網(wǎng)絡(luò)安全和數(shù)據(jù)安全

       從狹義來說，網(wǎng)絡(luò)安全指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或惡意的原因遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷，保障網(wǎng)絡(luò)信息的存儲安全，以及信息的產(chǎn)生、傳輸和使用過程中的安全。

       從廣義來說，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性、可控性的技術(shù)和理論，都是網(wǎng)絡(luò)安全的研究領(lǐng)域。所以廣義的網(wǎng)絡(luò)安全還包括設(shè)備的物理安全性，如場地環(huán)境保護(hù)、防火、防靜電、防水防潮、電源保護(hù)等。

       數(shù)據(jù)安全也有兩方面的含義：

       一是數(shù)據(jù)本身的安全。主要是采用現(xiàn)代密碼算法對數(shù)據(jù)進(jìn)行主動保護(hù)，如數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向強(qiáng)身份認(rèn)證等。

       二是數(shù)據(jù)防護(hù)的安全。主要是采用現(xiàn)代信息存儲手段對數(shù)據(jù)進(jìn)行主動保護(hù)，如通過磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)等手段保證數(shù)據(jù)安全。

       簡單來說，網(wǎng)絡(luò)安全偏向于“動態(tài)”安全，即信息系統(tǒng)和信息傳遞過程中的安全；而數(shù)據(jù)安全側(cè)重于“靜態(tài)”的數(shù)據(jù)自身安全狀態(tài)。在數(shù)據(jù)完整生命周期保護(hù)的角度，兩者既有交集，又有各自的偏重。


       數(shù)據(jù)安全的重要性

       隨著跨企業(yè)、跨行業(yè)、跨國別合作的模式變遷，數(shù)據(jù)的流轉(zhuǎn)使用越來越凸顯其價值。有價數(shù)據(jù)在生產(chǎn)、采集、存儲、加工、分析、使用等各個環(huán)節(jié)都面臨著嚴(yán)重威脅，屢屢發(fā)生的數(shù)據(jù)破壞、數(shù)據(jù)泄露事件，對社會和組織機(jī)構(gòu)造成了一定危害。

       因此，國家對數(shù)據(jù)安全的重視程度也越來越高。2020年4月，中共中央、國務(wù)院發(fā)布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》，將數(shù)據(jù)與土地、勞動力、資本、技術(shù)并列為生產(chǎn)要素。2021年9月，《數(shù)據(jù)安全法》正式實施，維護(hù)我國的數(shù)據(jù)主權(quán)。

       《數(shù)據(jù)安全法》要點(diǎn)梳理

       1、數(shù)據(jù)：任何以電子或其他方式對信息的記錄。

       2、保護(hù)要求：采取必要措施，對數(shù)據(jù)進(jìn)行有效保護(hù)與合法利用，并持續(xù)保持其安全能力。

       3、關(guān)鍵行業(yè)：工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主要行業(yè)，要落地數(shù)據(jù)保護(hù)行業(yè)規(guī)范。

       4、分類分級：建立數(shù)據(jù)分類分級保護(hù)制度，對數(shù)據(jù)實行分類分級保護(hù)，并確定重要數(shù)據(jù)目錄，加強(qiáng)對重要數(shù)據(jù)的保護(hù)。

       5、風(fēng)險評估：建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險評估、風(fēng)險報告、信息共享、監(jiān)測預(yù)警機(jī)制。

       6、應(yīng)急處置：建立數(shù)據(jù)安全應(yīng)急處置機(jī)制。

       7、安全審查：建立數(shù)據(jù)安全審查制度。

       8、出口管制：對屬于管制物項的數(shù)據(jù)依法實施出口管制，可根據(jù)實際情況對該國家或地區(qū)對等采取措施。

       9、數(shù)據(jù)收集：任何組織、個人收集數(shù)據(jù)，必須采取合法、正當(dāng)?shù)姆绞�，不得竊取或以其他非法方式獲取數(shù)據(jù)。

       10、不履行規(guī)定保護(hù)義務(wù)：責(zé)令改正和警告，給予單位5萬至50萬元罰款，給予責(zé)任人1萬至10萬元罰款。拒不改正或造成大量數(shù)據(jù)泄露等嚴(yán)重后果的，給予單位50萬至200萬元罰款，最高責(zé)令吊銷相關(guān)業(yè)務(wù)許可證或營業(yè)執(zhí)照，給予負(fù)責(zé)人5萬至20萬元罰款。

       11、向境外提供重要數(shù)據(jù)的：責(zé)令改正，給予警告，可以并處10萬至100萬元罰款，對直接負(fù)責(zé)的主管人員和其他責(zé)任人員給予1萬至10萬元罰款。情節(jié)嚴(yán)重的，給予100萬至1000萬元罰款，責(zé)令停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或營業(yè)執(zhí)照，對負(fù)責(zé)人給予10萬至100萬元罰款。

       數(shù)據(jù)安全，從看見數(shù)據(jù)現(xiàn)狀開始

       傳統(tǒng)的數(shù)據(jù)安全防護(hù)可以應(yīng)對單一的業(yè)務(wù)系統(tǒng)數(shù)據(jù)，但隨著數(shù)據(jù)產(chǎn)業(yè)的發(fā)展變化，特別是在大數(shù)據(jù)、多業(yè)務(wù)構(gòu)成的廣泛交互場景中，傳統(tǒng)數(shù)據(jù)保護(hù)顯現(xiàn)出了局限性。

       以全局?jǐn)?shù)據(jù)安全的視角來看，重要數(shù)據(jù)廣泛分布在各業(yè)務(wù)系統(tǒng)和業(yè)務(wù)人員終端上，數(shù)據(jù)安全責(zé)任人想要看清：重要數(shù)據(jù)都有什么，都在哪里，主體是誰？數(shù)據(jù)的訪問控制和訪問權(quán)限是否符合要求？是否存在數(shù)據(jù)破壞及數(shù)據(jù)泄露的風(fēng)險？

       只有看清重要數(shù)據(jù)、用戶賬號、訪問行為，才能進(jìn)行具體的數(shù)據(jù)保護(hù)，落實《數(shù)據(jù)安全法》關(guān)于分類分級、風(fēng)險評估、應(yīng)急處置、安全審查、出口管制等的管理制度。

       企業(yè)機(jī)構(gòu)需要在整體數(shù)據(jù)治理框架下，確定數(shù)據(jù)分類分級管理標(biāo)準(zhǔn)，對數(shù)據(jù)流動過程實現(xiàn)可視化管理，進(jìn)而制定有效的數(shù)據(jù)安全保護(hù)策略，最終讓管理者看清數(shù)據(jù)安全的“十萬個為什么”：

       任何具體時刻，網(wǎng)絡(luò)中有哪些數(shù)據(jù)在流動，其中是否有敏感數(shù)據(jù)。

       任何具體時刻，有多少設(shè)備接入網(wǎng)絡(luò)，有多少用戶在使用網(wǎng)絡(luò)。

       用戶在訪問什么應(yīng)用、什么業(yè)務(wù)、什么數(shù)據(jù)。

       哪些敏感數(shù)據(jù)被移動了，誰在使用、從哪臺設(shè)備使用、在哪個物理位置使用。

       哪些敏感數(shù)據(jù)有泄露風(fēng)險，哪些用戶可能有風(fēng)險行為。

       數(shù)據(jù)安全可視化，看得見才管得住

       安博通深耕網(wǎng)絡(luò)安全領(lǐng)域11年，具有自研的網(wǎng)絡(luò)安全可視化技術(shù)。在數(shù)據(jù)安全領(lǐng)域，形成了“元溯”數(shù)據(jù)資產(chǎn)監(jiān)測與溯源分析平臺，以“五維能力”架構(gòu)，實現(xiàn)數(shù)據(jù)安全的可視化管理。

       針對企業(yè)核心網(wǎng)絡(luò)區(qū)域、關(guān)鍵業(yè)務(wù)應(yīng)用的數(shù)據(jù)資產(chǎn)，對其在網(wǎng)絡(luò)中的傳輸過程和交互行為進(jìn)行監(jiān)控審計，提取涉及到的用戶、設(shè)備、應(yīng)用等要素并關(guān)聯(lián)分析，實時呈現(xiàn)數(shù)據(jù)資產(chǎn)在網(wǎng)絡(luò)中流動的全息視圖。

       數(shù)據(jù)流動可視讓安全管理清晰有界，數(shù)據(jù)溯源審計讓安全追溯更加簡單。安博通“元溯”為更多用戶提供數(shù)據(jù)深度可視、精準(zhǔn)溯源取證、泄露違規(guī)監(jiān)測、數(shù)據(jù)合規(guī)管理等價值，為更多行業(yè)提供自上而下的數(shù)據(jù)安全治理方案。