2019年7月1日發布的《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》(以下簡稱《行動方案》)是自2013年7月16日工業和信息化部第24號令《電信和互聯網用戶個人信息保護規定》以來的數據安全保護要求的進一步強化和落地。
《行動方案》的工作目標之一是督促基礎電信企業和重點互聯網企業強化網絡數據安全全流程管理,及時整改消除重大數據泄露、濫用等安全隱患,在2019年10月底前完成全部基礎電信企業(含專業公司)、50家重點互聯網企業以及200款主流App數據安全檢查。工作目標之二是建立行業網絡數據安全保障體系,行業網絡數據安全管理和技術支撐平臺基本建成,遴選網絡數據安全技術能力創新示范項目,基礎電信企業和重點互聯網企業網絡數據安全管理體系有效建立。
《行動方案》制定了為期一年、明確可執行的詳細計劃:不同于標準、規范,更強調具體任務的推動。方案分為四個階段,將每階段的責任方、工作任務進行了具體化,同時也強調了對典型經驗做法進行推廣,鞏固相關工作成效的要求。這使得《行動方案》形成了一個執行力強,并不斷迭代升級的長期計劃。
五大亮點引人關注
《行動方案》主要亮點體現在以下五個方面。
一是《行動方案》要求加快完善網絡數據安全制度標準。基于《網絡安全法》《電信和互聯網用戶個人信息保護規定》等法律法規要求的驅動,電信運營商從合規角度出發對數據安全保護的重要性有足夠重視,但安全制度標準的不充分影響了這項工作的開展,例如對同一項敏感數據的分類分級和控制措施,在不同企業不同部門之間并不統一,極易發生因合作雙方控制能力不同導致敏感數據泄露事件。制度標準的完善能夠大幅促進數據安全保護的效果,有利于正常數據業務的健康發展,幫助各個企業步調一致統一行動。
二是《行動方案》將開展合規性評估和專項治理工作。包括網絡數據安全風險評估、App違法違規專項治理、強化網絡數據安全監督執法。此些舉措劃出了數據安全違規行為的紅線,并以行政處罰、軟件下架、企業納入不良名單和失信名單的方式“迫使”企業必須重視數據安全保護。手段足以讓違反數據安全的經營模式不復生存,讓忽略數據安全的企業付出代價。
三是《行動方案》將強化行業網絡數據安全管理,提出了四項具體意見:
首先,提出了數據資產“清單式”管理的要求,電信和互聯網企業在實體資產、IT資產管理方面有著豐富的經驗,但并沒有對數據資產進行嚴格管理,若無法形成數據清單,也無法對針對數據的行為進行有效監控。數據資產管理的主要難點一方面是技術難度,另一方面是缺乏明確的標準和制度。
其次,《行動方案》明確了企業網絡數據安全職能部門的設置,根據以往經驗,某項工作開展困難的主要原因之一是企業重視不足,導致該職能科室權力小、人數少、話語權低。設立專門的網絡數據安全職能部門是數據安全保護工作健康發展的必要步驟。
再次,《行動方案》提出了強化網絡數據對外合作安全管理的要求,自從瑞智華勝、數據堂的案件發生以來,電信運營商對于數據合作業務從積極轉向謹慎,但網絡數據安全保護的本意是促進業務健康發展,數據合作業務應該在安全、合規的情況下有序進行。
最后,《行動方案》提出了行業網絡數據安全應急管理的要求,指出了網絡數據安全事件發生事前、事中、事后的要求,對惡性事件形成預案,不打無準備之仗。
四是《行動方案》在能力建設方面提出了手段建設、技術創新、專業化支撐隊伍的要求。此項要求有利于數據安全產業的甲乙方共同發展,首先為企業開展數據安全類采購和研發指明了方向,也為高水平數據安全公司發揮其水平和能力提供絕佳機會。目前國內的數據安全類產品大多數沿用國外產品思路,視角和技術并不適合電信和互聯網企業這種地域覆蓋大、組織結構復雜、業務眾多、發展迅速的經營模式,使得網絡數據安全類產品嚴重碎片化、孤島化,在實際應用中難以起到防護效果,正在逐步降低客戶采購的意愿。
五是《行動方案》強調了社會監督和宣傳交流,目前網絡數據安全在電信和互聯網企業中仍是少部分人的任務,而本質上數據安全與企業的經營模式、業務模式緊密相關,這方面區別于其他安全技術。網絡數據安全必須得到企業決策者的充分重視,必須做到企業文化認可,從業者高度自律,具有全面的監督處罰機制。
企業需構建數據安全保護體系
數據安全保護關系到了企業切身利益,我們應認真對標《網絡安全法》等相關行政命令的要求,形成企業自身的數據安全保護體系,從策略(規章制度及差距分析)、組織(部門與人)、技術(生產平臺和數據安全保護技術)、運營(運轉保障)等方面進行全面建設和不斷提升。
我們需要正確面對現有業務模式和技術平臺存在的數據安全問題,一些業務本身是侵犯隱私的,或者存在安全風險。例如已經全部下線的“短信保管箱“類業務,以及運營商普遍在業務環節中增加了二次認證和信息脫敏措施,都是在數據安全方面進步的表現。企業應該對存量業務進行評估、建立新業務評估的三同步機制(數據安全能力與業務功能同步規劃、同步建設、同步運行)、人員管理、合作伙伴管理等機制的優化,避免新的數據安全事件發生。
另外,還要加強數據安全專職部門的設立,提升話語權,保持合理的人員配備。將敏感數據進行資產化管理,建立分類分級制度、采用自動化識別跟蹤技術形成敏感數據清單,將敏感數據的異常分布與流動進行安全事件處置,對于敏感數據的訪問行為增加身份認證和敏感行為審計等環節。
加強對合作伙伴的管理,建議采用數據安全能力評級和考核制度,降低數據擴散風險,以合作合同條款方式指明在數據安全方面的違約條款與責任。
建設立體的數據安全防護體系。例如,在數據泄露案例中,將數據泄露到外網存在多種途徑,并且涉及數據不同環節的風險,單一技術手段無法覆蓋所有主要途徑。建議基于不同途徑選擇各領域最優技術搭建數據安全立體防御,以基于實戰總結的經驗作為數據保護技術手段的有效性評估標準。
