◆趙楠楠

我國(guó)數(shù)據(jù)安全標(biāo)準(zhǔn)及安全防護(hù)探究

◆趙楠楠

（上海市國(guó)有資產(chǎn)信息中心 上海 200001）

隨著信息化與經(jīng)濟(jì)社會(huì)的深入融合，多種數(shù)據(jù)增長(zhǎng)迅速且集中性強(qiáng)，對(duì)社會(huì)、經(jīng)濟(jì)以及人民生活都有很大的影響。數(shù)據(jù)安全是社會(huì)及國(guó)家都重視的問題，它緊密關(guān)系到國(guó)家的安全和經(jīng)濟(jì)的快速發(fā)展。本文主要介紹了我國(guó)數(shù)據(jù)安全標(biāo)準(zhǔn)，且從數(shù)據(jù)全生命周期角度論述安全防護(hù)措施，敘述數(shù)據(jù)分級(jí)分類標(biāo)準(zhǔn)及方法，全方位保證數(shù)據(jù)的安全。

數(shù)據(jù)安全；安全標(biāo)準(zhǔn)；安全防護(hù)

我國(guó)逐步加強(qiáng)數(shù)據(jù)安全標(biāo)準(zhǔn)的研究，旨在消除數(shù)據(jù)生命周期中各節(jié)點(diǎn)可能存在的安全問題，即確保數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理和銷毀節(jié)點(diǎn)的安全。只有通過對(duì)數(shù)據(jù)安全的風(fēng)險(xiǎn)分析并了解到產(chǎn)生風(fēng)險(xiǎn)的原因，才能制定相對(duì)應(yīng)的措施防護(hù)使數(shù)據(jù)安全達(dá)到更高等級(jí)。從現(xiàn)階段實(shí)際情況為起點(diǎn)，制定科學(xué)合理的安全標(biāo)準(zhǔn)，并且需要采用有效措施，是能夠有效提升數(shù)據(jù)使用價(jià)格和安全性的。

1 數(shù)據(jù)安全標(biāo)準(zhǔn)

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》由全國(guó)人民代表大會(huì)常務(wù)委員會(huì)頒布，頒布日期為2016年11月7日[1]。此后，中國(guó)國(guó)家網(wǎng)絡(luò)空間局、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、公安部、工業(yè)和信息化部接踵出臺(tái)了一系列法規(guī)對(duì)此進(jìn)行補(bǔ)充。該法成為信息安全領(lǐng)域使用的重要依據(jù)。該法律的發(fā)布，獲得了市場(chǎng)的廣泛關(guān)注，尤其是在國(guó)家大力倡導(dǎo)信息安全重要性的大背景下，該法律將有效促進(jìn)行業(yè)發(fā)展。

《數(shù)據(jù)安全法》草案三稿于2021年6月7日提請(qǐng)十三屆全國(guó)人大常委會(huì)第二十九次會(huì)議審議，2021年6月10日通過，2021年9月1日起施行。該法旨在進(jìn)一步增強(qiáng)國(guó)家數(shù)據(jù)安全保障能力，有效應(yīng)對(duì)非傳統(tǒng)數(shù)據(jù)領(lǐng)域的國(guó)家安全風(fēng)險(xiǎn)和挑戰(zhàn)，有效維護(hù)國(guó)家主權(quán)、安全和發(fā)展權(quán)。同時(shí)，該法建立數(shù)據(jù)分類分級(jí)管理、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)、數(shù)據(jù)審查等基本制度，明確相關(guān)主體的數(shù)據(jù)安全保護(hù)義務(wù)[2]。在規(guī)范數(shù)據(jù)活動(dòng)的同時(shí)，堅(jiān)持安全與發(fā)展并舉，對(duì)支持和推進(jìn)數(shù)據(jù)安全與發(fā)展措施、推進(jìn)政府?dāng)?shù)據(jù)公開使用等作出相應(yīng)規(guī)定，充分發(fā)揮數(shù)據(jù)作為基礎(chǔ)資源和創(chuàng)新引擎的作用，推動(dòng)以數(shù)據(jù)為關(guān)鍵要素的數(shù)字經(jīng)濟(jì)的發(fā)展。

目前與數(shù)據(jù)安全相關(guān)的標(biāo)準(zhǔn)和規(guī)范要求還有：GB/T 37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》、《信息安全能力成熟度模型_IS_CMM_的建構(gòu)》、GB/T 35274-2017《信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求》、GB/T 37973-2019《信息安全技術(shù)大數(shù)據(jù)安全管理指南》、GB/T 36073-2018《數(shù)據(jù)管理能力成熟度評(píng)估模型》。地方標(biāo)準(zhǔn)有DB52/T 1123-2016《政府?dāng)?shù)據(jù)數(shù)據(jù)分類分級(jí)指南》、《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》等。這些國(guó)家標(biāo)準(zhǔn)、地方標(biāo)準(zhǔn)的發(fā)布和實(shí)施，對(duì)我國(guó)數(shù)據(jù)安全具有重要意義。

2 數(shù)據(jù)安全防護(hù)

數(shù)據(jù)是反映客觀事物屬性的記錄，是信息的具體表現(xiàn)。數(shù)據(jù)經(jīng)過處理后，就變成了信息。信息在存儲(chǔ)和傳輸之前需要數(shù)字化并轉(zhuǎn)化為數(shù)據(jù)。因此，數(shù)據(jù)安全是信息安全的核心要素，保護(hù)數(shù)據(jù)的整個(gè)生命周期至關(guān)重要。

2.1 采集防護(hù)

在采集階段，要明確采集規(guī)范，制定采集策略，完善數(shù)據(jù)采集風(fēng)險(xiǎn)評(píng)估，確保數(shù)據(jù)采集的合規(guī)性和合法性[3]。在敏感數(shù)據(jù)采集時(shí)，應(yīng)采用加密、脫敏防護(hù)措施。數(shù)據(jù)加密是數(shù)據(jù)安全的基本防護(hù)措施，沒有加密的數(shù)據(jù)相當(dāng)于裸奔，也無安全性可言。其次還要注意對(duì)數(shù)據(jù)的脫敏，這是考慮到合規(guī)性、保密性的體現(xiàn)。最后，需要做好日志記錄，做好數(shù)據(jù)采集的留痕管理，這對(duì)后期審計(jì)也是很重要的。

2.2 傳輸防護(hù)

在數(shù)據(jù)傳輸階段，需要保證數(shù)據(jù)傳輸?shù)陌踩裕龊冒踩雷o(hù)。其常見防護(hù)措施有專線傳輸、加密傳輸?shù)?。專線傳輸指專網(wǎng)傳輸，通過特定通道傳輸數(shù)據(jù)。加密傳輸是指使用一些加密算法保障傳輸?shù)陌踩Ｒ妳f(xié)議為HTTPS，常見算法有RSA、國(guó)密算法等。

2.3 存儲(chǔ)防護(hù)

做好存儲(chǔ)防護(hù)需要制定存儲(chǔ)介質(zhì)標(biāo)準(zhǔn)和存儲(chǔ)系統(tǒng)安全保護(hù)的重要標(biāo)準(zhǔn)[4]。存儲(chǔ)介質(zhì)標(biāo)準(zhǔn)有以下要求，一是涵蓋存儲(chǔ)介質(zhì)的定義；二是質(zhì)量、存儲(chǔ)介質(zhì)的收發(fā)和傳輸；三是存儲(chǔ)介質(zhì)的使用和管理以及存儲(chǔ)介質(zhì)的維護(hù)規(guī)范。存儲(chǔ)系統(tǒng)的安全保護(hù)有以下要求，需要包括數(shù)據(jù)備份、歸檔和恢復(fù)以及識(shí)別和維護(hù)存儲(chǔ)系統(tǒng)的特點(diǎn)。

2.4 處理防護(hù)

明確數(shù)據(jù)脫敏的業(yè)務(wù)場(chǎng)景，統(tǒng)一使用合適的脫敏技術(shù)是關(guān)鍵。在數(shù)據(jù)交換和共享安全階段，需要建立一個(gè)數(shù)據(jù)交換和共享審查過程和一個(gè)監(jiān)測(cè)平臺(tái)。建立數(shù)據(jù)導(dǎo)入導(dǎo)出流程規(guī)范，統(tǒng)一權(quán)限管理和流程，并進(jìn)行監(jiān)控和審核，確保數(shù)據(jù)共享的所有操作和行為都得到記錄，高風(fēng)險(xiǎn)行為得到識(shí)別和控制。

2.5 銷毀防護(hù)

做好銷毀防護(hù)需要確保銷毀技術(shù)的多樣化。銷毀的目標(biāo)是嚴(yán)格防止此階段出現(xiàn)數(shù)據(jù)泄露的問題。銷毀防護(hù)的技術(shù)有很多種，有個(gè)共性特點(diǎn)是幾乎都有不可逆轉(zhuǎn)的銷毀技術(shù)和程序，并且有嚴(yán)密的監(jiān)督銷毀監(jiān)測(cè)機(jī)制。做好銷毀防護(hù)十分重要。

3 數(shù)據(jù)分類分級(jí)管理

數(shù)據(jù)分類分級(jí)是基礎(chǔ)，其基礎(chǔ)性體現(xiàn)在合理管理和控制數(shù)據(jù)安全、合理規(guī)劃管理體系、合理使用人員精力和力量[5]。在建立數(shù)據(jù)生命周期監(jiān)控的同時(shí)，為了實(shí)現(xiàn)監(jiān)控和審計(jì)，必須對(duì)數(shù)據(jù)進(jìn)行分類和分級(jí)[6]。在數(shù)據(jù)分類和分級(jí)之前，需要通過數(shù)據(jù)映射和數(shù)據(jù)的主要存儲(chǔ)位置來發(fā)現(xiàn)敏感數(shù)據(jù)。對(duì)數(shù)據(jù)進(jìn)行結(jié)構(gòu)化分類，實(shí)現(xiàn)對(duì)數(shù)據(jù)資產(chǎn)安全的敏感和分級(jí)管理，并根據(jù)每個(gè)級(jí)別部署相應(yīng)的數(shù)據(jù)安全策略，確保數(shù)據(jù)資產(chǎn)和可用性的整個(gè)生命周期內(nèi)數(shù)據(jù)的機(jī)密性、完整性和真實(shí)性。

數(shù)據(jù)分類分級(jí)在承上（管理）和啟下（技術(shù)）中起著重要作用。承上是指運(yùn)維制度、保障措施、崗位職責(zé)等方面的管理制度都需要按照數(shù)據(jù)分類分級(jí)來編制[7]。啟下是指對(duì)不同的數(shù)據(jù)級(jí)別，施行相對(duì)應(yīng)的安全保護(hù)。

根據(jù)DB52/T 1123-2016《政府?dāng)?shù)據(jù)數(shù)據(jù)分類分級(jí)指南》標(biāo)準(zhǔn)，數(shù)據(jù)分級(jí)劃分方法如表1所示。

表1 DB52/T 1123-2016數(shù)據(jù)分類分級(jí)方法

政府?dāng)?shù)據(jù)敏感程度 非敏感數(shù)據(jù)涉及用戶隱私數(shù)據(jù)涉及國(guó)家秘密數(shù)據(jù) 等級(jí)劃分公開數(shù)據(jù)內(nèi)部數(shù)據(jù)涉密數(shù)據(jù)

《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》中提出的數(shù)據(jù)分類分級(jí)系列標(biāo)準(zhǔn)如圖1、圖2所示。

圖1 《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》數(shù)據(jù)分類分級(jí)方法

圖2 《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》數(shù)據(jù)安全等級(jí)劃分

與數(shù)據(jù)分類不同，對(duì)于大多數(shù)公司來說，更多的是從滿足監(jiān)管要求的角度出發(fā)。數(shù)據(jù)分類屬于數(shù)據(jù)安全領(lǐng)域，稱之為敏感數(shù)據(jù)可能更合適。企業(yè)中的數(shù)據(jù)保密程度有的高，有的低，有的可以披露，有的不能披露[8]。不同敏感度的數(shù)據(jù)在內(nèi)部使用時(shí)受到不同保護(hù)策略的保護(hù)，對(duì)外共享的開放程度也不同。如果企業(yè)對(duì)內(nèi)部數(shù)據(jù)沒有清晰的認(rèn)識(shí)，就談不上是否能達(dá)到監(jiān)管要求，對(duì)自身經(jīng)營(yíng)是一個(gè)嚴(yán)重的隱患，因?yàn)楹芸赡軙?huì)不小心泄露內(nèi)部敏感信息。分類分級(jí)案例參考如圖3所示。

圖3 數(shù)據(jù)分類分級(jí)案例

總體來講，通過公共渠道可以查看到的信息為公開數(shù)據(jù)。通過調(diào)研等可獲取到的信息為內(nèi)部數(shù)據(jù)。一般合同、渠道管理政策類為普通商密數(shù)據(jù)。重要業(yè)務(wù)等數(shù)據(jù)為核心商密信息。內(nèi)部審計(jì)報(bào)告、人民銀行公文類數(shù)據(jù)是秘密數(shù)據(jù)。民主生活會(huì)紀(jì)要、專利申請(qǐng)、重要客戶信息為機(jī)密類數(shù)據(jù)。

4 結(jié)論

綜上所述，數(shù)據(jù)安全標(biāo)準(zhǔn)及其全生命周期的安全防護(hù)具有重要現(xiàn)實(shí)意義，可以指導(dǎo)實(shí)際工作開展。我們需要明確數(shù)據(jù)安全標(biāo)準(zhǔn)，實(shí)行數(shù)據(jù)分類管理，并且嚴(yán)格按照標(biāo)準(zhǔn)執(zhí)行，對(duì)數(shù)據(jù)開展安全研究。未來隨著逐步完善整個(gè)信息安全標(biāo)準(zhǔn)體系，數(shù)據(jù)安全標(biāo)準(zhǔn)體系將與網(wǎng)絡(luò)化、云計(jì)算緊密結(jié)合，推動(dòng)WEB3.0發(fā)展，為信息化建設(shè)提供技術(shù)基礎(chǔ)。

[1]陳煜朋，秦玉金，任少魁，等.我國(guó)煤礦安全標(biāo)準(zhǔn)統(tǒng)計(jì)分析[J].煤礦安全，2021，52（4）：246-249，254.

[2]徐巖，劉巧玉，衛(wèi)巍.航天行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系建設(shè)[J].航天標(biāo)準(zhǔn)化，2019，3（3）：16-19.

[3]國(guó)務(wù)院辦公廳．關(guān)于促進(jìn)電子政務(wù)協(xié)調(diào)發(fā)展的指導(dǎo)意見（國(guó)辦發(fā)[2014]66號(hào)）[OL].[2020-02-27].http:////www. czbeihu.gov.cn//zwgk//zwxxgkml//zwgkgzzd//content_2126561.html.

[4]全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)．GB//T35282-2017信息安全技術(shù)電子政務(wù)移動(dòng)辦公系統(tǒng)安全技術(shù)規(guī)范[S]．北京：中國(guó)標(biāo)準(zhǔn)出版社，2019.

[5]劉蓓，程浩，包麗娜，等. 遠(yuǎn)程移動(dòng)辦公安全標(biāo)準(zhǔn)研究與實(shí)踐[J].信息安全研究，2020，4（4）：282-288.

[6]陳建龍.鋰離子蓄電池的安全標(biāo)準(zhǔn)及安全防護(hù)探究[J].中國(guó)自行車，2021，1（1）：66-67.

[7]徐蓓蓓，鄒麗恒，朱子煜.音視頻與信息技術(shù)設(shè)備安全標(biāo)準(zhǔn)簡(jiǎn)析[J].深圳海關(guān)，2021.

[8] 中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟．2016年全國(guó)企事業(yè)單位移動(dòng)信息安全需求調(diào)查報(bào)告[J]．信息安全與通信保密，2017（4）：102-1.