一、来源背景
在说数据安全之前,先看看传统的信息安全、网络安全起源。
从2015年到2023年,从国家安全、网络安全再到信息安全国家相继发文,行业重视程度可见一斑。
回溯来看,美国棱镜门事件还是有一定推动作用,事件始于2013年6月6日,由英国《卫报》(The Guardian)和《华盛顿邮报》(The Washington Post)首次披露,美国国家安全局(NSA)秘密监视全球互联网活动的丑闻。
棱镜计划(PRISM):是一项由美国国家安全局(NSA)自2007年小布什时期起开始实施的绝密电子监听计划,该计划的正式名号为“US-984XN”。英国《卫报》和美国《华盛顿邮报》2013年6月6日报道,美国国家安全局(NSA)和联邦调查局(FBI)于2007年启动了一个代号为“棱镜”的秘密监控项目,直接进入美国网际网络公司的中心服务器里挖掘数据、收集情报,包括微软、雅虎、谷歌、苹果等在内的9家国际网络巨头皆参与其中。
二、定义
信息安全,ISO(国际标准化组织)的定义为,为数据处理系统建立和采用的技术、管理上的安全保护,为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
网络安全,(Cyber Security)是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
数据安全,《中华人民共和国数据安全法》的定义为,通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
三、区别
网络安全以“网络安全体系为中心”,侧重于计算的资源与环境,是有边界的,通常受限于主权边界。网络安全也泛指整个安全体系,侧重于网络空间安全、网络访问控制、安全通信、防御网络攻击或入侵等。通过保障计算环境(网络空间)的安全,从而最终保障计算对象(数据)的安全。
数据安全是以“数据为中心”,主要侧重于数据全生命周期的安全和合规性,以此来保护数据的安全,特别是敏感数据的安全与合规。
信息安全的范围更广一些,包含网络安全和其他安全主题,如密码学和移动计算。
简单说,如果把数据当作一种资产,比如说纸币,那数据安全就是把纸币放在银行,存取都需要密码保护,需要本人,或者放在保险箱,或者类似古人一样存在后花园等地窖里等一系列措施,原则上是保护资产不丢失不被盗取不被他人乱用。
那网络安全就是保护银行不被抢劫,银行系统不被攻击,家里不被入侵等一系列保护边界的措施,原则上所在区域的安全。
四、数据安全建设内容
(1)数据安全标准体系包括基础共性、关键技术、安全管理、重点领域四大类标准。
1. 基础共性标准,包括术语定义、数据安全框架、数据分类分级,相关标准为各类标准提供基础性支撑。
2. 关键技术标准,从数据采集、传输、存储、处理、交换、销毁等数据全生命周期维度对数据安全关键技术进行规范。
3. 安全管理标准,从网络数据安全保护的管理视角出发,指导行业有效落实法律法规关于网络数据安全管理的要求,包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等。
4. 重点领域标准,结合相关领域的实际情况和具体要求,指导行业有效开展重点领域网络数据安全保护工作。