楊蕓

摘要：隨著互聯(lián)網(wǎng)應(yīng)用的普及和人們對(duì)互聯(lián)網(wǎng)的依賴，互聯(lián)網(wǎng)的安全問(wèn)題也日益凸顯。特別是進(jìn)入互聯(lián)網(wǎng)+時(shí)代，全球數(shù)據(jù)泄露愈演愈烈，伴隨著我國(guó)《網(wǎng)絡(luò)安全法》的頒布實(shí)施，傳統(tǒng)的數(shù)據(jù)安全手段已不能滿足“新安全”概念中的“大數(shù)據(jù)安全”問(wèn)題，因此需要建立以數(shù)據(jù)為中心的數(shù)據(jù)安全體系，以實(shí)現(xiàn)共建數(shù)據(jù)安全、共享安全數(shù)據(jù)。

關(guān)鍵詞：網(wǎng)絡(luò)安全法；數(shù)據(jù)安全；體系建設(shè)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）32-0042-02

Construction of Data Security System Based on Cybersecurity Law

YANG Yun

（Information & Management Department， Zhejiang Administrative Institute， Hangzhou 311121， China）

Abstract： With the popularity of Internet applications and peoples dependence on the Internet， the security problem of the Internet has become increasingly prominent. Especially in the Internet plus era， global data breaches intensified， along with the promulgation and implementation of “China's cybersecurity law” ， the traditional data security measures have been unable to meet the “new security concept” in the “big data security” issues， it is necessary to establish the data-centric data security system， in order to achieve the construction of data safe and secure data sharing.

Key words： cybersecurity law； data security； system construction

1 全球數(shù)據(jù)泄露愈演愈烈

隨著互聯(lián)網(wǎng)應(yīng)用的普及和人們對(duì)互聯(lián)網(wǎng)的依賴，互聯(lián)網(wǎng)的安全問(wèn)題也日益凸顯。惡意程序、各類釣魚和欺詐繼續(xù)保持高速增長(zhǎng)，同時(shí)黑客攻擊和大規(guī)模的個(gè)人信息泄露事件頻發(fā)，與各種網(wǎng)絡(luò)攻擊大幅增長(zhǎng)相伴的，是大量數(shù)據(jù)信息的泄露與財(cái)產(chǎn)損失的不斷增加。特別是近年來(lái)隨著大數(shù)據(jù)的爆發(fā)，數(shù)據(jù)安全已經(jīng)成為時(shí)下人們最為關(guān)注的問(wèn)題。如果將2015年定義為“大數(shù)據(jù)元年”的話，那么2016年可謂是大數(shù)據(jù)產(chǎn)業(yè)真正爆發(fā)的一年。資料顯示，2016年全球大數(shù)據(jù)市場(chǎng)規(guī)模將達(dá)453億美元，相較于2015年同比增長(zhǎng)17.97%。在這一年中，包括微軟、亞馬遜、谷歌在內(nèi)的眾多互聯(lián)網(wǎng)巨頭紛紛布局大數(shù)據(jù)領(lǐng)域，而我國(guó)也同樣涌現(xiàn)了一批高成長(zhǎng)的大數(shù)據(jù)企業(yè)。但如此輝煌的成績(jī)背后，也有許多潛在的危機(jī)隨之而來(lái)，并有愈演愈烈之勢(shì)。據(jù)統(tǒng)計(jì)2016年上半年的數(shù)據(jù)泄露總數(shù)增長(zhǎng)了15%。在全球范圍內(nèi)，2016年上半年已曝光的數(shù)據(jù)泄露事件高達(dá)974起，數(shù)據(jù)泄露記錄總數(shù)超過(guò)了5.54億條之多。數(shù)據(jù)泄露的類型包含個(gè)人敏感信息、商業(yè)秘密、國(guó)家秘密等，行業(yè)也涉及互聯(lián)網(wǎng)、政府、金融機(jī)構(gòu)和制造業(yè)等。

2 網(wǎng)絡(luò)安全法中對(duì)數(shù)據(jù)安全的保護(hù)要求

20世紀(jì)90年代以來(lái)，為了進(jìn)一步加強(qiáng)我國(guó)信息化建設(shè)和維護(hù)國(guó)家信息安全，國(guó)家信息化領(lǐng)導(dǎo)小組負(fù)責(zé)審議通過(guò)了《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》。隨后相繼出臺(tái)了《電信條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《網(wǎng)絡(luò)安全法》、《電信與互聯(lián)網(wǎng)個(gè)人信息保護(hù)規(guī)定》、《數(shù)據(jù)出境指南》、《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》草案等。黨的十八大以來(lái)，以習(xí)近平同志為總書記的黨中央高度重視網(wǎng)絡(luò)安全和信息化工作，成立了中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組，統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全和信息化重大問(wèn)題，提出了一系列新理念新思想新戰(zhàn)略，做出了一系列重大戰(zhàn)略部署。2016年11月，全國(guó)人民代表大會(huì)常務(wù)委員會(huì)發(fā)布了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》），于2017年6月1日正式實(shí)施?！毒W(wǎng)絡(luò)安全法》是中國(guó)第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問(wèn)題的基礎(chǔ)性法律，是中國(guó)網(wǎng)絡(luò)空間法治建設(shè)的重要里程碑。

網(wǎng)絡(luò)安全法中對(duì)于數(shù)據(jù)安全的相關(guān)規(guī)定體現(xiàn)在三個(gè)方面：一是數(shù)據(jù)安全。其中第10條中明確要“維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可靠性”。在第21條中“防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”，“采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密措施”。在第27條中“任何人不得從事竊取網(wǎng)絡(luò)數(shù)據(jù)的活動(dòng)；不得提供竊取網(wǎng)絡(luò)數(shù)據(jù)的程序、工具”等。在第31條中“因數(shù)據(jù)泄露可能嚴(yán)重危害國(guó)家安全的，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。”等。二是個(gè)人數(shù)據(jù)安全。在第四章中明確責(zé)任主體、最少夠用原則、個(gè)人信息共享限定條件、主體參與權(quán)、個(gè)人信息交易的合法空間等。三是關(guān)于國(guó)家層面的數(shù)據(jù)保護(hù)。第37條規(guī)定“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要信息應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。”第51條“國(guó)家網(wǎng)信部門要加強(qiáng)網(wǎng)絡(luò)安全信息的收集、分析和通報(bào)工作?！钡?2條“負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門，應(yīng)當(dāng)建立安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度，并按規(guī)定報(bào)送網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息。”等?；诰W(wǎng)絡(luò)安全法對(duì)數(shù)據(jù)安全的要求提升到了法律的高度，我們對(duì)于數(shù)據(jù)安全建設(shè)應(yīng)該有更全面更深刻地思考。

3 數(shù)據(jù)安全的建設(shè)思考：以“數(shù)據(jù)”為中心的安全建設(shè)體系endprint

3.1 聚焦數(shù)據(jù)本身

聚焦數(shù)據(jù)本身即聚焦數(shù)據(jù)本身的幾個(gè)關(guān)鍵問(wèn)題：where—數(shù)據(jù)的分布情況；what—數(shù)據(jù)的類型；who—誰(shuí)在使用數(shù)據(jù)；why—為什么使用數(shù)據(jù)。

3.2 結(jié)合數(shù)據(jù)全生命周期中各個(gè)階段的安全要求

在大數(shù)據(jù)和云計(jì)算出現(xiàn)后，數(shù)據(jù)的生命周期細(xì)分為收集產(chǎn)生、存儲(chǔ)、使用、傳輸、共享和銷毀6個(gè)階段，每個(gè)環(huán)節(jié)都面臨著新的安全威脅和挑戰(zhàn)。結(jié)合各個(gè)階段，要充分考慮各個(gè)階段的數(shù)據(jù)安全要求。首先在數(shù)據(jù)的產(chǎn)生階段，要考慮數(shù)據(jù)源鑒別及記錄、個(gè)人數(shù)據(jù)收集、數(shù)據(jù)資產(chǎn)管理、元數(shù)據(jù)管理、數(shù)據(jù)質(zhì)量管理、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)留存合規(guī)鑒別。在數(shù)據(jù)存儲(chǔ)階段要考慮數(shù)據(jù)存儲(chǔ)加密、數(shù)據(jù)備份和恢復(fù)、大數(shù)據(jù)存儲(chǔ)容器的安全保護(hù)、數(shù)據(jù)存儲(chǔ)階段的監(jiān)控及審計(jì)等。在數(shù)據(jù)使用階段要考慮到數(shù)據(jù)脫敏、數(shù)據(jù)分析安全控制、身份認(rèn)證管理、數(shù)據(jù)權(quán)限管理、大數(shù)據(jù)加工平臺(tái)安全、終端安全、數(shù)據(jù)使用階段的監(jiān)控及審計(jì)等。在數(shù)據(jù)傳輸階段則要考慮傳輸安全、數(shù)據(jù)傳輸加密、傳輸接口安全、網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)的可靠性管理。而在數(shù)據(jù)共享階段要考慮數(shù)據(jù)共享方案安全、大數(shù)據(jù)共享加工平臺(tái)安全、數(shù)據(jù)共享過(guò)程的監(jiān)控及審計(jì)。最后數(shù)據(jù)銷毀階段即要考慮數(shù)據(jù)的銷毀、還有數(shù)據(jù)存儲(chǔ)介質(zhì)的銷毀。

3.3 制定數(shù)據(jù)安全技術(shù)路線

1） 聚焦數(shù)據(jù)本身安全。大數(shù)據(jù)類型80%以上都是非結(jié)構(gòu)化的。非結(jié)構(gòu)化文檔安全包括：文檔安全管理系統(tǒng)、文件使用中的泄密途徑管控；敏感信息識(shí)別和防泄漏管理以及數(shù)據(jù)銷毀。其中文檔安全管理系統(tǒng)又包括文檔產(chǎn)生時(shí)密級(jí)標(biāo)識(shí)、選擇性加密或全加密、文件和使用者權(quán)限管理、文檔水印管理、文檔外發(fā)管理、文檔解密審批、文件離網(wǎng)安全管理、文件安全共享等。而結(jié)構(gòu)化數(shù)據(jù)庫(kù)安全包括：準(zhǔn)入身份驗(yàn)證、訪問(wèn)權(quán)限控制、可疑數(shù)據(jù)管控、數(shù)據(jù)庫(kù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)庫(kù)防火墻、數(shù)據(jù)庫(kù)漏掃、訪問(wèn)控制、數(shù)據(jù)傳輸安全等等。

2） 聚焦數(shù)據(jù)生態(tài)安全。從數(shù)據(jù)生態(tài)環(huán)境的角度，數(shù)據(jù)安全包括網(wǎng)絡(luò)安全、終端安全、存儲(chǔ)安全和應(yīng)用安全。

3） 云和虛擬化安全。目前大數(shù)據(jù)應(yīng)用所需的分布式處理能力依賴于虛擬化技術(shù)，虛擬化大幅度提升了基礎(chǔ)計(jì)算機(jī)資源的利用率，同時(shí)也帶來(lái)了一些安全漏洞。虛擬化安全是云端大數(shù)據(jù)防護(hù)的基礎(chǔ)，包括虛擬機(jī)掃描、虛擬化安全集中管控平臺(tái)、虛擬網(wǎng)絡(luò)安全等。

4 完成數(shù)據(jù)安全管理體系建設(shè)

數(shù)據(jù)安全建設(shè)，體系才是王道。完成數(shù)據(jù)安全管理體系建設(shè)，要遵循以下3個(gè)原則，一是全局性原則：安全威脅來(lái)自最薄弱的環(huán)節(jié)，必須從全局出發(fā)，這也是符合我們常說(shuō)的“木桶原理”。二是綜合性原則：數(shù)據(jù)安全建設(shè)三分靠技術(shù)，七分靠管理。因此數(shù)據(jù)安全體系不能單靠技術(shù)，必須結(jié)合管理。緊緊抓住“人”這個(gè)要素，制定各項(xiàng)管理制度。三是均衡性原則：數(shù)據(jù)中相同安全級(jí)別的保密強(qiáng)度一致。

完成數(shù)據(jù)安全體系建設(shè)的最佳實(shí)踐分為5個(gè)階段：（1）數(shù)據(jù)發(fā)現(xiàn)和評(píng)估。數(shù)據(jù)的發(fā)現(xiàn)和評(píng)估主要是敏感數(shù)據(jù)的發(fā)現(xiàn)和識(shí)別：包括數(shù)據(jù)的類型，即數(shù)據(jù)是怎么樣的；數(shù)據(jù)的分布情況即數(shù)據(jù)在哪里；數(shù)據(jù)的使用權(quán)限即誰(shuí)在使用還有使用方式等等。（2）數(shù)據(jù)分類和分級(jí)。數(shù)據(jù)分類的標(biāo)準(zhǔn)包括類型、位置、內(nèi)容和關(guān)鍵詞、使用者權(quán)限。數(shù)據(jù)分級(jí)的標(biāo)準(zhǔn)包括絕密、秘密、公開、內(nèi)部、開放。（3）定義有效的策略。在數(shù)據(jù)安全總體框架基礎(chǔ)下，進(jìn)行策略規(guī)劃。包括組織架構(gòu)覆蓋、普通員工和領(lǐng)導(dǎo)的分級(jí)管理策略、靜態(tài)數(shù)據(jù)安全策略、傳輸中的數(shù)據(jù)安全策略、生產(chǎn)環(huán)境生產(chǎn)的數(shù)據(jù)安全策略等。（4）實(shí)施和控制。包括初始安裝、配置以及試運(yùn)行等。（5）監(jiān)控報(bào)告和審計(jì)。監(jiān)控報(bào)告和審計(jì)階段包括持續(xù)監(jiān)控、及時(shí)報(bào)告、綜合審計(jì)、運(yùn)行優(yōu)化和培訓(xùn)幾個(gè)部分，其中運(yùn)行優(yōu)化過(guò)程中要注意抓大放小、先簡(jiǎn)后繁、查漏補(bǔ)缺的原則。

總之，傳統(tǒng)的數(shù)據(jù)安全防護(hù)手段已經(jīng)不能很好地滿足大數(shù)據(jù)時(shí)代的信息安全需求，“新安全”概念中的之“大數(shù)據(jù)安全”表明：一切都將與數(shù)據(jù)相關(guān)，數(shù)據(jù)安全將與一切相關(guān)。特別是在《網(wǎng)絡(luò)安全法》實(shí)施以后的今天，我們唯有不斷完善以數(shù)據(jù)為中心的數(shù)據(jù)安全體系建設(shè)，才有望實(shí)現(xiàn)共建數(shù)據(jù)安全、共享安全數(shù)據(jù)。

參考文獻(xiàn)：

[1] 劉權(quán).2017年網(wǎng)絡(luò)安全十大發(fā)展趨勢(shì)[J].法律政策研究，2017（1）.

[2] 王丹，趙文兵，丁治明.大數(shù)據(jù)安全保障關(guān)鍵技術(shù)分析綜述[J].北京工業(yè)大學(xué)學(xué)報(bào)，2017（3）.

[3] 中華人民共和國(guó)工業(yè)和信息化部.中華人民共和國(guó)網(wǎng)絡(luò)安全法[2017-06-12]

[4] 孔令濤，趙慧.大數(shù)據(jù)云計(jì)算環(huán)境下的數(shù)據(jù)安全分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（9）.endprint