7
月 29 日,在第四届全球工业互联网大会的网络和数据安全论坛上,《数据传输安全白皮书》(以下简称《白皮书》)正式发布。《白皮书》由工业和信息化部网络安全产业发展中心(工业和信息化部信息中心)牵头组织编制,清华大学互联网产业研究院是参编单位之一。
数据是数字经济时代的重要生产要素,数据的安全性至关重要。《数据安全法》指出要保证数据处理的全过程安全,包括数据的收集、存储、使用、加工、传输、提供、公开等过程的安全。数据传输安全作为数据全生命周期安全的关键环节,对于保障数据整体安全有着重要的意义。《白皮书》聚焦数字政府、数字金融、互联网等领域中数据传输安全的典型应用场景,从理论和实践两方面探讨了数据传输的安全风险和解决方案,并展望了数据传输安全的发展趋势。《白皮书》为促进数据安全产业高质量发展、推动产业数字化转型夯实了基础。
数据传输安全
是指通过采取必要措施,确保数据在传输阶段处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
从管理方面入手
通过制定数据安全规则、开展员工安全培训等方式提升数据传输安全意识;明确规范操作流程,减少由人为操作失误而造成的数据传输安全问题。
从技术方面入手
利用加密技术对数据进行加密,保护传输的数据安全;利用身份鉴别技术确认传输节点身份,保证传输的节点安全;使用成熟的安全传输协议,保证传输的通道安全。
国务院于 2022 年 6 月 6 日发布的《国务院关于加强数字政府建设的指导意见》强调了数字政府是数字中国的重要组成部分之一,是顺应历史趋势的必然选择以及战略选择。数字政府以数据为关键驱动,提供宏观层面更精准、更有效、更实时的决策分析支撑。数字政府的建设,是政务管理的数据化转型,涉及到各部门协同组织关系的变革,重点在于数据管理部门。目前不少省份组建了大数据局,负责承建省市的政务云系统及政务网络建设。政务网作为独立的专网环境,大量的政务数据高频流通,涉及到民生各个方面的数据,如人口信息、家庭信息、婚姻信息、学籍管理、交通管理、资产管理等。因此,政务专网的数据传输安全、端口安全尤其重要。
数字政府安全保障体系必须采用严格的数据安全技术措施来保证数据在传输过程的保密性,如通过数据加密、去标识化、数据脱敏、安全通道等技术措施。在数字政府网络区域边界进行有效的访问控制管理,删除多余或无效的访问控制规则,具备根据回话状态信息识别数据流进行有效控制管理的能力。在网络节点监控网络攻击行为,对恶意代码进行检测和清除,部署安全审计设备。针对可开放且非涉密的数据,应建立从业务专网至电子政务网的高效传输机制,并通过数据安全通道等技术措施来保障数据传输过程中的安全性,进一步构建协同高效的政府数字化履职能力体系。
数字政府中的数据传输安全场景及解决方案详见报告正文。
中国人民银行于 2021 年 2 月 9 日发布了《金融数据传输能力发展指南》,从数据保护和金融数据分类等方面规范了金融数据传输安全的要求。不同级别的金融数据应具备不同的安全保护能力,而相对应的数据传输策略也会有所不同。依据影响对象和影响程度这两个标准,该指南将金融数据的安全级别从低到高分为 5 个等级。
金融行业应建立数据传输安全监控机制,覆盖数据全生命周期,对数据传输安全策略进行监控,并适时优化调整来保证数据传输的可用性以及数据传输安全策略的有效性。基于实际的工作重点建立数据传输安全策略,釆用数据加密、去标识化、安全通道等技术措施。如:当遇到公共网络传输的场景时,应采用安全通道、数据加密、去标识化等安全技术措施进行传输,保障数据传输过程中数据的保密性和安全性;对于支付账号等敏感信息,应根据《中国金融移动支付 支付标识化技术规范》的规定,采用使用支付标记化技术等安全传输技术控制措施来进行脱敏处理,来保证数据传输的保密性;对于高级别数据要通过数据加密(加密方法或者加密协议)、过滤等安全传输保障手段来保证数据的保密性和安全性等。
数字金融中的数据传输安全场景及解决方案详见报告正文。
