随着信息化的快速普及和发展,关键信息、数据要素作为事关国家安全和社会稳定的重要战略资源的地位日益凸显。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。保障关键信息基础设施安全,对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。
2021年9月1日,《关键信息基础设施安全保护条例》(以下简称《条例》)正式施行,从国家和法律层面对我国关键信息基础设施保护提出了要求与规范。
国内各政企要加强关键信息基础设施安全保护,强化关键数据资源保护能力,确保网络和基础设施安全稳定运行,增强数据安全预警和溯源能力,及时发现威胁并消除威胁,最大程度地避免网络攻击和数据流失。
目前,我国在网络安全的投入仅占IT整体预算的1.84%,远低于美国(4.78%)和全球(3.74%)的水平。近期在政策的趋动下,政企在网络安全投入的比重必将开启高速增长,网络安全、数据安全等方面建设加快,逐渐缩小和全球市场的整体差距。
众所周知,针对安全保护一致认同的有效措施为:管理+技术。
而随着《条例》的颁布施行,加之《网络安全法》、《数据安全法》、《个人信息保护法》以及相关规范指引,从法律层面建立起了信息安全保护的管理红线和标准。但是如果只有完善的管理方式,而没有相应的技术手段来支撑,那管理成本将变得极其高昂,并且管理成果也将不尽如人意。
明朝万达信息安全专家针对《条例》中关于信息系统数据安全和数据防泄漏的相关要求和建设标准规范进行分析解读,认为政企单位需要重点关注以下三点。
一、保证关键信息基础设施安全可信
信息化时代,国家之间的争端,军事力量有时只用于制约和威慑,更多的时候是一场网络战、间谍战、舆论战。因此,关键信息基础设施安全作为网络安全的基石,对于维护国家安全、经济健康发展、维护社会稳定和社会公共利益都具有重要的意义。
《条例》落实了《网络安全法》对关键信息基础设施的保护规定,在《网络安全法》的框架下,细化了关键信息基础设施运营者的义务和责任。关键信息基础设施运营应当严格按照《条例》的规定,落实主体责任,保护关键信息基础设施的安全。
二、加强关键信息数据保护能力
数据作为重要的生产要素,在流转的过程中产生价值,但同时也带来了新的难题。数据问题让国际关系变得越来越复杂,数据资产成为了勒索攻击的头号目标,针对关键基础设施数字化系统的攻击愈演愈烈。
《条例》第三十条规定,任何部门和服务机构的人员,在履行工作职责过程中所获悉的关键基础信息(网络拓扑、系统架构、个人数据等),不得泄漏(被动行为)、出售、非法提供(主动行为)。
所以如何保证这些关键基础信息系统的数据安全,保证重要数据不被泄漏成为重中之重。
三、建立健全数据安全保护体制机制
《条例》第十五条规定,专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度。要求针对重大事件,包括:中断运行、功能故障、数据泄漏、经济损失、非法传播、重大威胁等,建立健全监测预警机制,及时掌握运行状况和安全态势,落实通报制度。
在对《条例》和相关法律法规重点解读,并对工业、能源、交通、水利、金融、教育、医疗、政务等行业的网络和信息系统普遍面临的安全风险及挑战进行综合分析后,明朝万达信息安全专家提出了有效的安全解决方案。
该方案在梳理各行业内既有数据资产现状的基础上,以数据为核心整体考虑终端、网络、边界、业务系统、数据应用等多层面的安全需求,并结合既有的网络安全防护机制,基于各行业数据分类分级指南,搭建组织内部数据安全集中管控平台、数据安全治理体系,以数据资产为核心,实现数据采集、传输、存储、处理、交换、销毁等全生命周期的安全防护。同时提升用户的数据安全管理融合能力,夯实数据安全技术底盘,构建数据安全运营场景落地,实现组织数据资产可视、数据风险可控、数据威胁可管。
总体架构
△方案总体架构图
在大数据、云计算等新技术应用背景下,明朝万达以数据安全为核心,自主可控的国密算法应用技术为基础,研发的Chinasec(安元)数据安全系列产品及解决方案,覆盖数据采集、传输、存储、处理、交换、销毁等全生命周期重要环节,实现对服务器、数据库、PC终端、移动终端以及网络通信的全IT架构下数据安全的协同联动管理,结合管理制度与建设运营保障,打造企业级的数据安全动态防护体系。
01
完善基础设施安全防护
在数据所属组织内部或运营者内部,部署安全基础设施资源,主要包括:信创国产化服务器、操作系统、数据库、中间件,以及商用密码机、PKI、密钥管理KMC、证书注册RA、证书发放CA、防火墙、IPS、IDS等。
在为关键信息基础设施提供安全防护保障的同时也为统一数据安全管控平台搭建提供技术和设备支撑。
02
搭建统一数据安全管控平台,构建严密数据安全防护体系
在关键信息基础设施安全防护之上,围绕数据全生命周期安全,搭建统一数据安全管控平台,构建一体化数据安全防护体系。
♦ 数据采集安全
通过咨询服务,帮助行业客户设计数据管理框架,从管理层面、技术体系等角度指导数据安全治理。在利用关键字、正则表达式等实现数据发现的基础上,引入自然语言处理、机器学习聚类分类等智能技术,实现数据的智能分类分级,从而在后续的安全管控中根据分类分级的结果匹配细粒度的安全策略,做到“突出重点、精确防护”。
♦ 数据传输安全
通过在网络边界处部署安全接入网关,为内部数据对外提供服务和外部用户安全接入内部网络提供安全保障;同时,通过网络DLP、APT攻击检测、安全邮件等技术手段,防止数据通过网络、邮件等途径非法外泄,并可通过审批功能满足正常的文件外发需要。
♦ 数据存储安全
通过终端DLP、云安全存储CASB、数据加密、数据保险箱等技术手段,实现数据在服务器、云端、办公终端上以密文的状态存储,并按照分类分级的控制权限授权相应的人员解密使用。
♦ 数据处理安全
通过应用保护、虚拟安全桌面、数据脱敏等技术手段,实现数据在业务应用系统、办公终端等场景使用时的安全,防止数据被非法下载、删除、修改、滥用。
♦ 数据交换安全
数据安全交换系统作为新一代安全隔离交换产品,实现针对内外网及跨域之间各类数据的安全交换;同时,通过对U盘等移动介质进行注册管理权限控制或使用安全U盘,解决办公环境中使用移动介质跨终端交换数据时的安全问题。利用微服务应用支撑技术,打破多年来形成的数据孤岛现象,在物理隔离的基础上搭建跨网应用/业务服务的“桥梁隧道”,实现数据共享、开放的同时,保证数据的安全使用。
♦ 数据销毁安全
数据安全销毁包括物理销毁、数据自动销毁、数据手动销毁等,通过消磁技术、文件有效期管控等技术手段,解决硬件设备弃置时删除数据,以及高敏感数据共享后过期销毁的安全需要。
♦ 数据安全大脑
通过部署数据安全集中监控与审计系统,从技术层面为用户提供异常行为安全分析支撑,从制度方面促进信息系统的规范化管理,帮助用户提高数据安全管理效率、防范信息泄漏导致的风险,最终形成数据动态分析和风险实时防御的安全大脑。
03
建立健全安全管理运营保障体系
◈ 安全管理保障体系
依据法律法规,成立专门的数据安全管理部门,对组织的数据资产进行全方位的安全管理,制定数据安全防护制度,规划指导数据安全产品的落地、升级及迭代优化,协调监督安全事件的处置工作,同时,加强安全教育培训宣传。部门可设置管理人员、数据安全管理员、系统维护人员、审计等职位。
◈ 安全运营保障体系
为保障数据安全体系相关系统顺利落地实施并运营,需建立健全组织安全运营保障体系。结合组织现状需要,完成安全建设方案的咨询规划、落地实施,制定风险管理措施,建立风险评估方法,做好风险监测与响应处置、数据备份与恢复等工作,不断优化改进安全管控策略,保障组织安全管理平台持续高效运行。
方案特色
✦ 数据全生命周期安全防护
从数据的采集、传输、存储、处理、交换和销毁等过程,建立“数据可见、风险可视、安全可控”的数据安全防护体系,满足组织机构数据融合和对外开放共享的要求;
✦ 国产化适配
基于信创国产化的安全基础设施环境,开辟以数据为核心,实现对服务器、数据库、PC端、移动端以及工业场景等全IT架构的联动安全管控,解决了传统围栏式安全、单点防护的诸多弊端;
✦ 数据跨域共享安全
满足“数字政府”、“智慧城市”、“智慧医疗”、“互联网+行业”、“工业互联网”等领域数字化发展趋势,提升各行业资源融合、交换、共享能力,同时保障数据安全;
✦ 态势感知全局运营
利用大数据分析技术,通过可视化的态势展示界面,使用户对数据的分布和流转,以及潜在的安全风险一目了然,提升安全运营的能力;
✦ 满足合规监管
解决数据泄漏后,追溯难度大,无法追踪审计的难题,提升风险监测和响应能力,满足安全监管和合规要求。
