保护公共事业领域重要敏感数据
众所周知,保障社会运行的公共事业领域的各类系统中存有大量的敏感数据和公民个人信息,一旦这些数据出现不可用的情况或大规模泄漏情况都将会为社会平稳运行带来负面影响,因此需要对这些数据进行强有力的贴身保护!
依据《中华人民共和国网络安全法》第三十一条,阐明了保护范围是国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。保护方法为在网络安全等级保护制度的基础上,实施重点保护。重点保护的对象及关键信息基础设施,包括设施保护、数据保护、产品和服务保护,其中数据保护的对象为“个人信息”与“重要数据”。
近年来,以《中华人民共和国网络安全法》为核心,我国就数据安全相继出台多项新政策,包括已提请审议草案的《数据安全法》《中华人民共和国个人信息保护法》,已发布的《信息安全技术个人信息安全规范》《网络安全等级保护制度》 2.0。燃气公司作为国家的公共服务,信息化系统必须为个人信息和关键的信息数据负责(一般为3级)。必须遵循以下法规政策:
网络安全等级保护制度:
安全控制域 安全控制点 要求项 适用等级 安全计算环境 访问控制 d)应授予管理用户所需的最小权限,实现管理用户的权限分离; 3 e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则 3 f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级 3 g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。 3 安全审计 a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要的安全事件进行审计; 3 b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 3 入侵防范 f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 3 恶意代码防范 应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 3 可信验证 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心 3 数据完整性 应采用校验技术保证重要数据在传输过程中的完整性。 3 b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等 3 数据保密性 b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 3
个人信息安全规范:
- 6.3个人敏感信息的传输和存储:传输和存储个人敏感信息时,应采用加密等安全措施;
- 7.1对个人信息控制者的要求包括:
a) 对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限;
e) 对个人敏感信息的访问、修改等操作行为,宜在对角色权限控制的基础上,按 照业务流程的需求触发操作授权。例如,当收到客户投诉,投诉处理人员才可 访问该个人信息主体的相关信息。
- 11.5数据安全能力
个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要 的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改。