工信部將開(kāi)展為期一年的提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專項(xiàng)行動(dòng)

近日，工業(yè)和信息化部正式印發(fā)《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專項(xiàng)行動(dòng)方案》(以下簡(jiǎn)稱《行動(dòng)方案》)，將在行業(yè)內(nèi)部署開(kāi)展為期一年的提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專項(xiàng)行動(dòng)，并明確提出在今年10月底前，完成全部基礎(chǔ)電信企業(yè)、50家重點(diǎn)互聯(lián)網(wǎng)企業(yè)以及200款主流APP的數(shù)據(jù)安全檢查。

那么，此次政策出臺(tái)的背景是什么?本次行動(dòng)又主要涉及哪些方面?對(duì)于相關(guān)行業(yè)將產(chǎn)生哪些影響?近日，科技日?qǐng)?bào)記者走訪了業(yè)內(nèi)專家。

數(shù)據(jù)安全不是孤立的問(wèn)題

“數(shù)據(jù)和數(shù)據(jù)安全一直伴隨著人類的生活。從古至今，個(gè)人、家庭、團(tuán)體、政府對(duì)于自己感興趣的數(shù)據(jù)都有收集和記錄，對(duì)于數(shù)據(jù)安全也有自己的分級(jí)認(rèn)定。”常州信息職業(yè)技術(shù)學(xué)院院長(zhǎng)周勇說(shuō)，各國(guó)政府都有相關(guān)的數(shù)據(jù)安全和網(wǎng)絡(luò)安全保護(hù)法，我國(guó)也早就出臺(tái)了《網(wǎng)絡(luò)安全法》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)。

無(wú)錫永中軟件有限公司總經(jīng)理談?shì)x認(rèn)為，“在大數(shù)據(jù)時(shí)代，數(shù)據(jù)已經(jīng)成為了資產(chǎn)和金礦，企業(yè)通過(guò)大量收集數(shù)據(jù)，建立模型，進(jìn)行分析和預(yù)測(cè)。數(shù)據(jù)過(guò)度采集和濫用的情況普遍存在，個(gè)人信息泄露現(xiàn)象嚴(yán)重，特別是隨著4G的使用和手機(jī)應(yīng)用的極大普及，個(gè)人變成透明人的趨勢(shì)越來(lái)越明顯，從姓名電話到食衣住行等生活和消費(fèi)軌跡在網(wǎng)絡(luò)中均有跡可循”。

“我們國(guó)家歷來(lái)高度重視數(shù)據(jù)安全問(wèn)題，在《網(wǎng)絡(luò)安全法》立法中就有相關(guān)的內(nèi)容，今年新推出的等級(jí)保護(hù)2.0標(biāo)準(zhǔn)中也明確了個(gè)人信息保護(hù)的內(nèi)容;中央網(wǎng)信辦出臺(tái)了《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》，各地方政府也陸續(xù)出臺(tái)了一些相應(yīng)的管理規(guī)范，例如天津市互聯(lián)網(wǎng)信息辦公室發(fā)布了《天津市數(shù)據(jù)安全管理辦法(暫行)》。”談?shì)x說(shuō)。

在周勇看來(lái)，數(shù)據(jù)安全不是孤立的問(wèn)題，數(shù)據(jù)安全也涉及到網(wǎng)絡(luò)安全、軟件安全、數(shù)據(jù)庫(kù)安全、電腦操作系統(tǒng)安全，以及容災(zāi)備份等。這次工信部頒布的《行動(dòng)方案》，是對(duì)以往網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)法律法規(guī)的升級(jí)、執(zhí)行力度的加強(qiáng)、以及數(shù)據(jù)安全保護(hù)技術(shù)創(chuàng)新的推進(jìn)。具體講，就是從法律法規(guī)、技術(shù)手段、流程制度、政府監(jiān)管、社會(huì)意識(shí)等方面加強(qiáng)和提升數(shù)據(jù)安全的保護(hù)。

數(shù)據(jù)安全要有明確的標(biāo)準(zhǔn)和定義

記者了解到，此次《行動(dòng)方案》中指出，2019年10月底前完成全部基礎(chǔ)電信企業(yè)、50家重點(diǎn)互聯(lián)網(wǎng)企業(yè)以及200款主流APP數(shù)據(jù)安全檢查。從這一舉措來(lái)看，目前主要覆蓋基礎(chǔ)電信通話和網(wǎng)絡(luò)接入數(shù)據(jù)、互聯(lián)網(wǎng)用戶行為數(shù)據(jù)、移動(dòng)應(yīng)用數(shù)據(jù)等，核心目標(biāo)是保護(hù)消費(fèi)者的網(wǎng)絡(luò)數(shù)據(jù)安全權(quán)益。

“這次《行動(dòng)方案》可以解讀歸納為以下幾個(gè)方面：進(jìn)一步完善網(wǎng)路數(shù)據(jù)安全制度標(biāo)準(zhǔn)，開(kāi)展數(shù)據(jù)安全評(píng)估，強(qiáng)化數(shù)據(jù)安全保護(hù)管理制度和流程，創(chuàng)新推動(dòng)數(shù)據(jù)安全技防能力的建設(shè)、監(jiān)督和宣傳。”周勇說(shuō)。

什么才算數(shù)據(jù)安全?周勇認(rèn)為，數(shù)據(jù)安全要有明確的標(biāo)準(zhǔn)和定義。當(dāng)然數(shù)據(jù)安全不是絕對(duì)的，而是相對(duì)的。同樣的數(shù)據(jù)對(duì)于提供者和使用者可能具有截然不同的安全理解。數(shù)據(jù)安全應(yīng)該有級(jí)別的定義，這項(xiàng)工作需要政府專業(yè)部門(mén)來(lái)做。所以本次《行動(dòng)方案》明確將推動(dòng)出臺(tái)行業(yè)《網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南》，加快完善行業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)體系;制定出臺(tái)行業(yè)重要數(shù)據(jù)識(shí)別指南、網(wǎng)絡(luò)數(shù)據(jù)安全防護(hù)等重點(diǎn)標(biāo)準(zhǔn)，遴選企業(yè)開(kāi)展貫標(biāo)試點(diǎn);指導(dǎo)中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)成立網(wǎng)絡(luò)數(shù)據(jù)安全標(biāo)準(zhǔn)專項(xiàng)工作組，加快推動(dòng)網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)制定工作。

周勇說(shuō)，數(shù)據(jù)保護(hù)是否合理合規(guī)等，需要企業(yè)自我評(píng)估，更需要專業(yè)的第三方機(jī)構(gòu)評(píng)估、政府專管部門(mén)評(píng)估，甚至跨部門(mén)的聯(lián)合評(píng)估。這樣做的目的就是在法律法規(guī)的層面上對(duì)企業(yè)數(shù)據(jù)安全事故提前進(jìn)行預(yù)判和防范，防止數(shù)據(jù)安全事故的發(fā)生。

周勇表示，數(shù)據(jù)安全管理必須要有“清單式”管理機(jī)制。要有專部門(mén)、專人、專職負(fù)責(zé)數(shù)據(jù)安全。數(shù)據(jù)訪問(wèn)權(quán)限、數(shù)據(jù)訪問(wèn)記錄、數(shù)據(jù)容災(zāi)備份等安全技術(shù)需要全部落實(shí)到位。

除了標(biāo)準(zhǔn)建設(shè)，周勇提出，技術(shù)手段也是保護(hù)數(shù)據(jù)安全的關(guān)鍵，尤其是不斷推陳出新的技術(shù)手段。只有采用先進(jìn)的技術(shù)手段，才能對(duì)數(shù)據(jù)安全漏洞進(jìn)行定期的自動(dòng)化監(jiān)測(cè)，并及時(shí)發(fā)現(xiàn)問(wèn)題。技術(shù)手段防護(hù)也體現(xiàn)在數(shù)據(jù)防攻擊、防竊取、防泄漏、數(shù)據(jù)備份和恢復(fù)等方面。當(dāng)然，要做好這方面的工作，一要大力加強(qiáng)數(shù)據(jù)安全保護(hù)技術(shù)的研究工作，二要培養(yǎng)這方面的專業(yè)技術(shù)人才。同時(shí)，數(shù)據(jù)安全保護(hù)需要政府監(jiān)管，也需要社會(huì)監(jiān)督。廣泛宣傳數(shù)據(jù)安全的重要性，喚起全社會(huì)對(duì)數(shù)據(jù)安全的認(rèn)知，才能更好的堵塞數(shù)據(jù)安全漏洞，避免出現(xiàn)數(shù)據(jù)安全事故發(fā)生。

工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)足夠重視

專家介紹，本次《行動(dòng)方案》將企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全責(zé)任落實(shí)情況、數(shù)據(jù)安全合規(guī)性評(píng)估落實(shí)情況作為重點(diǎn)內(nèi)容，納入2019年網(wǎng)絡(luò)信息安全“雙隨機(jī)一公開(kāi)”檢查和基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)與信息安全責(zé)任考核檢查，對(duì)違法違規(guī)行為及時(shí)采取約談、公開(kāi)曝光、行政處罰等措施，將處罰結(jié)果納入電信業(yè)務(wù)經(jīng)營(yíng)不良名單或失信名單。

因此，在瀚云工業(yè)互聯(lián)網(wǎng)研究院副院長(zhǎng)鄔明罡看來(lái)，盡管本次專項(xiàng)行動(dòng)關(guān)注的更多是消費(fèi)互聯(lián)網(wǎng)，但隨著工業(yè)互聯(lián)網(wǎng)和產(chǎn)業(yè)互聯(lián)網(wǎng)的發(fā)展，越來(lái)越多的設(shè)備和機(jī)器數(shù)據(jù)上傳到云端，也會(huì)產(chǎn)生相應(yīng)的安全問(wèn)題。例如，數(shù)據(jù)泄露導(dǎo)致企業(yè)關(guān)鍵信息泄露，或者在沒(méi)有經(jīng)過(guò)用戶同意的情況下濫用設(shè)備的數(shù)據(jù)從事其他商業(yè)活動(dòng)，其后果有可能比消費(fèi)互聯(lián)網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)泄露更為嚴(yán)重。

鄔明罡認(rèn)為，對(duì)于工業(yè)互聯(lián)網(wǎng)行業(yè)和企業(yè)來(lái)說(shuō)，也要有相應(yīng)的應(yīng)對(duì)機(jī)制。尤其是要制定工業(yè)互聯(lián)網(wǎng)行業(yè)關(guān)鍵數(shù)據(jù)目錄，類似于《行動(dòng)方案》的做法，對(duì)數(shù)據(jù)進(jìn)行分級(jí)管理，例如要明確哪些數(shù)據(jù)不能上云，哪些數(shù)據(jù)可以在一定條件下上云，哪些數(shù)據(jù)可以直接上云，讓使用方也打消疑慮，通過(guò)制定相應(yīng)的管理制度和認(rèn)證規(guī)則，讓企業(yè)有標(biāo)準(zhǔn)可依。

同時(shí)，鄔明罡強(qiáng)調(diào)，還要建立工業(yè)互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全公共服務(wù)平臺(tái)，提供風(fēng)險(xiǎn)監(jiān)測(cè)、技術(shù)技能、測(cè)試認(rèn)證、教育培訓(xùn)等服務(wù)，幫助工業(yè)互聯(lián)網(wǎng)企業(yè)快速建立安全風(fēng)險(xiǎn)管控能力，以及加速完善企業(yè)內(nèi)部安全管理體系，包括指定專人負(fù)責(zé)數(shù)據(jù)安全，督促協(xié)調(diào)企業(yè)內(nèi)部各相關(guān)主體和環(huán)節(jié)嚴(yán)格落實(shí)操作權(quán)限管理、日志記錄和安全審計(jì)、數(shù)據(jù)加密、數(shù)據(jù)脫敏、訪問(wèn)控制、數(shù)據(jù)容災(zāi)備份等數(shù)據(jù)安全保護(hù)措施。

周勇還提醒，這次《行動(dòng)方案》會(huì)影響到所有擁有用戶敏感信息的單位和企業(yè)，尤其會(huì)影響到擁有大量用戶信息的電信企業(yè)和互聯(lián)網(wǎng)企業(yè)。但是，這次行動(dòng)會(huì)大大促進(jìn)各個(gè)單位和企業(yè)對(duì)數(shù)據(jù)安全保護(hù)的認(rèn)識(shí)，同時(shí)也給高校和科研機(jī)構(gòu)提出了如何創(chuàng)新性研究數(shù)據(jù)安全技術(shù)的新課題，高校更需要培養(yǎng)出高質(zhì)量的數(shù)據(jù)安全應(yīng)用型人才。