近日��,工業(yè)和信息化部正式印發(fā)《電信和互聯網行業(yè)提升網絡數據安全保護能力專項行動方案》(以下簡稱《行動方案》)�,將在行業(yè)內部署開展為期一年的提升網絡數據安全保護能力專項行動��,并明確提出在今年10月底前���,完成全部基礎電信企業(yè)、50家重點互聯網企業(yè)以及200款主流APP的數據安全檢查���。
那么��,此次政策出臺的背景是什么��?本次行動又主要涉及哪些方面���?對于相關行業(yè)將產生哪些影響?近日����,科技日報記者走訪了業(yè)內專家。
數據安全不是孤立的問題
“數據和數據安全一直伴隨著人類的生活���。從古至今���,個人���、家庭����、團體、政府對于自己感興趣的數據都有收集和記錄�,對于數據安全也有自己的分級認定?��!背V菪畔⒙殬I(yè)技術學院院長周勇說��,各國政府都有相關的數據安全和網絡安全保護法���,我國也早就出臺了《網絡安全法》《互聯網信息服務管理辦法》《電信和互聯網用戶個人信息保護規(guī)定》等法律法規(guī)。
無錫永中軟件有限公司總經理談輝認為�����,“在大數據時代��,數據已經成為了資產和金礦���,企業(yè)通過大量收集數據����,建立模型�,進行分析和預測����。數據過度采集和濫用的情況普遍存在��,個人信息泄露現象嚴重����,特別是隨著4G的使用和手機應用的極大普及,個人變成透明人的趨勢越來越明顯�����,從姓名電話到食衣住行等生活和消費軌跡在網絡中均有跡可循”����。
“我們國家歷來高度重視數據安全問題,在《網絡安全法》立法中就有相關的內容�����,今年新推出的等級保護2.0標準中也明確了個人信息保護的內容�����;中央網信辦出臺了《數據安全管理辦法(征求意見稿)》,各地方政府也陸續(xù)出臺了一些相應的管理規(guī)范����,例如天津市互聯網信息辦公室發(fā)布了《天津市數據安全管理辦法(暫行)》�����?!闭勢x說。
在周勇看來�,數據安全不是孤立的問題,數據安全也涉及到網絡安全���、軟件安全���、數據庫安全、電腦操作系統安全��,以及容災備份等���。這次工信部頒布的《行動方案》���,是對以往網絡數據安全保護法律法規(guī)的升級、執(zhí)行力度的加強、以及數據安全保護技術創(chuàng)新的推進����。具體講,就是從法律法規(guī)�����、技術手段��、流程制度�����、政府監(jiān)管����、社會意識等方面加強和提升數據安全的保護。
數據安全要有明確的標準和定義
記者了解到���,此次《行動方案》中指出��,2019年10月底前完成全部基礎電信企業(yè)���、50家重點互聯網企業(yè)以及200款主流APP數據安全檢查。從這一舉措來看,目前主要覆蓋基礎電信通話和網絡接入數據�����、互聯網用戶行為數據�����、移動應用數據等�����,核心目標是保護消費者的網絡數據安全權益�。
“這次《行動方案》可以解讀歸納為以下幾個方面:進一步完善網路數據安全制度標準���,開展數據安全評估��,強化數據安全保護管理制度和流程����,創(chuàng)新推動數據安全技防能力的建設��、監(jiān)督和宣傳��。”周勇說�。
什么才算數據安全?周勇認為����,數據安全要有明確的標準和定義。當然數據安全不是絕對的�����,而是相對的����。同樣的數據對于提供者和使用者可能具有截然不同的安全理解。數據安全應該有級別的定義��,這項工作需要政府專業(yè)部門來做���。所以本次《行動方案》明確將推動出臺行業(yè)《網絡數據安全標準體系建設指南》�,加快完善行業(yè)網絡數據安全標準體系�����;制定出臺行業(yè)重要數據識別指南���、網絡數據安全防護等重點標準�,遴選企業(yè)開展貫標試點;指導中國通信標準化協會成立網絡數據安全標準專項工作組�,加快推動網絡數據安全相關標準制定工作。
周勇說��,數據保護是否合理合規(guī)等��,需要企業(yè)自我評估����,更需要專業(yè)的第三方機構評估���、政府專管部門評估�����,甚至跨部門的聯合評估����。這樣做的目的就是在法律法規(guī)的層面上對企業(yè)數據安全事故提前進行預判和防范����,防止數據安全事故的發(fā)生���。
周勇表示,數據安全管理必須要有“清單式”管理機制���。要有專部門���、專人、專職負責數據安全�����。數據訪問權限�、數據訪問記錄、數據容災備份等安全技術需要全部落實到位��。
除了標準建設��,周勇提出�,技術手段也是保護數據安全的關鍵,尤其是不斷推陳出新的技術手段���。只有采用先進的技術手段�,才能對數據安全漏洞進行定期的自動化監(jiān)測����,并及時發(fā)現問題�����。技術手段防護也體現在數據防攻擊�、防竊取���、防泄漏��、數據備份和恢復等方面���。當然���,要做好這方面的工作��,一要大力加強數據安全保護技術的研究工作�,二要培養(yǎng)這方面的專業(yè)技術人才��。同時����,數據安全保護需要政府監(jiān)管��,也需要社會監(jiān)督���。廣泛宣傳數據安全的重要性,喚起全社會對數據安全的認知�����,才能更好的堵塞數據安全漏洞�,避免出現數據安全事故發(fā)生。
工業(yè)互聯網企業(yè)應足夠重視
專家介紹��,本次《行動方案》將企業(yè)網絡數據安全責任落實情況��、數據安全合規(guī)性評估落實情況作為重點內容����,納入2019年網絡信息安全“雙隨機一公開”檢查和基礎電信企業(yè)網絡與信息安全責任考核檢查,對違法違規(guī)行為及時采取約談�、公開曝光、行政處罰等措施����,將處罰結果納入電信業(yè)務經營不良名單或失信名單。
因此����,在瀚云工業(yè)互聯網研究院副院長鄔明罡看來���,盡管本次專項行動關注的更多是消費互聯網,但隨著工業(yè)互聯網和產業(yè)互聯網的發(fā)展���,越來越多的設備和機器數據上傳到云端�����,也會產生相應的安全問題�����。例如��,數據泄露導致企業(yè)關鍵信息泄露���,或者在沒有經過用戶同意的情況下濫用設備的數據從事其他商業(yè)活動�,其后果有可能比消費互聯網的網絡數據泄露更為嚴重。
鄔明罡認為�����,對于工業(yè)互聯網行業(yè)和企業(yè)來說,也要有相應的應對機制�����。尤其是要制定工業(yè)互聯網行業(yè)關鍵數據目錄��,類似于《行動方案》的做法�����,對數據進行分級管理���,例如要明確哪些數據不能上云�����,哪些數據可以在一定條件下上云�,哪些數據可以直接上云����,讓使用方也打消疑慮,通過制定相應的管理制度和認證規(guī)則����,讓企業(yè)有標準可依����。
同時���,鄔明罡強調�,還要建立工業(yè)互聯網行業(yè)數據安全公共服務平臺��,提供風險監(jiān)測�����、技術技能�����、測試認證����、教育培訓等服務,幫助工業(yè)互聯網企業(yè)快速建立安全風險管控能力��,以及加速完善企業(yè)內部安全管理體系���,包括指定專人負責數據安全�,督促協調企業(yè)內部各相關主體和環(huán)節(jié)嚴格落實操作權限管理����、日志記錄和安全審計、數據加密����、數據脫敏、訪問控制��、數據容災備份等數據安全保護措施����。
周勇還提醒,這次《行動方案》會影響到所有擁有用戶敏感信息的單位和企業(yè)��,尤其會影響到擁有大量用戶信息的電信企業(yè)和互聯網企業(yè)����。但是,這次行動會大大促進各個單位和企業(yè)對數據安全保護的認識�,同時也給高校和科研機構提出了如何創(chuàng)新性研究數據安全技術的新課題,高校更需要培養(yǎng)出高質量的數據安全應用型人才���。(來源:科技日報)
