——《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專項(xiàng)行動(dòng)方案》解讀

2019年7月1日發(fā)布的《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專項(xiàng)行動(dòng)方案》（以下簡(jiǎn)稱《行動(dòng)方案》）是自2013年7月16日工業(yè)和信息化部第24號(hào)令《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》以來的數(shù)據(jù)安全保護(hù)要求的進(jìn)一步強(qiáng)化和落地。
 

《行動(dòng)方案》的工作目標(biāo)之一是督促基礎(chǔ)電信企業(yè)和重點(diǎn)互聯(lián)網(wǎng)企業(yè)強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)安全全流程管理，及時(shí)整改消除重大數(shù)據(jù)泄露、濫用等安全隱患，在2019年10月底前完成全部基礎(chǔ)電信企業(yè)（含專業(yè)公司）、50家重點(diǎn)互聯(lián)網(wǎng)企業(yè)以及200款主流App數(shù)據(jù)安全檢查。工作目標(biāo)之二是建立行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全保障體系，行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理和技術(shù)支撐平臺(tái)基本建成，遴選網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)能力創(chuàng)新示范項(xiàng)目，基礎(chǔ)電信企業(yè)和重點(diǎn)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理體系有效建立。
 

《行動(dòng)方案》制定了為期一年、明確可執(zhí)行的詳細(xì)計(jì)劃：不同于標(biāo)準(zhǔn)、規(guī)范，更強(qiáng)調(diào)具體任務(wù)的推動(dòng)。方案分為四個(gè)階段，將每階段的責(zé)任方、工作任務(wù)進(jìn)行了具體化，同時(shí)也強(qiáng)調(diào)了對(duì)典型經(jīng)驗(yàn)做法進(jìn)行推廣，鞏固相關(guān)工作成效的要求。這使得《行動(dòng)方案》形成了一個(gè)執(zhí)行力強(qiáng)，并不斷迭代升級(jí)的長(zhǎng)期計(jì)劃。
 

五大亮點(diǎn)引人關(guān)注
 

《行動(dòng)方案》主要亮點(diǎn)體現(xiàn)在以下五個(gè)方面。
 

一是《行動(dòng)方案》要求加快完善網(wǎng)絡(luò)數(shù)據(jù)安全制度標(biāo)準(zhǔn)�；�于《網(wǎng)絡(luò)安全法》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)要求的驅(qū)動(dòng)，電信運(yùn)營(yíng)商從合規(guī)角度出發(fā)對(duì)數(shù)據(jù)安全保護(hù)的重要性有足夠重視，但安全制度標(biāo)準(zhǔn)的不充分影響了這項(xiàng)工作的開展，例如對(duì)同一項(xiàng)敏感數(shù)據(jù)的分類分級(jí)和控制措施，在不同企業(yè)不同部門之間并不統(tǒng)一，極易發(fā)生因合作雙方控制能力不同導(dǎo)致敏感數(shù)據(jù)泄露事件。制度標(biāo)準(zhǔn)的完善能夠大幅促進(jìn)數(shù)據(jù)安全保護(hù)的效果，有利于正常數(shù)據(jù)業(yè)務(wù)的健康發(fā)展，幫助各個(gè)企業(yè)步調(diào)一致統(tǒng)一行動(dòng)。
 

二是《行動(dòng)方案》將開展合規(guī)性評(píng)估和專項(xiàng)治理工作。包括網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、App違法違規(guī)專項(xiàng)治理、強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)督執(zhí)法。此些舉措劃出了數(shù)據(jù)安全違規(guī)行為的紅線，并以行政處罰、軟件下架、企業(yè)納入不良名單和失信名單的方式“迫使”企業(yè)必須重視數(shù)據(jù)安全保護(hù)。手段足以讓違反數(shù)據(jù)安全的經(jīng)營(yíng)模式不復(fù)生存，讓忽略數(shù)據(jù)安全的企業(yè)付出代價(jià)。
 

三是《行動(dòng)方案》將強(qiáng)化行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全管理，提出了四項(xiàng)具體意見：
 

首先，提出了數(shù)據(jù)資產(chǎn)“清單式”管理的要求，電信和互聯(lián)網(wǎng)企業(yè)在實(shí)體資產(chǎn)、IT資產(chǎn)管理方面有著豐富的經(jīng)驗(yàn)，但并沒有對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行嚴(yán)格管理，若無法形成數(shù)據(jù)清單，也無法對(duì)針對(duì)數(shù)據(jù)的行為進(jìn)行有效監(jiān)控。數(shù)據(jù)資產(chǎn)管理的主要難點(diǎn)一方面是技術(shù)難度，另一方面是缺乏明確的標(biāo)準(zhǔn)和制度。
 

其次，《行動(dòng)方案》明確了企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全職能部門的設(shè)置，根據(jù)以往經(jīng)驗(yàn)，某項(xiàng)工作開展困難的主要原因之一是企業(yè)重視不足，導(dǎo)致該職能科室權(quán)力小、人數(shù)少、話語權(quán)低。設(shè)立專門的網(wǎng)絡(luò)數(shù)據(jù)安全職能部門是數(shù)據(jù)安全保護(hù)工作健康發(fā)展的必要步驟。
 

再次，《行動(dòng)方案》提出了強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)對(duì)外合作安全管理的要求，自從瑞智華勝、數(shù)據(jù)堂的案件發(fā)生以來，電信運(yùn)營(yíng)商對(duì)于數(shù)據(jù)合作業(yè)務(wù)從積極轉(zhuǎn)向謹(jǐn)慎，但網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)的本意是促進(jìn)業(yè)務(wù)健康發(fā)展，數(shù)據(jù)合作業(yè)務(wù)應(yīng)該在安全、合規(guī)的情況下有序進(jìn)行。
 

最后，《行動(dòng)方案》提出了行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全應(yīng)急管理的要求，指出了網(wǎng)絡(luò)數(shù)據(jù)安全事件發(fā)生事前、事中、事后的要求，對(duì)惡性事件形成預(yù)案，不打無準(zhǔn)備之仗。
 

四是《行動(dòng)方案》在能力建設(shè)方面提出了手段建設(shè)、技術(shù)創(chuàng)新、專業(yè)化支撐隊(duì)伍的要求。此項(xiàng)要求有利于數(shù)據(jù)安全產(chǎn)業(yè)的甲乙方共同發(fā)展，首先為企業(yè)開展數(shù)據(jù)安全類采購和研發(fā)指明了方向，也為高水平數(shù)據(jù)安全公司發(fā)揮其水平和能力提供絕佳機(jī)會(huì)。目前國(guó)內(nèi)的數(shù)據(jù)安全類產(chǎn)品大多數(shù)沿用國(guó)外產(chǎn)品思路，視角和技術(shù)并不適合電信和互聯(lián)網(wǎng)企業(yè)這種地域覆蓋大、組織結(jié)構(gòu)復(fù)雜、業(yè)務(wù)眾多、發(fā)展迅速的經(jīng)營(yíng)模式，使得網(wǎng)絡(luò)數(shù)據(jù)安全類產(chǎn)品嚴(yán)重碎片化、孤島化，在實(shí)際應(yīng)用中難以起到防護(hù)效果，正在逐步降低客戶采購的意愿。
 

五是《行動(dòng)方案》強(qiáng)調(diào)了社會(huì)監(jiān)督和宣傳交流，目前網(wǎng)絡(luò)數(shù)據(jù)安全在電信和互聯(lián)網(wǎng)企業(yè)中仍是少部分人的任務(wù)，而本質(zhì)上數(shù)據(jù)安全與企業(yè)的經(jīng)營(yíng)模式、業(yè)務(wù)模式緊密相關(guān)，這方面區(qū)別于其他安全技術(shù)。網(wǎng)絡(luò)數(shù)據(jù)安全必須得到企業(yè)決策者的充分重視，必須做到企業(yè)文化認(rèn)可，從業(yè)者高度自律，具有全面的監(jiān)督處罰機(jī)制。
 

企業(yè)需構(gòu)建數(shù)據(jù)安全保護(hù)體系
 

數(shù)據(jù)安全保護(hù)關(guān)系到了企業(yè)切身利益，我們應(yīng)認(rèn)真對(duì)標(biāo)《網(wǎng)絡(luò)安全法》等相關(guān)行政命令的要求，形成企業(yè)自身的數(shù)據(jù)安全保護(hù)體系，從策略（規(guī)章制度及差距分析）、組織（部門與人）、技術(shù)（生產(chǎn)平臺(tái)和數(shù)據(jù)安全保護(hù)技術(shù)）、運(yùn)營(yíng)（運(yùn)轉(zhuǎn)保障）等方面進(jìn)行全面建設(shè)和不斷提升。
 

我們需要正確面對(duì)現(xiàn)有業(yè)務(wù)模式和技術(shù)平臺(tái)存在的數(shù)據(jù)安全問題，一些業(yè)務(wù)本身是侵犯隱私的，或者存在安全風(fēng)險(xiǎn)。例如已經(jīng)全部下線的“短信保管箱“類業(yè)務(wù)，以及運(yùn)營(yíng)商普遍在業(yè)務(wù)環(huán)節(jié)中增加了二次認(rèn)證和信息脫敏措施，都是在數(shù)據(jù)安全方面進(jìn)步的表現(xiàn)。企業(yè)應(yīng)該對(duì)存量業(yè)務(wù)進(jìn)行評(píng)估、建立新業(yè)務(wù)評(píng)估的三同步機(jī)制（數(shù)據(jù)安全能力與業(yè)務(wù)功能同步規(guī)劃、同步建設(shè)、同步運(yùn)行）、人員管理、合作伙伴管理等機(jī)制的優(yōu)化，避免新的數(shù)據(jù)安全事件發(fā)生。
 

另外，還要加強(qiáng)數(shù)據(jù)安全專職部門的設(shè)立，提升話語權(quán)，保持合理的人員配備。將敏感數(shù)據(jù)進(jìn)行資產(chǎn)化管理，建立分類分級(jí)制度、采用自動(dòng)化識(shí)別跟蹤技術(shù)形成敏感數(shù)據(jù)清單，將敏感數(shù)據(jù)的異常分布與流動(dòng)進(jìn)行安全事件處置，對(duì)于敏感數(shù)據(jù)的訪問行為增加身份認(rèn)證和敏感行為審計(jì)等環(huán)節(jié)。
 

加強(qiáng)對(duì)合作伙伴的管理，建議采用數(shù)據(jù)安全能力評(píng)級(jí)和考核制度，降低數(shù)據(jù)擴(kuò)散風(fēng)險(xiǎn)，以合作合同條款方式指明在數(shù)據(jù)安全方面的違約條款與責(zé)任。
 

建設(shè)立體的數(shù)據(jù)安全防護(hù)體系。例如，在數(shù)據(jù)泄露案例中，將數(shù)據(jù)泄露到外網(wǎng)存在多種途徑，并且涉及數(shù)據(jù)不同環(huán)節(jié)的風(fēng)險(xiǎn)，單一技術(shù)手段無法覆蓋所有主要途徑。建議基于不同途徑選擇各領(lǐng)域最優(yōu)技術(shù)搭建數(shù)據(jù)安全立體防御，以基于實(shí)戰(zhàn)總結(jié)的經(jīng)驗(yàn)作為數(shù)據(jù)保護(hù)技術(shù)手段的有效性評(píng)估標(biāo)準(zhǔn)。

標(biāo)簽： 數(shù)據(jù)安全 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。