国家标准解读丨明朝万达参与起草的《信息安全技术电信领域数据安全指南》10月1日起正式施行

测试员 2023-10-10 10:19:13  51212

分类专栏：资讯

2023年10月1日，由北京明朝万达科技股份有限公司参与起草的《信息安全技术电信领域数据安全指南》GB/T 42447-2023国家标准文件（以下简称“《指南》”）正式实施。该指南属于全国信息安全标准化技术委员会归口的12项网络安全国家标准之一，全文初发布于2023年3月17日，暨国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2023年第1号）。

PART1

发布背景

在数字产业化和产业数字化大背景下，数字经济和实体经济正高度融合，数字经济成为我国经济增长的关键驱动力量。同时，数字经济也面临着来自数据安全的直接挑战，数据本身受到被破坏、被滥用、被泄露、被非法访问等威胁。此外，针对数据价值，也可能存在着数据权属、利益边界、安全边界、社会属性等不定因素干扰，数据安全风险正日益成为影响企业安全、社会安全甚至国家安全的重要因素。基于以上背景，《指南》正式出台，再次彰显了国家和行业对数据安全的高度重视。

PART2

发布目的

为电信数据处理者在开展数据处理活动过程中，提供适当的安全措施，并且按照有关要求和标准进行数据分类分级保护,在识别电信领域核心数据、重要数据、一般数据的基础上，采取数据安全措施，开展数据处理活动以此降低电信数据处理风险。

PART3

适用范围

1、此标准给出了开展电信领域数据处理活动的安全原则、通用安全措施，及在实施数据收集、存储、使用加工、传输、提供、公开、销毁等过程中宜采取的相应安全措施。

2、此标准适用于指导电信数据处理者开展数据安全保护工作，也适用于指导第三方机构开展电信数据安全评估工作。

▲ 电信领域数据安全框架图

PART4

指南解读

一、

电信数据部分通用安全措施

电信数据通用安全措施主要从管理角度，对电信数据的处理者提出相关的安全建议，以数据的重要性（一般、重要、核心）程度提供不同细粒度的数据安全管理措施。

1、数据分类分级

一般措施:

(1) 定期梳理数据资产,形成并及时更新数据资产清单,按照有关规定开展数据分类分级工作；

(2) 根据业务需求、数据来源和用途等因素,划分组织机构数据类别,并根据数据资产变动和分类分级要求变动情况，及时更新数据资产清单。

增强措施：

形成更新重要数据和核心数据目录,按照有关规定开展目录备案工作。

明朝万达解析：电信企业应按照相关分类分级标准，按照一般、重要、核心三种级别采用人工+工具的方式进行数据分类分级工作，实现数据资产梳理，帮助企业了解自身数据情况，同时，由于数据的属性变化，数据分类分级需要保持定期更新，而数据分类分级工具可以自动实现数据分类分级迭代更新，减少人工成本，也为之后的安全防护措施可依据分类分级结果提供细粒度控制，解决数据安全防护的前提下，释放数据的价值。

2、风险监测预警

开展数据安全风险监测，对数据资产数据处理环境、网络与系统设备、数据处理账号和内外部数据流动等实施监测巡查，对异常流动等行为进行排查和预警,及时采取补救措施。对可能造成较大及以上安全事件的风险，按照有关规定进行上报。

明朝万达解析：由于传统网络流量安全监测设备和系统无法满足缓慢泄露等事件，电信企业应基于数据全链路，围绕数据、数据库、应用和用户多维度进行高维关联数据，构建风险监测底层能力，通过聚合分析数据安全风险，增加UEBA智能监测异常行为，实现应用侧数据泄漏风险预警，有效解决漏报、误报等行业难题。

3、安全评估

一般措施:

(1) 定期对本单位整体数据安全保护水平、重点业务与平台系统数据安全保障情况进行梳理和自查;

(2) 对自查总结过程进行记录,形成总结报告，对发现的问题进行原因分析、明确改进措施和计划。

增强措施:

(1) 开展重要数据和核心数据风险评估,对于评估中发现的安全风险隐患,结合重要数据处理场景，及时采取有效应对措施消除风险隐患；

(2) 按照有关规定向相关部门报送风险评估报告。

明朝万达解析：电信企业可定期针对企业数据，围绕数据和数据处理活动，聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险。坚持预防为主、主动发现、积极防范，对数据处理者数据安全保护和数据处理活动进行风险评估，通过评估检查工具，及时反馈网信、网安和行业主管部门监管检查结果，满足监管要求。同时检查工具还可以规范检查内容，简化繁琐的评估工作流程，减少人工成本，提升评估效率。安全评估旨在掌握数据安全总体状况，发现数据安全隐患，提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。

二、

电信数据部分处理安全措施

电信数据处理安全措施主要从技术角度，按照数据全生命周期对电信数据处理者提出相关的安全建议，以数据的重要性（一般、重要、核心）程度提供不同细粒度的数据安全技术防护措施。

1、数据收集

一般措施:

遵循合法、正当原则开展数据收集活动，规范数据收集渠道、流程和方式。

增强措施：

(1) 通过间接途径获取重要数据和核心数据的,与数据提供方通过签署相关协议、承诺书等方式，明确双方法律责任;

(2) 开展重要数据和核心数据收集人员设备安全管理，采取安全防护手段防止针对数据收集设备的网络攻击。

明朝万达解析：除了相关制度文件要求规范外，电信企业还可在数据收集阶段，对收集通道进行统一管理，并对通道采取加密的方式，保证数据的隐私性。同时对数据进行安全分级，指定不同的采集手段，对不同级别的数据资源进行采集，保证收集的合理必要性。

2、数据存储

一般措施：

(1) 按照有关规定和用户约定进行数据存储,规范数据存储方式、流程，针对数据存储环境、存储平台系统实施安全管理;

(2) 建立数据备份和恢复验证机制，保障存储数据的可用性和完整性。

增强措施:

(1) 采用校验技术、密码技术等措施保障数据安全存储;

(2) 实施容灾备份和存储介质安全管理,定期开展数据恢复测试和灾难恢复演练，对备份数据的有效性和可用性进行检查和恢复验证。

明朝万达解析：在数据存储阶段，依据数据的重要程度，可采用数据访问控制与审计、敏感数据加密、敏感数据脱敏等技术手段进行安全防护。为防止数据丢失，采用数据备份归档，同时应用数据完整性校验防止数据非法篡改。

3、数据使用加工

一般措施:

(1) 明确数据使用加工的审批流程及处理规则;

(2) 利用数据进行自动化决策的，开展数据处理算法管理，保证自动化决策的透明度和结果的公平合理性。

增强措施:

使用访问控制、数据脱敏等技术措施保障重要数据使用加工过程的安全性。

明朝万达解析：在数据使用加工阶段，可对敏感数据进行标记，监控数据的流转情况，在数据使用加工前，对环境进行合规监测，保护数据的安全可靠，而且在数据使用加工过程中，重要核心数据只有授权的人才可以访问数据，定义访问策略，必要时采取数据脱敏技术既不影响数据的正常使用，又能很好的保护敏感数据。

4、数据传输

一般措施：

(1) 根据业务流程、网络部署和安全风险等情况,划分网络系统安全域。根据传输的数据类型、级别和应用场景等，明确数据安全策略并采取保护措施;

(2) 制定数据传输接口安全管理工作规范，明确接口安全管理与保护措施。梳理接口情况,形成接口清单并定期更新，对监控发现存在安全问题或已下线的接口采取相应处理措施。

增强措施：

(1) 对跨网、跨安全域传输重要数据的活动,提前进行安全审批,并采取校验技术、密码技术、安全传输通道(如 VPN)或者安全传输协议(如 SSL等措施保障重要数据传输的安全性;

(2) 配备接口认证鉴权能力,支持通过 MAC 地址IP 地址或端口号绑定等方式限制非授权或违规设备接入,具备接口安全监测能力,支持发现非授权或违规设备的接入,并进行告警和处置;

(3) 具备接口流量限速、阻断等能力,支持对接口异常调用行为、重要数据异常传输事件等采取处置措施。

明朝万达解析：在数据传输阶段，可采取防泄漏技术，监控各级数据传输的合规性，对违规行为有效实现告警阻断，同时使用通道加密技术，对数据传输中的敏感数据提供安全防护，防止数据在链路中被非法窃取。

5、数据提供

(1) 明确数据提供的范围、类别、条件、程序等,定期梳理形成数据提供清单，确保清单内容完整准确;

(2) 在服务合同或协议中明确数据安全保护条款，明确数据接收方可接触的数据范围、使用权限、目的及安全保护责任;

(3) 数据提供涉及数据出境时,按照国家相关规定和相关标准的要求执行。

增强措施:

核验数据接收方数据安全保护能力,评估安全风险,并采取数据脱敏、数据加密等安全保障措施。

明朝万达解析：在数据提供阶段，除管理规范、采取数据脱敏、数据加密手段外，还可采用提供审核机制保证敏感数据安全，在对外提供时，也应该进行细粒度权限控制，并对提供进行日志记录及审计，更好的解决数据提供阶段的安全防护。

PART5

电信领域解决方案

随着国家大数据发展战略加快实施，大数据技术创新与应用日趋活跃，大数据技术创新与应用产生和集聚了类型丰富多样、应用价值不断提升的海量网络数据，成为数字经济发展的关键生产要素。其中，电信与互联网行业作为数字化发展较为深入、数据资源采集应用场景丰富的数字经济重点行业，受到社会普遍关注。但从电信行业的数字化建设现状来看，部分存在重要数据管理水平不足、数据安全防范能力不够、数据泄露风险隐患突出等问题。因此，强化提升安全防护水平，提高数据防护能力是当务之急。

明朝万达以数据安全为核心、自主可控的国密算法应用技术为基础，研发的Chinasec（安元）数据安全系列产品及解决方案，覆盖数据产生、存储、交换、使用等全生命周期重要环节，依据《信息安全技术电信领域数据安全指南》中的安全措施，实现以数据防护、数据使用为基础、数据识别为补充，以智能管控为集中表现，从用户终端至网络层面再到宏观决策分析，建设一套以应用为核心，以数据生命周期管理为理念的“动态防御，集中管控”的安全服务支撑体系，为电信企业数据安全提供有效保障。

数据防护：

基于网络和客户端数据的安全，通过认证、加密、监控、追踪、合规检查等手段在传统PC终端和移动终端提供系统数据保护。提供数据防泄漏、数据传输链路加密等安全技术。数据防泄漏技术从终端，网络侧对即将发生、正在发生的泄漏敏感数据行为按照预置策略及时阻断并告警，防止电信企业敏感数据传输到外部，有效避免数据泄漏带来的安全风险，同时对敏感数据的操作采用权限控制手段，最终实现对企业敏感数据安全的可知、可见、可控的一体化。数据传输链路加密技术基于代理技术开发，使用TLS连接提供安全服务，通过重写链接和端口来处理远程用户对内网的访问请求，采用国密加密算法，进行链路数据加密。主动采集系统自身运行状态信息、客户端访问流量信息，确保做到过程可信、结果准确、证据可查，有效实现了“主动/被动安全防御”的结合，保护电信企业的内部网络不被攻击，内部资源不被窃取。

数据识别：

提供数据分类分级服务，帮助电信企业有效识别当前网络空间内的数据资产，通过人工+工具的方式对企业内部数据库资产/非结构化资产进行检测、识别，梳理形成数据资产目录，根据相关分类分级行业标准，输出分类分级结果，为企业管理人员的数据安全决策提供依据。使用智能规则实时监听通过不同网络协议外发的数据，从而监控和审计关键数据的外发，避免敏感数据泄漏。

数据使用：

以数据安全使用为核心，以“数据无价、安全使用”的理念实现数据风险评估检查与数据脱敏能力。其中，数据安全检查评估为落实《数据安全法》《个人信息保护法》等法律法规要求以及国家安全监管需要，对组织的数据安全管理、数据处理活动、数据安全技术和个人信息保护情况等进行安全检查评估，发现存在的安全问题和风险隐患，帮助健全安全制度、改进安全措施、弥补安全漏洞，进一步提高数据安全和个人信息保护能力。数据脱敏技术对敏感数据的脱敏不会影响现有的业务系统逻辑，保留脱敏后的原数据的特征和分布，脱敏后的数据能够安全的应用于测试、开发、分析，让数据可以安全的提供数据给第三方使用，实现了电信企业低成本、高效率、安全的使用生产的隐私数据。

智能管控：

在数据安全、发现、运维和其它安全数据基础上进行集中采集和索引，提供搜索、分析、可视化和监控告警等功能，帮助用户对海量异构数据进行集中采集、集中存储、集中分析和集中管理，提供日志信息的快速检索及审计分析能力，帮助用户实现日志留存、快速追踪、实时监控、定期汇总的目标，满足企业在日志审计分析场景下对多类安全管理设备的海量多源异构日志数据进行审计分析的需求。

作为国内数据安全市场的倡导者，明朝万达专注于数据安全、公共安全、云安全、大数据安全及加密应用技术解决方案等服务，历经十余年的发展与积累，明朝万达客户已覆盖金融、政府、公安、电信运营商、能源、设计院所和研发制造业等领域，在金融领域数据安全市场占有率遥遥领先。

基于“动态数据安全，数据全生命周期管控”的产品理念，明朝万达始终以守护用户数据价值为己任，致力于让安全真正服务于业务发展。在大数据、云计算等新技术应用背景下，明朝万达以数据安全为核心、自主可控的国密算法应用技术为基础，研发的Chinasec（安元）数据安全系列产品及解决方案，覆盖数据产生、存储、交换、使用等全生命周期重要环节，实现对服务器、数据库、PC终端、移动终端以及网络通信的全IT架构下数据安全的协同联动管理，打造企业级的数据安全防护体系。

网站声明：如果转载，请联系本站管理员。否则一切后果自行承担。

本文链接：https://www.xckfsq.com/news/show.html?id=27446

赞同 0

评论 0 条

国家标准解读丨明朝万达参与起草的《信息安全技术 电信领域数据安全指南》10月1日起正式施行

相关文章

关注我们

国家标准解读丨明朝万达参与起草的《信息安全技术电信领域数据安全指南》10月1日起正式施行