本组织的数据安全的标准和规范;
(4) 制定数据安全应急预案,并定期进行数据安全应急演练,以备在发生数据安全事件时有计划的按照应急预案进行应急处理;
(5) 对全员进行数据安全意识培训,对技术人员进行数据安全专业技术理论和实践培训,对相关领导岗位进行数据安全领导力培训并针对所有培训内容进行相应的考核。
解读专家团介绍
中安威士解读专家团由毕业于北京大学和北京理工大学的具有数据安全长期从业经验的资深博士专家为主组成。专家团成员主要包括戴林博士、车海莺博士、崔宗军博士、邹金根博士。
1 戴林 博士
从2005年至今就职于北京理工大学计算机学院,任副教授、博士生导师。戴林教授是国内数据安全领域著名专家,曾主持和参与多项国家自然科学基金项目、863项目和973项目,发表数据安全领域学术论文数十篇,以第一发明人获数据安全方面专利十余项。2009年创办中安威士,并带领中安威士技术团队在数据库透明加密、大数据脱敏等技术领域获得大量的学术成果,并积累了丰富的实战经验。
2 车海莺 博士
北京理工大学博士,德国Karlsruhe大学信息工程博士后,就职于北京理工大学计算机学院,数据科学与知识工程研究所,相关领域发表高水平学术文章十多篇。具有丰富的实践经验,获得过2016 IBM全球共享研究计划项目(区块链系统),IBM全球卓越学者奖,多次获得IBM Faculty Award。参与国家重点研发项目,国家自然基金,承担过10余项企业工程项目。拥有包括Sap HANA,TERP10,ABAP等多项国际认证和电子数据司法鉴定人资质。社会职务,欧美同学会德奥分会理事。从2015年起受聘于中安威士,任董事长助理。
3.崔宗军 博士
北京大学计算机博士,资深数据安全专家,20年信息安全行业专业经验。主要从事数据安全技术有关理论研究、系统研发、评估、咨询等工作,曾任职于北京启明星辰公司、中国信息安全测评中心、北京天融信网络安全技术有限公司,在政府、金融、运营商等行业的数据安全方面具有丰富经验。从2018年起受聘于中安威士,任方案专家。
4.邹金根 博士
北京理工大学数据安全方向博士,参与多项重大数据安全项目,在数据水印、面向数据安全的人工智能技术等方面具有深度积累。2018年起受聘于中安威士技术研究院。
总结
《数据安全法》的发布使得数据安全领域进入了双法时代,国家级的数据安全立法必然对数据安全行业带来深远的影响,数据安全能力不足导致严重后果已经从渎职变为了违法,数据安全领域的相关企业必将高度重视数据安全能力建设。接下来中安威士博士专家团会针对这些规划的主题进行逐一解读,敬请期待。
参考文献:
1.《数据安全法》
2.《网络安全法》
3.《个人信息保护法》草案
4.等级保护2.0有关系列标准、指南
5.数据安全技术能力发展现状及挑战解析https://netsecurity.51cto.com/art/202104/657228.htm
6.透过隐私合规,看数据安全技术发展趋势
https://www.freebuf.com/fevents/255985.html
7.人工智能数据安全分析报告
https://wenku.baidu.com/view/10875032cc2f0066f5335a8102d276a20129603e.html
下期预告:
中安威士专家团数据安全法解读系列之二:《数据安全法》对领域的影响分析。
中安威士(北京)科技有限公司是数据安全领域的引领者,核心团队专注数据安全17年。公司的主要目标是数据库、大数据、文件等数据对象的存管用(存储、管理、使用)全生命周期场景实现全面的安全防护。公司成熟产品根据防护能力分为基础防护类、访问控制类以及检查监测和溯源类。基础防护类产品包括数据库/大数据审计、数据梳理和分类分级。访问控制类产品包括数据库/大数据防火墙、数据库/大数据加密、数据脱敏、以及文档加密。检查监测和溯源类包括数据安全检查工具箱、数据安全态势感知、数据水印、数据安全流量监测。公司还将持续推出数据安全新产品。得益于深厚的技术积累,公司系列产品的功能和性能在业内首屈一指。近年来承担了多个国家级,几十个省部级单位的数据安全保障体系的建设任务。2018年引入中电科网络安全(中国网安)基金近亿元投资,正式成为网络安全国家队成员。