我国高度重视数据安全,早在2015年,中央决策层就已经开始关注数据安全问题。当年印发的《国务院关于印发促进大数据发展行动纲要的通知》提出,要“科学规范利用大数据,切实保障数据安全”。一年后,习近平总书记在“4·19讲话”中指出:“要依法加强对大数据的管理”,为《数据安全法》的立法工作定下了基调。
2020年6月28日,第十三届全国人大常委会第二十次会议初次审议了《中华人民共和国数据安全法(草案)》。7月3日在中国人大网公布,全文7章51条,包括:总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则。
根据新华社最新消息,十三届全国人大常委会第二十八次会议将于4月26日至29日在北京举行,委员长会议建议,本次全国人大常委会会议将审议《个人信息保护法(草案)》、《数据安全法(草案)》等,这将是全国人大常委会对这两部法律草案的第二次审议。
2016年11月7日,《中华人民共和国网络安全法》(以下简称“《网络安全法》”)正式通过,网络安全法特别强调了数据的安全问题,明确指出需要对数据的采集、使用、传输、存储等环节进行保护。
数据安全建设同样是等级保护2.0建设的核心内容之一,数据安全的测评指标主要在 “安全计算环境”和“安全管理中心”两个部分,评定为第二级及以上的系统对于安全审计、数据完整性、数据备份与恢复、个人信息采集与保存权限管控、数据存储加密等事项都有专门的条款要求。
网络安全重点是放在网络空间中,以网络为中心,侧重于网络空间安全、 网络访问控制、安全通信、防御网络攻 击或入侵等。通过保障网络空间的安全,从而最终保障数据的安全。
数据安全则是以数据为中心的立场,侧重于数据全生命周期的安全与合规,特别是敏感数据的安全与合规,借助集中化数据收集、数字资产识别、数据加密、访问控制、威胁感知、风险响应等技术,实现保障数据安全的目标。
针对当前数据安全所面临的风险需求,浪潮云结合零信任的思路,同时为满足法规制度的要求,设计以数据为核心,深入数据全面生命周期,以安全大脑-数据安全态势感知平台为抓手,从数据资产管理、数据内控安全、数据流动安全、云服务器安全和数据安全运营五个方面来开展数据安全保护。
安全大脑—数据安全态势感知
为用户数据资产提供全生命周期的安全赋能,让用户的数据资产在“阳光”下安全管理。通过集中化数据收集、数据资产识别、数据加密、访问控制、关联分析、风险响应等技术,实现:数据资产管理(资产发现、可视统计、分级分类等);数据安全防护(身份权限、数据加密、数据脱敏、行为审计、数据防护等);数据安全态势感知(趋势分析、风险预警、事件溯源等);达到数据安全的“可视化”、“可量化”、“可感知”和“可追溯”,并提供相应的预警及应急响应等支撑运营服务。
数据资产管理
实现对数据资产的梳理,使用户能够方便的掌握网内数据资源和敏感数据的分布状况和数据资源的变化情况,通过全面自动的资产扫描、智能解析数据类型与含义、自动发现数据内部关系,并以可视化报告的方式将最终成果展示给用户,从而实现将不可理解的数据转换成一份分类有序的数据,帮助用户认识和发现数据。
数据内控安全
数据内控安全体现在对数据库风险的及时掌控以及对内部运维人员和业务人员、特别是高权限运维人员的数据访问行为的监督和管控,解决数据库状况难掌握以及数据访问权限难控制的问题,同时满足法律法规中对敏感数据访问权限最小化的要求。
数据流动安全
数据流动安全主要针对于数据使用过程中,包括数据的访问、数据的共享等数据流动的场景,提供数据库入侵防护和敏感数据去隐私化处理,避免数据在流动环节泄露的风险。满足《网络安全法》及其他政策法规对于脱敏和共享数据变化遮蔽的要求。
云服务器安全
实现对云服务器及终端上的重要文件进行有效保护,防止非法泄密,防止勒索攻击等。采用行为防控的方式,监控系统中进程,只允许信任进程修改被保护文件,避免勒索病毒的非法加密,全面应对勒索病毒、挖矿病毒等,为重要数据安全提供可靠保障。
数据安全运营
以用户数据资产为运营对象,通过人为主动运营,对数据库性能及时把握,对出现的数据安全风险及时发现和分析,对确认的数据安全风险及时响应处置,实现针对数据安全的全生命周期安全运营防护,防止救火式的运维服务,避免数据资产遭受损害。
