網(wǎng)絡(luò )安全和數據安全分不清?數據安全為何重要?
網(wǎng)絡(luò )安全和數據安全
從狹義來(lái)說(shuō),網(wǎng)絡(luò )安全指網(wǎng)絡(luò )系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或惡意的原因遭到破壞、更改、泄露,系統連續可靠地運行,網(wǎng)絡(luò )服務(wù)不中斷,保障網(wǎng)絡(luò )信息的存儲安全,以及信息的產(chǎn)生、傳輸和使用過(guò)程中的安全。
從廣義來(lái)說(shuō),凡是涉及網(wǎng)絡(luò )上信息的保密性、完整性、可用性、真實(shí)性、可控性的技術(shù)和理論,都是網(wǎng)絡(luò )安全的研究領(lǐng)域。所以廣義的網(wǎng)絡(luò )安全還包括設備的物理安全性,如場(chǎng)地環(huán)境保護、防火、防靜電、防水防潮、電源保護等。
數據安全也有兩方面的含義:
一是數據本身的安全。主要是采用現代密碼算法對數據進(jìn)行主動(dòng)保護,如數據保密、數據完整性、雙向強身份認證等。
二是數據防護的安全。主要是采用現代信息存儲手段對數據進(jìn)行主動(dòng)保護,如通過(guò)磁盤(pán)陣列、數據備份、異地容災等手段保證數據安全。
簡(jiǎn)單來(lái)說(shuō),網(wǎng)絡(luò )安全偏向于“動(dòng)態(tài)”安全,即信息系統和信息傳遞過(guò)程中的安全;而數據安全側重于“靜態(tài)”的數據自身安全狀態(tài)。在數據完整生命周期保護的角度,兩者既有交集,又有各自的偏重。
數據安全的重要性
隨著(zhù)跨企業(yè)、跨行業(yè)、跨國別合作的模式變遷,數據的流轉使用越來(lái)越凸顯其價(jià)值。有價(jià)數據在生產(chǎn)、采集、存儲、加工、分析、使用等各個(gè)環(huán)節都面臨著(zhù)嚴重威脅,屢屢發(fā)生的數據破壞、數據泄露事件,對社會(huì )和組織機構造成了一定危害。
因此,國家對數據安全的重視程度也越來(lái)越高。2020年4月,中共中央、國務(wù)院發(fā)布《關(guān)于構建更加完善的要素市場(chǎng)化配置體制機制的意見(jiàn)》,將數據與土地、勞動(dòng)力、資本、技術(shù)并列為生產(chǎn)要素。2021年9月,《數據安全法》正式實(shí)施,維護我國的數據主權。
《數據安全法》要點(diǎn)梳理
1、數據:任何以電子或其他方式對信息的記錄。
2、保護要求:采取必要措施,對數據進(jìn)行有效保護與合法利用,并持續保持其安全能力。
3、關(guān)鍵行業(yè):工業(yè)、電信、交通、金融、自然資源、衛生健康、教育、科技等主要行業(yè),要落地數據保護行業(yè)規范。
4、分類(lèi)分級:建立數據分類(lèi)分級保護制度,對數據實(shí)行分類(lèi)分級保護,并確定重要數據目錄,加強對重要數據的保護。
5、風(fēng)險評估:建立集中統一、高效權威的數據安全風(fēng)險評估、風(fēng)險報告、信息共享、監測預警機制。
6、應急處置:建立數據安全應急處置機制。
7、安全審查:建立數據安全審查制度。
8、出口管制:對屬于管制物項的數據依法實(shí)施出口管制,可根據實(shí)際情況對該國家或地區對等采取措施。
9、數據收集:任何組織、個(gè)人收集數據,必須采取合法、正當的方式,不得竊取或以其他非法方式獲取數據。
10、不履行規定保護義務(wù):責令改正和警告,給予單位5萬(wàn)至50萬(wàn)元罰款,給予責任人1萬(wàn)至10萬(wàn)元罰款。拒不改正或造成大量數據泄露等嚴重后果的,給予單位50萬(wàn)至200萬(wàn)元罰款,最高責令吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或營(yíng)業(yè)執照,給予負責人5萬(wàn)至20萬(wàn)元罰款。
11、向境外提供重要數據的:責令改正,給予警告,可以并處10萬(wàn)至100萬(wàn)元罰款,對直接負責的主管人員和其他責任人員給予1萬(wàn)至10萬(wàn)元罰款。情節嚴重的,給予100萬(wàn)至1000萬(wàn)元罰款,責令停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或營(yíng)業(yè)執照,對負責人給予10萬(wàn)至100萬(wàn)元罰款。
數據安全,從看見(jiàn)數據現狀開(kāi)始
傳統的數據安全防護可以應對單一的業(yè)務(wù)系統數據,但隨著(zhù)數據產(chǎn)業(yè)的發(fā)展變化,特別是在大數據、多業(yè)務(wù)構成的廣泛交互場(chǎng)景中,傳統數據保護顯現出了局限性。
以全局數據安全的視角來(lái)看,重要數據廣泛分布在各業(yè)務(wù)系統和業(yè)務(wù)人員終端上,數據安全責任人想要看清:重要數據都有什么,都在哪里,主體是誰(shuí)?數據的訪(fǎng)問(wèn)控制和訪(fǎng)問(wèn)權限是否符合要求?是否存在數據破壞及數據泄露的風(fēng)險?
只有看清重要數據、用戶(hù)賬號、訪(fǎng)問(wèn)行為,才能進(jìn)行具體的數據保護,落實(shí)《數據安全法》關(guān)于分類(lèi)分級、風(fēng)險評估、應急處置、安全審查、出口管制等的管理制度。
企業(yè)機構需要在整體數據治理框架下,確定數據分類(lèi)分級管理標準,對數據流動(dòng)過(guò)程實(shí)現可視化管理,進(jìn)而制定有效的數據安全保護策略,最終讓管理者看清數據安全的“十萬(wàn)個(gè)為什么”:
任何具體時(shí)刻,網(wǎng)絡(luò )中有哪些數據在流動(dòng),其中是否有敏感數據。
任何具體時(shí)刻,有多少設備接入網(wǎng)絡(luò ),有多少用戶(hù)在使用網(wǎng)絡(luò )。
用戶(hù)在訪(fǎng)問(wèn)什么應用、什么業(yè)務(wù)、什么數據。
哪些敏感數據被移動(dòng)了,誰(shuí)在使用、從哪臺設備使用、在哪個(gè)物理位置使用。
哪些敏感數據有泄露風(fēng)險,哪些用戶(hù)可能有風(fēng)險行為。
數據安全可視化,看得見(jiàn)才管得住
針對企業(yè)核心網(wǎng)絡(luò )區域、關(guān)鍵業(yè)務(wù)應用的數據資產(chǎn),對其在網(wǎng)絡(luò )中的傳輸過(guò)程和交互行為進(jìn)行監控審計,提取涉及到的用戶(hù)、設備、應用等要素并關(guān)聯(lián)分析,實(shí)時(shí)呈現數據資產(chǎn)在網(wǎng)絡(luò )中流動(dòng)的全息視圖。
數據流動(dòng)可視讓安全管理清晰有界,數據溯源審計讓安全追溯更加簡(jiǎn)單?!霸荨睘楦嘤脩?hù)提供數據深度可視、精準溯源取證、泄露違規監測、數據合規管理等價(jià)值,為更多行業(yè)提供自上而下的數據安全治理方案。