随着信息化的不断发展,信息化已经融入运输、经济、生产、医疗和金融等各行各业中,促进了经济社会的繁荣进步,同时也带来新的安全风险和挑战[1]。随着国家网络安全等级保护2.0系列标准(简称:等级保护2.0)2019版的发布实施,网络安全等级保护的建设也在各行业逐步推进实施[2]。各个行业应充分利用等级保护2.0进行数据安全治理,提高数据安全性,全面提升数据安全管控能力[3]。
等级保护是指对信息和信息载体按照重要性分等级进行保护[4],等级保护2.0是我国施行信息安全保护和安全管理的一项法律、法规制度,维护国家信息安全,构建保护信息体系建设需要全面开展等级保护工作[5]。
国家对网络和数据安全越来越重视,相关法律、法规陆续颁布实施,体系日趋完善[6],这些法律、法规的发布和实施能有效地提升数据的安全性,全面保障网络安全。从国家层面,等级保护2.0在网络和数据安全方面起到了举足轻重的作用;从法律层面,新颁布的等级保护 2.0涵盖的内容较为广泛,涉及的技术有深度,基于等级保护 2.0进行的数据安全治理,更加有效,更加合法、合规[7]。
等级保护2.0安全要求是信息处理的基础安全,同时要求有安全的区域范围界限和信息传输网络,形成完整的信息安全保障体系,提高安全防护体系的完整性[8]。等级保护2.0在数据安全方面,对各个级别都有明确要求,数据安全主要涉及数据保密性、数据完整性、数据备份、数据恢复和个人敏感信息保护等几个方面[9]。等级保护2.0中从1~5级,对数据的安全性从低到高都有要求[10]。
数据安全的各项需求涉及到数据管理的各个方面,依据数据安全能力成熟度模型(DSMM,Data Security Capability Maturity Mode)将数据生命周期分为采集、传输、存储、处理、交换和销毁6个阶段[10],对数据在从采集到销毁的生命周期里进行安全管理,对数据分类、分级定制不同防御保护策略,建立数据安全体系结构和组织机制保障,对数据全生命周期形成完整的安全管理和控制。其中包括数据保密性、数据可用性、数据完整性、访问数据身份鉴定识别、安全审计、验证可信性、防范入侵、防范恶意代码、数据的备份、数据的恢复、保护剩余信息、保护个人信息保护等安全控制点。
数据生命周期安全治理涉及6个方面:数据生成采集管理、数据传输管理、数据存储管理、数据处理应用管理、数据共用分享管理和数据销毁管理。
区别于网络安全保障体系建设,数据安全保障体系建设的核心是数据,因而要以数据为基础,保障自身信息业务中最核心的数据安全。等级保护中,应在数据全生命周期进行安全技术保障体系的建设和执行。
数据采集是数据安全技术体系中的第1个部分,对不同分类、分级的数据采取不同的技术手段进行安全治理。
(1)可公开的数据按照等级保护2.0分级要求进行日志记录和保存,如常用的等级保护三级要求日志保存180天等。
(2)内部数据在日志记录的同时使用定期人工审计等进行完善。
(3)核心数据在内部数据安全治理手段的基础上,引入完整性校验,对操作这部分数据的人使用双因子认证等核验手段。
(4)对数据收集中可能出现的安全风险进行分析,并完成风控标准。
(5)对数据的采集流程要合法合规,要在国家、地方和行业等法律法规制度的监管下进行采集,建立数据安全保障技术体系的数据来源基础,确保数据采集符合等级保护要求。
(1)传输敏感和重要的业务数据、管理数据和鉴别数据,在传输的流程中都要符合其分级定义的保密性。
(2)技术上将传递的数据进行加密保护,使用满足国家和行业标准的加密算法,如国密SM2、SM3、SM4等,对这类数据进行加密传输。
(3)对内部和核心数据传输要保障数据传输过程符合等级保护要求,使用身份认证技术对传输用户进行确认、记录传输日志、进行日志审核,通过数据防泄漏技术保障数据传输安全。
(1)针对数据存储,等级保护2.0要求对敏感和重要的业务数据、管理数据和鉴别数据的保存要符合其分级定义的保密性。
(2)数据及存储介质应使用加密技术或其他有效的技术来确保数据保密。
(3)在数据存储技术安全体系中,要确保数据的保密性、可用性和完整性。
(4)在可用性上对重要数据的管理建立有容灾和备份机制,通过定期灾备切换和备份恢复测试保障备份数据有效。
(5)按照等级保护2.0中不同级别的要求做好数据备份与恢复,使用数据扫描、数据审计、隔离多副本、数据自动校验等技术手段确保数据完整性。
(1)数据使用和处理中做到合法、合规,按要求规范处理数据。
(2)数据安全治理技术体系中数据处理安全防护目标是在等级保护2.0的要求下,数据只能在授权许可的范围内被访问,进行数据处理,保障数据不被窃取、泄露和损毁。
(3)仅处理必要数据。
(4)对数据的操作行为进行审计,确保数据的处理都是合法、合规的。
(5)使用数据脱敏技术标识内容,对敏感数据进行数据转换、变形等数据操作,确保数据安全治理技术体系中数据处理符合等级保护要求。
(1)数据安全治理体系中数据共享建设主要是管理和控制高密级数据流向低密级业务。
(2)建设一套符合等级保护2.0对数据安全要求的数据共享体系。
(3)业务上对共享数据可能造成安全影响范围和程度进行风险估算评判。
(4)技术上对共享数据及接口间进行共享监测;对数据所有操作行为都有相应日志记录,对操作行为及数据流进行审计;对数据进行共享操作时,要有识别高危风险的行为和管控。
(5)在信息共享传输的过程中,要保障数据的完整性,对数据来去可追溯,如果数据共享中数据完整性受到破坏,系统能够及时检测出,并有相应措施进行恢复。
(1)数据销毁要求有完善的机制来确保数据有效的销毁,其中,对存储介质如磁盘、磁带和光盘等应有不同的删除数据和销毁技术,用可靠、有效、不可逆的销毁技术保障被删除的数据和被销毁的信息不能被还原。
(2)技术上可分为逻辑数据销毁和物理销毁。逻辑数据销毁可使用低级格式化、扇区破坏、多次覆写磁盘数据等方式;物理销毁可使用消磁、盐酸滴注、焚毁等方式。
(3)等级保护2.0中要求存储敏感信息数据和鉴定审核等信息数据的硬盘、移动存储、磁带和光盘等存储设备在被清理或再次使用前要完全清除数据。
(4)数据安全技术保障体系建设,要按照数据的生命周期执行,在分类场景建设过程中,都要符合其对应的等级保护要求,才能形成一套完整的数据安全治理技术保障体系。
等级保护2.0对数据安全防护的要求如下。
(1)能够检查、检测业务信息系统中重要节点的数据风险,能够分析识别预警数据攻击行为、分析安全事件,对威胁数据安全的攻击能够及时检测和响应,及时加以防御。
(2)对数据安全防护范围从业务区域边界开始,加强纵深防御。
(3)构建安全的计算环境,对数据进行动态防护,提高对数据安全的风险管理和控制。据此,提出以下数据安全保护策略。
依据国家相关法规的规定对信息系统数据进行分类、分级合规性检查,审查这些重要信息数据在存储、传输或使用上的安全性和合规性。对信息系统中的各类网络安全威胁、信息系统脆弱漏洞环节等方面进行检测,评估出业务信息系统的数据风险点和风险阈值,控制信息数据安全风险,消除数据安全隐患。
对重要信息数据进行实时完整的动态监控和审计,对数据事件进行分析、判断安全事件、识别报警和分析事件,发现对数据操作有不合法、不合规行为,需要按预定的应急预案进行处理和响应,及时制止不合法、不合规的数据操作,并保存相关证据,用于后续追查。
对各类风险评估事件和重要数据的安全检查结果进行处理和分析,形成数据安全风险态势,将结果应用于事件安全模型,分析出数据安全信息事件分布与走势,发现信息系统中数据安全威胁,回溯发起威胁的源头和路径,有效地预防、阻止和追踪产生数据安全风险的数据攻击行为。
随着企业业务的不断变化,其相应业务信息系统的范围也会变化。因此,信息系统的安全等级需要根据实际情况重新定级;同时,按等级保护2.0要求重新确定数据安全的目标和要求。
根据等级保护2.0要求,运营使用单位或其主管部门在其信息业务系统实现后,应当依据相应法律、法规和制度要求,选择符合规定条件和有评测资质的相关机构,定期测评信息系统的安全等级情况,例如等级保护2.0定义的三级系统,需要至少一年评测一次。在数据生命周期里,需要不断地修订数据安全的标准、制度和流程等,从而不断提高信息安全水平,提升数据安全管理和控制能力。
本文分析等级保护2.0中对数据安全等级保护的要求,从数据安全治理的视角,结合数据全生命周期安全治理涉及的内容,提出依托等级保护2.0的数据安全技术保障体系建设方案,以及相关措施,使得数据在全生命周期中,满足数据的完整性、保密性、可用性需求,满足合法、合规要求和数据安全防护需求,确保重要数据安全,为企业信息系统安全保驾护航。