2021年6月10日,历经三审,第十三届全国人大常务委员会第二十九次会议审议通过《中华人民共和国数据安全法》,已于2021年9月1日正式实施。该法共七章55条,分为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则等章节。《数据安全法》统筹发展与安全,以安全保发展,助推数字中国建设。
数据风险治理路径
1、以数据分类分级为核心,搭建数据安全监管制度。
《数据安全法》第21条以“数据在经济社会发展中的重要程度”,以及“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”为标准,对数据实行分类分级保护。在此基础上,对重要数据采取目录管理,由国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,同时授权各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录,并强化重要数据处理者的数据安全保护义务,加强对重要数据的保护。
2、明确风险评估、监测预警、应急处置等管理要求,强化数据安全风险全流程防范应对。
第22条明确国家建立数据安全风险评估、报告、信息共享、监测预警机制,实现事前风险评估、报告和信息共享,以及事中监测预警;第23条明确国家建立数据安全应急处置机制,通过事后应急处置,防止数据安全事件的危害扩大,消除安全隐患。同时,要求数据处理者履行相应的风险监测、数据安全事件报告、数据安全风险评估等义务。
3、强化落实各类型数据处理活动主体数据安全保护义务与责任。
该法第四章专章规定了各类数据处理者的数据安全保护义务。一般数据处理者应当建立健全全流程数据安全管理制度,并加强风险监测,及时报告数据安全事件,同时要求开展数据处理活动等应当符合社会公德和伦理,不得窃取或者以非法方式获取数据;重要数据处理者还负有明确数据安全负责人和管理机构、定期开展数据处理活动风险评估并报送主管部门等义务,并应遵守出境安全管理要求。对于从事数据交易中介服务的机构,明确其负有审核交易双方身份、数据来源,并留存审核、交易记录的义务。
全息数据安全解决方案
OnFire全息数据风险感知平台通过专利技术发现并实时重构网络中不可见的“用户-数据-设备-应用”四维一体全息图,结合机器学习,发现数据安全风险,提供一个无感知、无死角的集数据的监测、风险告警和追溯取证于一体的平台,提高数据安全运维和事故响应、追踪溯源、审计、追责去责、恢复系统的能力和效率。
在数据安全监管合规环境下,OnFire全息数据风险感知平台可以在各行业(如金融、政府、智慧城市、运营商、医疗、能源、交通、传统企业等)使用,具体使用场景如下:
- 数据泄露:数据频繁更新流动,敏感数据发现难度大场景复杂,难以全面监控,数据暴露面大;
- 用户违规:不同部门和机构用户行为管控困难;
- 数据共享:数据流向不明,数据使用情况不明;
- 数据滥用:第三方开发和测试监管困难日益增多的应用和API使用情况不明;
- 溯源审计:传统审计无法感知数据,传统工具各自为战,数据事件的追溯和审计困难。
根据以上数据使用场景,OnFire全息数据安全风险管理平台可实现以下特点:
1、数据监测预警
通过对网络中的全流量进行采集,以数据发现、分级分类开始,自动化的发现各类数据资产,根据全息数据分析平台下发的策略,持续实现全流量采集和实时数据处理,提取与“用户、设备、应用、数据”四个维度相关的信息,追踪最活跃的用户、最活跃的设备、最活跃的应用以及最活跃的文件资产,并关联它们彼此之间的互动关系,实现提前预警,保护终端及数据安全。
2、数据风险评估、溯源取证
OnFire全息数据安全风险管理平台从整个网络的视角,将全部敏感文件数据可视化呈现,展示敏感文件数据的流转路径, 实时展示正在被传输的敏感文件都有哪些(列表),由哪个用户和设备在传送,送给谁或哪里,以及哪些是新发现的敏感文件,并可展示敏感信息的上下文,便于安全人员验证。 OnFire提供以文件为源头的全息导图,展示文件在特定时间段的所有使用者、所有传输该文件的终端设备、 以及所有相关的应用。对任何一个用户及与其管理的文件、设备和应用的历史行为进行溯源,譬如可回溯在过去一定时间段内文件资产的访问者、文件传输的路径、去向、文件传送所使用的设备及 IP 地址,从而提供安全事故责任追查的完整证据链。对于所有数据进行跟踪,对任何文件泄漏事件在第一时间进行调查取证,确定事件发生时间、地点和相关嫌疑人,提高事故调查速度。
3、数据安全审计
OnFire采用数据维度全息图、数据画像、数据资产统计、数据分级和可视化、敏感文件发现、敏感文件流动路径监测、涉敏违规行为发现、以及数据泄漏发现和告警,从而实现敏感文件泄漏溯源。
OnFire全息风险感知系统内置国家、行业的数据安全分级、分类标准和安全规范,对数据进行发现、分级、分类,并抽取与数据关联的用户、设备、应用的信息,形成“情报”发送给数据分析平台,使全息风险感知系统可以提供数据的生命周期画像(什么时间,什么地点,谁(人员、设备),通过什么应用,访问了什么数据),可以作为数据合规的审计、追溯工具。
随着《数据安全法》的实施,数据成为具有基础性和战略性地位的新型生产要素,对数据领域的监管正在从数据管理走向数据治理,进一步明确了数据治理的方向,利用好数据资源成为数据治理的主要目标,在确保数据安全的前提下,推动数据资产为社会经济的高质量发展提供服务。