基于网络安全法的数据安全体系建设思考

杨芸

摘要：随着互联网应用的普及和人们对互联网的依赖，互联网的安全问题也日益凸显。特别是进入互联网+时代，全球数据泄露愈演愈烈，伴随着我国《网络安全法》的颁布实施，传统的数据安全手段已不能满足“新安全”概念中的“大数据安全”问题，因此需要建立以数据为中心的数据安全体系，以实现共建数据安全、共享安全数据。

关键词：网络安全法；数据安全；体系建设

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）32-0042-02

Construction of Data Security System Based on Cybersecurity Law

YANG Yun

（Information & Management Department， Zhejiang Administrative Institute， Hangzhou 311121， China）

Abstract： With the popularity of Internet applications and peoples dependence on the Internet， the security problem of the Internet has become increasingly prominent. Especially in the Internet plus era， global data breaches intensified， along with the promulgation and implementation of “China's cybersecurity law” ， the traditional data security measures have been unable to meet the “new security concept” in the “big data security” issues， it is necessary to establish the data-centric data security system， in order to achieve the construction of data safe and secure data sharing.

Key words： cybersecurity law； data security； system construction

1 全球数据泄露愈演愈烈

随着互联网应用的普及和人们对互联网的依赖，互联网的安全问题也日益凸显。恶意程序、各类钓鱼和欺诈继续保持高速增长，同时黑客攻击和大规模的个人信息泄露事件频发，与各种网络攻击大幅增长相伴的，是大量数据信息的泄露与财产损失的不断增加。特别是近年来随着大数据的爆发，数据安全已经成为时下人们最为关注的问题。如果将2015年定义为“大数据元年”的话，那么2016年可谓是大数据产业真正爆发的一年。资料显示，2016年全球大数据市场规模将达453亿美元，相较于2015年同比增长17.97%。在这一年中，包括微软、亚马逊、谷歌在内的众多互联网巨头纷纷布局大数据领域，而我国也同样涌现了一批高成长的大数据企业。但如此辉煌的成绩背后，也有许多潜在的危机随之而来，并有愈演愈烈之势。据统计2016年上半年的数据泄露总数增长了15%。在全球范围内，2016年上半年已曝光的数据泄露事件高达974起，数据泄露记录总数超过了5.54亿条之多。数据泄露的类型包含个人敏感信息、商业秘密、国家秘密等，行业也涉及互联网、政府、金融机构和制造业等。

2 网络安全法中对数据安全的保护要求

20世纪90年代以来，为了进一步加强我国信息化建设和维护国家信息安全，国家信息化领导小组负责审议通过了《国家信息化领导小组关于加强信息安全保障工作的意见》。随后相继出台了《电信条例》、《互联网信息服务管理办法》、《网络安全法》、《电信与互联网个人信息保护规定》、《数据出境指南》、《个人信息和重要数据出境安全评估办法》草案等。党的十八大以来，以习近平同志为总书记的党中央高度重视网络安全和信息化工作，成立了中央网络安全与信息化领导小组，统筹协调网络安全和信息化重大问题，提出了一系列新理念新思想新战略，做出了一系列重大战略部署。2016年11月，全国人民代表大会常务委员会发布了《中华人民共和国网络安全法》（以下简称《网络安全法》），于2017年6月1日正式实施。《网络安全法》是中国第一部全面规范网络空间安全管理方面问题的基础性法律，是中国网络空间法治建设的重要里程碑。

网络安全法中对于数据安全的相关规定体现在三个方面：一是数据安全。其中第10条中明确要“维护网络数据的完整性、保密性和可靠性”。在第21条中“防止网络数据泄露或者被窃取、篡改”，“采取数据分类、重要数据备份和加密措施”。在第27条中“任何人不得从事窃取网络数據的活动；不得提供窃取网络数据的程序、工具”等。在第31条中“因数据泄露可能严重危害国家安全的，在网络安全等级保护制度的基础上，实行重点保护。”等。二是个人数据安全。在第四章中明确责任主体、最少够用原则、个人信息共享限定条件、主体参与权、个人信息交易的合法空间等。三是关于国家层面的数据保护。第37条规定“关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要信息应当在境内存储。”第51条“国家网信部门要加强网络安全信息的收集、分析和通报工作。”第52条“负责关键信息基础设施安全保护工作的部门，应当建立安全监测预警和信息通报制度，并按规定报送网络安全监测预警信息。”等。基于网络安全法对数据安全的要求提升到了法律的高度，我们对于数据安全建设应该有更全面更深刻地思考。

3 数据安全的建设思考：以“数据”为中心的安全建设体系endprint

3.1 聚焦数据本身

聚焦数据本身即聚焦数据本身的几个关键问题：where—数据的分布情况；what—数据的类型；who—谁在使用数据；why—为什么使用数据。

3.2 结合数据全生命周期中各个阶段的安全要求

在大数据和云计算出现后，数据的生命周期细分为收集产生、存储、使用、传输、共享和销毁6个阶段，每个环节都面临着新的安全威胁和挑战。结合各个阶段，要充分考虑各个阶段的数据安全要求。首先在数据的产生阶段，要考虑数据源鉴别及记录、个人数据收集、数据资产管理、元数据管理、数据质量管理、数据分类分级、数据留存合规鉴别。在数据存储阶段要考虑数据存储加密、数据备份和恢复、大数据存储容器的安全保护、数据存储阶段的监控及审计等。在数据使用阶段要考虑到数据脱敏、数据分析安全控制、身份认证管理、数据权限管理、大数据加工平台安全、终端安全、数据使用阶段的监控及审计等。在數据传输阶段则要考虑传输安全、数据传输加密、传输接口安全、网络边界安全、网络的可靠性管理。而在数据共享阶段要考虑数据共享方案安全、大数据共享加工平台安全、数据共享过程的监控及审计。最后数据销毁阶段即要考虑数据的销毁、还有数据存储介质的销毁。

3.3 制定数据安全技术路线

1） 聚焦数据本身安全。大数据类型80%以上都是非结构化的。非结构化文档安全包括：文档安全管理系统、文件使用中的泄密途径管控；敏感信息识别和防泄漏管理以及数据销毁。其中文档安全管理系统又包括文档产生时密级标识、选择性加密或全加密、文件和使用者权限管理、文档水印管理、文档外发管理、文档解密审批、文件离网安全管理、文件安全共享等。而结构化数据库安全包括：准入身份验证、访问权限控制、可疑数据管控、数据库加密、数据脱敏、数据库防火墙、数据库漏扫、访问控制、数据传输安全等等。

2） 聚焦数据生态安全。从数据生态环境的角度，数据安全包括网络安全、终端安全、存储安全和应用安全。

3） 云和虚拟化安全。目前大数据应用所需的分布式处理能力依赖于虚拟化技术，虚拟化大幅度提升了基础计算机资源的利用率，同时也带来了一些安全漏洞。虚拟化安全是云端大数据防护的基础，包括虚拟机扫描、虚拟化安全集中管控平台、虚拟网络安全等。

4 完成数据安全管理体系建设

数据安全建设，体系才是王道。完成数据安全管理体系建设，要遵循以下3个原则，一是全局性原则：安全威胁来自最薄弱的环节，必须从全局出发，这也是符合我们常说的“木桶原理”。二是综合性原则：数据安全建设三分靠技术，七分靠管理。因此数据安全体系不能单靠技术，必须结合管理。紧紧抓住“人”这个要素，制定各项管理制度。三是均衡性原则：数据中相同安全级别的保密强度一致。

完成数据安全体系建设的最佳实践分为5个阶段：（1）数据发现和评估。数据的发现和评估主要是敏感数据的发现和识别：包括数据的类型，即数据是怎么样的；数据的分布情况即数据在哪里；数据的使用权限即谁在使用还有使用方式等等。（2）数据分类和分级。数据分类的标准包括类型、位置、内容和关键词、使用者权限。数据分级的标准包括绝密、秘密、公开、内部、开放。（3）定义有效的策略。在数据安全总体框架基础下，进行策略规划。包括组织架构覆盖、普通员工和领导的分级管理策略、静态数据安全策略、传输中的数据安全策略、生产环境生产的数据安全策略等。（4）实施和控制。包括初始安装、配置以及试运行等。（5）监控报告和审计。监控报告和审计阶段包括持续监控、及时报告、综合审计、运行优化和培训几个部分，其中运行优化过程中要注意抓大放小、先简后繁、查漏补缺的原则。

总之，传统的数据安全防护手段已经不能很好地满足大数据时代的信息安全需求，“新安全”概念中的之“大数据安全”表明：一切都将与数据相关，数据安全将与一切相关。特别是在《网络安全法》实施以后的今天，我们唯有不断完善以数据为中心的数据安全体系建设，才有望实现共建数据安全、共享安全数据。

参考文献：

[1] 刘权.2017年网络安全十大发展趋势[J].法律政策研究，2017（1）.

[2] 王丹，赵文兵，丁治明.大数据安全保障关键技术分析综述[J].北京工业大学学报，2017（3）.

[3] 中华人民共和国工业和信息化部.中华人民共和国网络安全法[2017-06-12]

[4] 孔令涛，赵慧.大数据云计算环境下的数据安全分析[J].网络安全技术与应用，2017（9）.endprint