导读:《数据安全法》要点梳理,用可视化技术回答数据安全的“十万个为什么”。
网络安全和数据安全

从狭义上讲,网络安全是指网络系统的硬件和软件以及系统中的数据受到保护,不被意外或恶意原因破坏、更改或泄露,系统连续可靠运行,网络服务不被中断,保证网络信息的存储安全,以及信息产生、传输和使用过程中的安全性。
从广义上讲,所有与网络上信息的机密性、完整性、可用性、真实性和可控性相关的技术和理论都是网络安全的研究领域。因此,广义的网络安全还包括设备的物理安全,如站点环保、防火、防静电、防水防潮、电源保护等。
数据安全也有两层含义:
一个是数据本身的安全性。主要采用现代密码算法对数据进行主动保护,如数据机密性、数据完整性、双向强身份认证等。
二是数据保护的安全性。主要采用现代信息存储手段对数据进行主动保护,如磁盘阵列、数据备份、远程容灾等手段保证数据安全。
简单来说,网络安全趋向于“动态”安全,即信息系统和信息传输过程的安全;而数据安全关注的是“静态”的数据安全状态。从数据完整生命周期保护的角度来看,两者既有交集又各有侧重。
数据安全的重要性
随着跨企业、跨行业、跨国合作模式的改变,数据的流通和使用越来越凸显其价值。宝贵的数据在生产、收集、存储、处理、分析和使用等各个方面都面临着严重的威胁。屡屡发生的数据破坏和数据泄露事件,对社会和组织造成了一定的危害。
因此,国家越来越重视数据安全。2020年4月,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,将数据列为与土地、劳动力、资本、技术并列的生产要素。2021年9月,《数据安全法》正式实施,维护我国数据主权。
数据安全法要点
1.数据:以电子或其他方式记录的任何信息。
2.保护要求:采取必要措施有效保护和合法使用数据,并持续保持其安全能力。
3.重点行业:工业、电信、交通、金融、自然资源、健康卫生、教育、科技等主要行业。,应该由数据保护行业来监管。
4.分类分级:建立数据分类分级保护制度,对数据实施分类分级保护,确定重要数据目录,加强重要数据保护。
5.风险评估:建立集中、统一、高效、权威的数据安全风险评估、风险报告、信息共享、监测预警机制。

6.应急响应:建立数据安全应急响应机制。
7.安全审查:建立数据安全审查制度。
8.出口管制:属于管制物项的数据,依法实行出口管制,国家或地区可根据实际情况采取对等措施。
9.数据收集:任何组织或个人必须采取合法正当的方式收集数据,不得窃取或以其他非法手段获取数据。
10.未履行规定的保护义务:责令改正、警告,对单位处以5万元以上50万元以下罚款,对责任人处以1万元以上10万元以下罚款。拒不改正或者造成大量数据泄露等严重后果的,处50万元以上200万元以下罚款,最高责令吊销相关经营许可证或者营业执照,负责人处5万元以上20万元以下罚款。
1.向境外提供重要数据的:责令改正,给予警告,可以并处10万元以上100万元以下罚款,对直接负责的主管人员和其他责任人员处1万元以上10万元以下罚款。情节严重的,处100万元以上1000万元以下罚款,吊销相关业务许可证或者营业执照,对负责人处10万元以上100万元以下罚款。
数据安全从查看数据的当前状况开始。
传统的数据安全保护只能处理单一的业务系统数据。然而,随着数据产业的发展变化,特别是在大数据、多业务的广泛交互场景下,传统的数据保护显示出其局限性。
从全局数据安全来看,重要数据广泛分布在各个业务系统和业务人员终端,负责数据安全的人想看清楚:重要数据是什么,在哪里,主体是谁?数据访问控制和访问权限是否符合要求?是否存在数据破坏和数据泄露的风险?
只有看清重要数据、用户账号、访问行为,才能进行具体的数据保护,落实数据安全法关于分类、风险评估、应急响应、安全审查、出口控制等管理制度。
在整体数据治理框架下,企业需要确定数据分类和分级管理标准,实现数据流过程可视化管理,进而制定有效的数据安全保护策略,让管理者最终看到数据安全的“十万个理由”:
在任何特定时刻,网络中有哪些数据在流动,其中是否有敏感数据。
在任何给定时刻,有多少设备连接到网络,有多少用户正在使用网络。
用户访问的是什么应用、业务和数据。
移动了哪些敏感数据,谁在使用这些数据,从哪个设备移动到哪个物理位置。

哪些敏感数据有泄露风险,哪些用户可能有冒险行为。
数据安全可视化,只有看得见才能管理。
安博通深耕网络安全领域11年,自主研发网络安全可视化技术。在数据安全领域,形成了“元溯源”的数据资产监控和溯源分析平台,以“五维能力”框架实现数据安全可视化管理。
针对企业核心网络区域和关键业务应用中的数据资产,对网络中的传输过程和交互行为进行监控和审计,提取和分析用户、设备、应用等相关要素,实时呈现数据资产在网络中流动的全息视图。
数据流可视化让安全管理清晰有界,数据追溯审计让安全追溯更容易。安博通的“Yuantrace”为更多用户提供了数据深度可视、精准溯源取证、泄露违规监控、数据合规管理等价值,为更多行业提供了自上而下的数据安全治理解决方案。


