数据安全整体建设思考

数据安全法的正式施行，标志着我国在法律层面上保障了数据作为生产要素的权利。数据安全法规范了数据处理活动，明确了数据处理者的义务和责任，对于保障公民隐私权益、维护国家安全和社会稳定、促进数字经济发展，具有深远意义。

数据安全面临的问题

数据的流动导致保护对象和保护边界发生了变化。在数据流转过程中，关键节点的安全隐患大幅提升。而传统安全架构更像是“圈地保护”，无法对业务和数据提供更机动、高效的安全保护能力。当下，业务系统在数据安全防护方面存在如下问题。

数据分类分级不彻底或未执行数据分类分级：未对业务系统采集到的数据进行统一的安全管理，敏感数据未识别；未执行数据分类分级保护，增加了数据泄露的风险和数据不合规运营的风险。

数据资产识别不充分：数据流访问路径缺乏安全管理，未对全量数据流进行识别和保护，未了解数据“从哪里来，到哪里去”，导致无法识别关键业务和关键数据，造成数据未经审批流出等风险。

数据未脱敏或数据脱敏不彻底：测试/演示环境、数据分析/挖掘未使用脱敏数据，或数据脱敏算法不满足不可逆等安全要求，经过脱敏处理后的数据易遭受包括重标识攻击、背景知识攻击、链接攻击以及隐私推理攻击等威胁。

数据访问控制及认证机制不充分：运维开发人员可能设置管理后门，或越权访问未授权数据；认证机制不足也可导致行为日志的记录不充分，无法执行事后的安全审计，增加了业务系统数据泄露或数据被篡改的风险。

数据安全风险识别不充分：传统的应用系统风险识别主要围绕应用安全、网络安全、物理安全等独立版块，未对流动中的数据执行充分的风险评估，无法全面识别数据汇聚可能造成的数据风险升级。

数据安全管理制度及组织架构不完善：未明确组织架构，未获得公司高层管理者的支持，安全策略在内部未获得一致同意，未明确合规审批流程；业务连续和灾难恢复、应急响应等计划未制定、未测试或未落实等。

数据安全技术框架

以数据为中心，以数据流向和数据生命周期为主干，遵循数据安全相关法律法规和标准规范的建设指引，掌握数据资产分布、业务关系和数据流向地图，做好数据安全分级，执行业务影响分析和数据安全风险评估，结合相关利益方风险偏好，构建适应业务发展的数据安全保护体系。数据安全建设框架如图1所示。

图1  数据安全建设框架

1.数据分类分级

以《网络安全标准实践指南——网络数据分类分级指引》为主要依据，按照业务影响程度和相关利益方意见决策，对数据资产进行识别，并进行分类分级。根据数据资产表和数据分级表，制定数据保护策略和数据保护技术框架。数据安全建设框架如图2所示。

图2  数据分类分级系统

2.数据传输安全

对应用系统所有API访问实施加密，实现数据传输安全。系统所有前端访问均采用安全网络协议HTTPS，通过SSL+HTTP协议方式构建浏览器和服务之间的加密通信，有效保护数据隐私及信息安全。所有接口都必须携带加密凭证才能访问后端，接口访问凭证根据不同的业务需求调整有效期，以防止凭证被盗用。采用应用网关控制，对所有接口访问权限进行审计，根据用户身份进行统一鉴权。

3.数据存储安全

识别业务系统涉及的存量数据，建立数据分类分级规则，生成数据分类分级记录表，通过调用加密系统密钥来分级加密存储数据，并通过ID实现数据的高效调用和高效加解密。

4.数据安全流转

确保敏感数据在流转中的安全管理。例如，针对与合作商进行的数据安全交换和数据共享、应用系统调用生产库数据的流动、生产环境和测试环境间数据的安全转移、运维过程中可能涉及的数据流动等业务场景，进行数据流分析并编制业务案例。

在运维过程中，应通过安全运维工具实现对所有行为的识别管理和审计，限制敏感数据未审批流出生产环境，避免数据落在安全级别较低的安全域，甚至落在办公电脑中。测试环境中使用的数据应进行完全脱敏，保证数据不可逆，并确保生产环境和测试环境间的访问控制，避免出现生产数据的违规转移和流动。在与合作方的合作中，若涉及数据共享和数据流转，应在合同或保密协议中明确保密责任和合规义务，并明确双方安全管理要求，对于需要流转和共享的数据，应进行审核并监控相关行为，避免出现数据违规传输共享。

5.数据安全处理

数据安全分类分级：制定数据安全分类分级标准，针对数据应用系统存量数据，编制数据资产表，实现对新增数据的实时识别和分级处理。

数据脱敏：对测试环境或大数据平台使用的数据执行去标识化处理，在确保数据安全可靠后，进行进一步分析和使用。

数据运维：应通过安全运维软件（堡垒机）实现运维操作，记录并定期审计所有操作；通过监控和实施预警策略，禁止其他未授权的访问路径，避免未经审批的数据被导出。

访问控制：在通过API调用或其他途径访问数据时，需经过认证并制定访问控制策略，落实最小权限要求，避免技术人员越权访问，通过认证和访问控制策略防止开发过程中产生代码后门。

数据备份：对应用执行业务连续性分析和灾难恢复分析，明确RTO和RPO；制定备份策略，对备份数据开展定期测试，并对备份库安全域落实防护措施，防止备份数据库被恶意用户越权访问或盗用。

数据销毁：及时销毁已到期的生产库数据，对于已归还的涉及敏感数据的终端办公电脑执行销毁处理，避免由于数据过期等原因导致数据泄露。

数据安全管理体系的搭建

建立健全数据安全管理体系和制度规范文件，明确责任部门和主要责任人，制定四级安全管理体系。其中，一级文件由高级管理层/领导小组制定，明确战略目标、管理要求及基本原则；二级文件由各部门管理层组成的管理委员会根据一级战略目标、政策制定通用的管理办法、制度及标准，作为上层管理要求，应具备科学性、完备性、合理性及普遍的适用性；三级文件由管理层和执行层根据二级管理制度确定各业务流程阶段的具体操作指南、规范；四级及以下文件属于辅助文件，包括程序文件、审批文件、清单等过程性文档，是对上层管理要求的细化解读，以及详细资产清单、操作性文件，用于指导或记录具体业务场景和业务流程。

结语

本文构建以数据为中心的整体防护框架，建立以数据为核心的全生命周期的数据安全保障体系、以数据流向为基础的风险评估管理体系、以业务影响分析和风险评估为基础的防护框架。数字化建设的推进将会带来更多数据安全风险，需要进一步加强数据安全治理和安全监管方面的技术探索，进一步加强数据安全保障体系和保障能力建设，打造安全和发展并重的技术治理体系。

来源：《网络安全和信息化》杂志