网络安全等级保护下的数据安全保护
首先说明,本文所提网络安全等级保护是指网络安全等级保护体系和工作愿景,不针对具体网络安全等级保护开展现状。本文中所提到的网络,如果没有明确声明的,均可理解为Cyber,而非Network。
特别说明:本文不代表官方观点,仅为作者个人意见
很久没有写过有关网络安全等级保护的文章,随着数据安全的深入,网络安全等级保护也将逐渐将数据安全基本要求逐步或正在纳入保护的范畴;首先我们理解一下网络安全等级保护。
网络安全等级保护从本质而言是一个国家建立网络安全保护工作的基础和命脉。从上世纪80年代TCSEC开始,等级化保护正式开启,不管是ITSEC还是CC,都是将等级化保护进一步细化和完善的必然过程。1994年我们国家在《中华人民共和国计算机信息系统安全保护条例(147号令)草案》中正式提出信息系统安全等级保护,时至今日已经31年之久,2016年在《中华人民共和国网络安全法》中正式将“信息系统安全等级保护”改名“网络安全等级保护”。很多时候国内在理解网络安全等级保护时,会理解为能力成熟度,但是我们要清楚的理解,能力成熟度是一种迭代模型,从初始级开始逐级提升的活动;但是网络安全等级保护本身不是建立在迭代的基础之上,而是基于业务重要性及业务受到侵害后的影响程度建立的一种强制保护原则。这里的强制是指当组织定义为相应等级后,应强制满足该级别的保护能力。从这个角度而言,网络安全等级保护更多的应该是趋于网络安全管理体系;在一个组织愿景下满足其保护能力;他和我们通常所说的ISMS又有不同,ISMS是组织根据其现有安全保护水平和能力,制定一个高于组织现有水平和能力的愿景,然后每年对目标进行更新,最终通过螺旋式的上升使得组织达到一种理想的安全水平;对于网络安全等级保护而言,缺失了传统ISMS的螺旋式上升的过程。这个活动是在完美继承CC的基础上所产生的必然问题。
网络安全等级保护与数据安全是否可以完美融合。其实这个问题就是我们一直所面临的网络安全和数据安全区别在哪里?其实这个问题很难从理论上去解释。很多专业人士不断的去修复这种认知和理解,实际上到了最后,发现每个人又回到了原点,网络安全与数据安全之间是两个闭环还是一个开环的问题。笔者试图用一个案例来解释这个问题:某组织被黑客入侵,黑客在通过网络侧开始踩点、探测的活动,我们可以列入网络安全,这就是传统所说的网络侧安全问题;经过探测后,发现某主机存在端口暴露及弱口令,并利用该漏洞实施攻击、获取、提权,这个过程是针对主机操作系统及配置开展,我们姑且定义在主机安全或操作系统安全层面;攻击者成功入侵后将该主机作为肉鸡跳板,以备未来进一步使用。至此为止,一次攻击完成,而我们所面临的一个完整环节中都是启动网络安全应急响应预案过程;攻击进一步开展,攻击者利用原有的跳板机横向切入,并且获得某业务数据库服务器的权限,通过“蚂蚁搬家”的方式对外传送数据,这时候是定义为网络安全还是数据安全呢?如果从最终损害对象而言应该是数据安全,如果从损害发起的环境而言,应该是网络安全。但是从启动预案来讲,应该是从两个维度同时响应,才能获得最佳效果。虽然我们可以从不同维度去解析网络安全和数据安全,但是从网络整体安全而言,我们无法有效切割网络与数据之间的关系。因此从本质上不应该去细分网络安全和数据安全,这也是网络安全等级保护融合数据安全的必然结果。
进一步展开这个问题,我们可以这样去理解,数据是最终保护的实体或者对象。在数字化社会里,数据决策一切,数据是数字化社会的内驱力,没有数据的驱动就不可能有数字化的结果。但是数据无法通过自身来实现价值,从数据的采集、传输、存储、使用、生产、发布、共享一系列过程中,数据需要一个载体来承担自己的一切处理行为,这就是需要网络的介入;网络是数字化世界不可或缺的载体和表达,首先网络硬件承载数据单元本身,数据的处理活动是由软件代码来具体执行和决策,因此,软件又需要硬件和操作系统相互作用。通信传输是数据活动不可或缺的产物,通信技术所关联的硬件与介质为数据传输提供必然的支撑。最终,我们在实现数据人机会话状态的时候,可能需要大量的工业控制设备或指令集来执行,比如:闸机的0/1,红绿灯的状态指令集以及更多智慧设备的动作指令等等的展现都是数据和网络技术的完美结合,其中任何一个组件或者单元发生异常,都可能导致决策失败,越接近与人的决策,给人所带来的风险也就越高。上述所执行的只是日常活动中的数据与网络过程。
但是数据安全还具有其独特的安全要件,比如:在数据的表达中,包含了对“人”的描述,从人的标识、生理特征、生物特征、行为特征及宗教信仰、思维模式等等,我们统称为个人信息或者个人隐私。在这个过程中,这些数据一旦被不法人员利用、篡改、披露,会对当事人造成不可弥补的声誉、被欺诈以及其他不可预见的损害,甚至可能包括精神、心理、生理或人身的损害。而在现代物联网社会中,碎片化的个人信息所带来的情报价值往往容易被忽略。这种独特的安全问题,在传统的网络安全世界中可能会被认为是一种很小的体现,直至现在,随着《数据安全法》《个人信息保护法》《未成年人网络保护条例》等一系列法律法规出台之后,组织才开始关注相关问题。然后一个事实就是,这种问题更多的是组织在发展业务的过程中所形成的滥用及误用导致的数据安全事件的频率远远大于来自外部攻击所造成的损害。这使得在传统网络安全思想中“防外不防内”“重边界轻内网”的思想无法有效应对来自内部的威胁。
如何将网络安全等级保护与数据安全形成有机的结合呢?这是我们需要去探讨的话题,实际上,网络安全的分等级保护与数据安全分类分级的基本思想在实际工作中基本是一致的。比如:
从定级描述而言,根据《GB/T 22240-2020 网络安全等级保护定级指南》和《网络安全等级保护定级报告模版(2025版)》描述,定级矩阵如表1;
表1《网络安全等级保护定级报告模版(2025版)》定级矩阵
| 系统服务安全被破坏时所侵害的客体 | 对相应客体的侵害程度 | ||
| 一般损害 | 严重损害 | 特别严重损害 | |
| 公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第二级 |
| 社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
| 国家安全或地区安全、国计民生 | 第四级 | 第五级 | 第五级 |
根据国标《GB/T 43697-2024数据安全技术 数据分类分级规则》,我们可以看到数据安全分级的基本矩阵。如表2:
表2 《GB/T 43697-2024数据安全技术 数据分类分级规则》分级矩阵
| 影响对象 | 影响程度 | ||
| 一般危害 | 严重危害 | 特别严重危害 | |
| 组织权益、个人权益 | 一般数据 | 一般数据 | 一般数据 |
| 公共利益 | 一般数据 | 重要数据 | 核心数据 |
| 社会秩序 | 一般数据 | 重要数据 | 核心数据 |
| 经济运行 | 一般数据 | 重要数据 | 核心数据 |
| 国家安全 | 核心数据 | 核心数据 | 核心数据 |
注:如果影响大规模的个人或组织权益,影响对象可能不只包括个人权益或组织权益,也可能对国家安全、经济运行、社会秩序或公共利益造成影响。
我们可以把两张表并为一张表来看看网络安全等级保护是否可以将数据安全从定级阶段形成一种融合;如表3所示
表3 网络安全等级保护定级Vs.数据分级矩阵
| 系统服务安全被破坏时所侵害的客体 | 对相应客体的侵害程度 | |||
| 一般损害 | 严重损害 | 特别严重损害 | ||
| 公民、法人和其他组织的合法权益 | 网络安全 | 第一级 | 第二级 | 第二级 |
| 数据安全 | 一般数据 | 一般数据 | 一般数据 | |
| 社会秩序、公共利益 | 网络安全 | 第二级 | 第三级 | 第四级 |
| 数据安全 | 一般数据 | 重要数据 | 核心数据 | |
| 国家安全或地区安全、国计民生 | 网络安全 | 第四级 | 第五级 | 第五级 |
| 数据安全 | 核心数据 | 核心数据 | 核心数据 | |
实际上,在新的网络安全等级保护备案表中,已经开始将等保定级工作与数据分级开始结合,我们从2025版《网络安全等级保护备案表》“表六( / )数据摸底调查表”(参见附录1)中可以看到数据基础信息作为等保备案的基本信息需要进行填报。
在2025版《XX网络安全等级保护定级报告》模板中,针对数据安全问题,模板给出了如下说明:
1. 针对承载数据的要求
| 【填写说明:该定级对象所承载的数据,包括数据类别、数据级别、数据处理环节等描述,与其他系统存在数据交换的,还应说明数据流转情况。】【描述参考示例】:该定级对象承载的数据主要包括财务数据、人力资源数据、组织用户数据。根据《数据安全技术 数据分类分级规则》其中财务数据、人力资源数据和组织用户数据均为一般数据,无重要数据和核心数据。所有数据仅定级系统本身使用,与其他系统不存在数据流转情况。数据处理活动涉及数据传输、存储、使用等环节。 |
2. 针对数据受到侵害后的影响程度定义
在模板中,将数据安全工作主要定义在业务安全中,通过业务中所涉及的数据类型作为评价主体。整个业务体现数据安全的三个层次,第一业务承载的数据的重要性;第二业务数据受到侵害后的影响程度和第三业务数据受到破坏后的影响程度来评价业务等级。这个评价弥补了一直以来如何将业务安全合理的引入等保工作的缺陷和短板。
| 1、业务信息描述【填写说明:描述定级对象处理的主要数据类型、数据级别及其规模等,如涉及核心数据、重要数据、个人信息需加以详细描述。】2、业务信息受到破坏时所侵害客体的确定【填写说明:说明数据受到破坏时侵害的客体是什么,即对三个客体(国家安全或地区安全、国计民生;社会秩序和公众利益;公民、法人和其他组织的合法权益)中的哪些客体造成侵害。】3、业务信息受到破坏时对侵害客体的侵害程度的确定【填写说明:说明数据受到破坏时,会对侵害客体造成什么程度的侵害,即说明是一般损害、严重损害还是特别严重损害。分析数据受到破坏时对客体的侵害程度时还需考虑定级对象承载的数据级别,核心数据会对国家安全或地区安全、国计民生造成损害,对社会秩序、公共利益造成特别严重损害;重要数据会对社会秩序、公共利益造成严重损害。】 |
实际上,在整个等保工作中,定级工作是基础,如果没有一个准确有效的定级,将会为后续的整改、测评带来致命的影响,通过数据的分级策略可以有效降低等保定级的复杂性和争议;那么接下来就是要考虑定级之后的分级保护工作如何开展。
在2025版的《网络安全等级保护测评报告》模板中,在测评对象中定义数据的测评要求
| 2.3.2.9 数据资源【填写说明:测评对象选择需要覆盖各级各类的数据,并重点关注重要业务数据、个人敏感信息和鉴别数据等。】表 2 14-a数据资源序号数据类别所属业务应用安全防护需求重要程度 【填写说明:当被测对象为大数据平台/应用/资源时,测评对象选择需要覆盖各级各类的数据,并重点关注重要业务数据、个人敏感信息、鉴别数据、溯源数据等,因此大数据安全测评时还需要填写下表,否则删除。】表 2 14-b 数据资源序号数据类别数据级别安全防护需求所属业务应用数据采集数据存储数据处理数据应用数据流动数据销毁 |
我们在该模板的第三部分单项测评结果分析的3.4.6中摘取有关数据资源测评的内容可以看到新的网络安全等级保护虽然意识到数据安全的重要性,但是在具体针对数据安全如何测评实际上还是存在很多的纠结;导致该项测评具有很大的局限性。笔者相信,这个不是技术问题所导致的。
| 3.4.6 数据资源【填写说明:数据一般包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要个人信息和大数据资源等,这些数据分布在不同的测评对象上,应针对不同类型数据分别从不同测评对象上汇总测评证据。本节只汇总应用系统涉及的重要业务数据、重要个人信息和大数据资源的测评证据,包括数据完整性、数据保密性、剩余信息保护、数据备份恢复和个人信息保护等。网络设备、安全设备、服务器、终端、系统管理软件/平台和业务应用系统等所涉及的鉴别数据和重要配置数据分别在对应测评对象中汇总测评证据,包括数据完整性、数据保密性和数据备份恢复。重要审计数据在安全管理中心-集中管控进行汇总测评证据,包括数据完整性。】 |
由于缺乏针对数据安全的有效测评项,使得最后在第4、5章中有关数据安全风险的度量和评价相对而言仅能通过测评工程师的经验和被测单位对数据安全的敏锐性来进行评价和沟通。这就意味着,网络安全等级保护工作在建立整改措施的时候有可能会将数据安全归于传统的网络安全工作之中,失去了对数据自身安全问题的保护手段。
实际上,我们可以在4.3整体测评描述中,将下表中整体测评描述中增加数据安全问题描述或者合规性数据安全要求;
| 问题编号 | 安全问题 | 测评对象 | 整体测评描述 | 严重程度变化 |
| T1 | 鉴别信息以明文方式在网络中传输。 | 应用系统 | 被测应用系统在进行身份鉴别时,采用了不可绕过的两种身份鉴别措施,导致恶意人员获得口令无法轻易登录系统,能够在一定程度上缓解鉴别信息明文传输带来的风险。 | £升高R降低 |
| T2 | £升高£降低 | |||
| T3 | £升高£降低 |
在5.1低中高风险安全问题分析章节中的“表5.1安全问题风险分析”中增加关联数据资产一列
表5‑1安全问题风险分析
| 序号 | 安全类 | 安全问题 | 关联资产 | 关联威胁 | 危害分析结果 | 风险等级 |
有了以上两步的铺垫,在章节5.2重大风险隐患分析中,可以针对测评项是否会产生数据安全后果及安全问题进行描述,从而完成在等保测评中的数据资源闭环操作。
| 序号 | 安全类 | 安全子类 | 测评项 | 重大风险隐患触发项 | 后果分析 | 安全问题 | 关联资产 |
| 1 | 安全计算环境 | 身份鉴别 | a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; | 存在空口令、弱口令、通用口令或无身份鉴别措施。 | 导致非授权人员可直接访问系统,造成身份冒用、恶意篡改或窃取重要数据等严重后果。 | 存在可登录的弱口令账户,如长度在6位以下,或存在单个、相同、连续数字/字母/字符及常见字典等易猜测的口令。 | 数据库 |
最终,与数据安全的相关整改基于测评报告可以被有效的嵌入其中。
当然,网络安全等级保护与数据安全本身是两个非常庞大的体系,通过一套机制想完成存在诸多操作的复杂性,本文仅是从技术角度理想的去分析这个过程的可融合性,说明数据安全与网络安全是不可分离的。未来,随着数据安全工作的不断成熟,可能会有更加专业的框架和模型来实现本文所描述的工作。
附录1 表六( / )数据摸底调查表
| 01数据名称 | 02拟定数据级别 | 1 一般数据2重要及以上数据 | |
| 03数据类别 | |||
| 04数据安全责任部门 | 05数据安全负责人 | ||
| 06个人信息涉及情况 | 1涉及敏感个人信息 2涉及未成年人的个人信息3涉及一般个人信息 4不涉及 | ||
| 07数据总量 | 1_____GB/_____TB(根据数据量级在适合的量级处填写)2_____万条(若为个人信息,填写该数据涉及的个人信息条数) | ||
| 08数据月增长量 | ___________GB/___________TB(根据数据量级在适合的量级处填写) | ||
| 09数据来源(可多选) | 1系统采集 2系统产生 3人工填报4交易购买 5共享交换 9其他______________ | ||
| 10单位间数据流转情况 | 数据来源单位1_____________________数据来源单位2_____________________数据来源单位3_____________________(可根据实际情况添加) | ||
| 数据流出单位1_____________________数据流出单位2_____________________数据流出单位3_____________________(可根据实际情况添加) | |||
| 11与其他数据处理者的交互情况 | 1对外提供给 2委托 处理3与 共同处理4无交互 | ||
| 12数据存储位置(名称) | 1私有云__________________________________2公有云__________________________________3混合云__________________________________4政务云__________________________________5非云计算平台____________________________ | ||
| 1本单位机房______________________________2外单位机房______________________________3国内第三方托管机房______________________ | |||
| 1境内____________________________________2境外____________________________________ | |||
作者:樊山 上海观安信息技术股份有限公司
本网站信息来源于网络,如有侵权,请联系删除。
本网站不保证信息真实性、有效性,仅供参考。请以最新法律法规和相关标准要求为准。