本文来自微信公众号“网络安全和信息化”,作者:中国人民银行太原中心支行 李子鸣。
2020年3月30日,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》正式公布,首次明确数据成为五大生产要素之一。数据作为数字经济的关键生产要素已成为共识。2021年9月,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式实施,这是我国出台的第一部有关数据安全的法律,为我国全面加强数据安全治理提供了坚实的法律基础。该法律第二十七条规定:“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。”因此,开展数据处理活动的主体应全面加强数据安全管理,实施数据全生命周期安全保护,从管理与技术两个维度,全方位提升数据安全防护水平。
完善主体组织架构,健全数据安全管理制度
数据安全组织保障与制度保障是确保数据安全防护机制有效落实和严格执行的基石,数据处理活动主体应明确数据安全组织架构、主要负责人担负的主体责任,建立包含领导层、执行层、监督层的管理体系,制定数据安全管理办法,规范工作规程,健全监督评价机制,明确各层级数据管理职责和职能,从数据采集、存储、传输、使用、删除、销毁等数据全生命周期各个环节,规范管理流程与防护要求,使数据安全保护工作的组织和落实有章可循。
落实数据安全分类分级机制,精细化数据安全管理
根据《数据安全法》关于数据分类分级保护有关规定,数据处理活动主体应加强对重要数据的保护,针对所拥有的数据在遭到篡改、破坏、泄露或者非法获取、非法利用时,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,建立数据分类分级标准,制定重要数据目录,全面梳理信息系统中的各项数据,并逐一依照标准与目录开展数据定级,为精细化数据安全管理奠定基础。在数据安全生命周期管理期间,针对数据安全级别高、重要性高的数据,采取数据密码技术、脱敏技术、访问控制、水印技术等措施,确保数据安全,防范数据泄露。
强化应急管理机制,提升突发事件处置能力
当前,勒索病毒、钓鱼邮件等高风险安全事件频发,会破坏、窃取、锁控各类数据,造成严重影响。针对这些数据安全风险事件,数据处理活动主体应完善应急预案体系,明确细化发生勒索病毒、钓鱼邮件等风险场景时的应急处置流程。开展常规式和突击式等多种形式应急演练,以真实模拟的方式,检验各类风险场景发生时,风险识别、应急响应、故障处置的能力,不断提升应对数据安全突发事件的水平。
构建多层级信息系统数据备份机制,防止数据丢失损毁风险
依据信息系统业务连续性保障需求,按照务实高效、循序渐进的方式,以数据同步为主,存储同步和应用同步为辅,建立数据中心业务连续性保障体系。保障体系可分为三个层级,分别是基础级、高可用级和持续保护级。基础级为第一层级,是业务连续性保障体系的基础,起到“兜底”的作用,根据信息系统备份策略,采用备份一体机对信息系统实现操作系统级的定时备份,一旦出现故障,可短时间内恢复至备份时的状态。高可用级为第二层级,在主机方面采用云化平台HA高可用技术,当主机出现故障之后,自动迁移至其他主机运行,减小故障影响范围,缩短业务影响时间,保证生产持续运行。在存储高可用性方面,采取分布式存储与集中式存储相结合的方式。分布式存储采用多节点、多副本、高可用机制,分担存储负荷,当其中一部分节点因网络或硬件故障发生宕机时,分布式存储内部将启动切换机制,整体不影响客户端的读写请求,保障存储副本间的一致性、可用性和分区容错性。集中式存储使用存储虚拟化技术,采用两套存储及存储网关,通过镜像双写构建统一的存储池,为上层主机提供存储资源。持续数据保护级为第三层级,用于业务连续性保障要求较高的情形,运用持续数据保护(CDP)的字节级数据复制技术,提供数据级别持续保护,实现对数据文件的实时备份。
在此基础上,开展应对勒索病毒和钓鱼邮件网络攻击的模拟演练,以实战的形式检验所有员工在发生数据安全事件时的应急处置能力,进一步增强全员数据安全防护意识。
建立基于网络流量的监测体系,防范网络攻击风险
建设基于网络流量的网络安全态势感知平台,通过采集汇聚网络内部各个方向的流量数据,运用规则策略语义分析、访问频率限制、机器学习、大数据智能分析等技术,对网络流量数据进行解码还原,深度分析安全风险,识别记录漏洞利用、跨站脚本、SQL注入等各类网络攻击行为,并及时阻断和追溯源头,实现数据安全事件的监测和预警。
网络安全态势感知平台具有安全感知、深度分析、流量溯源、取证等功能,可以有效提高数据安全监测分析能力,提升数据安全事件事前、事中威胁感知能力和事后回溯分析能力,帮助数据处理活动主体快速发现数据安全威胁,及时响应数据安全事件,提升数据安全应急处置能力,有效防范各类网络攻击。
部署终端安全管控系统,守护好数据保护的末端门户
终端是实现大部分业务操作的工具,但终端安全管理往往面临着数量庞大、耗时耗力、“按下葫芦起了瓢”等难题,致使终端容易出现木马病毒感染、数据泄露、漏洞利用、非法外联等安全风险问题。对此,部署终端安全管控系统,集成防病毒、安全策略分发、准入控制、防数据泄露、外设管控等功能于一体,实现全网终端统一、安全、高效的管理,是较好的应对措施。通过防病毒模块实现终端木马病毒实时查杀;制定终端安全加固策略并强制分发运行,统一实施终端操作系统强口令策略、屏幕保护策略、关闭高危端口策略等防护措施,大幅提升终端安全配置效率;定期推送安全补丁,修补系统漏洞;实行白名单准入控制,防范非授权、不符合条件的终端入网;及时监测和阻断终端违规外联行为,防范泄密风险;运用防数据泄露模块,加强敏感信息文档的审批与流转,阻止敏感信息非法传播与泄露;加强对移动存储介质等外设的管理,防止数据泄露与病毒传播。
统一运维管理标准,防范信息化外包运维风险
专业的人做专业的事。数据处理活动主体更愿意将各类信息化项目外包给专业的技术企业,但同时也会引入外部人员,存在数据泄露风险。因此,一方面应加强信息化外包运维管理,明确管理制度与流程,统一标准,严格执行信息系统运维事前审批,强化事中监督控制和事后审计。另一方面,建设安全运维管理平台,记录所有运维操作步骤与内容,实现日常运维全过程管理,确保运维操作的可追溯性。在使用时,为每一位外包人员建立独立账户,根据具体工作职责分配最小合理的操作权限,设置强身份认证策略,确保合法用户使用;配置高风险操作命令库,及时预警高风险操作,防范因操作不当而导致的数据丢失、数据泄露、数据异常改动等风险。同时,运用日志审计分析系统,收集信息系统操作系统、数据库、中间件等日志信息,妥善保存至少6个月。在此基础上,运用大数据技术对日志信息进行分析,集中展示信息系统运行异常现象和风险趋势,提高故障定位和问题处置的效率。
加强安全教育培训,牢固树立数据安全防护意识
针对当前勒索病毒、钓鱼邮件等新型严重危害数据安全的攻击行为,应面向全体员工举办数据安全防护专题培训,通过案例分析、实操演示等直观易懂的方式,使每位员工掌握防范勒索病毒和钓鱼邮件的基本技能,增强全员数据安全防护意识。同时,还应强化网络安全管理员专项技能培训,通过组织专业网络安全服务企业进行全面系统的网络安全技能专项培训,提升网络安全管理员识别风险、应对风险、保护数据安全的能力。
来源:《网络安全和信息化》杂志