網絡安全等級保護下數據安全治理

摘"要：網絡安全等級保護2.0系列標準是我國網絡安全領域的一項基本標準，也是各行業、各企業開展網絡安全建設的重要指導性文件。近年來伴隨著我國網絡安全建設步伐的加快，行業技術水平的進一步提高，網絡安全建設的重點及核心已越發側重于數據安全層面。

關鍵詞：網絡安全；等級保護；數據安全；DSMM

中圖分類號：D9"文獻標識碼：A""doi：10.19311/j.cnki.16723198.2024.13.062

1"我國網絡安全等級保護2.0的基本概念及數據安全要求

1.1"等保2.0基本概念

等保2.0全稱為《網絡安全等級保護2.0制度》，是國家市場監督管理總局于2019年5月10日發布的一項網絡安全基本建設要求。等保2.0標準體系中包含《信息安全技術網絡安全等級保護基本要求》《信息安全技術網絡安全等級保護測評要求》《信息安全技術網絡安全等級保護實施指南》三項核心標準。自頒布以來就成為各行業開展網絡安全建設的指導思想，同時也是履行網絡安全等級保護義務的重要標準。等保2.0體系按照重要程度的不同，劃分為1—5個不同等級，等級越高，代表防護要求越嚴格。

1.2"等保2.0對數據安全的基本要求

我國等保2.0體系在網絡安全建設要求層面集中于安全通用要求、云計算安全擴展要求、移動互聯網安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求。而在數據安全層面，等保2.0中一級到五級都有明確的建設指導，對于數據安全，主要側重于數據的保密性，完整性，數據的備份及恢復以及剩余信息保護和個人信息保護等方面。按照等級的不同，對于數據安全的要求也越發嚴格。以等保三級為例，組織必須采用相應的校驗技術或密碼技術來保證數據在傳輸過程中的完整性，保密性。還應建立相應的數據備份恢復機制，要求具備異地實時備份功能。重要的數據處理系統還必須具備熱冗余能力。而在剩余信息保護和個人信息保護層面，也有相應的明確規定。

2"DSMM數據安全管理成熟度模型

自我國《數據安全法》頒布以來，組織在進行數據安全建設的過程中，其防護工作的重點不能夠僅僅局限于數據庫層面，而是要關聯到數據生存周期的方方面面。根據數據安全能力成熟的模型（DSMM標準），數據資產與信息系統類似，都有著相應的生存周期。根據各個節點所表現特征的不同，可以將數據的全生命周期分為采集，傳輸，存儲，處理，交換6個不同的階段。而數據安全建設則是在數據全生命周期的基礎之上，對6個不同的節點采取相應的安全管理措施和安全技術措施，對數據資產進行保護。以達到等保2.0中對數據保密性，可用性，完整性以及數據恢復及備份等安全控制點要求。

3"基于等級保護2.0的數據安全治理體系建設

相較于傳統的網絡安全防護體系，數據安全在多個層面都有著明顯的差異性。傳統網絡安全講究在進行安全建設的過程中進行區域隔離，形成縱深防御體系，保障的整體的網絡安全。而數據安全則是以數據為核心，對數據資產進行分類分級，而后以數據流為主要脈絡保障業務最底層的數據的安全性。做到數據資產在安全合規的范圍內能夠得到最大化利用。

3.1"數據采集安全

數據采集是數據全生命周期的第一個階段，也是數據真正從0到1的過程。目前數據采集根據采集方式的不同可以分為自動化采集、半自動化采集、人工采集3種不同的類型。根據數據重要程度的不同，組織應該用合理的手段進行防護。

以等保2.0三級要求為例，對于價值較低的一般數據，組織可以采用日志記錄的方式對整個采集過程和采集細節進行審計和日志留檔。按照等保三級要求，日志存放的時間要求為6個月以上。

對于重要數據，在進行審計和日志記錄的基礎之上，還必須配合相應的人工審計措施進行二次審核。尤其是以自動化采集方式為主的組織，為確保采集的數據的可靠性，必須根據數據指標對采集的數據進行校驗，及時發現異常的數據項，防止數據污染。

對于核心數據，必須采用完備且嚴格的數據安全治理措施進行防護，比如數據庫審計、數據庫防火墻、數據防泄漏、數據脫敏等。在此基礎之上引入完整性校驗以及多因子身份校驗等手段進行防護。

無論數據的重要程度如何，組織都應定期定時對數據采集工作進行評估檢查，及時發現數據采集過程中的安全風險，建立健全數據采集風險閉環管控措施。同時，還要按照我國網絡安全四法一條例的要求，確保數據采集的方式、過程、目的合法合規，以規避法律風險。

3.2"數據傳輸安全

數據傳輸是一個非常關鍵的過程，因為目前大部分企業在數據傳輸的過程中都會接觸到公共網絡，數據泄露的風險較大。因此，在傳輸重要數據及核心數據時，整個傳輸流程必須配備具有較高可靠性的安全防護措施。而在防護技術的選擇過程中，加密保護技術是一種十分常見的技術手段。組織可以選擇國密SM2、SM3、SM4等加密算法對數據的傳輸過程進行加密。同時，根據等保三級要求，重要數據及核心數據在傳輸過程中，還應配備有身份校驗技術對數據傳輸源端和目的段的身份進行鑒別。還應配備日志審計設備和數據防泄漏設備對傳輸日志進行審計和保護。

3.3"數據存儲安全

目前數據存儲以關系型數據庫這種方式為主，具有較強的結構性及靈活性，因此數據庫是網絡安全防護的重中之重。按等保2.0要求，組織不同等級的數據資產，應采用符合其分級要求的安全防護措施。以等保三級為例，組織應采用數據加密、數據庫審計、數據庫防火墻、備份存儲一體機、數據校驗等安全產品來保障數據在數據存儲階段的保密性、完整性及可用性。尤其在備份層面，除了采用相應的技術手段外，還應定期進行數據備份及恢復的演練測試，確保備份機制的可靠性。

3.4"數據處理安全

數據處理階段大多指的是業務人員使用信息系統對數據進行各種業務目的下處理操作。按照等保2.0的基本要求，在該階段進行數據處理必須嚴格按照最小化權限原則的要求。即數據處理者只能在權限允許范圍內處理特定數據，嚴格按照僅處理必要數據的基本原則。同時處理行為也要進行審計及記錄，保障數據處理行為的合法合規性。為了實現這樣的要求，組織應采用數據脫敏、數據水印、數據防泄漏等技術手段。

3.5"數據交換安全

數據的交換主要指的是數據在多個不同的信息系統中共享流動以及數據的對外傳輸等。針對這種情況，組織應根據等保2.0要求建立數據的交換體系。在業務層面，應對數據共享可能會產生的不利影響進行分析評判。在技術層面，應根據要求對數據交換接口進行監控。嚴密審計數據交換行為，對于高危操作還應建立識別及防控機制。在管理層面，要制定數據交換的標準規范和審批流程，限定數據接口的屬性、數據交換技術的選擇等。同時數據的交換還應經過多個領導的層層審批。

3.6"數據銷毀安全

數據的銷毀是指數據對組織失去價值后，對數據進行銷毀處置并防止其恢復的過程。對于不同的存儲介質，組織應該用對應的刪除數據的技術和銷毀技術。在技術層面，目前主流的銷毀技術有邏輯銷毀、物理銷毀等。其中邏輯銷毀主要指的是采用低級格式化、扇區破壞、多次覆寫等手段。物理銷毀主要指的是消磁、焚燒、腐蝕等。按照等保2.0的要求，敏感數據的存儲介質在再次使用前必須要對原數據進行徹底清除。

4"基于等保2.0的數據安全治理優化策略

4.1"數據安全風險評估

數據安全風險評估是近幾年網絡安全行業的一個熱門話題，也是組織開展數據安全建設的第一步。相較基于20984標準的信息安全風險評估，數據安全風險評估有著本質上的不同，后者要更偏向于數據資產本身而非通信網絡或信息系統。組織開展數據安全風險評估，應按照特定的數據安全風險評估技術路線有序推進。第一步，應識別組織目前的關鍵業務及重要業務，以業務為范圍開展數據安全風險評估工作。第二步，對該業務范圍內的所有結構化數據、半結構化數據及非結構化數據進行梳理，形成統一的數全口徑數據資產臺賬。第三步，遵循行業優先的基本原則，對數據資產進行分類分級并進行賦值。由于我國數據安全起步較晚，目前僅有部分行業建立了數據分類分級標準，未能建立分類分級標準的行業，鼓勵組織在所在地區網信辦或行業主管部門的領導下基于通用性的標準制定符合要求的分類分級標準。第四步，開展數據安全威脅識別。與信息安全風險評估類似，數據安全威脅識別需分析判斷威脅的來源以及威脅影響到的數據資產及其生命周期，最終根據威脅發生的可能性、威脅的影響程度等維度對其進行量化賦值。第五步，開展數據安全脆弱性識別，脆弱性一般指的是組織自身所存在的弱點，比如安全防護不到位、系統漏洞、管理體系問題等。組織可以采用滲透測試、基線檢查、安全調研、文檔審核等多種手段識別數據安全脆弱性并根據脆弱性的嚴重程度、脆弱性的影響范圍等維度進行賦值。第六步，已有安全措施識別，安全措施是對數據安全風險能夠起到抑制作用的安全機制，可分為安全管理措施以及安全技術措施。組織需要識別數據生命周期六個關鍵節點所采用的技術措施以及管理措施，并根據安全措施的有效性對其進行權重賦值。最后一步，根據上述階段的成果，采用矩陣法、相乘法等方法對所有數據安全風險進行量化復制，劃分出風險等級，確定可接受風險以及需整改風險。

4.2"數據安全差距優化

組織完成數據安全風險評估工作后，應當根據風險等級對數據安全風險進行消缺控制。首先在技術層面，應對現有的技術防護體系進行優化升級。對部分老舊的設備進行更換升級，同時引入數據庫審計、數據庫防火墻、數據防泄漏、數據脫敏等數據安全產品。利用技術為抓手開展數據安全治理，促進技術防御體系的動態免疫。此外，還可以建立數據安全風險的態勢感知系統，對組織內部的所有數據安全風險進行監控防范。基于當下的安全情報，形成數據安全風險態勢，基于安全模型及時發現組織內存在的數據安全威脅、數據安全脆弱性并及時溯源威脅的源頭及路徑，提前防范數據安全風險的發生。在管理層面，要形成從規劃到制度、從制度到流程、從流程到記錄的四級管理體系。其中規劃層面，組織要成立數據安全的工作小組，明確組織數據安全組織架構。同時制定組織未來3年甚至5年的數據安全建設規劃，基于業務發展預測，同步建設數據安全防護體系。在制度體系層面，組織要形成一系列數據安全管理制度，明確數據安全責任到人。建立健全數據安全問責體系、保密制度等。在流程設計層面，數據資產的變動、數據庫的運營維護、信息系統的管理使用等都必須制定可行的操作流程，確保相應專員皆能夠按照制定好的操作流程開展相關作業，規避違規行為。在記錄層面，組織應配合制度體系以及流程體系，建立健全事件記錄。對所有運維人員、數據庫管理人員、系統操作人員等的工作行為以及相應的審計記錄進行記錄歸檔。對于組織單位的數據安全建設，管理體系與技術體系互為表里，不可或缺。缺乏了技術手段，管理體系就缺乏了工作開展的抓手。缺乏管理體系，技術體系也會失去應有的作用。因此，組織單位要摒棄唯技術論、唯管理論的極端理念，采用能夠滿足當下業務需求的安全技術和管理體系。

5"結語

本文基于等保2.0標準中的數據安全要求，分析了組織單位在開展數據安全治理的過程中所應遵循的要求。并以此提出了基于等保2.0標準的數據安全治理體系及治理優化策略。確保組織單位的數據資產能夠在合法合規的基礎上得到最大化的開發利用。充分發揮數據資產的共享性、價值性、時效性。

參考文獻

［1］何占博，王穎，劉軍，等.我國網絡安全等級保護現狀與2.0標準體系研究J信息技術與網絡安全，2019，38（3）：914，19.

[2]徐佳瑾，劉剛.網絡安全等級保護工作中的定級與備案W.2電子技術與軟件工程，2019，（16）：192193.

[3]徐震.網絡安全等級保護：從1.0到2.0J.保密工作，2019，（7）：6364.

[4]孫遠運.建立鐵路網絡空間安全治理新格局的實踐探索[J].鐵路計算機應用，2021，30（11）：14.

[5]劉愛嬌，孫越洋.深化公安改革促進網絡安全等級保護工作的思考[J].網絡安全技術與應用，2021，（5）：149152.

[6]于鋒，孫存福.夯實數據管理基礎，增強數據安全防控—探索后疫情時代的金融數據安全防控路徑[J].中國金融電腦，2020，（9）：1821.

[7]余入麗，馬先平，楊雅，等.通過信息安全等級保護提升信息系統管理水平[J].信息與電腦，2019，（7）：196197.

[8]陳天文，高洪臻.公共圖書館網絡安全等級保護工作要求及具體措施[J].河南圖書館學刊，2021，41（5）：911.