11月14日,国家网信办发布了《网络数据安全管理条例(征求意见稿)》(以下简称《条例》),从多个维度对网络数据安全的合规性提出了明确要求。
作为中国新一代信息安全技术企业的代表厂商,明朝万达凭借在数据安全领域丰富的项目实践和经验,结合对网络安全、数据安全相关法律法规的深入解析,针对此次网信部所发布《条例》中的合规性红线划定,以及对合规性难点分析,提出了一项有效平衡企业数据资产使用的便利性、安全性、合规性的产品——Chinasec(安元)数据安全合规检查系统。
该系统支持用户能够对标现有基础的等保、数据安全法以及各行业的数据分类分级实践标准与数据安全管理行业管理规定,提前对办公终端电脑、服务器等主机环境中存量数据文件进行合规性、安全性自检。提前发现数据安全管理的风险并由用户进行响应的合规性处置,帮助企业用户平衡敏感数据资产的生产效率与合规风险。除此之外本系统还支持协助监管机构、企业内部审计部门等对目标企业用户高效的进行数据安全合规性检查,并输出数据安全合规性检查报告。
合规性红线划定
1、用管并重 安全优先
《征求意见稿》从一般规定、个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务、监督管理、法律责任等维度,对网络数据安全管理进行了高细粒度的规范。《征求意见稿》第三条阐明了我国网络数据安全管理的原则,立足“坚持促进数据开发利用与保障数据安全并重”,并且进一步要求“加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用” 。重点突出了数据的安全性,体现出网络数据安全红线不可触碰的使用原则和管理宗旨,进一步把网络数据的安全放在了第一位,也映射到网络空间作为国家主权的体现,在确保合规、安全的情况下,促进数据的开发利用。
2、分类分级 重点保护
第五条明确规定:“国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施”。“国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护”。这是对《数据安全法》和《个人信息保护法》关于数据安全的进一步规范和明确。同时要求“各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理”,可见对于数据分类分级管理,各地区、各部门不能仅限于《征求意见稿》的三大数据分类,而是要根据不同地区、不同行业制定出针对性和个性化的数据分类分级标准,使分级管理合乎规范。
3、数据交易有序流通
《征求意见稿》对于数据的安全交易奠定了制度基础:第七条规定“国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理”。“国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通”。可见国家将大力建设数据开放共享和开发利用,并且会逐步完善相关的制度,确保数据的交易有法可依、有法必依、违法必究。体现出数据交易的合规性保障和安全性的底线思维,在管理制度和安全技术成熟的情况下,推进数据交易的合规性开展。
4、技术措施红线要求
对于数据处理者的数据安全管理和数据安全事件的应对,提出了更高的要求,从被动应对的消极保安全到自主自发的积极保安全,提出了基于风险管理的红线要求:第九条“数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性”。“数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护”。“数据处理者应当使用密码对重要数据和核心数据进行保护”。第十一条 数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。
5、数据跨境安全网关
近年来,数据跨境成为数据安全热点和难题,《征求意见稿》对于数据跨境进行了安全网关的设计:第四十一条“国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播”。“任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务”。同时,对于从事跨境数据活动的数据处理者,从技术和管理措施两个维度明确了监管要求:第四十二条“数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求,建立健全相关技术和管理措施”。
6、违法必究 执法必严
《征求意见稿》首先明确了监管部门和其对应的职能,第五十五条“国家网信部门负责统筹协调数据安全和相关监督管理工作”。“公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责”。“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责”。对于违法追究方面,除了常规的警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照、没收违法所得,特别值得注意的是已经上升至刑法高度:第七十条“数据处理者违反本条例规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任”。
合规性难点分析
随着全球数字经济的蓬勃发展,数据已成为核心生产要素,是国家重要资产和基础战略资源。此次发布的《征求意见稿》为网络数据安全管理提供了强有力的支撑,对各行业在处理使用数据资产起到重要指导作用。而《征求意见稿》想要真正执行落地,仅依靠明确管理要求是远远不够的,尤其是当下数据体量呈可持续性爆炸式增长,还必须依靠技术革新和技术措施来达到合规性要求的辅助管理。
合规性难点在于:从技术维度考量,企业既要保护敏感数据资产的安全,保持符合监管合规性;又要在不改变现有业务流程的前提下快速部署实施,降低自身员工生产过程中使用数据资产的操作复杂度,提升生产效率。
Chinasec(安元)数据安全合规检查系统
Chinasec(安元)数据安全合规检查系统采用内容分析引擎,利用关键字、正则表达式、文件指纹、自然语言处理等规则,对主机环境下的结构化数据/非结构化数据文件进行解析与内容扫描,对照各行业数据分类分级规章制度和数据安全管理法律法规进行合规性检查。本系统支持对主机的数据安全合规性和可信计算环境进行一键检查,支持自动/手工调整输出的数据安全合规检查报告。
系统架构
核心优势
· 支持主流环境,满足国产化需求
明朝万达数据安全合规检查系统除了支持标准的Win7、Win10、Win Server环境外,还与龙芯、鲲鹏等CPU架构服务器、统信V20、银河麒麟V10等操作系统完成兼容性测试并取得互认证证书,正在与更多的终端、服务器和操作系统厂商建立广泛的生态互认。
· 支持主流数据格式内容扫描
明朝万达数据安全合规检查系统支持对终端、服务器本地存储的数据内容进行识别,支持识别结构化数据和非结构化数据的各种格式,主要包括:
结构化数据:支持对关系型数据库如Oracle、MySQL等数据库类型,非关系型数据库如Redis,NoSQL等。
非结构化数据:支持对Microsoft Word/Excel/PowerPoint、Openoffice、WPS等办公文档,ZIP、ISO、RAR、EML等压缩文件,JPG、JPEG、PNG、BMP、TIFF图片文件,PDF等电子出版格式以及其它以文本形式存储的格式进行内容扫描。
· 基于行业的数据安全合规性检查
根据公司多年来在各行业众多企业数据安全管理项目的实践经验,结合国家各行业针对其行业自身数据资产特性而梳理制定的数据分类分级、数据安全合规性自检标准规范,本系统梳理了各个行业对应的数据安全合规检查落地的内容扫描规则数据集并根据授权进行了预置。
本系统重点支持针对政府(公、检、法、税务等)、军工、金融(银行、证券、保险)、通信、互联网、工业制造(汽车、化工、电力)等行业的数据安全合规检查。
· 支持主机可信计算环境检测
本系统根据最新等保2.0标准的要求,支持对主机环境进行一键安全检测,快速采集系统的硬件和操作系统信息、漏洞补丁版本信息、网络控制准入信息、用户口令配置信息、安装软件列表、本地安全策略、杀毒与防火墙配置信息等确保主机环境的安全性,并支持扫描终端本地缓存的历史网络访问记录、USB外设操作记录、文件操作记录、邮箱缓存数据记录等,查看是否存在违规信息。
