诸子云·分享汇 | 首周直播实录
10月19日,“诸子云·分享汇”线上直播第二季正式拉开帷幕。
作为社群活动计划的重要环节,本季线上直播邀请百家智库首批专家作为分享嘉宾,围绕涵盖等保合规、数据安全、个信保护等共计20个主题,计划开展10场分享活动,共同探讨企业网络安全实践之热点、焦点、痛点、难点和要点。
本文即对第一周直播实况的回顾。本周共开展两场分享活动,公安部信息安全等级保护评估中心原副主任/研究员毕马宁,广州住房置业融资担保有限公司信息安全主管蔡培特,某私募单位安全和合规负责人赵锐,某企业信息安全专家林客四位专家分别进行了议题分享。
10.19
第一场
等保与关保关系之初探
毕马宁 公安部信息安全等级保护评估中心原副主任/研究员
《网络安全法》第二十一条提出“国家实行网络安全等级保护制度”;第三十一条规定了“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。
所以围绕等保和关保,《网络安全法》突出的亮点在于:1、提升了网络安全等级保护制度的法律地位2、强调了等级保护基础上的关键信息基础设施保护。
在《网络安全法》颁布之前,等级保护制度已由《中华人民共和国计算机信息系统安全保护条例》等行政法规确立其法律地位并开展实施,在等级保护1.0阶段(2007年-2015年),国家监管部门通过制度的推进整体提高了全国人民的信息安全意识,有效推动了网络安全在各个行业蓬勃开展,帮助运营使用单位梳理了信息系统、业务应用,按行业、分部门逐级明确落实信息安全责任,为构建国家网络安全保障体系打下坚实基础,有力保障了国家安全、公共秩序、促进了信息化发展。
随着新形势、新变化和新技术的涌现,特别是《网络安全法》的颁布,等级保护制度有了新干法,进入了2.0时代。当前我们主要面临的任务是全面实行网络安全等级保护制度,在等级保护的基础上重点保护国家关键信息基础设施,并加强以密码技术为基础的信息保护和网络信任体系建设。
围绕关键信息基础设施保护特点,等级保护的管理策略和技术标准发生了相应变化,从基本安全转变为相对安全。同时标准也发生了变化:对象范围扩大,分类结构统一,强化可信计算,强调密码使用。
从指导思想来看,等级保护2.0要求了从被动保护到主动防护,从静态保护到动态防护,从单点保护到整体防护,从粗放保护到精准防护。
所以等级保护和关键信息基础设施保护的关系是:等级保护是关键信息基础设施保护的基础,关键信息基础设施保护是等级保护当前的核心任务。等级保护进入2.0时代,不仅仅只是一次技术标准的变化,而是与时俱进的必然,等级保护和关键信息基础设施保护实际上是一个制度的两个阶段,等级保护制度2.0时代的开启,是具有里程碑意义的一件大事。
作为数字经济的核心生产要素,数据正成为经济转型和社会发展的新引擎,基于数据驱动的业务增长也正成为求发展的首要任务。等级保护和关键信息基础设施保护的核心就是保证数据安全,保证系统稳定运行,保证生产要素有序共享。
但是由于新技术、新应用的层出不穷,各项业务对信息系统的依赖越来越强,网络边界的逐渐消失以及人员不可信、设备不可控等原因,我们面临的安全威胁也日益严峻。大规模数据泄露事件的高发期已经到来,系统损毁导致业务中断的现实就在面前。
面对新威胁的解决之道是创建命运共同体,构建“社会共治”的良性生态关系。其中,合规是手段,合规不一定安全,但不合规肯定不安全;监管执法本身不是目的,核心目标是保护主体权益和国家安全;命令控制式的监管模式正在转向诱因激励式监管,否则,不仅对政府和企业意味着成本,也不利于产业快速发展和社会进步。
要创建命运共同体,构建良性生态关系需要具备创建新模式的新思维,主要包括互联网思维、法制化思维、等级化思维、零信任思维。
互联网思维:多元、开放、跨域、融合是互联网带来的颠覆性变化,充分共享是未来发展的保障。在这个过程中,共享是需要坚持的,不能因为安全问题就不敢共享,但同时要避免乱享。所以互联网思应该有两个维度,一是基于互联网的发展,二是看清互联网带来的威胁。
法制化思维:没有规矩不成方圆,但是在创新和发展过程中必须找到平衡。因为法律的原则性、宽泛性和滞后性可能会桎梏发展,所以我们要在不触及法律底线的前提下创造新的规则,法制化是构建生态的保障。
等级化思维:重要的东西收收好,等级保护带给我们最大的精髓并不是合规,而是培养等级划思维,知道哪些最应该保护好。通过等级化思维重构新的不同信任等级的网络体系,这个过程就需要零信任思维。
零信任思维:零信任不是不信任,而是从不轻信,始终验证。我们应该基于认证、授权、管理和审计,重构新的网络信任体系,无法证明被信任的就无法获得权限,这是零信任理念的核心。而要构建新的基于零信任的网络信任关系,密码技术提供了支撑。
等级保护、关键信息基础设施保护为我们的发展保驾护航,我们要在这个过程中,用互联网思维谋发展,以法制化思维为保障,用等级化思维划重点,最终通过零信任思维筑可信。
企业等保合规建设
蔡培特 广州住房置业融资担保有限公司信息安全主管
为什么要做等保?因为等级保护是我国信息安全的基本政策,通过等保可以合理规避网络安全与合规风险,也可以维护单位良好的形象。围绕等保合规建设实现安全管理体系化,是当下中国中小企业全面提升安全防护能力的必要路径和契机。对于中小企业来说,最常见的误区是:把等保测评当成“应试”和负担。事实上等保不是考试,不是为了应付,而是通过等保发现问题解决问题,提高信息系统的安全防护能力。等级保护不能只是为了应对合规,企业的安全建设必须和信息化系统建设实现深度融合,全面覆盖,从而构建创新的安全体系。
等保合规的痛点和难点,我认为主要集中在安全意识、资产管理混乱、缺乏专业人员、整改难度大整改周期长以及经费缺乏等几个环节。
我这里列举几个等保合规过程中常见的高风险判定项:
1.网络区域边界访问控制
标准要求:要求是应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。
判例场景:在网络架构上,重要网络区域与其他网络区域之间(包括内部区域边界和外部区域边界)无访问控制设备实施访问控制措施,例如重要网络区域与互联网等外部非安全可控网络边界处、生产网络与员工日常办公网络之间、生产网络与无线网络接入区之间未部署访问控制设备实施访问控制措施等。
适用场景:系统为2级及以上系统。
2.设备未采用多种身份鉴别方式测评项
标准要求:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
判例场景:1.关键网络设备、关键安全设备、关键主机设备(操作系统)通过不可控网络环境进行远程管理;2.设备未采用两种或两种以上鉴别技术对用户身份进行鉴别。
适用范围:系统为3级及以上系统。
3.应用系统安全审计措施缺失
标准要求:应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
判例场景:
1.应用系统无任何日志审计功能,无法对重要的用户行为和重要安全事件进行审计;
2.未采取其他审计措施或其他审计措施存在漏记、旁路等缺陷,无法对应用系统重要的用户行为和重要安全事件进行溯源。
适用范围:系统为2级及以上系统。
4、安全建设管理
标准要求:应要求开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。
判例场景:系统由外包公司开发,上线前未对外包公司 开发的系统进行源代码审查,外包商也无法提供相关安全检测证明,可判为高风险。
适用范围:系统为3级及以上系统。
《网络安全法》中提出了安全能力三同步原则:同步规划、同步建设、同步使用,为等级保护的建设提供了指导思想。所以我认为与安全能力三同步建设和策略匹配的合规,才是高效实现持续安全和动态安全的基础。
对于同步规划,企业要做好安全需求的分析,在建设初期从组织的职能或业务出发分析网络安全需求,形成需求说明书,并同步定义安全要求,确保安全需求说明书能够得到网络安全责任部门的前置认可;同时在规划环节我们要根据系统所承载的信息重要程度来预定安全等级。
同步建设包括立项/采购,建设以及上线/配置。我们需要先同步安全设计,基于网络安全要求来设计体系和结构,明确各类安全组件,说明组件提供的服务和可能实现的安全机制。同时开展详细的安全设计,根据安全等级来选择安全措施,并在系统中具体实现。建设阶段我们可定义安全基线,让开发根据基线来进行安全功能的开发。在上线/配置阶段,我们通过第三方安全服务对系统进行渗透测试、源代码审计、基线检查和漏洞扫描,帮助我们尽快发现系统存在的问题,并及时进行安全整改。
同步使用主要包括试运行和运维。在系统上线和试运行阶段我们需要进行系统定级和备案,并开展等保测评、安全整改和验收测评。运维阶段我们要确保安全设施保持启用状态,同时根据相应的等级进行安全运维和管理,并在系统环境发生明确变化的时候评估安全风险,及时升级安全设施,变更管理。
但是,完成等保测评并不意味着网络安全等级保护建设的成功,恰恰相反,等保建设只是网络安全的手段而不是目的,是起点而不是终点。安全建设是持续改进 的过程,对于企业管理者来说,安全建设的纵深防御和持续改进是必不可少的。
10.21
第二场
《数安法》和《个保法》下的
敏感信息收集探讨
赵锐 某私募单位安全和合规负责人
《个人信息保护法》中明确提出了个人信息处理需要遵循合法正当、目的明确、最小必要、公开透明、保证质量、可问责、安全保障七大原则。
所以在处理个人信息之前,我们首先要明确个人信息保护负责人,这个岗位可以由安全负责人兼任;如果是互联网平台、用户数量巨大、业务类型复杂,就需要委托外部独立机构对个人信息保护情况进行监督,并且在这个过程中强化个人信息处理活动;个人信息处理者要定期进行合规审计,预计明年会有越来越多这方面的项目出现;在处理敏感个人信息,利用个人信息进行自动化决策等环节,我们要事前做好评估;如果发生个人信息泄露等一系列事件,个人信息处理者还要及时采取补救措施,做好事后通知。
我们需要明确区别匿名化和去标识化。所谓匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。处理后不再属于个人信息。去标识化,则是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。处理后还是个人信息。
个人信息保护法中对个人权益里的同意义务进行了深度的加强。要求个人同意需要充分享有知情、自愿、明确、撤回等权利,不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务,必须的除外。
其中需要单独同意的情形包括:对外提供、敏感个人信息、向境外提供、将个人信息公开。对不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
数据合作中包含三种关系,分别是委托处理、转移处理、共同控制。虽然我们是数据处理者,但会由于业务需要存在委托处理的情况;如果需要外包人员处理信息,就会产生转移处理的问题;因此对于个人信息的数据,我们需要共同控制,而这个过程中能不能保证隐私条款确实落实到位,就要提前做好考虑和准备。
在了解了这些内容之后,我们要根据《数据安全法》和《个人信息保护法》的要求,厘清企业内部数据生命周期,在收集、存储、使用、加工、传输、提供、公开几个环节确认个人信息处理者目前的实际安全情况。同时,按业务场景制定知情同意的方式,并及时更新隐私政策。
要分析我们的业务流、数据流,收集的敏感信息,判断内部工作的成效,有效实现让用户知情同意,这方面我们可以参照相应的法律法规。
以手机银行为例,我们首先需要遵守《个人信息保护法》,同时还需要按照《常见类型移动互联网应用程序必要个人信息范围规定》、《金融数据安全 数据安全分级指南》JR/T 0197-2020、《信息安全技术 个人信息安全规范》 GB/T 35273-2020等法规和标准的要求才能开展手机银行业务。
既然业务在《常见类型移动互联网应用程序必要个人信息范围规定》中存在,所以就需要对数据进行梳理和分析。比如针对不同类型的用户,他们在享受我们所提供的服务的同时,会有哪些环节收集个人信息?必要的个人信息有哪些?我们在分析业务流和数据流的时候,就要明确将敏感信息和必要信息确认清楚。
我们要在隐私条款中把所有与个人信息处理相关的环节都说明清楚。如果在过去没有做好信息资产的控制,特别是APP中使用的外部SDK、SO文件,这还涉及中间件以及架构管理,需要一步步把这些管理好,这样才能更好地在开展业务的过程中,一方面收集必要的个人信息,另一方面给客户提供更好的服务。
此外,即将到来的双11,以及我们日常使用网购软件等,这些过程都会涉及用户注册、移动支付,我们需要参考《常见类型移动互联网应用程序必要个人信息范围规定》,针对业务流和数据流,将收集到的字段逐步分析,同时根据相应的法律法规逐一比对,这样才能确保我们收集的信息是符合要求、依法合规的。
最后,我们不仅要关注线上,同时也要关注线下业务中对于个人信息的收集和处理。比如某些场景下,需要填写个人证件信息、有时还需要抵押身份证,这个过程是否有提供隐私条款和知情同意?访客在前台登记个人信息和手机号码的时候,是否明确并进行了说明?在我们办理酒店入住的时候,是否对录音录像的情况给出了合理的说明与解释?由于疫情的原因,很多场所都会收集并记录身份信息,这是否也遵循了《个人信息保护法》中的规定?这些都是需要我们后续重点关注并做好的。
隐私合规思考
林客 某企业信息安全专家
隐私合规在当前需要引起我们更加的重视,因为基本满足监管要求已经不足以应对当前的网络安全趋势,隐私合规也应该逐渐转变为企业的内控需求。我认为安全建设功在未来,不是一蹴而就的事情,需要不断努力。
那么如何建立合规安全管理体系,首先从外部监管目标来看。我们可以优先重点关注“关于开展APP侵害用户权益专项整治工作的通知(工信部信管函[2019]337号”和“工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知(工信部信管函〔2020〕164号)”,同时后续可能会颁布《移动互联网应用程序个人信息保护管理暂行规定》(征求意见稿),并且在重点行业,用户数量庞大的互联网企业,更应该关注数据流转,对外合作情况,企业数据安全态势情况,需要对企业内控加强数据安全治理能力,如
在企业内控环节,我们要重点关注数据在采集、传输、存储、使用、共享和销毁这几个环节可能产生的风险。
数据采集:未在明确告知用户收集,采集数据范围,使用目的等,甚至误导、欺诈收集使用个人信息;未提供主动同意的选择(在充分知情的前提下自愿、明确作出),用户权益受损。
数据传输:传输过程敏感数据泄露,被篡改;信息完整性受到破坏;未授权/不知情传输敏感数据至第三方/数据跨境。
数据存储:敏感数据泄露,越权或未授权访问
数据使用:未获取用户同意数据超范围使用处理;数据加工等,未考虑用户权益影响。
数据共享:数据共享未获取用户单独同意;合作方违规使用数据/安全保障不足导致个人信息泄露;第三方API接口,第三方SDK违规调用。
数据销毁:数据删除或介质销毁不彻底;超期限留存数据;合作方数据未超期限销毁;合作方接口未断开。
而在合规安全管理体系的落地建设中,我们又面临着这个几个问题:
外部遵从性目标:
1、监管要求与安全能力构建不匹配;
2、隐私合规规划路线不完善。
全民皆兵内控体系:
1、数据安全治理管理难,监测难,分析难,取证难,处置难问题;
2、隐私合规同理,并且更加关注用户权益保障等内容。
面对这些问题,我们应该思考考现阶段具备什么能力?未来要达到什么能力?
建议落地解决思路关键有两点:发现问题,解决问题
我们可以从以下角度去发现问题:
监管考核/检测是我们要达成的首要目标
0、当前监管动态一般关注在:侵害用户权益专项整治工作,数据安全态势、隐私合规能力建设等方面,当然未来动态仍需持续跟踪。
而对于内部更应关注安全态势,可以从以下几方面入手:
1、企业内部数据安全态势情况,调研并度量非法访问等违规情况,企业内数据流转情况(数据主体,数据处理者等都有哪些),当前保障手段是否与数据安全法,个保法要求相呼应。
2、我们在企业收集使用个人信息的时候,信息的来源和使用场景主要包括用户提供,爬虫,第三方获取等,用户服务,个性化服务,对外提供等,我们要确保这些场景是否符合个保法原则,做好用户影响评估。
3、企业对外数据共享使用态势情况,要厘清流出什么数据,形式,数据量,频率,接收方,是否符合个保法原则,是否做好“守门人”的责任。
4、企业出境流量情况,要清楚地知道流出什么数据,形式,数据量,频率,接收方,要考虑的重点是是否符合个保法原则,是否开展出境安全评估。
如何解决问题,我个人总结了隐私合规体系框架。
对比企业内当前安全保障能力情况,做差距分析。
最基础的我认为是SDK和隐私合规检测能力---主要面向用户权益保障的专项监管工作。
SDK当前需配备,厘清有多少SDK,sdk收集使用了哪些信息,什么权限,采集频率如何,在此基础上不断迭更新。
对于隐私合规检测能力,我们主要判断系统本身的数据生命周期是否符合个保法相关规定,确定检查列表,并不断跟踪监管动态,持续迭代。
在API检测能力方面,因为每个企业的现状不同,所以我建议首先进行能力建设,如API应用网关和应用管理的场景,技术方面配备API资产发现能力,发现数据流转能力,管理上规范API接口的软件生命周期,管理+技术配套落地。
合作方评估,我们现阶段主要有两方面能力建设,一是数据安全协议的制定,二是合作方安全评估能力。
对于隐私合规审计,我认为需要先建立合规审计制度,在制度之下建立贵方,依据国内外的审计内容在数据安全方面落地;对个人影响评估能力出具一定的评估基线,重点用户权益保障等方面。
而在网络安全方面需具备威胁感知、检测发现、追踪溯源、应急响应的能力。
在数据安全方面关注资产管理、访问控制、防泄漏、溯源分析、安全审计,应急处置等。识别我们当前亟需解决的问题如从数据资产庞大难以细粒度落实安全管控措施,数据流转不清,安全态势研判不足,应急处置能力受限等方面不断加强数据安全技术保障能力。
专家演讲资料已上传知识星球,扫码获取完整内容