隨著信息化的快速普及和發(fā)展,關(guān)鍵信息、數(shù)據(jù)要素作為事關(guān)國(guó)家安全和社會(huì)穩(wěn)定的重要戰(zhàn)略資源的地位日益凸顯。關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重。保障關(guān)鍵信息基礎(chǔ)設(shè)施安全,對(duì)于維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、保障經(jīng)濟(jì)社會(huì)健康發(fā)展、維護(hù)公共利益和公民合法權(quán)益具有重大意義。
2021年9月1日,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡(jiǎn)稱《條例》)正式施行,從國(guó)家和法律層面對(duì)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)提出了要求與規(guī)范。
國(guó)內(nèi)各政企要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù),強(qiáng)化關(guān)鍵數(shù)據(jù)資源保護(hù)能力,確保網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行,增強(qiáng)數(shù)據(jù)安全預(yù)警和溯源能力,及時(shí)發(fā)現(xiàn)威脅并消除威脅,最大程度地避免網(wǎng)絡(luò)攻擊和數(shù)據(jù)流失。
目前,我國(guó)在網(wǎng)絡(luò)安全的投入僅占IT整體預(yù)算的1.84%,遠(yuǎn)低于美國(guó)(4.78%)和全球(3.74%)的水平。近期在政策的趨動(dòng)下,政企在網(wǎng)絡(luò)安全投入的比重必將開(kāi)啟高速增長(zhǎng),網(wǎng)絡(luò)安全、數(shù)據(jù)安全等方面建設(shè)加快,逐漸縮小和全球市場(chǎng)的整體差距。
眾所周知,針對(duì)安全保護(hù)一致認(rèn)同的有效措施為:管理+技術(shù)。
而隨著《條例》的頒布施行,加之《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》以及相關(guān)規(guī)范指引,從法律層面建立起了信息安全保護(hù)的管理紅線和標(biāo)準(zhǔn)。但是如果只有完善的管理方式,而沒(méi)有相應(yīng)的技術(shù)手段來(lái)支撐,那管理成本將變得極其高昂,并且管理成果也將不盡如人意。
明朝萬(wàn)達(dá)信息安全專家針對(duì)《條例》中關(guān)于信息系統(tǒng)數(shù)據(jù)安全和數(shù)據(jù)防泄漏的相關(guān)要求和建設(shè)標(biāo)準(zhǔn)規(guī)范進(jìn)行分析解讀,認(rèn)為政企單位需要重點(diǎn)關(guān)注以下三點(diǎn)。
一、保證關(guān)鍵信息基礎(chǔ)設(shè)施安全可信
信息化時(shí)代,國(guó)家之間的爭(zhēng)端,軍事力量有時(shí)只用于制約和威懾,更多的時(shí)候是一場(chǎng)網(wǎng)絡(luò)戰(zhàn)、間諜戰(zhàn)、輿論戰(zhàn)。因此,關(guān)鍵信息基礎(chǔ)設(shè)施安全作為網(wǎng)絡(luò)安全的基石,對(duì)于維護(hù)國(guó)家安全、經(jīng)濟(jì)健康發(fā)展、維護(hù)社會(huì)穩(wěn)定和社會(huì)公共利益都具有重要的意義。
《條例》落實(shí)了《網(wǎng)絡(luò)安全法》對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)規(guī)定,在《網(wǎng)絡(luò)安全法》的框架下,細(xì)化了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的義務(wù)和責(zé)任。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)應(yīng)當(dāng)嚴(yán)格按照《條例》的規(guī)定,落實(shí)主體責(zé)任,保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的安全。
二、加強(qiáng)關(guān)鍵信息數(shù)據(jù)保護(hù)能力
數(shù)據(jù)作為重要的生產(chǎn)要素,在流轉(zhuǎn)的過(guò)程中產(chǎn)生價(jià)值,但同時(shí)也帶來(lái)了新的難題。數(shù)據(jù)問(wèn)題讓國(guó)際關(guān)系變得越來(lái)越復(fù)雜,數(shù)據(jù)資產(chǎn)成為了勒索攻擊的頭號(hào)目標(biāo),針對(duì)關(guān)鍵基礎(chǔ)設(shè)施數(shù)字化系統(tǒng)的攻擊愈演愈烈。
《條例》第三十條規(guī)定,任何部門和服務(wù)機(jī)構(gòu)的人員,在履行工作職責(zé)過(guò)程中所獲悉的關(guān)鍵基礎(chǔ)信息(網(wǎng)絡(luò)拓?fù)洹⑾到y(tǒng)架構(gòu)、個(gè)人數(shù)據(jù)等),不得泄漏(被動(dòng)行為)、出售、非法提供(主動(dòng)行為)。
所以如何保證這些關(guān)鍵基礎(chǔ)信息系統(tǒng)的數(shù)據(jù)安全,保證重要數(shù)據(jù)不被泄漏成為重中之重。
三、建立健全數(shù)據(jù)安全保護(hù)體制機(jī)制
《條例》第十五條規(guī)定,專門安全管理機(jī)構(gòu)具體負(fù)責(zé)本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作,履行個(gè)人信息和數(shù)據(jù)安全保護(hù)責(zé)任,建立健全個(gè)人信息和數(shù)據(jù)安全保護(hù)制度。要求針對(duì)重大事件,包括:中斷運(yùn)行、功能故障、數(shù)據(jù)泄漏、經(jīng)濟(jì)損失、非法傳播、重大威脅等,建立健全監(jiān)測(cè)預(yù)警機(jī)制,及時(shí)掌握運(yùn)行狀況和安全態(tài)勢(shì),落實(shí)通報(bào)制度。
在對(duì)《條例》和相關(guān)法律法規(guī)重點(diǎn)解讀,并對(duì)工業(yè)、能源、交通、水利、金融、教育、醫(yī)療、政務(wù)等行業(yè)的網(wǎng)絡(luò)和信息系統(tǒng)普遍面臨的安全風(fēng)險(xiǎn)及挑戰(zhàn)進(jìn)行綜合分析后,明朝萬(wàn)達(dá)信息安全專家提出了有效的安全解決方案。
該方案在梳理各行業(yè)內(nèi)既有數(shù)據(jù)資產(chǎn)現(xiàn)狀的基礎(chǔ)上,以數(shù)據(jù)為核心整體考慮終端、網(wǎng)絡(luò)、邊界、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)應(yīng)用等多層面的安全需求,并結(jié)合既有的網(wǎng)絡(luò)安全防護(hù)機(jī)制,基于各行業(yè)數(shù)據(jù)分類分級(jí)指南,搭建組織內(nèi)部數(shù)據(jù)安全集中管控平臺(tái)、數(shù)據(jù)安全治理體系,以數(shù)據(jù)資產(chǎn)為核心,實(shí)現(xiàn)數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷毀等全生命周期的安全防護(hù)。同時(shí)提升用戶的數(shù)據(jù)安全管理融合能力,夯實(shí)數(shù)據(jù)安全技術(shù)底盤,構(gòu)建數(shù)據(jù)安全運(yùn)營(yíng)場(chǎng)景落地,實(shí)現(xiàn)組織數(shù)據(jù)資產(chǎn)可視、數(shù)據(jù)風(fēng)險(xiǎn)可控、數(shù)據(jù)威脅可管。
總體架構(gòu)
△方案總體架構(gòu)圖
在大數(shù)據(jù)、云計(jì)算等新技術(shù)應(yīng)用背景下,明朝萬(wàn)達(dá)以數(shù)據(jù)安全為核心,自主可控的國(guó)密算法應(yīng)用技術(shù)為基礎(chǔ),研發(fā)的Chinasec(安元)數(shù)據(jù)安全系列產(chǎn)品及解決方案,覆蓋數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷毀等全生命周期重要環(huán)節(jié),實(shí)現(xiàn)對(duì)服務(wù)器、數(shù)據(jù)庫(kù)、PC終端、移動(dòng)終端以及網(wǎng)絡(luò)通信的全I(xiàn)T架構(gòu)下數(shù)據(jù)安全的協(xié)同聯(lián)動(dòng)管理,結(jié)合管理制度與建設(shè)運(yùn)營(yíng)保障,打造企業(yè)級(jí)的數(shù)據(jù)安全動(dòng)態(tài)防護(hù)體系。
01
完善基礎(chǔ)設(shè)施安全防護(hù)
在數(shù)據(jù)所屬組織內(nèi)部或運(yùn)營(yíng)者內(nèi)部,部署安全基礎(chǔ)設(shè)施資源,主要包括:信創(chuàng)國(guó)產(chǎn)化服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件,以及商用密碼機(jī)、PKI、密鑰管理KMC、證書(shū)注冊(cè)RA、證書(shū)發(fā)放CA、防火墻、IPS、IDS等。
在為關(guān)鍵信息基礎(chǔ)設(shè)施提供安全防護(hù)保障的同時(shí)也為統(tǒng)一數(shù)據(jù)安全管控平臺(tái)搭建提供技術(shù)和設(shè)備支撐。
02
搭建統(tǒng)一數(shù)據(jù)安全管控平臺(tái),構(gòu)建嚴(yán)密數(shù)據(jù)安全防護(hù)體系
在關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)之上,圍繞數(shù)據(jù)全生命周期安全,搭建統(tǒng)一數(shù)據(jù)安全管控平臺(tái),構(gòu)建一體化數(shù)據(jù)安全防護(hù)體系。
? 數(shù)據(jù)采集安全
通過(guò)咨詢服務(wù),幫助行業(yè)客戶設(shè)計(jì)數(shù)據(jù)管理框架,從管理層面、技術(shù)體系等角度指導(dǎo)數(shù)據(jù)安全治理。在利用關(guān)鍵字、正則表達(dá)式等實(shí)現(xiàn)數(shù)據(jù)發(fā)現(xiàn)的基礎(chǔ)上,引入自然語(yǔ)言處理、機(jī)器學(xué)習(xí)聚類分類等智能技術(shù),實(shí)現(xiàn)數(shù)據(jù)的智能分類分級(jí),從而在后續(xù)的安全管控中根據(jù)分類分級(jí)的結(jié)果匹配細(xì)粒度的安全策略,做到“突出重點(diǎn)、精確防護(hù)”。
? 數(shù)據(jù)傳輸安全
通過(guò)在網(wǎng)絡(luò)邊界處部署安全接入網(wǎng)關(guān),為內(nèi)部數(shù)據(jù)對(duì)外提供服務(wù)和外部用戶安全接入內(nèi)部網(wǎng)絡(luò)提供安全保障;同時(shí),通過(guò)網(wǎng)絡(luò)DLP、APT攻擊檢測(cè)、安全郵件等技術(shù)手段,防止數(shù)據(jù)通過(guò)網(wǎng)絡(luò)、郵件等途徑非法外泄,并可通過(guò)審批功能滿足正常的文件外發(fā)需要。
? 數(shù)據(jù)存儲(chǔ)安全
通過(guò)終端DLP、云安全存儲(chǔ)CASB、數(shù)據(jù)加密、數(shù)據(jù)保險(xiǎn)箱等技術(shù)手段,實(shí)現(xiàn)數(shù)據(jù)在服務(wù)器、云端、辦公終端上以密文的狀態(tài)存儲(chǔ),并按照分類分級(jí)的控制權(quán)限授權(quán)相應(yīng)的人員解密使用。
? 數(shù)據(jù)處理安全
通過(guò)應(yīng)用保護(hù)、虛擬安全桌面、數(shù)據(jù)脫敏等技術(shù)手段,實(shí)現(xiàn)數(shù)據(jù)在業(yè)務(wù)應(yīng)用系統(tǒng)、辦公終端等場(chǎng)景使用時(shí)的安全,防止數(shù)據(jù)被非法下載、刪除、修改、濫用。
? 數(shù)據(jù)交換安全
數(shù)據(jù)安全交換系統(tǒng)作為新一代安全隔離交換產(chǎn)品,實(shí)現(xiàn)針對(duì)內(nèi)外網(wǎng)及跨域之間各類數(shù)據(jù)的安全交換;同時(shí),通過(guò)對(duì)U盤等移動(dòng)介質(zhì)進(jìn)行注冊(cè)管理權(quán)限控制或使用安全U盤,解決辦公環(huán)境中使用移動(dòng)介質(zhì)跨終端交換數(shù)據(jù)時(shí)的安全問(wèn)題。利用微服務(wù)應(yīng)用支撐技術(shù),打破多年來(lái)形成的數(shù)據(jù)孤島現(xiàn)象,在物理隔離的基礎(chǔ)上搭建跨網(wǎng)應(yīng)用/業(yè)務(wù)服務(wù)的“橋梁隧道”,實(shí)現(xiàn)數(shù)據(jù)共享、開(kāi)放的同時(shí),保證數(shù)據(jù)的安全使用。
? 數(shù)據(jù)銷毀安全
數(shù)據(jù)安全銷毀包括物理銷毀、數(shù)據(jù)自動(dòng)銷毀、數(shù)據(jù)手動(dòng)銷毀等,通過(guò)消磁技術(shù)、文件有效期管控等技術(shù)手段,解決硬件設(shè)備棄置時(shí)刪除數(shù)據(jù),以及高敏感數(shù)據(jù)共享后過(guò)期銷毀的安全需要。
? 數(shù)據(jù)安全大腦
通過(guò)部署數(shù)據(jù)安全集中監(jiān)控與審計(jì)系統(tǒng),從技術(shù)層面為用戶提供異常行為安全分析支撐,從制度方面促進(jìn)信息系統(tǒng)的規(guī)范化管理,幫助用戶提高數(shù)據(jù)安全管理效率、防范信息泄漏導(dǎo)致的風(fēng)險(xiǎn),最終形成數(shù)據(jù)動(dòng)態(tài)分析和風(fēng)險(xiǎn)實(shí)時(shí)防御的安全大腦。
03
建立健全安全管理運(yùn)營(yíng)保障體系
? 安全管理保障體系
依據(jù)法律法規(guī),成立專門的數(shù)據(jù)安全管理部門,對(duì)組織的數(shù)據(jù)資產(chǎn)進(jìn)行全方位的安全管理,制定數(shù)據(jù)安全防護(hù)制度,規(guī)劃指導(dǎo)數(shù)據(jù)安全產(chǎn)品的落地、升級(jí)及迭代優(yōu)化,協(xié)調(diào)監(jiān)督安全事件的處置工作,同時(shí),加強(qiáng)安全教育培訓(xùn)宣傳。部門可設(shè)置管理人員、數(shù)據(jù)安全管理員、系統(tǒng)維護(hù)人員、審計(jì)等職位。
? 安全運(yùn)營(yíng)保障體系
為保障數(shù)據(jù)安全體系相關(guān)系統(tǒng)順利落地實(shí)施并運(yùn)營(yíng),需建立健全組織安全運(yùn)營(yíng)保障體系。結(jié)合組織現(xiàn)狀需要,完成安全建設(shè)方案的咨詢規(guī)劃、落地實(shí)施,制定風(fēng)險(xiǎn)管理措施,建立風(fēng)險(xiǎn)評(píng)估方法,做好風(fēng)險(xiǎn)監(jiān)測(cè)與響應(yīng)處置、數(shù)據(jù)備份與恢復(fù)等工作,不斷優(yōu)化改進(jìn)安全管控策略,保障組織安全管理平臺(tái)持續(xù)高效運(yùn)行。
方案特色
? 數(shù)據(jù)全生命周期安全防護(hù)
從數(shù)據(jù)的采集、傳輸、存儲(chǔ)、處理、交換和銷毀等過(guò)程,建立“數(shù)據(jù)可見(jiàn)、風(fēng)險(xiǎn)可視、安全可控”的數(shù)據(jù)安全防護(hù)體系,滿足組織機(jī)構(gòu)數(shù)據(jù)融合和對(duì)外開(kāi)放共享的要求;
? 國(guó)產(chǎn)化適配
基于信創(chuàng)國(guó)產(chǎn)化的安全基礎(chǔ)設(shè)施環(huán)境,開(kāi)辟以數(shù)據(jù)為核心,實(shí)現(xiàn)對(duì)服務(wù)器、數(shù)據(jù)庫(kù)、PC端、移動(dòng)端以及工業(yè)場(chǎng)景等全I(xiàn)T架構(gòu)的聯(lián)動(dòng)安全管控,解決了傳統(tǒng)圍欄式安全、單點(diǎn)防護(hù)的諸多弊端;
? 數(shù)據(jù)跨域共享安全
滿足“數(shù)字政府”、“智慧城市”、“智慧醫(yī)療”、“互聯(lián)網(wǎng)+行業(yè)”、“工業(yè)互聯(lián)網(wǎng)”等領(lǐng)域數(shù)字化發(fā)展趨勢(shì),提升各行業(yè)資源融合、交換、共享能力,同時(shí)保障數(shù)據(jù)安全;
? 態(tài)勢(shì)感知全局運(yùn)營(yíng)
利用大數(shù)據(jù)分析技術(shù),通過(guò)可視化的態(tài)勢(shì)展示界面,使用戶對(duì)數(shù)據(jù)的分布和流轉(zhuǎn),以及潛在的安全風(fēng)險(xiǎn)一目了然,提升安全運(yùn)營(yíng)的能力;
? 滿足合規(guī)監(jiān)管
解決數(shù)據(jù)泄漏后,追溯難度大,無(wú)法追蹤審計(jì)的難題,提升風(fēng)險(xiǎn)監(jiān)測(cè)和響應(yīng)能力,滿足安全監(jiān)管和合規(guī)要求。
