2021年9月17日,阿里云用户组(AUG)第二期「云安全」主题线下沙龙活动在南京召开。随着国家对网络安全监管要求趋严,企业需要转变思路,从被动安全合规转变到主动战略风控。现场,阿里云首席安全架构师苏建东结合安全合规重大事件,根据国家从等保到密评到数据安全的新合规要求,解答了大家关心的问题。以下为苏建东的分享:
近段时间,大家应该能感受到国家在网络安全的监管力度。7月份,网信办就启动了对某企业的网络安全审查,接着又通知下架其APP,下架APP这个事情对于任何一个企业来说,打击都会非常非常大。接着,又对其它一些海外上市企业启动了网络安全审查,并马上出台了相应的文件,要求依法从严打击证券违法活动,13部委联合修订了《网络安全审查办法》。《网络安全审查办法》原来没有对在境外上市的企业做出详细的规定,但现在做了详细的规定。
可以感觉到国家对网络安全合规是层层加码,越来越重视,这也是今天企业要转变思路,从被动到主动的一个核心原因。
合规新变化:等保2021版公安部等保测评新变化 等保从1.0到2.0,是一个非常大的飞跃。从2.0发布到目前,标准本身并没有改变,但是测评要求有变化。
公安部等保测评报告模板出了2021版,跟2019版变化非常大。它的变化在于得分难度更大,比如说企业原来能拿到90分,但是在云上可能现在只能拿到80分,要是在线下可能只能达到70分。详细来说就是计分从原来的指标加权平均法,变成缺陷扣分法,并且指标会分成一般、重要和关键,关键不符合扣3倍分,重要不符合扣2倍分,管理和技术各占50%且可以调整,数据资源作为独立的测评对象。放在以往,数据是不拉出来做独立的对象的,但现在不一样了,需要跟数据安全法匹配起来。
不同模板公安部等保测评计分区别 这里展示下不同的打分示例: 按照2019年的指标加权平均法,比如总共是10个类,每类是10项,总共100个测评项。如果计算环境里面有5个不符合,其它的所有大类都是2个不符合,8个符合。可以算出平均不符合率就是23%,然后100%减去23%后乘以100 ,最后得下来就是77分。
按照2021年的缺陷扣分法,如果不符合项全部都是一般,也就是按一倍扣分来算,分数扣下来之后还是77分。但是非常不幸的是,我们经常被扣分的项都是很难完成的重要或者关键项,就会导致企业扣分会更多。比如计算环境里面的五个不符合项全是关键项,要扣15分,这样扣下来,就只有67分了,硬生生少了10分。
有客户提到安全公司的人说,如果在线下的话可能会少20分左右,在云上的话客户测下来是少了10分左右。最主要的原因是在云上企业的物理机房等底层有很多安全要求,阿里云已经做掉了,因为阿里云在这上面的得分非常高,所以这一块企业不会扣分。但是在线下什么都会扣分,所以扣的会更多,这是一个核心原因。所以企业如果在云上去过等保的话,即使测评要求有新的变化,过等保的成本也会更低一些,扣的分会更少一些。 
密码法的新要求 密评简单地说就是要使用国密算法。密码法于2020年1月1日开始正式施行,但是对一般企业影响不大,因为该法律最开始设定的范围较小,要关键信息基础设施。关键信息基础设施可以把它等同于等保三级,只要是等保三级的系统,企业都要符合密评。但是将来有一天它很可能会扩展,就是像等保一样适用于所有的系统。
今天它主要是应用在政务和金融行业,因为所有政务云和金融云全部是等保三级。所以目前的话密码法在政务和金融这两个行业推广的如火如荼。企业如果要开展商用密码需要应用进行安全性评估,去满足新的合规要求。
密评标准GB/T 39786——概述 除了密码法之外,国家在2021年也发布了对应的标准——GB/T 39786。
该标准里有管理还有技术,跟等保标准类似。条款基本上跟等保框架是一脉相承的,但是内容会少一点。最主要是要求对于传输、存储的数据进行加密,对数据的完整性、保密性也都有一系列的要求。而且这里面的算法要求不能用国际算法例如AES,而要使用国密算法——如SM2/3/4。企业如果用软件算法的话,只有部分是符合的;如果用硬件算法,就是全部符合。但是今天对大多数企业来说还没有强制要求,等到政务和金融覆盖完了之后,肯定就会轮到普通的企业。
《网络安全法》相关数安条款 前面介绍的等保和密评里面都有很多数据安全内容,但是近几年国家对数据安全特别重视,所以它把数据安全单独提出来了。网络安全法很早就对数据安全做了一些要求,比如防止数据泄露或防止窃取篡改;重要数据应当在境内存储,海外公司进入国内也要求企业数据在境内存储,就比如苹果的ICloud 数据就存在国内。
《数据安全法》综述 今年还发布了《数据安全法》,其中有三点立法背景:
从外部看其实是国家网络空间主权和数据话语权的要求。很多美国公司不愿意在中国成立公司之后把数据放在中国,因为这些数据回流到美国之后,对于美国建立跟中国的竞争优势是非常有帮助的,还包括有很多国家间的竞争成分在里面。
从内部的安全需求出发,是国家对基础性战略资源的保护。我们的国家要保护我们的数据资源,来防止被敌对的国家利用。
从经济上的需求出发,可以促进数据的开发利用。数据如果不保护,到处都分发下去,就没有任何隐私可言了,个人隐私权会受到很大的侵害。但通过立法,规范之后再使用,数据就可以安全地流通起来,可以给企业创造出更多价值,比如说数据风控,企业就可以把数据拿来做业务风控。
数据安全法适用范围是境内开展数据处理活动及其安全监督监管,这个范围非常大。所以刚刚说密评对一些企业暂时不适用,但是数据安全法对所有企业都适用。还有如果在境外开展数据处理活动,损害到了国家安全或者公共利益的话,企业也会受到相应的惩罚。
《数据安全法》框架概要 可以在下图中看到《数据安全法》整个框架共分成了7章,这里主要讲解下前四章:
第一章是总则,需要企业建立数据安全治理体系。治理体系不等于堆砌产品,要分为治理、持续安全、监管三部分。 第二章是数据安全与发展,针对这部分,国家推出了数据安全的评估和认证,这意味着以后企业会有数据安全相应的合规要求,类似于等保。数据交易的管理制度,就是要促进数据的流通。
第三章是数据安全制度,这个是企业要重点去看的。企业要建立数据分级分类保护、风险评估、监测预警机制;数据安全审查、数据出口管制、重要数据的出境管理等,这些都是国家层面的。
第四章是数据安全保护义务,就是技术层面要做的事情。比如说安全缺陷与漏洞的监控、数据来源的核实、定期的数据安全风险评估、数据安全技术措施。通过数据安全法会发现,其实很多条款都是正好戳中前面的网络安全审查中被处罚下架的APP这个事件。除了罚钱之外,更严重的处罚是吊销营业执照。
还有三章就是政务数据安全与开放、法律责任和最后的附则。
《数据安全法》重点条文解读 关于数据安全评估认证已经有一个数据安全标准,称为DSMM。这是由阿里巴巴集团牵头做的,叫数据安全能力成熟度模型,它是一个立体的框架。从安全能力维度、能力成熟度等级,还有数据安全生命周期维度来看,整个数据安全可以这样去做:从数据安全生命周期可以把它分解成6块,有8个核心能力,就是图中红色标注出来的,比如说数据的分类分级、数据的传输加密、存储的安全。存储安全里面可能有加密的措施、有逻辑隔离的措施。
其它还有数据的脱敏、数据资产管理、数据访问控制、监控与审计等等关键的技术能力。这些关键的技术能力在之后要去过数据安全合规要求的时候,基本上都会用到。但是今天大多数企业可能这里面一大半的机制都没有。你用传统数据库的时候,可能会用一些数据库审计,但是只能满足里面的数据安全审计很小的这一块。像数据的分类分级、传输存储加密这些机制基本上大多数企业都是没有的。
另外一个重点条文解读是针对数据分类分级的。分类分级其实是做数据安全的一个前提条件。企业如果对自己的数据资产存在哪里,哪些是重要的数据,这些数据分哪些类别都搞不清楚的话,数据安全肯定是做不出来的。
数据的分类分级一定是跟业务场景相结合,很多行业都会去制定自己行业的数据分类分级的标准,比如说金融行业、汽车行业等。法律里面比如刑法也有一些比较简单的规范,还有近期刚颁发的《个人信息保护法》也提到了什么叫敏感个人信息。举个例子,电商行业必然会涉及到敏感个人信息,用户在电商平台注册的家庭地址、身份证号、手机号、银行卡卡号之类的这些东西都是非常敏感的个人信息,不得泄露。
综合以上法律法规的解读,可以回过头看下某互联网公司被处罚的依据。如图左边是网络安全审查办法原来的版本,右边是新的版本。新的版本其实一直在准备中,因为该公司发生的数据安全事件触发了它,所以很快就放了出来。内容可以看一下,比如说将数据处理活动作为重点的规范对象,这是以前没有的。数据处理就是企业如何去使用这些数据。 
中国企业上市和证监会有关,不光是在国内,在国外上市也受证监会管辖。如果掌握超过100万用户个人信息的运营者要赴国外上市,必须提前向网信办申报网络安全审查。但被处罚的该公司没做这个事情,所以就引发了后续一系列的事情。国外上市后关键信息基础设施、核心数据等存在被国外政府影响控制、恶意利用的风险,因此针对境外上市公司修订了《网络安全审查办法》,还延长了审查的时间,特别审查程序在3个月内完成,一般是45个工作日。还有第16条,也是对数据处理活动以及国外上市行为的要求,其实都是针对于这次的事件提出的。
如何从安全被动合规转变到主动战略风控最后,鉴于以上的分析,企业如果从被动安全合规要转到主动战略风控需要做以下几件事情:
一是理念的转变。企业不能被动地等着公安上门,等着网信办上门,然后开始执法的时候,才去做合规。那时候都晚了,所以要主动,这是第一个。
二是企业要了解从国家法律到行政法规到相关标准有哪些。从法律层面出发,国家安全法到网络安全法、密码法、数据安全法,都是国家层面的法律,个人信息保护法,相当于数据安全这个领域的一个特定的法律。然后是各种各样的行政法规,从网信办、工信部、公安部到人行,基本上都是针对于数据安全管理、个人数据保护、数据出境这样的规范。个人数据保护也越来越重要,大家可以看到手机上很多APP更新之后再点进去的话,它会有隐私保护策略的政策,需要用户再读一遍。它那个策略其实都变更过了,为的就是来符合相应的标准,所以企业最后还是要通过标准合规去落地。
以上就是本次分享的内容,谢谢大家。(完) 安全合规新变化,阿里云首席安全架构师苏建东独家解读
