日前,在第四届全球工业互联网大会——网络和数据安全论坛期间,由工业和信息化部网络安全产业发展中心(工业和信息化部信息中心)牵头组织编制的《数据传输安全白皮书》(以下简称《白皮书》)正式发布。
据介绍,本次《白皮书》编制工作主要基于当前形势研判,聚焦数字政府建设、数字金融、互联网等领域中数据传输安全典型应用场景,探讨了主要风险点与解决方案,展望了数据传输安全发展趋势,以期集聚产业优势资源,加强协同合作交流,为政府部门提供决策参考,共绘产业发展新图景。
《白皮书》研究认为:数据已成为关键生产要素,是数字经济创新发展的“石油”。与此同时,数据安全成为全球关注焦点,面临更多风险挑战。各行业各领域企业需要积极利用新技术不断提升数据安全保障能力。
《白皮书》从“形式和挑战”、“概念界定和范围”、“政策梳理”、“合规要点”、“数据政府应用场景”、“数字金融应用场景”、“互联网应用场景”、“趋势展望”等八个章节,阐述了近年来数据安全传输安全的趋势情况。
数据传输安全是指通过采取必要措施,确保数据在传输阶段,处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
在2021年9月1日正式施行的《中华人民共和国数据安全法》第一章第三条中,明确将数据定义为任何以电子或者其他方式对信息的记录;将数据处理定义为数据的收集、存储、使用、加工、传输、提供、公开等;将数据安全定义为通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
1.从管理方面入手
通过制定数据安全规则、开展员工安全培训等方式提升数据传输安全意识;明确规范操作流程,减少由人为操作失误而造成的数据传输安全问题。
2.从技术方面入手
利用加密技术对数据进行加密,保护传输的数据安全;利用身份鉴别技术确认传输节点身份,保证传输的节点安全;使用成熟的安全传输协议,保证传输的通道安全。
随着数字化浪潮席卷全球,各国政府逐渐意识到,数据已成为与国家安全和国际竞争力紧密关联的重要资源要素,对数据安全的认知已从传统的个人隐私保护上升到维护国家安全的高度。各行业各领域企业内生发展需求和外部合规要求激增,正在积极利用新技术不断提升数据安全保障能力。
1.从国家层面看
保障数据传输安全是保护数据安全,维护国家安全,保障数字经济健康发展,推动构筑国家竞争新优势的重要部分。
对国家安全而言,保障数据传输安全与国家公共服务、社会治理、经济运行、国防安全等方面密切相关,个人信息、企业经营管理数据和国家重要数据的流动,尤其是跨境流动,存在多种安全风险挑战;
对数字经济而言,随着新一轮科技革命和产业变革的加快推进,数据作为新型生产要素,有效促进数字基础设施发展与产业迭代升级,数字经济已成为我国经济高质量发展的新引擎,保障数据传输安全,已成为我国数字经济蓬勃发展的关键所在;
对国家竞争优势而言,发展数字技术、数字经济,加强数据治理,综合运用政策、监管、法律等多种手段确保数据安全和有序流动,是全球科技革命和产业变革的先机,是新一轮国际竞争重点领域,是构筑国家竞争新优势的重要因素。
保障数据传输安全已经为维护国家主权、安全和发展利益不可所缺的重要部分。
2.从企业层面看
保障数据传输安全对于保护企业数据安全,维护企业经济利益、竞争力以及持续经营能力有着重要意义。
在数字化转型大趋势下,数据已成为企业日常办公、生产经营、技术创新、战略发展等活动的基础,数据安全已成为数字企业健康稳定发展的基本保证。
目前,数据在传输过程中面临着传输主体多样、处理活动复杂、攻击手段升级、内部泄露频发等安全风险挑战。保障数据在传输过程中的安全性、完整性和可用性,对于维护企业业务连续性,保护企业竞争力、经济利益,确保企业安全转型和持续健康发展有着重要意义。
3.从个人层面看
保障数据传输安全对于保护个人信息安全,维护个人合法权益和人身安全有着重要作用。
在数字社会中伴随日常活动,会产生大量个人数据,反之这些数据也能反映个人活动的方方面面。保障个人数据传输安全,确保个人数据在传输过程中不被篡改、破坏、泄露、窃取和非法利用,关系到个人的隐私权、决定权、知情权、人格权等多种权利,甚至关系到个人财产和人身安全。
通过采取必要措施保护个人数据传输安全,能更加全面地保护个人信息安全,维护数字社会中个人的人格尊严和自由,保障个人合法权利、利益与人身安全不受侵害。
数据传输过程的数据加密,是确保数据传输安全最有效的技术之一。数据传输加密包括网络通道加密和信源加密,其中网络通道加密包括基于SSL和IPSEC协议的VPN技术,依托协议中的加密和认证技术,实现对网络数据包的机密性和完整性保护,满足移动办公接入、安全组网等需求。
信源加密会在数据流动之前先应用加密技术进行加密,在接收端对加密的数据进行解密。每一次两点之间的数据传输过程,都会有加密及解密的过程,一个数据到达目的地之前,可能会经过很多的传输链路,也会经历很多加解密的过程。
在线加密技术可以有效确保在网络传输过程的数据流是处于非明文状态,纵使被黑客拦截,也可以有效保障数据安全性,防止非授权用户的搭线窃听和入网,以及数据传输过程中被窃取和篡改。这是比较成熟的技术方案,但在实践应用过程,需要结合以下要点综合全面考虑环境部署。
1.数据机密性
数据传输过程的数据机密性,即传输的数据不能明文,这是数据传输安全最基本的要求。常见的数据加解密算法有以下几种:对称算法(国产算法SM1、SM4,国际算法DES、3DES、AES),非对称算法(国产算法SM2,国际算法RSA)以及哈希算法(国产算法SM3,国际算法SHA512)。
对称算法加解密优点是加密解密的速度快,适合于大量数据的加密;非对称算法的加解密效率低,一般也没有必须用于大量数据的加密,通常可以用于数据加密秘钥交换的加密。一般数据传输过程,采用TLS、SSH等加密协议,可以认为数据传输过程中数据保密性合规。
组织并不会使用单一的加密技术,往往会各类技术混合使用、互补优缺点使数据的传输更加安全。
2.数据完整性
数据传输过程的数据完整性,可以通过校验技术或密码技术来检测包括鉴别数据、业务数据、审计数据、配置数据、重要个人信息、网络数据等数据,确保数据正常传输、不掉包、传输过程未被篡改以及非授权访问。数据传输过程一般会通过协议来实现数据报文的完整性校验。如数据传输应用TLS、SSH协议,会通过MAC来校验,可以认为数据传输过程中数据完整性合规。
3.数据可用性
数据传输过程的数据可用性,主要为了保障对数据的持续访问以及当数据遭受意外攻击或破坏时,可以迅速恢复并能投入使用。具体包括为了避免网络设备以及通信线路出现故障时引起数据通信中断,针对关键链路采用冗余技术设计等手段增强数据访问的可靠性;为保障应用场景下的业务连续性,实现冗余系统的平稳及时切换,快速恢复运行,尽可能减少数据传输的中断时间,例如通过磁盘阵列、数据备份、异地容灾等手段,以规避硬件故障、软件故障、环境风险、人为故障、自然灾害等风险,确保合法用户可以对信息和资源的顺利使用。
《数据安全法》已于2021年9月1日正式落地施行,数据安全产业进入了高速发展期,已经成为保障数字经济健康发展的基石。面对数据传输安全层出不穷的应用场景,机遇和挑战并存。充分发挥数据规模和数据应用优势,更好释放数据红利,加强数据安全监管,营造安全有序的市场环境。
趋势展望:
1.战略高度和重要价值
提升对数据传输安全重要意义的认识,聚焦数据传输环节,规范数据处理活动,保障数据安全,促进数据资源的高效开发利用和安全有序流动。
2.顶层设计和体系建设
推动业务与安全体系深入融合,基于业务特点,跨部门统筹做好数据分类分级,建立层次清晰、职责明确的安全合规体系,全面落实个人信息保护与数据安全等责任义务。
3.技术应用和需求牵引
保障关键信息基础设施相关产业链供应链安全稳定,加强数据传输安全需求方建设经验实践的分享交流,打造分领域分行业案例库策略库。
4.监管审计和培训考核
关注数据跨境传输等监管新规,深入研究并探索制定可执行可落地的行业监管审计标准指南,鼓励相关行业企业加强合规培训,增强数据传输安全保护责任意识。