被泄露的求职简历,被盗用的信用卡信息,被窃取的医疗记录……近年来,数据安全事件在全球范围内愈演愈烈,动辄上百万甚至上亿条的信息被泄露,从公民个人隐私信息被泄露到国家公共安全遭威胁,数据安全问题已经上升到国家公共安全层面。
日前,工信部网络安全管理局就落实《电信和互联网行业提升网络数据安全保护能力专项行动工作方案》(以下简称《方案》)召开全国视频会议,要求不折不扣落实各项任务措施,开拓创新加快数据安全保障体系建设,协同联动形成数据安全管理合力,推动行业网络数据安全保护能力迈上新台阶。
落细落实
强化网络数据安全管理
主动担责,细化管理。相关报告显示,安全管理不善是导致数据泄露的主要原因,面对海量的数据和复杂的系统,安全管理的缺位给数据泄露等问题以可乘之机。为此,《方案》特别提出,基础电信企业和互联网企业作为较重要的责任主体,要建立企业内部安全责任制,明确企业网络数据安全职能部门和责任人,要对照任务清单,逐一细化工作措施,不折不扣做好组织保障、合规评估、对外合作、应急响应等环节的责任落实。
聚焦难点,补齐短板。实际上,基础电信企业和互联网企业都已经认识到数据安全的重要性,然而长期以来,依然存在着数据“家底”摸不清、管理措施不到位、对外合作不规范等问题,而这些重点难点问题成为制约数据安全保护能力提升的关键。为此,《方案》提出,要加快推动建立企业内部网络数据清单和数据分级分类管理制度,全面开展数据安全评估,加强合作方数据保障能力评估管理,切实提升企业网络数据安全保护水平。
接受监督,追责整改。个人隐私被泄露后谁来买单?公共安全被威胁后谁来负责?在数据成为关乎百姓命运及国家安全的今天,谁不妥善保管数据,谁就理应受到严惩。此次发布的《方案》明确提出,将企业网络数据安全责任落实情况、数据安全合规性评估落实情况作为重点内容,纳入2019年网络信息安全“双随机、一公开”检查和基础电信企业网络信息安全责任考核检查中。针对网络数据安全事件多、面广、易发等特点,将对违法违规行为采取约谈、公开曝光、行政处罚等措施,将处罚结果纳入电信业务经营不良名单或失信名单。
以技管数
提升网络数据安全保护能力
2019年季度,沙特智能电话本应用Dalil的数据库存在安全漏洞,导致500多万用户的数据被泄露;Gator系列儿童智能手表存在漏洞,暴露了约3.5万名儿童的敏感数据……系统漏洞等技术问题是导致网络数据安全隐患的另一重要因素。
网络数据安全保卫战是一场与黑客比拼的技术对抗,要“跑赢”黑客,必须全面提升技术能力,超前部署:
一方面,全行业要提升网络数据安全隐患排查能力、威胁发现能力、应急处置能力和溯源核查能力“四大能力”。
另一方面,要瞄准网络数据安全的核心技术和关键环节,充分调动产业链各相关主体,加强技术研发和成果转化,促进网络数据安全先进技术创新及产品服务应用的推广。
伴随着5G、工业互联网、人工智能、区块链等新技术新业态的不断发展,数据的获取、开发及应用也日益频繁,网络数据安全面临着诸多新问题、新挑战,对此,全行业要密切跟踪网络数据安全领域的新态势,超前谋划,及时开展数据安全前瞻性研究,切实提升数据安全风险防范能力。
协同联动
形成网络数据安全保护合力
网络数据安全涉及的领域广、环节多,做好网络数据安全保护工作,离不开社会各界的广泛参与和有效协同。数据的流动不受时空限制,保护网络数据安全绝不单单是某个部门或者某地区的责任,只有加强信息共享和交流沟通,方能织就网络数据安全“保护网”,有效防范网络数据安全风险,联动处置安全威胁。
各地通信管理局要紧密结合本地实际情况,开展督导检查,督促属地企业落实任务清单,及时整改问题、排查隐患;基础电信企业和互联网企业要积极承担主体责任,加大网络数据安全技术投入,完善防窃取、防泄露等安全保障措施;研究机构开展面向行业的网络数据安全法律法规和政策标准宣贯、技能培训和测试检查;成立网络数据安全专家委员会,支撑安全标准制定、关键技术研究、安全风险评估等工作;成立大数据安全联盟,打造网络数据安全技术交流、联合攻关和试点应用平台;依托互联网协会,建立网络数据违法违规行为举报平台,同时引导企业自觉履行安全保护义务;通过加强宣传,提升用户对个人信息和隐私的保护意识及风险防范能力,同时监督举报网络数据威胁。
网络数据安全保护战是一场需要精益求精的管理攻坚,是一场需要与黑客较量的技术比拼,更是一场需要协同联动的持久战。网络安全态势日益复杂,数据安全问题动态变化,全行业要抓住此次专项行动的契机,不断巩固深化网络数据安全治理长效机制,持续推进网络数据安全保护能力迈上新台阶。