您当前的位置:首页 > 电脑百科 > 网络技术 > 网络安全

一文解读数据安全法规

时间:2023-01-14 16:22:02  来源:51CTO  作者:
通常的思路是在企业应用层去解决上述问题,但又会对应用系统开发造成很大困扰,因而在数据库与应用之间构建这一能力成为“必然”。针对这一实践理念,个人有些实践,感兴趣的小伙伴可与我联系。

 

1. 哪些数据需要关注

在解读数据安全法规之前,首先要讲清楚的问题就是“什么样的数据需要考虑安全问题?不同数据的安全要求有何不同?”。这里引用一幅摘自网络的数据分类图来说明。这幅图中将数据从大的范围分为两部分:个人数据与商业数据,再细分为不同类别。针对不同类别数据,各有其对应的法律法规保护。

图片

1)个人数据

针对个人数据这块,可概括分为个人基础数据、个人隐私数据、个人行为数据。

个人基础数据即无需与任何平台或企业交互即可知的基础数据,如一个人的性别、身高、体重、年龄等。

个人隐私数据个人隐私,在民法典和个人信息保护法中的表述又不尽相同,分别叫私密信息和敏感个人信息,两者并不能完全等同。民法典“隐私”范畴中的“私密信息”既在主观上“不愿为他人知悉”的部分,又在客观上能够识别自然人的才是“个人信息”;而“敏感个人信息”则未必具备隐私权属性。

个人行为数据是要与平台或企业产生交互才会产生的数据。这也不难理解,因为数据是在数字世界中存在的生产要素,因此,个人行为数据中的“行为”,指的是个人在数字世界中的行为,人需要通过企业或平台进入数字世界,因此必然产生交互。

2)商业数据

针对商业数据这块,可概括分为:公共数据、平台数据与企业数据。

  • 企业数据企业数据,指企业业务系统中的数据。与平台数据关系上,一般来说企业有的数据,平台理论上都有。当然,不排除有些企业不愿公开给平台的数据,通过加密方式传送,导致平台没有,而企业有。
  • 平台数据一个平台上会有多个企业,比如金融行业,贷款超市上的每个借贷产品,交通出行行业,聚合打车平台上面有多个打车企业的产品。
  • 公共数据公共数据涵盖的范围最广,当然,也会有部分数据,由于企业或平台不愿公开,而无法成为公共数据。

3).理解要点

❖ 如何理解个人数据与企业数据的交叉?

个人行为数据这块,既属于个人数据,又属于商业数据,为个人与企业共有。如企业或平台需使用(产生此数据的企业或平台),需征得个人的授权同意;如第三方企业或平台需使用,则需征得产生此数据的企业或平台,以及个人双方/三方的授权同意。

❖ 如何理解“重要数据和核心数据”?

在图中标注的重要数据和核心数据,是在数据安全法规中提到的。这两类数据,和之前的分类并不在一个维度。重要数据,是指个人数据(除个人隐私外的部分)与企业、平台乃至公共数据的结合,通过大量数据的汇聚、关联、映射而产生数据价值及增值。例如之前颇受关注的滴滴事件,所暴露出数据汇聚后所产生的巨大价值,其泄露等也会造成巨大安全风险。重要数据中的核心部分,即为核心数据。

❖ 如何理解保护数据的法律法规?

针对不同类数据,有对应的法律法规来保护。这部分后面会详细谈及。

  • 民法典保护个人隐私,以私密信息为主体。
  • 个人信息保护法同样保护个人隐私,以敏感个人信息为主体,并且还涵盖其他个人信息。
  • 数据安全法范围最广,涵盖所有的数据。
  • 网络安全法涉及所有线上的重要数据。
  • 国家安全法涉及所有的核心数据。

2. 数据分类与分级

1).分类分级概念

数据的分类与分级,是谈到数据安全的重要概念。我们可以先简单理解下,参照上面的图中,按照纵向的行业划分,即为数据分类;在每个行业内,再将数据按照敏感程度分为不同层级即为数据分级。数据的分类分级管理应该贯穿于企业发展的始终,数据的类别、级别也应依据相关要求实时进行变化、更新。在企业业务发展的进程中,必然会面临数据量增长和扩展更多数据域。按照业务发展需求和法规标准的要求对数据的分类分级“量体裁衣”才能适应日益多样化的数据使用场景和复杂的数据使用维度,为公司业务数据划分完整的分类分级标准,为公司业务发展提供高效的数据支撑。

  • 数据分类从业务角度出发,梳理哪些元数据属于哪个业务范畴,也就是类别。这个业务范畴囊括的范围可大可小,完全依托于企业前期基于业务的梳理结果。做数据分类,并不是业务越细分越好,大部分细分之后的数据均具有多重属性,会导致数据的多重划分,这是典型分类失败的体现。反之,如果分类过于粗犷,对于企业的指导意义也明显下降,找到分类颗粒度的平衡点,这很重要。
  • 数据分级不同于数据分类,对于大多数企业来说,更多是从满足监管要求的角度出发。数据分级属于数据安全领域,或许称其为敏感等级更为贴切。企业中的数据密级程度有的高、有的低、有的可公开、有的不可公开,敏感等级不同的数据对内使用时受到的保护策略不同,对外共享开放的程度也不同。如果企业对自己内部的数据没有一个明确的认识,会为企业的运营带来严重的隐患。

2)分类分级实践:电信

下面以电信企业为例,说明如何进行数据分类分级。

 ❖ 数据分类分级原则

  • 安全性原则:从利于数据安全管控的角度对数据进行分类分级。
  • 稳定性原则:分类分级设置在相当长一个时期内是稳定的,对各类数据涵盖广,包容性强。
  • 可执行原则:为保障数据分类分级后续的可操作性,数据分类分级应贴近企业实际运营情况,不应过于复杂或过于粗犷。企业的安全防护要求均应在此分类分级基础上进行展开。
  • 时效性原则:数据的级别会依据相关要求进行动态变化和更新,企业应预留一定的管理和技术储备,以便应对数据级别变化产生的影响。
  • 自主性原则:基础电信企业可依据电信企业自身的特点,根据企业的战略目标、转型方向、风险识别的结果等进行数据安全分类分级。但分级结果应符合就高不就低原则,不应未经评估将高等级数据降低为低等级数据。
  • 完整性原则:对数据状态描述的全面程度,完整的数据应基于业务全流程进行全面划分。
  • 就高不就低原则:不同级别的数据被同时处理、应用时且无法精细化管控时应按照其中级别最高的要求来实施保护。
  • 关联叠加效应原则:对于非敏感数据关联后可能产生敏感数据的场景,关联后的数据级别应高于原始数据。

❖ 数据分类方法

根据基础电信企业业务运营特点和企业内部管理方法收集企业内所有部门的数据资源,梳理所有数据资源。按照线分类法,按照业务属性(或特征),将基础电信企业数据分为若干数据大类,然后按照大类内部的数据隶属逻辑关系,将每个大类的数据分为若干层级,每个层级分为若干子类,同一分支的同层级子类之间构成并列关系,不同层级子类之间构成隶属关系。所有数据类及数据子类构成数据资源目录树,如下图所示。目录树的所有叶子节点是最小数据类。最小数据类是指属性(或特征)相同或相似的一组数据。为便于对数据进行统一管理及应用,根据基础电信企业生产经营管理现状和企业自身管理特点,将基础电信企业掌握的数据整合纳入两大类。

图片

❖ 数据分级方法

在数据分类基础上,根据基础电信企业数据重要程度以及泄露后对国家安全、社会秩序、企业经营管理和公众利益造成的影响和危害程度,对基础电信企业网络数据资源进行分级。数据分级按照下图所示的步骤和方法进行,具体如下。

图片

根据数据对象对客体的影响程度,取影响程度中的最高影响等级为该数据对象的重要敏感程度。例如,若某数据对象发生安全事件时对国家安全和社会公共利益的影响程度为低,对企业利益影响程度为低,对用户利益影响程度为高,则该数据对象的重要敏感程度取三者中最高,即为高。按照数据对象的重要敏感程度,可以将基础电信企业网络数据资源分为四个安全级别,其对应的安全要求逐级递减,分别为第四级、第三级、第二级和第一级。

  • 第四级数据:一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成特别严重影响的数据,安全管控要求最高。
  • 第三级数据:一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成严重影响的数据,应实施较强的安全管控。
  • 第二级数据:一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成一定程度影响的数据,执行基本的安全管控。
  • 第一级数据:一旦丢失、泄露、被篡改、被损毁对国家安全、社会公共利益或企业利益或用户利益造成影响较小或无影响的数据,对安全管控不作要求。

3. 解读法规与标准

1)多层次法规与标准

随着对数据安全重视不断加强,国家/地区、行业出台一系列法律法规与标准引导数据安全建设。总体来说,可分为三个层面:法律、行政法规和国家或地方标准,如下图。

图片

❖ 法律

在法律层面,国家陆续出台包括国家安全法、数据安全法、个人信息保护法、网络安全法及密码法等一系列法律来规范指导。下图摘自安全厂商-炼石科技的对外公开资料。

图片

其中2015年施行的《国家安全法》第25条明确提出“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。在2017年施行的《网络安全法》将数据安全纳入网络安全范畴,网络安全等级保护制度、关键信息基础设施保护制度、个人信息保护制度等为保障数据安全提供重要制度支撑。2021年实施的《数据安全法》则全面贯彻落实总体国家安全观,确立国家数据安全工作体制机制,构建数据安全协同治理体系,明确预防、控制和消除数据安全风险的一系列制度、措施,提升国家整体数据安全保障能力。

❖ 行政法规

各行业根据自身特点,出台系列带有行业属性的规范、指引等,粗略整理如下:

图片

❖ 国家或地方标准

在标准方面出台一系列国家或地方标准,粗略整理如下:

图片

图片

2).解读:GB/T 35273-2020 《 个人信息安全规范》

下面以国家标准-个人信息安全规范为例,说明如何定义(分类分级)及约束数据及相关行为。

❖ 数据定义(分类分级)

  • 个人信息 personal information

个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定。自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人。个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。

图片

  • 个人敏感信息 personal sensitive information​

个人敏感信息,是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。可从以下角度判定是否属于个人敏感信息:

- 泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息 在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。

- 非法提供:某些个人信息仅因在个人信息主体授权同意范围外扩散,即可对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病史等。

- 滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等),可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。

图片

❖ 约束行为

图片

4. 落地痛点分析及解法

企业在数据安全领域落地,是存在一系列痛点与难点。这里主要来自两个方面:一是对安全法规及标准的解读;二是如何结合企业自身情况,制定并落地数据安全改进。针对前者,通过上面一系列内容的解读,相信读者已对数据安全法规及标准有了大致的认识,在具体操作上可遵循先法律法规、后标准规范,先国家行业、后区域地方的原则进行解读,摸清企业数据应遵循的安全原则。很多安全或咨询公司,也提供此类安全咨询服务,帮助企业做好政策解读。针对后者,则相对较为复杂,一方面需要摸清企业数据家底,一方面需建立数据全生命周期安全规划,根据前面的解读,有针对性地采取一系列安全改造措施。如下图是个人简单整理的数据生命周期的各阶段所涉及的主要安全能力,包括从数据识别、传输、存储、使用、销毁多环节。

图片

上述安全能力在具体构建上,是需要有一系列技术支撑才能完成。受限于对数据安全认识不足,大部分企业并没有在早期就有这个意识去构建,因而存在边上马边改造,边摸索边实施的问题。这也是困扰很多企业数据安全工作的痛点。特别是针对数据重要载体-数据库方面,企业存在多数据库栈林立、各产品安全能力各异、云与非云环境并存等痛点,无法建立统一的数据安全治理体系。通常的思路是在企业应用层去解决上述问题,但又会对应用系统开发造成很大困扰,因而在数据库与应用之间构建这一能力成为“必然”。针对这一实践理念,个人有些实践,感兴趣的小伙伴可与我联系。



Tags:   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
放弃百万年薪,大厂人跳到国企后悔了吗?
当互联网行业的高速发展告一段落,不少大厂人主动或被迫地离开了“高速公路”,转而投奔更稳定的国企。他们也管这叫做“上岸”。在这个时代,人们似乎有上不完的岸,幼升小、小升初...【详细内容】
2024-04-15  Search:   点击:(0)  评论:(0)  加入收藏
一季报亮点多多,这些公司净利高增,消费电子龙头营收创新高
截至4月14日,27家公司一季报净利润同比增幅超150%。多家上市公司一季报业绩良好4月14日晚间,多家上市公司披露2024年一季度相关报告,净利润表现均良好。深圳机场预计一季度实现...【详细内容】
2024-04-15  Search:   点击:(1)  评论:(0)  加入收藏
上市公司2023年年报 展现券商重仓股变化
本报记者 周尚伃 见习记者 于 宏随着上市公司2023年年报密集披露,备受市场关注的券商重仓股也浮出水面。艾文智略首席投资官曹辙对《证券日报》记者表示:“券商重仓股的布局对...【详细内容】
2024-04-15  Search:   点击:(2)  评论:(0)  加入收藏
Google成了“AI界汪峰”,全都怪OpenAI?
  2016 年,Google CEO 桑达尔·皮查伊在 I/O 开发者大会上豪情满怀地向全世界宣布:Google 已经成为了搜索的代名词,Alphabet 未来将成为一家 AI 优先的公司。  凭借...【详细内容】
2024-04-15  Search:   点击:(2)  评论:(0)  加入收藏
重磅!最严退市新规来了
证监会上市司司长郭瑞明4月12日在证监会新闻发布会上表示,为深入贯彻落实中央金融工作会议以及《国务院关于加强监管防范风险推动资本市场高质量发展的若干意见》精神,进一步...【详细内容】
2024-04-15  Search:   点击:(4)  评论:(0)  加入收藏
提高上市标准畅通退市渠道 优化净化资本市场的一池春水
◎记者 张雪日前,国务院印发《关于加强监管防范风险推动资本市场高质量发展的若干意见》(下称新“国九条”)强调,要“严把发行上市准入关”,“加大退市监管力度”。新“国九条”...【详细内容】
2024-04-15  Search:   点击:(2)  评论:(0)  加入收藏
A股突发!超千家将被ST?真相来了
4月12日,新“国九条”以及证监系统一系列配套措施、征意稿出台。为了落实新“国九条”,交易所制定修订了一系列规则,将多年不分红或者分红比例偏低的公司纳入ST。记者注意到,有...【详细内容】
2024-04-15  Search:   点击:(2)  评论:(0)  加入收藏
证监会:加快推动“1+N”政策体系落地实施
召开贯彻落实资本市场新“国九条”及配套政策文件动员部署会暨政策培训会证监会:加快推动“1+N”政策体系落地实施◎记者 梁银妍中国证监会4月13日发布消息称,证监会近日召开...【详细内容】
2024-04-15  Search:   点击:(3)  评论:(0)  加入收藏
这类基金需警惕!热衷高换手,斩获收益的基金不足两成
高换手率或将加大亏损风险。2023年,市场热点行业、主题轮动加速,不少公募基金为了能跟上热点、提升收益,而频繁操作调仓换股。基金换手率,反映的是基金经理的股票交易频率,以及在...【详细内容】
2024-04-15  Search:   点击:(2)  评论:(0)  加入收藏
程序化交易迎来新规
【深圳商报讯】(记者 陈燕青)证监会近日就《证券市场程序化交易管理规定(试行)(征求意见稿)》,向社会公开征求意见。这意味着备受市场关注的程序化交易迎来新规。具体来看,一是明确...【详细内容】
2024-04-15  Search:   点击:(2)  评论:(0)  加入收藏
▌简易百科推荐
网络安全行业的春天何时来?
2023年下半年开始,网络安全从业人员都感受到了网安行业的寒冬,但是其实前奏并不是此刻,只是涉及到大量裁员关乎自身而人人感同身受。从近五年各个网络安全上市公司财报可以发现...【详细内容】
2024-04-11  兰花豆说网络安全    Tags:网络安全   点击:(6)  评论:(0)  加入收藏
数据可视化在网络安全中的关键作用
在当今数字化时代,网络安全已成为各大企业乃至国家安全的重要组成部分。随着网络攻击的日益复杂和隐蔽,传统的网络安全防护措施已难以满足需求,急需新型的解决方案以增强网络防...【详细内容】
2024-03-29  小嵩鼠    Tags:数据可视化   点击:(22)  评论:(0)  加入收藏
AI时代的网络安全:探索AI生成的网络攻击
译者 | 晶颜审校 | 重楼长期以来,网络攻击一直是劳动密集型的,需要经过精心策划并投入大量的人工研究。然而,随着人工智能技术的出现,威胁行为者已经成功利用它们的能力,以非凡的...【详细内容】
2024-03-27    51CTO  Tags:网络安全   点击:(17)  评论:(0)  加入收藏
详解渗透测试和漏洞扫描的开源自动化解决方案
译者 | 刘涛审校 | 重楼目录 什么是渗透测试 规划和侦察 扫描 开发和获得访问权限 维持访问权 报告和控制 什么是漏洞扫描 渗透测试工具 渗透测试的自动化 渗透自动化工作流...【详细内容】
2024-02-27    51CTO  Tags:渗透测试   点击:(32)  评论:(0)  加入收藏
如何保护你的电脑不受黑客攻击
在数字时代,网络安全已经成为每个人必须关注的重要问题。黑客攻击、数据泄露和网络犯罪等事件频频发生,使得我们的个人隐私和财产安全面临严重威胁。那么,如何保护你的电脑不受...【详细内容】
2024-02-04  佳慧慧    Tags:黑客攻击   点击:(52)  评论:(0)  加入收藏
2024年需要高度关注的六大网络安全威胁
译者 | 晶颜审校 | 重楼创新技术(如生成式人工智能、无代码应用程序、自动化和物联网)的兴起和迅速采用,极大地改变了每个行业的全球网络安全和合规格局。网络犯罪分子正在转向...【详细内容】
2024-01-03    51CTO  Tags:网络安全威胁   点击:(111)  评论:(0)  加入收藏
终端设备通信网络安全防护方案
终端设备的网络安全是一个综合性问题,需要用户、组织和厂商共同努力,采取一系列的措施来保护终端设备的安全。终端设备网络安全防护方案主要包括以下几个方面:1. 强化用户身份...【详细内容】
2024-01-01  若水叁仟    Tags:网络安全   点击:(56)  评论:(0)  加入收藏
深入解析802.1X认证:网络安全的守护者
802.1X认证,对于很多人来说,可能只是一个陌生的技术名词。然而,在网络安全的领域中,它却扮演着守护者的角色。今天,我们就来深入解析802.1X认证,看看它是如何保护我们的网络安全的...【详细内容】
2023-12-31  韦希喜    Tags:网络安全   点击:(70)  评论:(0)  加入收藏
提升网络安全:ADSelfService Plus多重身份验证的关键
在当今数字化的时代,网络安全问题愈发突出,企业和组织面临着日益严峻的挑战。为了应对不断进化的网络威胁,越来越多的组织开始采用多层次的安全措施,其中多重身份验证成为了关键...【详细内容】
2023-12-27  运维有小邓    Tags:网络安全   点击:(88)  评论:(0)  加入收藏
企业如何应对网络钓鱼攻击的激增?
随着我们进入数字时代,网络犯罪的威胁继续以惊人的速度增长。在最流行的网络犯罪形式中,网络钓鱼仅在过去一年就出现了472%的攻击激增。企业在保护自己及其客户免受网络钓鱼诈...【详细内容】
2023-12-19    千家网  Tags:钓鱼攻击   点击:(88)  评论:(0)  加入收藏
相关文章
    无相关信息
站内最新
站内热门
站内头条