今日以 “共享数据价值,共担安全责任” 为主题的第三届中国数据安全治理峰高峰论坛及数据安全治理建设指南-数据安全治理白皮书 2.0 发布仪式在京举行。
领导致辞
公安部网络安全保卫局处长 范春玲
近年来公安机关相继重点开展了一系列的工作,第一,组织开展有关大数据网络安全等级保护工作;第二,组织开展大数据安全专项整治;第三,组织对相关单位大数据存在隐患漏洞进行通报;第四,不断加强对大型互联网企业的网络安全监管,实现扁平化指挥调度组织,至今已累计对国内的650余家大型互联网企业开展网络安全专项工作,督促这些单位落实各项网络安全保障措施,加强大数据安全工作。
国家密码管理局商密办副巡视员 安晓龙
当前在数据安全方面一是安全防护能力还需要加强,数据的采集、传输、存储、利用等全流程任何一个节点均可能被攻击或利用;二是很多技术还受制于人;三是融合共享不够,长期以来数据安全共享一直面临不敢共享、不易共享等问题,四是定责监管难,数据共享过程当中安全责任的问题多,安全管理的难度大,数据确权和泄露后的定责难度大,还有不少监管难题需要研究解决。
中国保密协会副会长 纪清阳
我们国家的信息网络每日每时都在流动着大量国家重要数据,我们拿什么保障它不被摧毁,在经济体系中数据已经成为核心资产,如果不建立有效机制,经济将无法持续发展,在商业和隐私方面如果数据被普遍滥用,社会诚信系统就会崩溃,任何新技术都成为犯罪的工具,所以探讨数据治理是有着重大意义。
北京市网信办 处长 张越今
尊重网络主权,维护和平安全,促进开放合作,构建良好秩序是我国提倡并秉承的国际互联网治理四项原则,这是我国对全球互联网发展负责任的态度,也是我国在互联网发展中的行为准则,国家网络安全法的正式实施对我们的各项工作都给出了基本指引,我国将在法治环境下推进网络安全的各项治理,包括网络安全等级保护条例,互联网个人信息安全保护指引、信息安全技术个人信息规范等法律标准的推出,将对网络安全、数据安全和公民合法权益提供可靠的依据。
数据治理议题及演讲
一、数据安全治理建设指南及数据安全治理白皮书 2.0解读
北京安华金和科技有限公司CEO 刘晓韬
安华金和与Gartner数据安全治理的演进之路
二、等保 2.0 中的数据安全要求
公安部等级保护评估中心技术部主任 任卫红
在等保的扩展要求中,四种应用场景下对数据信息的保护要求:
1. 云计算安全:镜像和快照保护、客户数据的授权访问
云计算扩展要求里面,比较关注的比如说镜像的完整性、保密性。另外在云计算有多种体存在的生态环境当中,比如说客户数据的访问、服务商访问客户云数据需要得到客户的许可和授权的要求。
2. 移动互联网安全:终端锁定、数据远程擦除
移动互联,数据会从机房和网络传输,最后到达终端,终端的安全里面就提出了比如说终端的锁定和数据的远程擦除的要求。
3. 物联网安全:抗数据重放,鉴别数据的新鲜性
异构网络的数据融合处理;关键密钥、关键配置参数在线更新。物联网安全涉及到如能够鉴别数据的新鲜性、融合处理和关键信息的在线更新。
4. 工控系统安全:控制指令或相关数据交换需加密
在公共系统尤其在广域网实现的指定交换和相关数据交换的时候也提出了加密和认证方面的要求。
三、App 个人信息保护合规关注点
中国电子技术标准化研究专家 何延哲
2019年1月29日中央网信办、工信部、公安部、市场监管总局四个部门发布关于治理app违法违规收集个人数据信息专项治理公告。目前很多举报信息已经纳入评估,也发布了自评估的指南,主要评估项目有以下几点:
1. 隐私政策的独立性、易读性;
2. 清晰说明各业务功能及所手机个人信息类型;
3. 清晰说明个人信息处理规则及用户权益保障;
4. 不应在隐私政策等文件中设置不合理条款;
5. 收集个人信息应明示收集目的、方式和范围;
6. 收集个人信息应经用户自主选择同意、不应存在强制捆绑授权行为;
7. 收集个人信息应满足必要性要求。
四、商用密码技术在数据安全上的应用
北京电子产品质量检测中心软件与信息安全测评部副部长 李恒宇
密码技术作为网络安全的基础性核心技术,是信息保护和网络信任体系建设的基础,是保证网络空间安全的关键技术。密码技术通过在保护数据的真实性、完整性、机密性和不可否认性在能力上保障信息系统,最终实现网络安全目标。
国内密码应用现状
2018年国家密码管理局联合公安部联合对部分等级保护系统进行信息统计,在778个系统中,仅38个系统使用了国产密码,966个系统使用了国际密码,我刚才提到密码技术这么关键,是我们网络安全的核心技术、关键技术,但是在大部分的技术当中没有利用到密码技术进行保护的。目前国内密码应用不规范主要集中在下面三点:
1. 不合规,使用的密码算法、产品、技术或者服务没有经过国家密码管理局的认可;
2. 不正确,部署了密码产品但未能正确使用;
3. 效果差,仅在某些环节应用了密码技术,未形成防护体系。
国家政策要求
- 中共中央办公厅/国务院办公厅下发《金融和重要领域密码应用与创新发展工作规划(2018-2022年)。
- 总体目标:到2022年,全社会应用密码技术保护网络安全的意识普遍增强,密码与国家重大战略和新技术新应用深度融合,高质量密码供给体系和测评认证体系基本建立,密码保障金融和重要领域网络安全的作用得到充分发挥。
- 金融行业、基础设施建设、信息惠民等领域。
五、数据安全治理技术框架与实践
安华金和解决方案总监 宣淦淼
数据安全治理体系
第一阶段:建立安全组织.决策层的参与
1. 决策层:负责数据安全治理体系目标、范围、策略的决策工作,决策层属于虚拟组织;
2. 管理层:负责数据安全治理体系建设工作,管理层的成员一半由信息安全部门承担;
3. 支持层:负责安全手段和制度执行的可行性,一般由业务部门承担,提出在业务开展过程中的数据安全需求;
4. 监管层:由审计部门承担,监督层定期向决策层回报当期数据安全状况。
第二阶段:能力评估.数据安全整体评估
1. 规范与标注收集
2. 评估指南
3. 调研与访谈
4. 定义敏感数据
5. 资产梳理
6. 评估与分析
7. 总结与汇报
8. 制定规范
9. 技术支撑
第三阶段: 制度设计.基于业务流程设计
1. 合规要求:《个人信息安全规范》、《等级保护2.0相关标准》
2. 组织制度规范体系:技术型规范、管理型规范
第四阶段:治理技术.技术工具选择落地
1. 梳理技术:静态风险检查工具、动态风险检查工具
2. 防护技术:数据防火墙、数据库运维管控、数据加密…
3. 分析技术:数据库审计、数据安全态势感知
六、数据治理国际态势中国应对
北京师范大学教授 吴沈括
国内应对体现在四个方面
1. 动态变动的全球规则的研判和追踪;
2. 从目前建构的是一个具有清晰价值顶层设计;
3. 立足于数据性质的差别规范设计;
4. 基于特定行业的部门的利益平衡规则,这个也是我们后续数据治理的一个重要的努力方向。
企业合规风控建设的四点要求
1. 安全理念的转变
2. 风控策略的设定
1)消极维度,网络企业自身遵循法律条文引入的各行为规范从而确保免受法律处罚;
2)积极维度,根据法律规范授权治理危害网络企业乃至网络产业利益的不合规行为。
3. 核心权益的维护
1)注意法律规范的体系化综合运用
2)充分利用法律赋予的工业化机制
4. 关键风险的管控
1)横向:定岗定人
2)纵向:定岗定责
七、阿里云数据安全与隐私保护实践
阿里巴巴安全专家 郑原斌
内部数据安全保护
- 数据安全治理是能力建设的过程
- 数据安全-五道能力防线
- 安全审计- 异常行为审计
云上客户数据安全保护
- 合规权威认证
- 责任共担模型
- 提供全链路加密支持
- ABAC访问控制
- 日志审计
- 敏感数据发现与保护
