楊蕓

摘要：隨著互聯(lián)網(wǎng)應用的普及和人們對互聯(lián)網(wǎng)的依賴，互聯(lián)網(wǎng)的安全問題也日益凸顯。特別是進入互聯(lián)網(wǎng)+時代，全球數(shù)據(jù)泄露愈演愈烈，伴隨著我國《網(wǎng)絡(luò)安全法》的頒布實施，傳統(tǒng)的數(shù)據(jù)安全手段已不能滿足“新安全”概念中的“大數(shù)據(jù)安全”問題，因此需要建立以數(shù)據(jù)為中心的數(shù)據(jù)安全體系，以實現(xiàn)共建數(shù)據(jù)安全、共享安全數(shù)據(jù)。

關(guān)鍵詞：網(wǎng)絡(luò)安全法；數(shù)據(jù)安全；體系建設(shè)

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）32-0042-02

Construction of Data Security System Based on Cybersecurity Law

YANG Yun

（Information & Management Department， Zhejiang Administrative Institute， Hangzhou 311121， China）

Abstract： With the popularity of Internet applications and peoples dependence on the Internet， the security problem of the Internet has become increasingly prominent. Especially in the Internet plus era， global data breaches intensified， along with the promulgation and implementation of “China's cybersecurity law” ， the traditional data security measures have been unable to meet the “new security concept” in the “big data security” issues， it is necessary to establish the data-centric data security system， in order to achieve the construction of data safe and secure data sharing.

Key words： cybersecurity law； data security； system construction

1 全球數(shù)據(jù)泄露愈演愈烈

隨著互聯(lián)網(wǎng)應用的普及和人們對互聯(lián)網(wǎng)的依賴，互聯(lián)網(wǎng)的安全問題也日益凸顯。惡意程序、各類釣魚和欺詐繼續(xù)保持高速增長，同時黑客攻擊和大規(guī)模的個人信息泄露事件頻發(fā)，與各種網(wǎng)絡(luò)攻擊大幅增長相伴的，是大量數(shù)據(jù)信息的泄露與財產(chǎn)損失的不斷增加。特別是近年來隨著大數(shù)據(jù)的爆發(fā)，數(shù)據(jù)安全已經(jīng)成為時下人們最為關(guān)注的問題。如果將2015年定義為“大數(shù)據(jù)元年”的話，那么2016年可謂是大數(shù)據(jù)產(chǎn)業(yè)真正爆發(fā)的一年。資料顯示，2016年全球大數(shù)據(jù)市場規(guī)模將達453億美元，相較于2015年同比增長17.97%。在這一年中，包括微軟、亞馬遜、谷歌在內(nèi)的眾多互聯(lián)網(wǎng)巨頭紛紛布局大數(shù)據(jù)領(lǐng)域，而我國也同樣涌現(xiàn)了一批高成長的大數(shù)據(jù)企業(yè)。但如此輝煌的成績背后，也有許多潛在的危機隨之而來，并有愈演愈烈之勢。據(jù)統(tǒng)計2016年上半年的數(shù)據(jù)泄露總數(shù)增長了15%。在全球范圍內(nèi)，2016年上半年已曝光的數(shù)據(jù)泄露事件高達974起，數(shù)據(jù)泄露記錄總數(shù)超過了5.54億條之多。數(shù)據(jù)泄露的類型包含個人敏感信息、商業(yè)秘密、國家秘密等，行業(yè)也涉及互聯(lián)網(wǎng)、政府、金融機構(gòu)和制造業(yè)等。

2 網(wǎng)絡(luò)安全法中對數(shù)據(jù)安全的保護要求

20世紀90年代以來，為了進一步加強我國信息化建設(shè)和維護國家信息安全，國家信息化領(lǐng)導小組負責審議通過了《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》。隨后相繼出臺了《電信條例》、《互聯(lián)網(wǎng)信息服務管理辦法》、《網(wǎng)絡(luò)安全法》、《電信與互聯(lián)網(wǎng)個人信息保護規(guī)定》、《數(shù)據(jù)出境指南》、《個人信息和重要數(shù)據(jù)出境安全評估辦法》草案等。黨的十八大以來，以習近平同志為總書記的黨中央高度重視網(wǎng)絡(luò)安全和信息化工作，成立了中央網(wǎng)絡(luò)安全與信息化領(lǐng)導小組，統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全和信息化重大問題，提出了一系列新理念新思想新戰(zhàn)略，做出了一系列重大戰(zhàn)略部署。2016年11月，全國人民代表大會常務委員會發(fā)布了《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》），于2017年6月1日正式實施。《網(wǎng)絡(luò)安全法》是中國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律，是中國網(wǎng)絡(luò)空間法治建設(shè)的重要里程碑。

網(wǎng)絡(luò)安全法中對于數(shù)據(jù)安全的相關(guān)規(guī)定體現(xiàn)在三個方面：一是數(shù)據(jù)安全。其中第10條中明確要“維護網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可靠性”。在第21條中“防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”，“采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密措施”。在第27條中“任何人不得從事竊取網(wǎng)絡(luò)數(shù)據(jù)的活動；不得提供竊取網(wǎng)絡(luò)數(shù)據(jù)的程序、工具”等。在第31條中“因數(shù)據(jù)泄露可能嚴重危害國家安全的，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。”等。二是個人數(shù)據(jù)安全。在第四章中明確責任主體、最少夠用原則、個人信息共享限定條件、主體參與權(quán)、個人信息交易的合法空間等。三是關(guān)于國家層面的數(shù)據(jù)保護。第37條規(guī)定“關(guān)鍵信息基礎(chǔ)設(shè)施運營者在境內(nèi)運營中收集和產(chǎn)生的個人信息和重要信息應當在境內(nèi)存儲。”第51條“國家網(wǎng)信部門要加強網(wǎng)絡(luò)安全信息的收集、分析和通報工作?！钡?2條“負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門，應當建立安全監(jiān)測預警和信息通報制度，并按規(guī)定報送網(wǎng)絡(luò)安全監(jiān)測預警信息。”等?；诰W(wǎng)絡(luò)安全法對數(shù)據(jù)安全的要求提升到了法律的高度，我們對于數(shù)據(jù)安全建設(shè)應該有更全面更深刻地思考。

3 數(shù)據(jù)安全的建設(shè)思考：以“數(shù)據(jù)”為中心的安全建設(shè)體系endprint

3.1 聚焦數(shù)據(jù)本身

聚焦數(shù)據(jù)本身即聚焦數(shù)據(jù)本身的幾個關(guān)鍵問題：where—數(shù)據(jù)的分布情況；what—數(shù)據(jù)的類型；who—誰在使用數(shù)據(jù)；why—為什么使用數(shù)據(jù)。

3.2 結(jié)合數(shù)據(jù)全生命周期中各個階段的安全要求

在大數(shù)據(jù)和云計算出現(xiàn)后，數(shù)據(jù)的生命周期細分為收集產(chǎn)生、存儲、使用、傳輸、共享和銷毀6個階段，每個環(huán)節(jié)都面臨著新的安全威脅和挑戰(zhàn)。結(jié)合各個階段，要充分考慮各個階段的數(shù)據(jù)安全要求。首先在數(shù)據(jù)的產(chǎn)生階段，要考慮數(shù)據(jù)源鑒別及記錄、個人數(shù)據(jù)收集、數(shù)據(jù)資產(chǎn)管理、元數(shù)據(jù)管理、數(shù)據(jù)質(zhì)量管理、數(shù)據(jù)分類分級、數(shù)據(jù)留存合規(guī)鑒別。在數(shù)據(jù)存儲階段要考慮數(shù)據(jù)存儲加密、數(shù)據(jù)備份和恢復、大數(shù)據(jù)存儲容器的安全保護、數(shù)據(jù)存儲階段的監(jiān)控及審計等。在數(shù)據(jù)使用階段要考慮到數(shù)據(jù)脫敏、數(shù)據(jù)分析安全控制、身份認證管理、數(shù)據(jù)權(quán)限管理、大數(shù)據(jù)加工平臺安全、終端安全、數(shù)據(jù)使用階段的監(jiān)控及審計等。在數(shù)據(jù)傳輸階段則要考慮傳輸安全、數(shù)據(jù)傳輸加密、傳輸接口安全、網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)的可靠性管理。而在數(shù)據(jù)共享階段要考慮數(shù)據(jù)共享方案安全、大數(shù)據(jù)共享加工平臺安全、數(shù)據(jù)共享過程的監(jiān)控及審計。最后數(shù)據(jù)銷毀階段即要考慮數(shù)據(jù)的銷毀、還有數(shù)據(jù)存儲介質(zhì)的銷毀。

3.3 制定數(shù)據(jù)安全技術(shù)路線

1） 聚焦數(shù)據(jù)本身安全。大數(shù)據(jù)類型80%以上都是非結(jié)構(gòu)化的。非結(jié)構(gòu)化文檔安全包括：文檔安全管理系統(tǒng)、文件使用中的泄密途徑管控；敏感信息識別和防泄漏管理以及數(shù)據(jù)銷毀。其中文檔安全管理系統(tǒng)又包括文檔產(chǎn)生時密級標識、選擇性加密或全加密、文件和使用者權(quán)限管理、文檔水印管理、文檔外發(fā)管理、文檔解密審批、文件離網(wǎng)安全管理、文件安全共享等。而結(jié)構(gòu)化數(shù)據(jù)庫安全包括：準入身份驗證、訪問權(quán)限控制、可疑數(shù)據(jù)管控、數(shù)據(jù)庫加密、數(shù)據(jù)脫敏、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫漏掃、訪問控制、數(shù)據(jù)傳輸安全等等。

2） 聚焦數(shù)據(jù)生態(tài)安全。從數(shù)據(jù)生態(tài)環(huán)境的角度，數(shù)據(jù)安全包括網(wǎng)絡(luò)安全、終端安全、存儲安全和應用安全。

3） 云和虛擬化安全。目前大數(shù)據(jù)應用所需的分布式處理能力依賴于虛擬化技術(shù)，虛擬化大幅度提升了基礎(chǔ)計算機資源的利用率，同時也帶來了一些安全漏洞。虛擬化安全是云端大數(shù)據(jù)防護的基礎(chǔ)，包括虛擬機掃描、虛擬化安全集中管控平臺、虛擬網(wǎng)絡(luò)安全等。

4 完成數(shù)據(jù)安全管理體系建設(shè)

數(shù)據(jù)安全建設(shè)，體系才是王道。完成數(shù)據(jù)安全管理體系建設(shè)，要遵循以下3個原則，一是全局性原則：安全威脅來自最薄弱的環(huán)節(jié)，必須從全局出發(fā)，這也是符合我們常說的“木桶原理”。二是綜合性原則：數(shù)據(jù)安全建設(shè)三分靠技術(shù)，七分靠管理。因此數(shù)據(jù)安全體系不能單靠技術(shù)，必須結(jié)合管理。緊緊抓住“人”這個要素，制定各項管理制度。三是均衡性原則：數(shù)據(jù)中相同安全級別的保密強度一致。

完成數(shù)據(jù)安全體系建設(shè)的最佳實踐分為5個階段：（1）數(shù)據(jù)發(fā)現(xiàn)和評估。數(shù)據(jù)的發(fā)現(xiàn)和評估主要是敏感數(shù)據(jù)的發(fā)現(xiàn)和識別：包括數(shù)據(jù)的類型，即數(shù)據(jù)是怎么樣的；數(shù)據(jù)的分布情況即數(shù)據(jù)在哪里；數(shù)據(jù)的使用權(quán)限即誰在使用還有使用方式等等。（2）數(shù)據(jù)分類和分級。數(shù)據(jù)分類的標準包括類型、位置、內(nèi)容和關(guān)鍵詞、使用者權(quán)限。數(shù)據(jù)分級的標準包括絕密、秘密、公開、內(nèi)部、開放。（3）定義有效的策略。在數(shù)據(jù)安全總體框架基礎(chǔ)下，進行策略規(guī)劃。包括組織架構(gòu)覆蓋、普通員工和領(lǐng)導的分級管理策略、靜態(tài)數(shù)據(jù)安全策略、傳輸中的數(shù)據(jù)安全策略、生產(chǎn)環(huán)境生產(chǎn)的數(shù)據(jù)安全策略等。（4）實施和控制。包括初始安裝、配置以及試運行等。（5）監(jiān)控報告和審計。監(jiān)控報告和審計階段包括持續(xù)監(jiān)控、及時報告、綜合審計、運行優(yōu)化和培訓幾個部分，其中運行優(yōu)化過程中要注意抓大放小、先簡后繁、查漏補缺的原則。

總之，傳統(tǒng)的數(shù)據(jù)安全防護手段已經(jīng)不能很好地滿足大數(shù)據(jù)時代的信息安全需求，“新安全”概念中的之“大數(shù)據(jù)安全”表明：一切都將與數(shù)據(jù)相關(guān)，數(shù)據(jù)安全將與一切相關(guān)。特別是在《網(wǎng)絡(luò)安全法》實施以后的今天，我們唯有不斷完善以數(shù)據(jù)為中心的數(shù)據(jù)安全體系建設(shè)，才有望實現(xiàn)共建數(shù)據(jù)安全、共享安全數(shù)據(jù)。

參考文獻：

[1] 劉權(quán).2017年網(wǎng)絡(luò)安全十大發(fā)展趨勢[J].法律政策研究，2017（1）.

[2] 王丹，趙文兵，丁治明.大數(shù)據(jù)安全保障關(guān)鍵技術(shù)分析綜述[J].北京工業(yè)大學學報，2017（3）.

[3] 中華人民共和國工業(yè)和信息化部.中華人民共和國網(wǎng)絡(luò)安全法[2017-06-12]

[4] 孔令濤，趙慧.大數(shù)據(jù)云計算環(huán)境下的數(shù)據(jù)安全分析[J].網(wǎng)絡(luò)安全技術(shù)與應用，2017（9）.endprint