網絡安全和數據安全

       從狹義來說，網絡安全指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護，不因偶然的或惡意的原因遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠地運行，網絡服務不中斷，保障網絡信息的存儲安全，以及信息的產生、傳輸和使用過程中的安全。

       從廣義來說，凡是涉及網絡上信息的保密性、完整性、可用性、真實性、可控性的技術和理論，都是網絡安全的研究領域。所以廣義的網絡安全還包括設備的物理安全性，如場地環(huán)境保護、防火、防靜電、防水防潮、電源保護等。

       數據安全也有兩方面的含義：

       一是數據本身的安全。主要是采用現代密碼算法對數據進行主動保護，如數據保密、數據完整性、雙向強身份認證等。

       二是數據防護的安全。主要是采用現代信息存儲手段對數據進行主動保護，如通過磁盤陣列、數據備份、異地容災等手段保證數據安全。

       簡單來說，網絡安全偏向于“動態(tài)”安全，即信息系統(tǒng)和信息傳遞過程中的安全；而數據安全側重于“靜態(tài)”的數據自身安全狀態(tài)。在數據完整生命周期保護的角度，兩者既有交集，又有各自的偏重。


       數據安全的重要性

       隨著跨企業(yè)、跨行業(yè)、跨國別合作的模式變遷，數據的流轉使用越來越凸顯其價值。有價數據在生產、采集、存儲、加工、分析、使用等各個環(huán)節(jié)都面臨著嚴重威脅，屢屢發(fā)生的數據破壞、數據泄露事件，對社會和組織機構造成了一定危害。

       因此，國家對數據安全的重視程度也越來越高。2020年4月，中共中央、國務院發(fā)布《關于構建更加完善的要素市場化配置體制機制的意見》，將數據與土地、勞動力、資本、技術并列為生產要素。2021年9月，《數據安全法》正式實施，維護我國的數據主權。

       《數據安全法》要點梳理

       1、數據：任何以電子或其他方式對信息的記錄。

       2、保護要求：采取必要措施，對數據進行有效保護與合法利用，并持續(xù)保持其安全能力。

       3、關鍵行業(yè)：工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主要行業(yè)，要落地數據保護行業(yè)規(guī)范。

       4、分類分級：建立數據分類分級保護制度，對數據實行分類分級保護，并確定重要數據目錄，加強對重要數據的保護。

       5、風險評估：建立集中統(tǒng)一、高效權威的數據安全風險評估、風險報告、信息共享、監(jiān)測預警機制。

       6、應急處置：建立數據安全應急處置機制。

       7、安全審查：建立數據安全審查制度。

       8、出口管制：對屬于管制物項的數據依法實施出口管制，可根據實際情況對該國家或地區(qū)對等采取措施。

       9、數據收集：任何組織、個人收集數據，必須采取合法、正當的方式，不得竊取或以其他非法方式獲取數據。

       10、不履行規(guī)定保護義務：責令改正和警告，給予單位5萬至50萬元罰款，給予責任人1萬至10萬元罰款。拒不改正或造成大量數據泄露等嚴重后果的，給予單位50萬至200萬元罰款，最高責令吊銷相關業(yè)務許可證或營業(yè)執(zhí)照，給予負責人5萬至20萬元罰款。

       11、向境外提供重要數據的：責令改正，給予警告，可以并處10萬至100萬元罰款，對直接負責的主管人員和其他責任人員給予1萬至10萬元罰款。情節(jié)嚴重的，給予100萬至1000萬元罰款，責令停業(yè)整頓、吊銷相關業(yè)務許可證或營業(yè)執(zhí)照，對負責人給予10萬至100萬元罰款。

       數據安全，從看見數據現狀開始

       傳統(tǒng)的數據安全防護可以應對單一的業(yè)務系統(tǒng)數據，但隨著數據產業(yè)的發(fā)展變化，特別是在大數據、多業(yè)務構成的廣泛交互場景中，傳統(tǒng)數據保護顯現出了局限性。

       以全局數據安全的視角來看，重要數據廣泛分布在各業(yè)務系統(tǒng)和業(yè)務人員終端上，數據安全責任人想要看清：重要數據都有什么，都在哪里，主體是誰？數據的訪問控制和訪問權限是否符合要求？是否存在數據破壞及數據泄露的風險？

       只有看清重要數據、用戶賬號、訪問行為，才能進行具體的數據保護，落實《數據安全法》關于分類分級、風險評估、應急處置、安全審查、出口管制等的管理制度。

       企業(yè)機構需要在整體數據治理框架下，確定數據分類分級管理標準，對數據流動過程實現可視化管理，進而制定有效的數據安全保護策略，最終讓管理者看清數據安全的“十萬個為什么”：

       任何具體時刻，網絡中有哪些數據在流動，其中是否有敏感數據。

       任何具體時刻，有多少設備接入網絡，有多少用戶在使用網絡。

       用戶在訪問什么應用、什么業(yè)務、什么數據。

       哪些敏感數據被移動了，誰在使用、從哪臺設備使用、在哪個物理位置使用。

       哪些敏感數據有泄露風險，哪些用戶可能有風險行為。

       數據安全可視化，看得見才管得住

       安博通深耕網絡安全領域11年，具有自研的網絡安全可視化技術。在數據安全領域，形成了“元溯”數據資產監(jiān)測與溯源分析平臺，以“五維能力”架構，實現數據安全的可視化管理。

       針對企業(yè)核心網絡區(qū)域、關鍵業(yè)務應用的數據資產，對其在網絡中的傳輸過程和交互行為進行監(jiān)控審計，提取涉及到的用戶、設備、應用等要素并關聯分析，實時呈現數據資產在網絡中流動的全息視圖。

       數據流動可視讓安全管理清晰有界，數據溯源審計讓安全追溯更加簡單。安博通“元溯”為更多用戶提供數據深度可視、精準溯源取證、泄露違規(guī)監(jiān)測、數據合規(guī)管理等價值，為更多行業(yè)提供自上而下的數據安全治理方案。