㈠ 網路數據安全管理條例徵求意見稿規定發生重要數據或者多少人以上個人信息泄露
《網路數據安全管理條例徵求意見稿》規定發生重要數據或者十萬人以上個人信息泄露、毀損、丟失等數據安全事件時,數據處理者還應當履行以下義務:
(一)在發生安全事件的八小時內向設區的市級網信部門和有關主管部門報告事件基本信息,包括涉及的數據數量、類型、可能的影響、已經或擬採取的處置措施等;
(二)在事件處置完畢後五個工作日內向設區的市級網信部門和有關主管部門報告包括事件原因、危害後果、責任處理、改進措施等情況的調查評估報告。
《網路數據安全管理條例徵求意見稿》第十一條 數據處理者應當建立數據安全應急處置機制,發生數據安全事件時及時啟動應急響應機制,採取措施防止危害擴大,消除安全隱患。安全事件對個人、組織造成危害的,數據處理者應當在三個工作日內將安全事件和風險情況、危害後果、已經採取的補救措施等以電
話、簡訊、即時通信工具、電子郵件等方式通知利害關系人,無法通知的可採取公告方式告知,法律、行政法規規定可以不通知的從其規定。安全事件涉嫌犯罪的,數據處理者應當按規定向公安機關報案。
發生重要數據或者十萬人以上個人信息泄露、毀損、丟失等數據安全事件時,數據處理者還應當履行以下義務:
(一)在發生安全事件的八小時內向設區的市級網信部門和有關主管部門報告事件基本信息,包括涉及的數據數量、類型、可能的影響、已經或擬採取的處置措施等;
(二)在事件處置完畢後五個工作日內向設區的市級網信部門和有關主管部門報告包括事件原因、危害後果、責任處理、改進措施等情況的調查評估報告。
㈡ 有哪些影響互聯網界的重大安全事件
1、2007年1月的熊貓燒香網路安全事件,算是給所有人都敲響了警鍾。
互聯網界無人不知無人不曉的駭客李俊,發布熊貓燒香病毒,可感染系統的*.exe、*.com、*.pif、*.src、*.html、*.asp後綴的文件,導致出現藍屏、頻繁重啟和硬碟文件損壞等問題,一度讓人聞風喪膽,給很多門戶網站、數據系統帶來的損害是無法估算的。
時至今日,網路安全手段不斷升級,網路攻擊也比十幾年前更加防不勝防,但熊貓燒香是國民第一次大規模地對網路病毒的真切感受,其起到的網路安全發展的推動和對網路完全的警示作用是里程碑式的。
2、2014年出現的數十億賬號信息泄露網路安全事件。這算得上歷史上最讓人恐慌的安全事件了。
根據網路搜索顯示的結果,當年大品牌的泄露事件包含家得寶、摩根大通銀行、支付寶、蘋果、攜程、小米、索尼、微軟甚至韓國三大信用卡廠商以及12306都赫然在列。除了這些大型事件,很多小型的泄露事件都在不斷發生,有的甚至無從調查。賬號安全關繫到每個人的財產安全,絕對不容忽視。
3、2020年的富士康大型勒索病毒網路安全事件。
勒索病毒早在19年下半年就已經出現,主要以攻擊個人、企業、高校界的主機為主,通過對用戶的文件加密,勒索受害者支付一定的價值才能解密,甚至破壞文件數據,其惡劣程度也是導致一眾受攻擊的企業損失慘重。
可以看一組數據,20年11月墨西哥的富士康遭受「DoppelPaymer」勒索軟體的攻擊,導致1200台伺服器被加密, 被竊取100GB未加密文件,刪除了20-30TB的數據備份,並要求支付大額比特幣作為贖金。
面對網路安全攻擊並不是無從下手,雖然每次大型攻擊的出現都會造成嚴重的損失,但把問題想到前邊,做好安全部署,一定可以在一定程度上防患於未然。進入2021年,更多企業應該圍繞等級保護的要求,從主機安全、DDos防護、Web應用防火牆、雲防火牆以及數據安全審計幾個層面去未雨綢繆。
對於大部分企業來說,不知道應該如何在網路安全上做到面面俱到,甚至於選品、采購各個環節都處於無從下手的階段,比較方便的一個方式就是通過代理采購網路安全。選擇代理也可以從以下幾個方向去考慮,價格折扣、售後服務、技術能力、專業程度、方案能力。
㈢ 深度 | 《數據安全法》全面解讀
2021年6月10日,報道,十三屆全國人大常委會第二十九次會議通過了數據安全法。這部法律是數據領域的基礎性法律,也是國家安全領域的一部重要法律,將於2021年9月1日起施行。數字化改革推動我國生產模式的變革,隨著經濟數字化、政府數字化、企業數字化的建設,數據已經成為我國政府和企業最核心資產。合資企業、跨境貿易、多廠商全球合作的模式變遷,數據開始在企業與企業之間、政府與企業之間以及國與國之間流轉、融合、使用直至泄露。
根據公開報道,2020年全球數據泄露的平均損失成本為1145萬美元,2019年數據泄露事件達到7098起,涉及151億條數據記錄,比2018年增幅284%,數據泄漏事件影響大、損失重。
有專家言論,對數據掌控、利用以及保護能力,已成為指銷卜衡量國家之間競爭力的核心要素。
一、外力驅動和內部需求,促使數安法落地
1.外力驅動
2018年3月23日,時任美國總統特朗普正式簽署了《澄清域外合法使用數據法》,法案要求對危害美國國家安全的犯罪、嚴重刑事犯罪等重大案件,無論服務提供者的通信、記錄或其他信息是否存儲在美國境內,要求服務商根據該法案進行調取並提供相關證據。
2018年5月25日,歐盟《一般數據保護條例》(GDPR)正式實施。GDPR法案要求不論數據控制者、處理者及其處理行為在歐盟境內還是境外,只要處理的是歐盟境內居民的數據,均適用此法案,對數據實施長臂管理。
目前全球已有近100個國家和地區制定了數據安全保護的法律,數據安全保護專項立法已成為國際慣例。
圖1 全球數據安全保護立法情況(部分)面對歐美國家將數據主權從物理邊界轉向技術邊界,將會直接影響到第三方國家的主權,在數據跨境流動愈加頻繁的今天,必須盡快完善我國相關法律法規,保護我國國家利益、跨國公司唯穗以及公民個人利益。
2.內部需求
當前全球經濟傳統經濟增長緩慢,尤其是2020年全球「新冠疫情」給經濟帶來了沉重的打擊。迫切需要通過新的經濟增長點拉動內需,增加就業,而數字經濟正是切入點和發動機,國家將發展數字經濟提升到國戰略高度則水到渠成。
近年來數字經濟增速也證明了數字經濟發展空間的巨大,中國信息通信研究院發布的《中國數字經濟發展白皮書》數據顯示,我國數字經濟的總體規模已從2005年的2.62萬億元增長至2019年的35.84萬億元;數字經濟總體規模佔GDP的比重也從2005年的14.2%提升至2019年36.2%。
可見,數字經濟已成為我國國民經濟增長要素的重要一員。
從2015年,國務院發布的《促進大數據發展行動綱要》開始,2018年國務院發布《科學數據管理辦法》,2020年國務院發布《關於構建更加完善的要素市場化配置體制機制的意見》,2021年3月12日,公布了《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》,數據安全政策導向明確,國家數據戰略清晰。因此,亟需一部國家的基本法,為中國數字經濟的安全發展保駕護航。
上述背景下數安法誕生,恰逢其時,維護了我國的數據主權,保障了國家的安全、促進了經濟健康發展。
二、數安法要點解讀和提煉
數安法的發布標志著我國將數據安全保護的政策要求,通過法律文本的形式進行了明確和強化。
本法一共七章五十五條,其中 「總則」、「法律責任」及「附則」三章屬於常規章節,另外四個章節圍繞著「數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放」來提出要求。
圖2 數安法七個章節我們對數安法進行深入解讀後,為大家提煉出40個要點。
(一)總則的要點
1)適用范圍:在中國境內開展數據活動的組織和個人。
2)定義:定義數據是指任何以電子或者非電子形式對信息的記錄。
3) 保護要求:_取必要措施,對數據進行有效保護和合法利用,並持續保持其安全能力。
4) 責任任務:工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主要行業會落地數據保護行業規范,並且落地本部門的數據安全規范。公安機關、國家安全機關等在各自職責范圍內承擔數據安全監管職責。網信部門負責統籌協調和監管。
5) 特別的對行業組織提出了制定安全行為規范,加強行業自律,指導會員加強數據安全保護的要求。這項法規有效的斗冊消滅了灰色地帶,對各行業都形成了法律約束,杜絕了數據的隨意共享和流轉。
(二)數據安全與發展要點
6) 發展原則:國家統籌發展和安全,堅持保障數據安全與促進數據開發利用並重。
7) 戰略要求:省級以上人民政府應制定數字經濟發展規劃。進一步細化了國家數據戰略的執行主體。
8) 標准體系:國家主管部門負責相關標准和體系的制定。
9) 評估認證:國家促進數據安全檢測評估、認證等服務的發展,支持專業機構依法開展服務。
10) 人才培養:要_取多種方式培養數據開發利用技術和數據安全專業人才。
11)特別地,加強了公共服務的要求,應當充分考慮老年人、殘疾人的需求,避免對老年人、殘疾人的日常生活造成障礙。
(三)數據安全制度要點
12) 分類分級:國家建立數據分類分級保護制度,對數據實行分類分級保護,並確定重要數據目錄,加強對重要數據的保護。
13) 風險評估:要建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制。
14) 應急處置:要建立數據安全應急處置機制。
15) 安全審查:要建立數據安全審查制度。
16) 出口管制:對屬於管制物項的數據依法實施出口管制,可以根據實際情況對該國家或者地區對等採取措施。這項法規進一步明確了國家對中國數據的主權,即我國數據是否在境內,依然受到中國法律的保護。
(四)數據安全保護義務要點
17) 管理制度:在網路安全等級保護制度的基礎上,建立健全全流程數據安全管理制度,組織開展教育培訓。重要數據的處理者應當明確數據安全負責人和管理機構,進一步落實數據安全保護責任主體。
18) 風險監測:對出現缺陷、漏洞等風險,要_取補救措施;發生數據安全事件,應當立即採取處置措施,並按規定上報。
19) 風險評估:定期開展風險評估並上報風評報告。
20) 數據收集:任何組織、個人收集數據必須_取合法、正當的方式,不得竊取或者以其他非法方式獲取數據。
21) 數據交易:數據服務商或交易機構,要提供並說明數據來源證據,要審核相關人員身份並留存記錄。
22) 經營備案:數據服務經營者應當取得行政許可的,服務提供者應當依法取得許可。
23) 配合調查:要求依法配合公安、安全等部門進行犯罪調查。境外執法機構要調取存儲在中國的數據,未經批准,不得提供。
24) 特別的,對關基信息基礎設施的運營在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網路安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。
(五)政務數據安全與開放要點
25) 管理制度:建立健全全流程數據安全管理制度,落實數據安全保護責任。
26) 存儲加工:委託他人存儲、加工或提供政務數據,應當經過嚴格審批,並做好監督。受託方不得擅自留存、使用、泄露或向他人提供政務數據。
27) 數據開放:構建統一政務數據開放平台,發布數據開放目錄,推動政務數據開放利用。
28) 適用主體:法律、法規授權的具有管理公共事務職能的組織。
(六)法律責任要點
29) 不履行規定保護義務:責令改正和警告,給予單位5萬至50萬元罰款,給予負責人1萬至10萬元罰款;拒不改正或造成大量數據泄漏等嚴重後果的,給予單位50萬至200萬元罰款,最高責令吊銷相關業務許可證或者吊銷營業執照,給予負責人5萬至20萬元罰款。
30)危害國家安全和損害合法權益的:給予200萬至1000萬元罰款,責令停業整頓、吊銷相關業務許可證或者吊銷營業執照,構成犯罪的,追究刑事責任。
31)向境外提供重要數據的:由有關主管部門責令改正,給予警告,可以並處10萬至100萬元罰款,對直接負責的主管人員和其他直接責任人員可以處1萬至10萬元罰款。情節嚴重的,給予100萬至1000萬元罰款,責令停業整頓、吊銷相關業務許可證或者吊銷營業執照,對負責人給予10萬至100萬元罰款。
32) 交易來源不明的數據:沒收違法所得,對違法所得一至十倍罰款。沒有違法所得或違法所得不足10萬元的給予10萬至100萬元罰款,最高責令吊銷營業執照;對主管和直接責任人1萬至10萬元罰款。
33) 拒不配合數據調取的:由有關主管部門責令改正,給予警告,可以並處5萬元至50萬元罰款,對直接負責的主管人員和其他直接責任人員可以處1萬至10萬元罰款。
34) 國家機關不履行安全保護義務:對負責人和直接責任人員依法處分。
35)未經審批向境外提供組織數據的:由有關主管部門給予警告,可以並處10萬至100萬元罰款,對直接負責的主管人員和其他直接責任人員可以處1萬至10萬元罰款。造成嚴重後果的,給予100萬至500萬元罰款,責令停業整頓、吊銷相關業務許可證或者吊銷營業執照,對負責人給予5萬至500萬元罰款。
36) 國家工作人員違法:因玩忽職守、濫用職權、徇私舞弊,依法給予處分。
37)竊取或非法獲取數據的:依照有關法律、行政法規的規定處罰。
38) 給他人造成損害:依法承擔民事責任,構成犯罪的,依法追究刑事責任。
(七)附則要點
39) 涉及國家秘密的數據:依據《中華人民共和國保守國家秘密法》以及相關法律法規執行。
40) 涉及軍事秘密的數據:由中央軍事委員會依據本法另行制定。
數安法是繼《網路安全法》提出數據的概念後,國家在數據安全立法層面的一個重大里程碑,註定了是中國數字經濟高速發展的壓艙石和定海神針。
三、數據安全建設的幾點建議
數安法作為數據安全管理的基本大法,給我們指明了方向和提供法律保障。有關單位和個人收集、存儲、使用、加工、傳輸、提供、公開數據資源,都應當依法建立健全數據安全管理制度,採取相應技術措施保障數據安全。
未來如何做好數據安全建設?政企在進行數據安全能力建設時,考慮數據安全、訪問控制以及數據保護三個層面。
形象的說,數據安全的首要目標是需要找數據在哪裡?數據的主體是誰?訪問控制是目前主流的數據安全能力之一,首要目標是數據使用者如何證明具備相應的數據許可權?數據保護是更高層面的建設框架,首要目標是組織或個人如何確保數據已經被保護好了?
對於IT和信息安全從業人員來說,數據安全能力建設是最艱巨的任務之一。
關於數據安全能力的建設,安恆信息首席科學家劉博提到:在業務層面,應當考慮建設包含預防、發現、消除泄密隱患為主的數據安全體系;在技術層面,應當考慮建設數據風險核查能力、數據梳理能力、數據保護能力以及數據威脅監控預警能力4大核心數據能力的建設;最終建立「數據安全運營」的全過程自適應安全支撐能力,直至達到整體智治的安全目標。
1.建立健全管理組織體系和組織架構
企業數據安全管理的成敗,主要取決主要領導是否重視?意識是否提升?全員是否參與?是否建立了一套完善數據安全管理組織?這是數據安全的重要保障。要形成「管理層重視、一把手負責、全員參與」的管理模式。
2.建立完善的數據安全技術體系和落地
傳統方式已經無法適應新時代數據安全需要,面臨安全的新態勢、新要求,在繼續做好業務安全的基礎之上,通過智能化管理平台,在技術層面實現對風險核查(Check)能力、數據梳理(Assort)能力、數據保護(Protect)能力以及數據威脅監控預警(Examine)能力4大核心能力的建設,在業務層面,實現對數據採集、傳輸、存儲、處理、交換、銷毀全生命周期的管理。
3.引進下一代技術,實現流程自動化
人工智慧和機器學習將是未來數據安全工作的關鍵,目前,多數大型企業正在尋求使某些法規遵從流程自動化,包括數據定位和提取,自動化是大型企業保持對大量存儲在數據中心和雲中的結構化和非結構化數據兼容的唯一方式。
對於數據安全能力建設較為薄弱的企業,建議考慮零信任模式作為一種安全策略,有了「零信任」,企業將著眼於數據管理的整個生命周期,並將關注點從數據安全本身擴展到企業整體信息安全框架。
4.政府需落實數據安全保護責任,推動政務數據開放利用
政務數據安全與開發作為數安法的獨立章節,要求我國政府在落實數據安全保護責任的同時,推動政務數據開放利用。如何實現數據要素安全、高效的共享開放,劉博談到,個人隱私保護、敏感數據使用、數據確權等難題都成了數據要素市場化的「攔路虎」,我們可以通過引入「數據安全島」模式,利用安全計算沙箱、安全多方計算、區塊鏈等技術,實現原始數據不出本地,只交換計算結果,做到數據共享的「可用不可見」,解決數據信任和隱私保護、溯源等難題,讓流動的數據成為驅動數字經濟發展的新動能。
四、數據安全的未來
數據安全在未來仍將是一個重大挑戰,人工智慧、機器學習和零信任模型的創造性應用將幫助IT和信息安全從業保護數據,以及確保組織和個人數據合規,助力國家數據安全戰略落地實施。
我國「十四五」規劃、「新基建」等政策將持續深入推進數據要素安全管控和市場化,提升社會數據資源價值,相信隨著《數據安全法》的出台、落地實施,數據資源將會迸發出更強的活力。安恆信息站在時代與理論的前沿,提出以「CAPE」數據安全能力框架為核心的數據安全管控體系,包含數據安全管控、安全可控數據流通、安全可信融合計算三大核心能