網(wǎng)絡安全等級保護制度下的數(shù)據(jù)安全研究

李尚號，王 勇

(公安部網(wǎng)絡安全等級保護評估中心，北京 100142)

0 引言

隨著信息技術的廣泛應用，網(wǎng)絡空間逐步成為人類生產生活的重要場所，數(shù)據(jù)作為人類在網(wǎng)絡空間中的行動痕跡，蘊含了豐富的信息。數(shù)據(jù)中所承載的價值對于國家穩(wěn)定、社會秩序、個人利益具有重要影響。核心數(shù)據(jù)更是已成為各國的戰(zhàn)略資產。根據(jù)《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》顯示，截至2023年6月，我國網(wǎng)民規(guī)模達10.79億，互聯(lián)網(wǎng)普及率達76.4%。我國人口基數(shù)大、互聯(lián)網(wǎng)普及率高的基本國情勢必會帶來網(wǎng)民數(shù)據(jù)體量大、數(shù)據(jù)安全保護工作難度高等挑戰(zhàn)。

2021年《數(shù)據(jù)安全法》和《個人信息保護法》相繼頒布實施，代表著我國現(xiàn)行數(shù)據(jù)安全頂層法律法規(guī)日趨完善[1]，我國數(shù)據(jù)安全保護工作重心逐步從頂層立法向落地執(zhí)行轉移?！稊?shù)據(jù)安全法》規(guī)定信息系統(tǒng)進行數(shù)據(jù)處理活動，首先要遵循網(wǎng)絡安全等級保護制度，強調了網(wǎng)絡安全與數(shù)據(jù)安全的關聯(lián)關系和內在邏輯。

網(wǎng)絡安全等級保護制度是中國目前體系最完整、技術最成熟、接受度和認可度最高、執(zhí)行力度最強、覆蓋范圍最全面的國家網(wǎng)絡安全基本制度體系，是《網(wǎng)絡安全法》和《數(shù)據(jù)安全法》等國家網(wǎng)絡安全多項法律明確要求施行的，為保護數(shù)據(jù)和個人信息安全做出了重要貢獻。但是網(wǎng)絡安全保護制度以系統(tǒng)為定級對象，更加注重系統(tǒng)整體的網(wǎng)絡運行安全，對于數(shù)據(jù)的關注相對不足[2]。同時，等級保護中對于數(shù)據(jù)的保護偏向于傳統(tǒng)的靜態(tài)安全，未對于數(shù)據(jù)的全生命周期安全提出有效要求。面對新形勢下數(shù)據(jù)安全發(fā)展的新要求、新挑戰(zhàn)[3]，如何應用好網(wǎng)絡安全等級保護制度對其進行全面保護是當前數(shù)據(jù)安全工作的重點。

1 網(wǎng)絡安全等級保護與數(shù)據(jù)安全現(xiàn)狀

在《網(wǎng)絡安全法》頒布實施后，為了滿足新形勢下對網(wǎng)絡安全的要求，網(wǎng)絡安全等級保護相關標準也隨之修訂，形成了以《網(wǎng)絡安全等級保護基本要求》(以下簡稱《基本要求》)[4]和《網(wǎng)絡安全等級保護測評要求》(以下簡稱《測評要求》)[5]為核心的等保2.0標準體系。《基本要求》對數(shù)據(jù)的完整性、保密性、備份恢復和個人信息保護等提出了具體要求，《測評要求》則規(guī)定了相關數(shù)據(jù)保護有效性的檢驗手段。

通過近幾年的實施，等保2.0標準體系在我國網(wǎng)絡安全和數(shù)據(jù)安全保護工作中發(fā)揮了巨大作用[6-7]，但是隨著數(shù)據(jù)安全保護工作的深入，《基本要求》中的相關內容已無法滿足數(shù)據(jù)采集、傳輸、存儲、處理、交換和銷毀全生命周期的安全要求，迫切需要建立一套完整的數(shù)據(jù)安全保護方案。

為落實《網(wǎng)絡安全法》《數(shù)據(jù)安全法》和《個人信息保護法》中對數(shù)據(jù)安全的保護要求，延續(xù)并完善網(wǎng)絡安全等級保護制度，公安行標《網(wǎng)絡安全等級保護數(shù)據(jù)安全基本要求》《網(wǎng)絡安全等級保護數(shù)據(jù)安全測評要求》相繼立項，按照數(shù)據(jù)全生命周期規(guī)劃四個等級的安全保護要求和測評要求。等級保護數(shù)據(jù)安全系列標準相互配合，對構建等級保護數(shù)據(jù)安全測評體系、掌握我國數(shù)據(jù)安全狀況和防護水平、促進國家數(shù)據(jù)安全保障能力全面提升，具有重大意義。

2 數(shù)據(jù)安全保護工作流程分析

《網(wǎng)絡安全法》從系統(tǒng)運行安全、網(wǎng)絡信息安全角度提出了數(shù)據(jù)管理要求，管理對象側重個人信息和關鍵信息基礎設施收集產生的數(shù)據(jù)，管理范圍側重數(shù)據(jù)采集、存儲等環(huán)節(jié)。《數(shù)據(jù)安全法》在此基礎上作了進一步擴充，將任何以電子或其他方式記錄的信息，全方面、全流程地納入數(shù)據(jù)安全保護范疇。因此《數(shù)據(jù)安全法》是對《網(wǎng)絡安全法》的補充和延續(xù)，是網(wǎng)絡安全保護工作的繼承和發(fā)展。

據(jù)統(tǒng)計，網(wǎng)絡安全事件中大約有70%的比例是為了獲取或者破壞其中的數(shù)據(jù)。網(wǎng)絡安全的最終目的是保護數(shù)據(jù)安全，數(shù)據(jù)安全依賴于維護網(wǎng)絡安全，數(shù)據(jù)安全與網(wǎng)絡安全是一體兩面、不可分割的，因此網(wǎng)絡安全保護工作和數(shù)據(jù)安全保護工作具有深度耦合的基礎。

通過上述分析不難看出，數(shù)據(jù)安全保護工作并不是獨立存在的，而是應該與網(wǎng)絡安全等級保護工作緊密結合、同步開展。網(wǎng)絡安全等級保護工作包括定級、備案、安全建設整改、等級測評和安全檢查五個主要環(huán)節(jié)[8]，與此對應數(shù)據(jù)安全保護工作也應當按照定級、備案、安全建設整改、數(shù)據(jù)安全測評、安全檢查五個階段開展工作。如此不僅可以充分發(fā)揮網(wǎng)絡安全等級保護制度的經驗優(yōu)勢，快速推進數(shù)據(jù)安全保護工作，還能夠最大程度地減輕企業(yè)合規(guī)工作壓力，進而促進等級保護工作的良性循環(huán)。

3 數(shù)據(jù)安全保護工作具體實施

為確保等級保護工作與數(shù)據(jù)安全保護工作能夠緊密結合、同步開展，本文將按照數(shù)據(jù)安全定級、數(shù)據(jù)安全備案、安全建設整改、數(shù)據(jù)安全測評、安全檢查五個關鍵動作，分析數(shù)據(jù)安全保護工作與等級保護工作同步實行的必要性與可行性，并提出具體實施方法。

3.1 數(shù)據(jù)安全定級

數(shù)據(jù)的收集、處理、存儲都依賴于所屬的信息系統(tǒng)，因此數(shù)據(jù)定級工作應當隨信息系統(tǒng)定級同步開展。與等級保護系統(tǒng)定級類似，確定數(shù)據(jù)等級時應考慮數(shù)據(jù)泄露、破壞對公民、法人和其他組織的合法權益，社會秩序、公共利益，國家安全造成的侵害程度，并將信息系統(tǒng)的數(shù)據(jù)級別作為信息系統(tǒng)保護等級確定的考慮因素。

不同于網(wǎng)絡安全系統(tǒng)等級的五個等級，數(shù)據(jù)按照其重要程度和影響程度，可分為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)三個等級。不同保護等級的信息系統(tǒng)能夠承載的數(shù)據(jù)級別不同，具體對照如表1所示。

表1 數(shù)據(jù)級別與網(wǎng)絡安全等級對照表

3.2 數(shù)據(jù)安全備案

數(shù)據(jù)安全備案應當在等級保護備案制度、標準、流程的基礎上擴充數(shù)據(jù)相關要求，完善目前現(xiàn)有的等級保護備案平臺，不增加工作流程負擔，只需增加數(shù)據(jù)基本信息、數(shù)據(jù)處理信息、數(shù)據(jù)安全情況的報送。通過數(shù)據(jù)安全備案使公安機關摸清定級系統(tǒng)的數(shù)據(jù)保護情況，掌握數(shù)據(jù)種類與量級。

數(shù)據(jù)安全責任單位依據(jù)相關標準規(guī)范開展數(shù)據(jù)識別工作，識別運營范圍內的數(shù)據(jù)類別、級別和相關內容，識別數(shù)據(jù)后邀請外部專家進行評審，確定最終數(shù)據(jù)識別結果。數(shù)據(jù)識別完成后，數(shù)據(jù)安全責任單位通過等級保護備案平臺向公安機關申報備案，提交備案材料等待公安機關審核，需要備案的數(shù)據(jù)信息至少應包括表2中的內容。

表2 數(shù)據(jù)備案信息

公安機關應對數(shù)據(jù)信息和安全情況進行審核，通過審核的應當將備案結果與信息系統(tǒng)等級保護備案結果關聯(lián)。

3.3 安全建設整改

網(wǎng)絡系統(tǒng)在規(guī)劃、建設階段應充分考慮數(shù)據(jù)安全保護需求，在等級保護的基礎上，結合數(shù)據(jù)全生命周期不同階段的保護需求，設計數(shù)據(jù)安全保護方案，形成數(shù)據(jù)安全保護策略，構建數(shù)據(jù)安全保護體系。

數(shù)據(jù)安全責任單位應依據(jù)評估、檢查發(fā)現(xiàn)的安全問題及風險進行數(shù)據(jù)安全建設整改工作，根據(jù)數(shù)據(jù)安全相關標準規(guī)范，結合安全問題及實際情況，對相關風險點進行整改。整改完成后應對整改結果進行自評估，并將安全問題列表、整改方案及實施情況、整改結果和整改后殘余風險的處置情況等報送給公安機關。

3.4 數(shù)據(jù)安全測評

依托成熟完善的等級保護測評體系，在原有等級保護工作的基礎上增加數(shù)據(jù)安全測評內容，開展數(shù)據(jù)安全測評工作。數(shù)據(jù)安全測評工作包括調研、方案編制、現(xiàn)場測評、分析與報告編制四個階段，四個階段工作可與等級保護測評同步展開，也可根據(jù)需求開展單獨的數(shù)據(jù)安全測評。具體工作內容和流程如圖1所示。

圖1 等級保護測評與數(shù)據(jù)安全測評工作流程

(1)調研階段

在進行等級測評工作的同時，測評機構依據(jù)相關標準規(guī)范對數(shù)據(jù)安全開展測評，通過查閱相關資料、填寫數(shù)據(jù)調研表格、現(xiàn)場溝通調研等方式對信息系統(tǒng)的數(shù)據(jù)基本情況進行調研，形成數(shù)據(jù)資產調研表，調研表中應包括以下內容：

數(shù)據(jù)基礎信息：數(shù)據(jù)所屬單位信息、數(shù)據(jù)責任方信息、安全負責人信息。

數(shù)據(jù)基本信息：數(shù)據(jù)分類分級結果、量級、類型、范圍、存儲位置及期限、重要程度。

相關數(shù)據(jù)資產：相關設備、數(shù)據(jù)應用、管理軟件等信息。

數(shù)據(jù)處理情況：數(shù)據(jù)處理、流動、共享、銷毀等相關情況。

(2)方案編制階段

測評機構根據(jù)數(shù)據(jù)基本情況的調研結果，分析承載數(shù)據(jù)對象信息系統(tǒng)的業(yè)務流程，明確數(shù)據(jù)活動涉及的資產，確定本次測評的數(shù)據(jù)對象范圍，最終形成數(shù)據(jù)安全測評方案，方案中應對項目背景、測評對象、選用指標、測評方法、風險規(guī)避措施、工作計劃等進行詳細說明。

(3)現(xiàn)場測評階段

測評機構依據(jù)相關標準規(guī)范和測評方案抽選的測評指標對信息系統(tǒng)數(shù)據(jù)的采集、存儲、處理、傳輸、交換、銷毀等活動開展測評，通過現(xiàn)場訪談和核查、結合工具檢查的方式測評數(shù)據(jù)全生命周期活動中是否存在合規(guī)風險、安全風險，安全測評內容包括但不限于以下：

數(shù)據(jù)活動合規(guī)性：數(shù)據(jù)收集、存儲、處理、傳輸、交換、銷毀等活動是否符合相關法律法規(guī)要求，是否存在過度收集、數(shù)據(jù)濫用、跨境共享等相關行為。

數(shù)據(jù)管理活動：核查組織架構和數(shù)據(jù)管理人員配置的合理性，數(shù)據(jù)安全管理制度的完備性，數(shù)據(jù)安全管理流程的完整性，個人信息保護管理制度及措施的有效性等。

數(shù)據(jù)技術措施：數(shù)據(jù)的保密性、完整性、真實性相關保護措施是否有效，訪問控制及認證措施強度、密碼技術應用是否合理，數(shù)據(jù)活動的審計是否覆蓋全面，數(shù)據(jù)資產識別是否準確完備等。

(4)分析與報告編制階段

測評機構依據(jù)相關標準規(guī)范和現(xiàn)場測評結果對信息系統(tǒng)現(xiàn)有的數(shù)據(jù)安全措施進行分析，分析存在的安全風險并提出整改建議，得出數(shù)據(jù)安全測評結論，形成數(shù)據(jù)安全測評報告。

3.5 安全檢查

公安機關依法開展監(jiān)督檢查工作，依據(jù)國家相關法規(guī)對信息系統(tǒng)數(shù)據(jù)進行分類、分級合規(guī)性檢查，審查這些重要數(shù)據(jù)在采集、存儲、傳輸或使用上的安全性和合規(guī)性。對信息系統(tǒng)中的各類網(wǎng)絡安全威脅、信息系統(tǒng)脆弱漏洞環(huán)節(jié)等方面進行檢測，評估出業(yè)務信息系統(tǒng)的數(shù)據(jù)風險點和風險閾值，控制信息數(shù)據(jù)安全風險，消除數(shù)據(jù)安全隱患，實現(xiàn)數(shù)據(jù)安全的可知、可管、可控。

4 結論

網(wǎng)絡基礎環(huán)境承載數(shù)據(jù)和個人信息，數(shù)據(jù)和個人信息依托網(wǎng)絡基礎環(huán)境，維護網(wǎng)絡安全的目的是保護數(shù)據(jù)和個人信息安全，保護數(shù)據(jù)和個人信息安全有賴于維護網(wǎng)絡安全。網(wǎng)絡安全與數(shù)據(jù)安全相互依存、密不可分，數(shù)據(jù)安全保護工作與網(wǎng)絡安全等級保護工作同步開展具有內在邏輯與工作基礎，而脫離基礎環(huán)境和信息系統(tǒng)的數(shù)據(jù)安全保護工作將缺乏底層支撐與有力抓手。因此當前形勢下，將數(shù)據(jù)安全納入網(wǎng)絡安全等級保護制度是快速推進我國數(shù)據(jù)安全建設的有效手段。