2021-11-01 04:10 浏览量:1923
前言
当前,以数字经济为代表的新经济成为经济增长新引擎,数据作为核心生产要素成为了基础战略资源,数据安全的基础保障作用也日益凸显。伴随而来的数据安全风险与日俱增,数据泄露、数据滥用等安全事件频发,为个人隐私、企业商业秘密、国家重要数据等带来了严重的安全隐患。近年来,国家对数据安全与个人信息保护进行了前瞻性战略部署,开展了系统性的顶层设计。《中华人民共和国数据安全法》于2021年9月1日正式施行,《中华人民共和国个人信息保护法》于2021年11月1日正式施行。
本白皮书(或本报告)正是在《数据安全法》、《个人信息保护法》等法律陆续施行的背景下编制。《数据安全法》旨在维护国家安全和社会公共利益,保障数据安全,其关于“数据”的定义,是指任何以电子或者其他方式对信息的记录。《个人信息保护法》更侧重于个人权益,是为了维护公民个人的隐私、人格、人身、财产等利益,其关于“个人信息”的定义,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
业内关于“数据”和“信息”之间关系的理解,大致可以分为三类:一是“信息”属于“数据”的子概念,“信息”是从采集的“数据”中提取的有用内容;二是“信息”与“数据”互相混用,概念区分没有实质意义;三是“数据”属于“信息”的子概念,仅表示“信息”在电子通信环境下的表现形式。本报告基于数据和信息之间关系的第一种释义,即“个人信息”属于“数据”的子概念。同时,《数据安全法》中的数据处理者在处理个人信息时,也是《个人信息保护法》中的个人信息处理者,除需遵守《数据安全法》,还必须遵守《个人信息保护法》。从技术层面看,个人信息往往以结构化数据或非结构化数据形式存在,保护个人信息和保护数据的防护手段,二者高度通用。综合考虑以上原因,本报告将数据安全技术与个人信息保护技术合并论述。
本报告综合梳理了当下数据安全发展面临的挑战与机遇,结合真实的数据泄漏事件,分析业务流转各环节伴生的安全风险与应对,探索数据安全“新框架”与“新战法”。本报告参考经典的网络安全框架ATT&CK,提出了新的数据安全技术框架DTTACK(以数据为中心的战术、技术和通用知识),以期结合两大框架实现“攻防兼备、网数一体”。本报告详细介绍了DTTACK框架,针对数据安全从识别(I)、防护(P)、检测(D)、响应(R)、恢复(R)、反制(C)、治理(G)七大方面说明了相应的战术、技术,覆盖了数据的全生命周期(收集、存储、使用、加工、传输、提供、公开等)的安全防护。最后,报告从云平台、工业互联网、政务大数据、银行金融、民航业等十个场景,简要阐述了数据安全的应用示例方案以供参考。
“工欲善其事,必先利其器”,在数字经济快速发展的背景下,我们更需要深刻认识到数据安全建设的重要性,不仅需要在安全意识和管理水平上提升,更需要在技术上重点布局、勇于创新,希望本报告能够为企业或机构的数据安全建设提供参考和借鉴。由于编者水平有限,报告中的错误之处在所难免,敬请读者指正,也欢迎业界同仁共同参与完善,为行业发展提供助力!
报告架构
一、数据安全发展面临严峻挑战
1.1 数据要素赋能数字中国
1.1.1 数据成为新型生产要素
1.1.2 数据开发利用加速发展
1.2 个人信息亟待严格保护
1.2.1 个保法律强化保护义务
1.2.2 个人信息需要体系防护
1.3 业务处理伴生数据风险
1.3.1 数据收集风险
1.3.2 数据存储风险
1.3.3 数据使用风险
1.3.4 数据加工风险
1.3.5 数据传输风险
1.3.6 数据提供风险
1.3.7 数据公开风险
1.4 数据风险制约产业创新
1.4.1 数据跨境流动带来新隐患
1.4.2 新技术迭代催生更多风险
1.4.3 新业态出现激发潜在危机
二、数据安全产业迎来发展机遇
2.1 实战合规共驱安全产业
2.1.1 数据安全面临国内外挑战
2.1.2 安全需求被置于次要地位
2.1.3 强合规监管深化鞭子效力
2.2 数据安全成为国家战略
2.2.1 国际数据安全发展战略概况
2.2.2 我国数据安全立法监管加强
2.2.3 全球公正数据安全规则构建
2.3 多重因素推动技术升级
2.3.1 数据安全攻防视角的新框架
2.3.2 数据安全供需市场的新博弈
2.3.3 数据安全实战能力的新要求
2.3.4 数据安全思路模型的新演进
三、数据安全技术亟待叠加演进
3.1 数据安全需要新框架
3.1.1 数据安全需兼顾内外威胁防护
3.1.2 数据防护从应对式转向主动式
3.1.3 网络与数据并重的新建设思路
3.1.4 经典网络安全框架ATT&CK
3.1.5 数据安全技术框架DTTACK
3.1.6 网络与数据一体化的叠加演进
3.2 数据安全需要新战法
3.2.1 知彼:攻击体系化
3.2.2 知己:银弹不存在
3.2.3 百战不殆:面向失效的安全设计
四、数据安全框架重点技术详解
4.1 l:识别
4.1.1 技术:数据资源发现
4.1.2 技术:数据资产识别
4.1.3 技术:数据资产处理(分析)
4.1.4 技术:数据分类分级
4.1.5 技术:数据资产打标
4.2 P:防护
4.2.1 技术:数据加密技术
4.2.2 技术:数据脱敏技术
4.2.3 技术:隐私计算技术
4.2.4 技术:身份认证技术
4.2.5 技术:访问控制技术
4.2.6 技术:数字签名技术
4.2.7 技术:DLP技术
4.2.8 技术:数据销毁技术
4.2.9 技术:云数据保护技术
4.2.10 技术:大数据保护技术
4.3 D:检测
4.3.1 技术:威胁检测
4.3.2 技术:流量监测
4.3.3 技术:数据访问治理
4.3.4 技术:安全审计
4.3.5 技术:共享监控
4.4 R:响应
4.4.1 技术:事件发现
4.4.2 技术:事件处置
4.4.3 技术:应急响应
4.4.4 技术:事件溯源
4.5 R:恢复
4.5.1 技术:灾难恢复
4.5.2 技术:数据迁移技术(分层存储管理)
4.5.3 技术:本地双机热备
4.5.4 技术:远程异地容灾
4.6 C:反制
4.6.1 技术:水印技术
4.6.2 技术:溯源技术
4.6.3 技术:版权管理技术
4.7 G:治理
4.7.1 数据价值
4.7.2 数据安全策略
4.7.3 数据安全模型
4.7.4 数据安全管理
4.7.5 数据安全运营
4.7.6 意识与教育
4.7.7 数字道德
五、数据安全应用示例方案参考
5.1云平台数据安全存储场景
5.1.1 概要
5.1.2 安全现状
5.1.3 解决方案
5.1.4 总结
5.2工业互联网数据多方安全共享
5.2.1 概要
5.2.2 安全现状
5.2.3 解决方案
5.2.4 总结
5.3重要商业设计图纸安全共享场景
5.3.1 概要
5.3.2 安全现状
5.3.3 解决方案
5.3.4 总结
5.4电子档案数据的安全存储和使用场景
5.4.1 概要
5.4.2 安全现状
5.4.3 解决方案
5.4.4 总结
5.5企业办公终端数据安全使用场景
5.5.1 概要
5.5.2 安全现状
5.5.3 增强方案
5.5.4 总结
5.6政务大数据交换共享场景
5.6.1 概要
5.6.2 安全现状
5.6.3 增强方案
5.6.4 总结
5.7银行业数据安全增强方案
5.7.1 概要
5.7.2 安全现状
5.7.3 增强方案
5.7.4 总结
5.8互联网金融数据安全使用场景
5.8.1概要
5.8.2安全现状
5.8.3解决方案
5.8.4总结
5.9民航业数据安全存储场景
5.9.1 概要
5.9.2 安全现状
5.9.3 解决方案
5.9.4 总结
5.10电力数据中台的数据安全增强
5.10.1 概要
5.10.2 安全现状
5.10.3 解决方案
5.10.4 总结
一、数据安全发展面临严峻挑战
1.1 数据要素赋能数字中国
1.1.1 数据成为新型生产要素
2020年4月9日,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》(以下简称《意见》),提出土地、劳动力、资本、技术、数据五个要素领域的改革方向和具体举措。数据作为一种新型生产要素写入中央文件中,体现了互联网大数据时代的新特征。当前数字经济正在引领新经济发展,数字经济覆盖面广且渗透力强,与各行业融合发展,并在社会治理中如城市交通、老年服务、城市安全等方面发挥重要作用。而数据作为基础性资源和战略性资源,是数字经济高速发展的基石,也将成为“新基建”最重要的生产资料。数据要素的高效配置,是推动数字经济发展的关键一环。加快培育数据要素市场,推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护,使大数据成为推动经济高质量发展的新动能,对全面释放数字红利、构建以数据为关键要素的数字经济具有战略意义。
在数据时代,以大数据为代表的信息资源向生产要素形态演进,数据已同其他要素一起融入经济价值创造过程。与其他资源要素相比,数据资源要素具有如下特征:一是数据体量巨大。且历史数据量不断累积增加,通过流转和共享对社会发展产生重要价值,基于数据创新的商业模式或应用不断演进。二是数据类型复杂。不仅包含各种复杂的结构化数据,而且图片、指纹、声纹等非结构化数据日益增多;三是数据处理快,时效性要求高。通过算法对数据的逻辑处理速度非常快,区别于传统数据挖掘,大数据处理技术遵循“一秒定律”,可以从各种类型的数据中快速获得高价值的信息。四是数据价值密度低。数据价值的高度与精确性、信噪比有关,在海量数据面前有价值的数据所占比例很小。在获取高价值数据的过程中,往往需要借助数据挖掘等方法深度分析海量数据,从中提取出对未来趋势与模式预测分析有价值的数据。
基于以上四个特性分析,数据在参与经济建设、社会治理、生活服务时,具有重要意义。一是数据作为一种生产性投入方式,可以大大提高生产效率,是新时期我国经济增长的重要源泉之一。二是推动数据发展和应用,可以鼓励产业创新发展,推动数据与科研创新的有机结合,推进基础研究和核心技术攻关,形成数据产业体系,完善数据产业链,使得大数据更好服务国家发展战略。三是数据安全是数据应用的基础。保护个人隐私、企业商业秘密、国家秘密等。在加强安全管理的同时,又鼓励合规应用,促进创新和数字经济发展,实现公共利益最大化。从合规要求看,数据安全成为国家顶层设计,相关法律政策明确提出加强网络安全、数据安全和个人信息保护,数据安全产业迎来前所未有的历史发展机遇。最终用户对于主动化、自动化、智能化、服务化、实战化的安全需求进一步提升,在此需求推动下,数据安全市场未来五年将继续维持高增速发展。根据赛迪咨询数据测算,2021年我国数据安全市场规模为69.7亿元,预测在2023年我国数据安全市场规模将达到127亿元。从实战需求看,日趋严峻的网络安全威胁让企业面临业务风险,数字产业化迫切需要数据安全能力,而产业数字化转型带来数据安全新需求。当前,我国数据安全产业处于起步期,相比于西方发达国家,我国尚有很大增长潜力,这既是短板也是市场机会。随着实战化和新合规的要求逐步深入,数据安全将迎来广阔的市场空间。
1.1.2 数据开发利用加速发展
当前,数据要素成为推动经济转型发展的新动力。通过数据流引领技术流、物资流、资金流、人才流,推动社会生产要素的网络化共享、集约化整合、协作化开发和高效化利用,提升经济运行水平和效率。特别是后疫情时代,数字产业化和产业数字化将推动数据开发利用的需求从被动变为主动,从启动变为加速,迎来蓬勃发展的黄金时代。
政府数据开放共享,推动资源整合,提升治理能力。随着国家顶层设计和统筹规划,政府依托数据统一共享交换平台和政府数据统一开放平台,大力推进中央部门与地方政府条块结合、联合试点,实现公共服务的多方数据安全共享、制度对接和协同配合;通过政务数据公开共享,引导企业、行业协会、科研机构、社会组织等主动采集并开放数据,提升社会数据资源价值、加强数据资源整合和安全保护。同时,优化数据开发利用,不断提升大数据基础设施建设、宏观调控科学化、政府治理精准化、商事服务便捷化、安全保障高效化、民生服务普惠化。
推动产业创新发展,培育新兴业态,助力经济转型。随着5G、云计算、大数据、人工智能等新技术的发展,以及互联网金融、数据服务、数据探矿、数据化学、数据材料、数据制药等新业态的加速兴起,提升了数据资源的采集获取和分析利用能力,充分发掘数据资源支撑创新的潜力。同时,工业大数据、农业农村大数据、万众创新大数据、基础研究和核心技术攻关等同步蓬勃发展,围绕数据采集、整理、分析、发掘、展现、应用等环节,打造较为健全的大数据产品体系,带动技术研发体系创新、管理方式变革、商业模式创新和产业价值链体系重构,推动跨领域、跨行业的数据融合和协同创新。
强化安全保障,提高管理水平,促进健康发展。数据开发利用升级离不开数据安全的保障。加强数据安全问题研究和安全技术研究,落实商用密码应用安全性评估、信息安全等级保护、网络安全审查等网络安全制度,建立健全大数据安全保障体系。建立大数据安全评估体系。同时,采用安全可信产品和服务,提升基础设施关键设备安全可靠水平,强化安全支撑。
1.2 个人信息亟待严格保护
1.2.1 个保法律强化保护义务
个人信息作为数据资源的重要组成部分,应该受到严格保护。但过去由于传统观念、信息环境、技术手段和立法规划等方面的原因,我国的个人信息保护一直没有得到应有的重视,也没有制定专门针对个人信息保护方面的法律。
2021年11月1日,《中华人民共和国个人信息保护法》正式实施。《个人信息保护法》就“个人信息处理规则”、“个人信息跨境提供的规则”、“个人在个人信息处理活动中的权利”、“个人信息处理者的义务”、“履行个人信息保护职责的部门”等,以及相关各方的“法律责任”作出了明确界定。该法统筹私人主体和公权力机关的义务与责任,兼顾个人信息保护与利用,为个人信息保护工作提供了清晰的法律依据。《个人信息保护法》是我国保护个人信息的基础性法律,奠定了我国网络社会和数字经济的法律之基。
个人信息受到应有的保护是社会文明进步的重要标志之一,也是我国法制建设与国际接轨的有力举措。《个人信息保护法》借鉴国际立法经验,结合本国经济社会实际,是中国智慧的结晶。该法必将在保护个人权益,促进经济社会稳定发展方面发挥重要作用。
1.2.2 个人信息需要体系防护
目前,我国个人信息的安全状况相当严峻。基于个人信息所蕴含的巨大商业价值,加上数字经济带来了新变化,个人信息安全事件呈现出大幅上升的势头。掌握大量个人信息的商业银行、电信运营商、电商平台、交通旅游业企业等成为案发重灾区,相关案例屡屡见诸媒体。这就要求与个人信息相关的行业企业,提高对个人信息保护工作重视程度,依照《个人信息保护法》要求,建立起行之有效的保护体系。基本措施包括:
1)建立和完善相关的组织机构
《个人信息保护法》具有强制力,相关部门和单位应该依照法条要求,制定和落实保护计划。只有建立高效的组织,制定科学的制度,积极采取行动,使措施落地,个人信息的安全才能依法得到保证。
2)加强个人信息保护技术的应用
数字经济能够产生高附加值的重要原因之一是数据资源的共享。大数据、云计算、区块链等新技术的应用,使得网络“边界”难于划分,原有的基于传统信息安全保护思路,注重固定“边界”攻防的技术手段,已难于满足当前个人信息保护的需求。新老问题叠加,需要新的信息安全保护思路和技术手段,积极采用加密与去标识化等技术,才能有效应对新的安全威胁,这对个人信息保护工作提出了新挑战。
3)落实个人信息处理者责任
对于个人信息安全事件的追责不力是导致个人信息安全事件频发的重要原因之一。伴随个人信息保护法的出台,众多涉及个人信息的处理者都将共同参与行动,与之配套的就是要落实责任。结合各单位的具体情况,应该设立个人信息保护责任人,设立奖惩制度。只有责任到人,才能踏石留印,抓铁有痕,见到实效。
1.3 业务处理伴生数据风险
数据这种新型生产要素,是实现业务价值的主要载体,数据只有在流动中才能体现价值,而流动的数据必然伴随风险,数据安全威胁伴随业务生产无处不在。因此,凡是有数据流转的业务场景,都会有数据安全的需求产生。传统认为,安全和业务是关联的,有时候对立。但换个角度,安全其实就是一种业务需求。“传统业务需求”侧重于“希望发生什么”,而“安全需求”则侧重于“不希望发生什么”,从而确保“发生什么”。从业务视角出发,数据安全需求重点是数据的机密性和完整性。
结合到企业或机构的信息系统中,数据安全则来自于业务处理中的风险映射。从时间维度看,数据在流转的全生命周期中的每个环节都会有相应的安全需求;从空间维度看,数据在基础设施层、平台层以及应用层之间流转,不同层次会有不同颗粒度的防护需求。《数据安全法》提出“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等”,为数据生命周期的各环节提供了明确定义,数据在各环节均面临诸多泄露威胁与安全挑战。
1.3.1 数据收集风险
在数据收集环节,风险威胁涵盖保密性威胁、完整性威胁、可用性威胁等。保密性威胁指攻击者通过建立隐蔽隧道,对信息流向、流量、通信频度和长度等参数的分析,窃取敏感的、有价值的信息;完整性威胁指数据与元数据的错位、源数据存有恶意代码;可用性威胁指数据伪造、刻意制造或篡改。
(1) 国内
1)某程集团因涉嫌违规采集个人信息被诉至法院
司法机关:浙江省绍兴市柯桥区人民法院
案例描述:2021年7月,浙江省绍兴市柯桥区人民法院开庭审理了胡某诉上海某程集团侵权纠纷案件。胡某以上海某程集团采集其个人非必要信息,进行“大数据杀熟”等为由诉至法院,要求某程集团APP为其增加不同意“服务协议”和“隐私政策”时仍可继续使用的选项。法院审理后认为,某程集团的“服务协议”和“隐私政策”以拒绝提供服务形成对用户的强制。其中,“服务协议”和“隐私政策”要求用户特别授权某程集团及其关联公司、业务合作伙伴共享用户的注册信息、交易、支付数据并允许某程集团及其关联公司、业务合作伙伴对其信息进行数据分析等内容属于非必要信息的采集和使用,无限加重了用户个人信息使用风险。据此,法院判决某程集团应为原告增加不同意其现有“服务协议”和“隐私政策”仍可继续使用的选项,或者为原告修订“服务协议”和“隐私政策”,去除对用户非必要信息采集和使用的相关内容,修订版本须经法院审定同意。
2)速贷之家主体智借网络贩卖个人信息被罚
执法机构:江苏省仪征市人民法院
法律依据:《中华人民共和国刑法》第二百五十三条之一第一、四款,第二十五条第一款,第二十六条第一、四款,第二十七条,第六十七条第一、三款,第四十五条,第七十二条第一、三款,第七十三条第二、三款,第五十二条,第五十三条第一款,第六十四条和《中华人民共和国刑事诉讼法》第十五条
案例描述:2016年,贤某成立北京智借网络科技有限公司(简称“智借网络”),并担任法定代表人,从事贷款超市等业务。2018年1月至2019年7月间,贤某与公司技术部负责人赵某等人共同商议孵化“一键贷”项目。在明知公司没有贷款资质的情况下,贤某及相关负责人仍开发“一键贷”贷款申请页面投放网络,诱骗他人申请注册,收集个人信息,在未取得受害人同意的情况下,向下游多家不特定信息服务公司出售包含姓名、身份证号、手机号等个人信息,非法盈利共计316.96余万元。买方涉及多家知名公司,如某普惠、某拍贷、某我贷等。最终法院判决智借网络犯侵犯公民个人信息罪,判处罚金320万元。主犯贤某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑三年,并处罚金30万元。
(2) 国外
1)ZOOM因涉嫌非法泄漏个人数据而被起诉
法律依据:《加州消费者隐私法》
案例描述:根据2020年4月在加利福尼亚州圣何塞市联邦法院提起的诉讼,用户安装或打开Zoom应用程序时收集信息,并在没有适当通知的情况下将其共享给包括Facebook在内的第三方。Zoom的隐私权政策并未向用户说明其应用程序包含向Facebook和潜在的其他第三方披露信息的代码。投诉称,该公司的“程序设计和安全措施完全不足,并将继续导致未经授权而泄露其用户个人信息”。根据《加州消费者隐私法》规定,任何消费者如其在第1798.81.5节(d)条(1)款(A)项下所定义的未加密和未经处理的个人信息,由于企业违反义务而未实施和维护合理安全程序以及采取与信息性质相符的做法来保护个人信息,从而遭受了未经授权的访问和泄露、盗窃或披露,则消费者可提起民事诉讼并请求。为每个消费者每次事件赔偿不少于一百美元(100美元)且不超过七百五十美元(750美元)的损害赔偿金或实际损害赔偿金,以数额较大者为准。
1.3.2 数据存储风险
在数据存储环节,风险威胁来自外部因素、内部因素、数据库系统安全等。外部因素包括黑客脱库、数据库后门、挖矿木马、数据库勒索、恶意篡改等,内部因素包括内部人员窃取、不同利益方对数据的超权限使用、弱口令配置、离线暴力破解、错误配置等;数据库系统安全包括数据库软件漏洞和应用程序逻辑漏洞,如:SQL注入、提权、缓冲区溢出;存储设备丢失等其他情况。
(1) 国内
1)某东电商平台确认12G用户数据泄漏
案例描述:2016年2月,国内媒体一本财经报道称一个超过12G的数据包正在黑市流通,数据包信息包括用户名、密码、真实姓名、身份证号、电话号码、QQ号、邮箱等多类个人用户信息。这个数据包已在黑市上明码交易,价格在10万-70万不等,黑市买卖双方表示该数据包来源为某电商平台。某东电商平台表示,黑客利用了Struts 2的漏洞对某电商平台数据库进行了拖库。
2)济南20万孩童信息以每条一两毛被打包出售
案例描述:2016年,济南20万名孩童信息被打包出售,每条信息价格一两毛。泄漏信息包括孩子的姓名、年龄、性别、父亲姓名以及父母联系电话、家庭住址(全部精确到户)等。济南警方侦破案件,系黑客入侵免疫规划系统网络,4名嫌犯被抓获。
3)某论坛2300万用户信息泄露
执法机构:北京市第一中级人民法院
法律依据:《个人信息保护法》第五十一条、第六十六条
案例描述:2015年1月,互联网安全漏洞平台漏洞盒子发布消息称,国内最大的安卓论坛某论坛2300万用户数据遭泄露,包含用户名、密码、邮箱。据《个人信息保护法》规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。有相关违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。某论坛掌握众多用户个人信息和敏感个人信息,应采取相关技术保护个人信息安全,防止用户信息泄漏。
4)乌云漏洞报告某易用户数据库疑似泄露(亿级)
执法机构:北京市第一中级人民法院
法律依据:《网络安全法》第42条
案例描述:2015年10月,国内安全网络反馈平台WooYun(乌云)发布消息称,某易的用户数据库疑似泄露,影响数量共计数亿条,泄露信息包括用户名、MD5密码、密码提示问题/答案(hash)、注册IP、生日等。某易邮箱过亿数据泄漏(涉及邮箱账号/密码/用户密保等)。根据《网络安全法》第42条相关规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。某易产品收集大量用户信息和重要数据,应该采取相关措施保护数据安全,防止数据泄露事件发生。
5)非法获取公民的电话信息10万多条
案号:(2020)冀0681刑初507号、(2021)冀06刑终180号
法律依据:《中华人民共和国刑法》第二百五十三条之一、第六十七条第三款、第六十四条、第七十二条第一款,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条第二款、第五条,《中华人民共和国刑事诉讼法》第二百零一条,《最高人民法院关于适用<中华人民共和国刑事诉讼法>的解释》第三百六十五条,《中华人民共和国网络安全法》第七十六条第五项,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条
司法机关:河北省保定市中级人民法院
案例描述:2020年5月份至8月份,被告人刘某花8000元在网上购买“北斗创客”软件,通过该软件非法获取公民的电话信息10万多条。2020年7月份,刘某通过QQ联系被告人高某欲购买公民个人信息数据,后被告人高某分两次以1000元的价格出售给被告人刘某公民个人信息数据6万多条。判决如下:判决如下:被告人刘某犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币五千元;被告人高某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑五年,并处罚金人民币五千元。
(2) 国外
1)Facebook证实4.19亿用户的电话信息被泄露
案例描述:2019年9月Facebook证实,存储了超4亿条与Facebook账户关联的电话号码数据库被曝光,每条记录都包含一个用户的Facebook ID和连接到他们账户的电话号码。同样,2018年3月“剑桥分析丑闻”首次被曝光——Facebook8700万用户数据泄露,一家名为剑桥分析的公司通过这些数据影响了美国选举。最终,美国联邦贸易委员会(FTC)宣布与Facebook就该事件达成一项50亿美元的和解协议。
2)微软泄露 2.5 亿条客户支持记录和 PII(个人验证信息)
案例描述:2020年1月,微软意外地在网上曝光了 2.5 亿条客户服务和支持记录。泄漏的数据包含客户电子邮件地,IP 地址,地点,CSS 声明和案例的描述,案例编号,解决方案和备注等。微软确认此数据泄漏,并揭示此问题是由微软内部案例分析数据库的配置错误而导致。
3)5700万名优步司机信息遭泄露
执法机构:美国伊利诺伊州司法部
法律依据:《国家消费者保护法》
案例描述:据环球网科技综合2018年9月报道,美国科技公司优步2016年泄漏约5700万名乘客与司机个人资料,在长达一年的时间里,优步未能通知司机该平台遭受黑客袭击导致司机们个人信息被泄漏一事,而且隐瞒盗窃证据,并向黑客支付赎金以确保数据不会被滥用。美国50州及华盛顿特区官员向该公司提起集体诉讼,之后优步与各州达成和解协议。2018年9月优步宣布:将支付1.48亿美元罚金,并承诺加强数据安全管理。和解要求优步遵守维护个人信息的国家消费者保护法,并在发生信息泄漏情况下立即通知相关部门,保护第三方平台用户数据,并制定强有力的密码保护政策。优步还将聘请一家外部公司对优步的数据安全进行评估,并按照其建议进一步加固数据安全。
4)美国第二大医疗保险公司Athem泄露8000万个人信息
法律依据:《国家消费者保护法》
案例描述:人民网旧金山2015年2月5日报道,美国第二大医疗保险公司Anthem(安塞姆)2月5日向客户发邮件称,公司数据库遭黑客入侵,包括姓名、出生日期、社会安全号、家庭地址以及受雇公司信息等8000名用户个人信息受到影响。这已经不是Anthem第一次遭遇黑客攻击。另据Threatpost网站2017年8月1日报道,2017年7月,Anthem就此次信息泄露事件达成了1.15亿美元的和解。
5)雅虎曝史上最大规模信息泄露 5亿用户资料被窃
案例描述:2016年9月,美国互联网公司雅虎证实,至少5亿用户的账户信息在2014年遭黑客盗取,创造了史上最大单一网站信息遭窃的纪录,泄漏信息包括:受影响用户的姓名、邮箱地址、电话号码、出生日期、密码以及部分取回密码时的安全问题。受事件影响,雅虎股票午盘下跌0.3%至44.02美元,Verizon股价反而上升1%至52.39美元。
6)英国电信运营商CarphoneWarehouse 240万用户个人信息泄露
法律依据:《数据保护法案》
案例描述:据《华尔街日报》杂志版2015年8月报道,英国电信运营商Carphone Warehouse表示,在近来备受外界关注的黑客入侵事件中,约有240万在线用户的个人信息遭到黑客入侵,包含姓名、地址、出生日期和加密的信用卡数据。根据《数据保护法案》规定:处理过程中应确保个人数据的安全采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失(“数据的完整性与保密性”)。控制者有责任遵守以上第1段,并且有责任对此提供证明。(“可问责性”)违反相关规定,英国信息专员办公室有权对违反该项数据法的公司施以高达1700万英镑(约合人民币1.49亿元)的罚款,或者征收该公司4%的全球营业额。
1.3.3 数据使用风险
在数据使用环节,风险威胁来自于外部因素、内部因素、系统安全等。外部因素包括账户劫持、APT攻击、身份伪装、认证失效、密钥丢失、漏洞攻击、木马注入等;内部因素包括内部人员、DBA违规操作窃取、滥用、泄露数据等,如:非授权访问敏感数据、非工作时间、工作场所访问核心业务表、高危指令操作;系统安全包括不严格的权限访问、多源异构数据集成中隐私泄露等。
(1) 国内
1)湖南某银行257万条公民银行个人信息被泄露
执法机构:绵阳市公安局网络安全保卫支队
法律依据:《刑法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
案例描述:湖南某银行支行行长,出售自己的查询账号给中间商,再由中间商将账号卖给有银行关系的“出单渠道”团伙,再由另外一家银行的员工进入内网系统,大肆窃取个人信息,泄漏的个人信息包括征信报告、账户明细、余额等。2016年10月,绵阳警方破获公安部挂牌督办的“5·26侵犯公民个人信息案”,抓获包括银行管理层在内的犯罪团伙骨干分子15人、查获公民银行个人信息257万条、涉案资金230万元。根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法规定的“提供公民个人信息”;第四条规定,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法规定的“以其他方法非法获取公民个人信息”。根据《刑法》的相关规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
2)某物流公司10亿条用户信息数据被出售
案例描述:2019年,暗网一位ID“f666666”的用户开始兜售某物流公司10亿条快递数据,该用户表示售卖的数据为2014年下旬的数据,包括寄(收)件人姓名、电话、地址等信息,10亿条数据已经过去重处理,数据重复率低于20%,数据被该用户以1比特币打包出售。
(2) 国外
1)伟易达被曝480万家长及儿童信息泄露来源
法律依据:《美国儿童网络隐私保护法COPPA》
案例描述:2015年,全球最大的婴幼儿及学前电子学习产品企业伟易达,被曝出其存在安全漏洞,致使数百万家长和儿童的数据曝光,包括家长注册账号使用的姓名、住址、邮件、密码等。2018年,美国联邦贸易委员会(FTC)宣布对伟易达(VTech)2015年因安全漏洞导致数百万家长及孩子的数据泄露事件进行处罚,宣布处以65万美元的罚款。《美国儿童网络隐私保护法COPPA》规定,运营者需建立并维护合理的措施以保护儿童个人信息的保密、安全和完整性。采取合作的措施保证仅向有能力保护儿童个人信息的保密、安全和完整性并为其提供保障的服务提供商和第三方披露儿童个人信息。
作为对照,我国《个人信息保护法》规定,个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
2)Zoom超50万个Zoom账户泄露并在Dark Web出售
案例描述:2020年4月,Zoom被爆出漏洞,黑客通过凭据注入攻击收集,在Dark Web和黑客论坛上,出售超过50万个Zoom帐户,1块钱可以买7000个。泄漏数据包括邮箱、密码以及个人会议链接和密钥,甚至许多还被免费赠送。另外,2020年11月据美国联邦贸易委员会(FTC),Zoom将制定一项全面的安全计划,以解决该公司涉嫌欺诈和不公平行为的指控。FTC的指控可以追溯到2018年Zoom的Mac桌面应用程序的更新,该程序秘密安装了ZoomOpener网络服务器,绕过Safari浏览器的安全措施,在没有提醒的情况下启动该应用程序。根据协议,Zoom将在以后的每次违规行为中面临高达43280美元的罚款。
1.3.4 数据加工风险
在数据加工环节,泄露风险主要是由分类分级不当、数据脱敏质量较低、恶意篡改/误操作等情况所导致。
(1) 国内
1)某集团80万用户数据被删除
案例描述:2017年,因某为公司误操作导致某集团80万用户数据丢,此次故障影响面非常大,涉及到钦州、北海、防城港、桂林、梧州、贺州等地用户,属于重大通信事故。事故发生后,某集团已经发布声明承认故障影响,技术人员也已经展开紧急维修。有消息称因为此次事故,某为公司已经被某集团处以5亿罚款,同时某集团已经展开全国范围的系统大排查,主要针对某技术公司第三方代维隐患问题。
(2) 国外
1)代码资源托管网站运维人员误删300G数据
案例描述:2017年,著名代码资源托管网站Gitlab.com的一位工程师在维护数据时不慎删除约300GB的数据。本次事故也影响到了约5000个项目,5000个评论和700个新用户账户。
1.3.5 数据传输风险
在数据传输环节,数据泄露主要包括网络攻击、传输泄露等风险。网络攻击包括DDoS攻击、APT攻击、通信流量劫持、中间人攻击、DNS欺骗和IP欺骗、泛洪攻击威胁等;传输泄露包括电磁泄漏或搭线窃听、传输协议漏洞、未授权身份人员登录系统、无线网安全薄弱等。
(1)国内
1)“瑞智华胜”涉嫌非法窃取用户信息30亿条
案号:(2019)浙0602刑初1143号
法律依据:《中华人民共和国刑法》第二百八十五条、第二十五条第一款、第二十七条、第六十七条第三款、第七十二条第一、三款;《中华人民共和国刑事诉讼法》第十五条、第二百零一条
司法机关:浙江省绍兴市越城区人民法院
案例描述:邢某于2013年5月在北京成立瑞智华胜。瑞智华胜通过邢某成立的其他关联公司与运营商签订精准广告营销协议,获取运营商服务器登录许可,并通过部署SD程序,从运营商服务器抓取采集网络用户的登录cookie数据,并将上述数据保存在运营商redis数据库中,利用研发的爬虫软件、加粉软件,远程访问redis数据库中的数据,非法登录网络用户的淘宝、某博等账号,进行强制加粉、订单爬取等行为,从中牟利。案发前,瑞智华胜发现淘宝网在调查订单被爬的情况,遂将服务器数据删除。经查,2018年4月17-18日期间,瑞智华胜爬取淘宝订单共计22万余条(浙江淘宝网络有限公司实际输出1万条),向指定加粉淘宝账号恶意加淘好友共计13.7万余个(浙江淘宝网络有限公司实际输出2万个)。最终判决被告人王某犯非法获取计算机信息系统数据罪,判处有期徒刑二年,缓刑二年六个月,并处罚金人民币六万元。
(2) 国外
1)南非大规模数据泄露事件3160万份南非公民数据被泄漏
案例描述:2017年,南非史上规模最大的数据泄露事件——共有3160万份用户的个人资料被公之于众,连总统祖马和多位部长都未能幸免。泄漏信息包括身份号码、个人收入、年龄,甚至就业历史、公司董事身份、种族群体、婚姻状况、职业、雇主和家庭地址等敏感信息。此次被黑客公布的数据来源于 Dracore Data Sciences 企业的 GoVault 平台,其公司客户包括南非最大的金融信贷机构——TransUnion。
1.3.6 数据提供风险
在数据提供环节,风险威胁来自于政策因素、外部因素、内部因素等。政策因素主要指不合规的提供和共享;内部因素指缺乏数据拷贝的使用管控和终端审计、行为抵赖、数据发送错误、非授权隐私泄露/修改、第三方过失而造成数据泄露;外部因素指恶意程序入侵、病毒侵扰、网络宽带被盗用等情况。
(1) 国内
1)脱口秀演员交易流水遭泄露,某银行被罚450万元
执法机构:中国银行保险监督管理委员会
法律依据:《中华人民共和国银行业监督管理法》第二十一条、第四十六条和相关审慎经营规则《中华人民共和国商业银行法》第七十三条
案例描述:2020年5月6日,脱口秀演员池子(本名王越池)通过新浪微博控诉某银行上海虹口支行在未经其授权的情况下,私自将其个人账户流水提供给上海笑果文化传媒有限公司。王越池认为,某银行的这一行为侵犯了其合法权益,要求某银行赔偿损失,并公开道歉。同时,王越池还表示,某银行方面对此作出的回应为“配合大客户的要求”。对于举报,某银行也曾在官方微博公开发布致歉信称,该行员工未严格按规定办理,向笑果文化提供收款记录;某银行已按制度规定对相关员工予以处分,并对支行行长予以撤职。2021年3月19日,银保监会消保局公布的罚单信息显示,某银行因涉及客户信息保护体制机制不健全、客户信息收集环节管理不规范等四项违法违规行为,被处罚款450万元。
2)掉进短信链接“陷阱”被骗3.6万余元
法律依据:[2014]10号《关于加强商业银行与第三方支付机构合作业务管理的通知》第三条规定,银发(2009)142号《中国人民银行、中国银行业监督管理委员会、公安部、国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》第二条第(六)项,《中华人民共和国合同法》第一百零七条
执法机构:河南省高级人民法院
案号:(2019)豫民申6252号、(2018)豫0326民初2446号
案例描述:2017年3月18-19日,顾某收到“车辆违规未处理”短信,在点击链接后,其银行账户被开通天翼电子商务、易宝支付、苏宁易付宝、北京百付宝、快钱支付、美团大众点评、支付宝、财付通、电e宝、拉卡拉、上海盛付通、某易宝等十余个第三方快捷支付服务,并通过其中部分第三方支付平台连续扣款52笔,每笔金额从1元至2500元不等,共计36960.79元。顾某报警后,在公安机关和银行等机构的协作下,部分款项被追回并转入原告银行卡中,剩余17728.94元未能追回。法院认为,被告银行汝阳支行在为原告顾三斗办理银行卡时提供的相关格式文件条款中,未能反映出原告顾三斗主动申请并书面确认开通网上银行或电子银行等业务,原告因点击手机不明链接导致账户资金被盗取,较大可能系不法分子通过网上银行或电子银行操作,被告未能严格按照上述通知要求执行,对此应承担相应的责任。
1.3.7 数据公开风险
在数据公开环节,泄露风险主要是很多数据在未经过严格保密审查、未进行泄密隐患风险评估,或者未意识到数据情报价值或涉及公民隐私的情况下随意发布的情况。
(1) 国内
1)微信朋友圈中流传着某医院数千人名单
执法机构:胶州市公安局
法律依据:《中华人民共和国治安管理处罚法》第二十九条
案例描述:2020年4月13日,微信群里出现某医院出入人员名单信息,内容涉及6000余人的姓名、住址、联系方式、身份证号码等个人身份信息,造成了不良社会影响。依据《中华人民共和国治安管理处罚法》第二十九条规定,有下列行为之一的,处5日以下拘留;情节较重的,处5日以上10日以下拘留:违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的。公安机关依法对叶某、姜某、张某给予行政拘留的处罚。
2)某市丛台区政府泄露特困人员隐私法律
执法机构:丛台区政府办公室
法律依据:《网络安全法》第42条、第72条
案例描述:2020年8月24日,河北省某市丛台区人民政府信息公开网站发布了一份《丛台区2020年8月份农村特困供养金发放明细》,公示了黄粱梦镇、三陵乡、兼庄乡、南吕固乡的129位村民的信息,公示名单中除了所属乡镇、姓名、发放款数、备注等信息之外,还悉数公开了村民的身份证号和银行卡号。经核实,发布机构丛台区民政局确实存在泄露隐私的问题,随后删除了该名单,并受到了内部公开群内通报批评,书面反馈整改内容的处罚。
1.4 数据风险制约产业创新
据IDC预测,2025年全球数据量将高达175ZB。其中,中国数据量增速最为迅猛,预计2025年将增至48.6ZB,占全球数据圈的27.8%,平均每年的增长速度比全球快3%,中国将成为全球最大的数据圈。面对指数级增长的数据,数据共享流转、数据跨境流动、新技术演进、新业态出现等均会带来潜在伴生风险。数据安全成为事关国家安全和国家发展、广大人民群众工作生活幸福。因此,需要从国际国内大势出发,从内外部威胁梳理,从纵深演进分析数据安全面临的威胁和挑战,有助于倒逼技术产品创新升级,深化危机应对措施,化解重大风险挑战,保障数据安全。
1.4.1 数据跨境流动带来新隐患
随着全球数字经济的发展,数据跨境流动成为推动国际贸易中货物、服务、人、资金流动不可或缺的部分,并且在促进经济增长、提升创新能力、推动全球化等方面发挥着积极作用。然而,数据跨境流动的价值与风险越来越凸显,数据跨境流动风险与隐忧主要集中于数据的传输、存储和使用三个环节。传输上,数据跨境过程环节多、路径广、溯源难,传输过程中可能被中断,数据也面临被截获、篡改、伪造等风险;存储上,受限于数据跨域存储当地的防护水平等因素,容易出现数据泄露等问题;使用上,跨境数据的承载介质多样、呈现形态各异、应用广泛,数据所在国政策和法律存在差异、甚至冲突,导致数据所有和使用者权限模糊,数据应用开发存在数据被滥用和数据合规等风险。具体来看:
1、海量跨境数据难以梳理分类,不当应用引发风险隐患。一方面,数据在产生、存储后,被开放利用的情况随着数据采集、挖掘、分析等技术的不断发展而动态变化,加上数据体量大、增速快,当下未必就能准确地完成分级分类评估;另一方面,跨境流动中已被开发利用的各类数据,呈现形态各异、应用领域广泛、价值定义不明的状态,新技术、新业态引发的数据风险未知大于已知,加剧了数据跨境流动的安全隐患。
2、跨境数据攻击升级,黑灰产加剧数据风险。一是攻击者从独立的黑客扩展到具有特定目标诉求的专业团体。例如,全球最大的SIM卡制造商金雅拓曾遭英美联合攻击,SIM卡密钥被盗取,用于解密、监控移动通信用户的语音等通讯数据。二是攻击对象从个人设备逐渐升级为各类泛在网络设备、终端和软硬件,甚至包括关键信息基础设施。比如,移动设备的GPS、麦克风、摄像头,移动通信的SIM卡、蜂窝基站、热点、蓝牙、Wi-Fi,以及广泛分布的物联网设备等。三是攻击方式随着技术发展不断演变升级,更加多样、隐蔽、智能。以人工智能为例,通过对数据的推理学习,会使数据去标识化、匿名化等安全保护措施无效。
1.4.2 新技术迭代催生更多风险
随着云计算、大数据、物联网、人工智能、5G等数字经济新技术的发展,数据安全技术与之深度融合。新兴技术伴生新风险,为安全防线带来“新口子”。比如:网络架构的变化中虚拟化、边缘化、能力开放、切片等技术给 5G 带来多种安全风险;人工智能培训数据污染会导致人工智能决策错误,即所谓的“数据中毒”;物联网设备的处理能力和内存通常较短,导致其缺乏强大的安全解决方案和加密协议保护免受威胁;云计算模式下,传输数据需要依赖网络,由于网络自身的缺陷和技术弊端,在出现非法操作的情况下,黑客更容易入侵网络导致数据泄露。
进一步分析,一方面,数据价值凸显引来更多的攻击者,而新兴技术的应用使得外部攻击面不断扩大,数据安全防御能力亟待提升。另一方面,在新兴技术应用与数据安全防护间寻找平衡。新兴技术本身安全方面的脆弱性,容易带来新安全问题并增加引入恶意攻击的风险。在数字化转型与新兴技术的融合中,数据交互的维度和范围增加,业务提供的个性化和复杂性提升,导致更多设施面临网络攻击。
1.4.3 新业态出现激发潜在危机
近年来,我国新业态不断涌现,尤其在新冠肺炎疫情对全社会数字生存能力大考期间,进一步催化了数字经济加速发展,一大批新业态新模式进一步涌现出来。2020年7月15日,国家发展和改革委等13部门联合印发了《关于支持新业态新模式健康发展 激活消费市场带动扩大就业的意见》,提出数字经济15种新业态新模式,即:融合化在线教育、互联网医疗、线上办公、数字化治理、产业平台化发展生态、传统企业数字化转型、“虚拟”产业园和产业集群、基于新技术的“无人经济”、培育新个人、微经济、多点执业、共享生活、共享生产、生产资料共享、数据要素流通等。目前,数据安全技术广泛运用于政务、金融、央企、农工商教医旅等领域,实现了数据安全与行业场景特点的融合应用。伴随新业态的出现,数据资源安全正面临严峻挑战。
数据基础设施频受攻击,数据丢失及泄露风险加大。数据交易中心、移动智能终端承载大量重要业务数据和用户个人信息,但数据资产没有进行全生命周期跟踪,资产使用规则执行不佳;与国家等保三级安全技术框架仍存在灾备建设、身份认证、访问控制、内容安全、安全运营等多方面差距。此外,近年来针对IDC的攻击日趋增加,侵犯数据安全的恶意应用、木马等日益增多,对用户隐私和财产安全构成极大隐患。
敏感个人信息泄漏成重灾区。融合化在线教育、互联网医疗、线上办公等,受益于科技进步和大数据、人工智能、语音识别、直播互动等技术应用,用户体验及产品效果得到提升。由于此类场景中,数据包含患者姓名、年龄、电话等个人敏感信息,因此成为不法分子窥视的重要目标。应用渠道主要分为两类:PC端互联网门户网站和移动客户端软件下载渠道。新冠肺炎疫情爆发引发了网络钓鱼和恶意软件攻击的新潮流,由于下载渠道的多样性,以及渠道对移动客户端软件的管理、技术检测等手段不足,使得具有钓鱼目的、欺诈行为的移动客户端软件仿冒成为不法者的工具。
二、数据安全产业迎来发展机遇
2.1 实战合规共驱安全产业
2.1.1 数据安全面临国内外挑战
面向“十四五”时期,信息技术快速演进,数字经济蓬勃发展,数字产业化和产业数字化快速推进,海量数据资源汇聚融合、开发利用,数据要素倍增作用凸显,助推数据资源“势能”转换为数字化转型升级的“动能”,推动数据价值的正向发挥,但也带来了严峻的数据安全挑战。
放眼于国外,数据潜在价值的凸显,使得各国高度重视并围绕数据开展战略博弈,全球数据安全形势日益严峻;着眼于国内,高价值数据泄漏、个人信息滥用情况突出,新技术迭代衍生出新的风险,针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新,经济、政治、社会等各领域面临巨大潜在影响。其背后凸显出的是:缺乏数据安全整体管控、忽视数据安全能力建设的产业现状。
2.1.2 安全需求被置于次要地位
实际调研证实,企业出现安全投入比例不足、安全建设滞后于业务功能建设等情况,源于数据安全需求被企业管理者放在“次要地位”。
安全需求不被重视可用两个角度来解释:一是数据安全的建设者与受益者不一致,符合“经济学的外部效应”理论,类似化工企业如果没有《环境保护法》等法律制约,在不考虑社会责任情况下,其最经济的选择是就地排污排废。数据安全亦然,比如泄漏了大量个人信息,最终受害者是广泛用户,而企业没有实质损失,因此企业往往会忽视数据安全建设。二是管理者的行为遵从“前景理论”(Prospect Theory),意味着人对损失和获得的敏感程度是不同的,损失的痛苦要远远大于获得的快乐,映射到数据安全方面,管理者往往认为自己是幸运儿,数据泄露等风险不会发生在自己身上,所以赌一把“业务先行、安全滞后”。
2.1.3 强合规监管深化鞭子效力
数据安全已成为事关国家安全与经济社会发展的重大问题。近年来,国家高度重视安全建设,统筹发展和安全,推进行业数据安全保障能力提升,构建起坚实有力的安全法律屏障,形成了《网络安全法》《密码法》《数据安全法》《个人信息保护法》“四法共治”新局面,使得合规监管权责更鲜明、制度更健全、技术更创新。
“四法”之间紧密关联又各有侧重,《网络安全法》提出了安全治理道路,《数据安全法》和《个人信息保护法》明确了保护目标,提出了数据保护的“中国方案”,而《密码法》强调了保护信息与数据的技术手段。
结合顶层设计、法律法规,数据安全新监管同时体现对过程和结果的合规要求。数据处理者既应当从过程方面积极履行数据安全保护义务,也要对数据安全防护的最终结果负责。
2.2 数据安全成为国家战略
2.2.1 国际数据安全发展战略概况
数据安全是事关国家安全和发展、事关人们工作生活的重大战略问题,应该从国际国内大势出发,总体布局,统筹各方,创新发展。一个安全稳定繁荣的网络空间,对各国乃至世界都具有重大意义。随着数据量呈指数级增长,数据安全成为美国、欧盟、英国等国家经济发展和国际竞争力提升的新引擎。大国竞争正在从国际规则制定权竞争向技术标准制定权转移。各国纷纷制定法律政策、技术标准,在数据安全领域进行国家战略博弈,以图占据价值链的制高点。
2.2.1.1 美国数据安全战略
2019年2月美国发布《国防部云战略白皮书》,提出“国防部将安全从边界防御,转向聚焦保护数据和服务”。2019年12月,美国发布《联邦数据战略和2020年行动计划》,以2020年为起始点,规划了美国政府未来十年的数据愿景,核心思想是将数据作为战略资源来开发, 通过确立一致的数据基础设施和标准实践来逐步建立强大的数据治理能力,为美国国家经济和安全提供保障。2020年10月,美国发布《国防部数据战略》,提出其将加快向“以数据为中心”过渡,制定了数据战略框架,提出数据是战略资产、数据要集体管理、数据伦理、数据采集、数据访问和可用性、人工智能训练数据、数据适当目的、合规设计等八大原则和数据应当可见的、可访问的、易于理解的、可链接的、可信赖的、可互操作的、安全的等七大目标。美国政府通过发布一系列数据战略,来促进美国内部机构数据的访问、共享、互操作和安全,使数据发挥更大的价值,支持更多创新算法应用,最终支持美国国家战略和数字现代化战略的实施。
2.2.1.2 欧盟数据安全战略
2020年2月,欧盟发布《欧盟数字化战略》《数据战略》《人工智能战略》,旨在建立欧盟数据平台的基础上,实现数据主权和技术主权,从而达到数字经济时代国家竞争力提升和领先。2020年6月,德国和法国合作启动欧洲数据基础架构GAIA-X项目,该项目被视为一个开放的数字生态系统摇篮,是欧洲国家、企业和公众联合建设的下一代数据基础设施。
2018年5月,发布《通用数据保护条例》(GDPR),明确了个人数据定义及适用范围,确定了数据保护的合法性基础、数据主体权利、数据控制者义务、数据流通标准、数据救济和处罚等。依据GDPR有关规定,欧盟对个人数据出境进行了高水平保护,并认为GDPR应该成为世界的标杆,并在实施数据战略中,力推让世界向欧盟看齐。与此同时,GDPR实际也是全球众多国家、地区制定数据保护条例的重要参考。
2.2.1.3 英国数据安全战略
2018年5月23日,英国正式通过新修订的《数据保护法》,加强数据主体对其个人数据的控制权、加强数据控制者义务。在脱欧之后,英国政府于2020年9月发布了《国家数据战略》,着眼于利用现有优势,促进政府、企业、社会团体和个人更好地利用数据,推动数字行业和经济的增长,改善社会和公共服务,并努力使英国成为下一代数据驱动创新浪潮的领导者。该《战略》还阐述了数据有效利用的核心支柱,确保数据可用性、安全可靠性。
2.2.1.4 其他国家数据安全战略
日本作为信息化高度发达、拥有领先网络信息技术的国家,对数据安全高度重视。日本第一部《个人信息保护法》于2005年4月1日起施行。随着互联网技术的不断发展,2015年进行了大幅修正,2017年5月30日,2015年日本《个人信息保护法》(Personal Information Protection Act ,“PIPA”)(修订稿)全面实施。该法比较符合成文法国家的常见体例,从总则、有关机构职责、个人信息保护的规则、个人信息处理业者的义务、个人信息保护委员会、附则、罚则等七个方面规定了七章的内容。
德国联邦议院于2018年 4月27日通过《个人信息保护调整和施行法》,其中包含新的德国BDSG《联邦个人信息保护法》。在这部新的法案中,已实施40年的BDSG进行了大幅调整以符合欧盟GDPR《通用数据保护条例》。
新加坡作为全球金融中心之一,被誉为“世界上最安全的国家之一”。新加坡的安全,不仅在于人身安全,还在于对个人信息数据的保障。新加坡当局于2012年出台《个人数据保护法》后,为了更好的执行《个人数据保护法》,新加坡个人数据保护委员会出台了一系列条例及指引。其中条例包括2013年《个人数据保护(违法构成)条例》、2013年的《个人数据保护(禁止调用注册表)条例》、2014年的《个人数据保护(执行)条例》,上述三项条例与2014年的《个人数据保护条例》一起于2014年7月2日起实施。此外,还包括2015年1月23日开始实施的《个人数据保护(上诉)条例》。
印度于2018年下半年发布《个人数据保护法案》(PDP),一项综合性的个人数据保护法。该法案在欧盟GDPR颁布后做出了修改,同时,该法案已提交国会进行审议。该法案规定了个人数据采集、存储、处理和传输的方式。
泰国政府于2018年9月向国会提交了包含GDPR特色的个人数据保护法(PDPA)草案,2019年2月,泰国国会审议通过了该法案,并将于政府公报一年后(2020年5月下旬)开始施行,这也是泰国第一部规范私人数据采集、适用、披露的法律,具有极其重要的意义。
巴西于2018年8月通过第一部综合性的数据保护法,《The General Data Protection Law》(GDPL)。GDPL将依然受限于已经获得通过的近200条修正案,这些修正案关系到数据保护立法基础、公共主体数据保护法律适用以及数据安全的技术标准等实质问题。
2.2.2 我国数据安全立法监管加强
近年来,国家陆续出台相关法律政策,统筹发展和安全,推动数据安全建设。《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》明确要求加强数据安全。《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》明确提出:保障国家数据安全,加强个人信息保护。随着《国家安全法》《网络安全法》《民法典》《密码法》《数据安全法》《个人信息保护法》“五法一典”出台,我国数据安全法制化建设不断推进,监管体系不断完善,安全由“或有”变“刚需”。结合顶层设计、法律法规,数据安全新监管同时体现对过程和结果的合规要求。数据处理者既应当从过程方面积极履行数据安全保护义务,也要对数据安全防护的最终结果负责。
同时,我国强化数据安全技术自主创新,加速数据安全标准国际化进程。积极开展数据安全技术创新,提升产品性能,促进数据安全技术的成果转化;坚持立足于开放环境推进数据安全标准化工作,推进数据安全中国标准与国外标准之间的转化运用,扩大我国数据安全技术的国际影响力,进而鼓励数据安全企业进入海外市场,为交易流通、跨境传输和安全保护等数据安全应用的基础制度、标准规范和安全评估体系,保障跨境数据安全。
2.2.3 全球公正数据安全规则构建
开放合作是增强国际经贸活力的重要动力,并逐步变成国际合作主题。在全球经济贸易和产业分工合作日益密切的背景下,确保信息技术产品和服务的供应链安全对于提升用户信心、保护数据安全、促进数字经济发展至关重要。在全球范围构筑公正的数据安全规则成为主权国家重要诉求。
2020年9月8日,中方发起《全球数据安全倡议》。该倡议是数字安全领域首个由国家发起的全球性倡议,聚焦全球数字安全治理领域核心问题,旨在通过明确政府行为规范、推动企业共担责任、合作应对安全风险等务实举措,为加强全球数字安全治理、促进数字经济可持续发展提出中国方案,贡献中国智慧。
2021年3月29日,中国与阿拉伯国家联盟共同发表了《中阿数据合作与安全倡议》,阿拉伯国家成为全球范围内首个与中国共同发表数据安全倡议的地区。中阿在数字治理领域的高度共识,有利于推进数据安全领域国际规则制定,标志着发展中国家在携手推进全球数字治理方面迈出了重要一步。
2021年9月27日,在2021世界互联网大会乌镇峰会网络安全技术发展和国际合作论坛上,与会专家一致认为,当前虚拟世界与现实世界高度融合趋势凸显,其“虚拟”特点易使网络空间边界和游戏规则被破坏。而网络攻防属于高对抗的领域,攻击手段不断推陈出新,在开放条件下带来的技术点多面广更需要协同。同时,网络安全涉及供应链、人员、经济、法律等多个方面,整体考虑需要资源优势互补,一旦出现问题将带来共同的利益受损,网络安全领域的多层面合作是最佳选择。
2.3 多重因素推动技术升级
数字时代背景下,一方面数据战略价值凸显,各国围绕数据展开战略竞争;另一方面数据成为安全重灾区,近年来针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新,使得经济、政治、社会等各领域面临着巨大的风险。随着数字与现实世界的打通融合,数据安全的复杂度发生了质变,原有的对抗思路、技术储备、防护模式、建设路径等都陷入难以适应的被动局面。如何为数据安全建设注入“免疫力”,成为各领域数字化转型的关键。
2.3.1 数据安全攻防视角的新框架
2.3.1.1 传统“老三样”防御手段面临挑战
回顾过去,不难发现传统网络安全是以防火墙、杀毒软件和入侵检测等“老三样”为代表的安全产品体系为基础。传统边界安全防护的任务关键是把好门,这就好比古代战争的打法一样。在国与国、城与城之间的边界区域,建立一些防御工事,安全区域在以护城河、城墙为安全壁垒的区域内,外敌入侵会很“配合”地选择同样的防御线路进行攻击,需要攻克守方事先建好的层层壁垒,才能最终拿下城池。其全程主要用力点是放在客观存在的物理边界上的,防火墙、杀毒软件、IDS、IPS、DLP、WAF、EPP等设备功能作用亦如此。
而观当下,云计算、移动互联网、物联网、大数据等新技术蓬勃发展,数据高效共享、远程访问、云端共享,原有的安全边界被“打破”了,这意味着传统边界式防护失效和无边界时代的来临。
2.3.1.2 由应对到主动的安全防护技术升级
IT系统不可避免的存在缺陷,利用缺陷进行漏洞攻击或是网络安全永远的命题,攻防对抗视角的网络安全防护是过去主要的安全防护手段。当然,所有网络安全防护最终还是为了保护数据,防止“偷数据、改数据”,但是今天我们认为网络漏洞始终在所难免,所以需要从“防漏洞、补漏洞”的应对式防护,转化到“为数据访问重建安全规则”的主动式防护,也即“以数据为中心的安全”,这也是安全技术不断进化的必然产物。
在实践中,需要把“以网络攻防为中心的安全”和“以数据保护为中心的安全”相结合,两者相辅相成、齐驱并进,方可全方位保护网络与数据生命周期安全。
2.3.1.3 大数据时代下数据安全防护挑战空前
大数据时代,数据的产生、流通和应用变得空前密集。分布式计算存储架构、数据深度发掘及可视化等新型技术、需求和应用场景大大提升了数据资源的存储规模和处理能力,也给安全防护工作带来了巨大的挑战。
首先,系统安全边界模糊或引入的更多未知漏洞,分布式节点之间和大数据相关组件之间的通信安全薄弱性明显。
其次,分布式数据资源池汇集大量用户数据,用户数据隔离困难,网络与数据安全技术需齐驱并进,两手同时抓。突破传统基于安全边界的防护策略,从防御纵深上实现更细粒度的安全访问控制,提升加密算法能力和密钥管理能力,是保证数据安全的关键举措。
再次,各方对数据资源的存储与使用的需求持续猛增,数据被广泛收集并共享开放,多方数据汇聚后的分析利用价值被越来越重视,甚至已成为许多组织或单位的核心资产。随之而来的安全防护及个人信息保护需求愈发突出,实现“数据可用不可见、身份可算不可识”是重大命题,也是市场机遇。
最后,数字化生活、智慧城市、工业大数据等新技术新业务新领域创造出多样的数据应用场景,使得数据安全防护实际情境更为复杂多变。使得如何保护数据的机密性、完整性、可用性、可信性、安全性等问题更加突出和关键。
2.3.1.4 建设以数据为中心的安全治理体系
对国家而言,致力构建与时俱进的网络空间数据安全保障体系,努力实现从应对到主动防护的战略转变,以维护国家网络空间安全,是事关国家安全和人民利益;事关服务关键信息基础设施和重要信息系统安全可控的国家战略需求。
对企业或组织而言,数据安全治理是事关自身资产安全、可持续发展战略的必经之路,须从保护商业秘密、业务安全、客户权益等方面扎实做好数据安全防护工作。一是保护数据本身安全,即数据机密性、完整性、可用性;二是满足国家相关法律法规对个人信息和关基的合规性要求。
这就决定,数据安全防护需以“数据为中心”建立安全防护与治理体系,聚焦数据与生态,明确数据的使用、存储、传输场景,构建由数据安全组织管理、合规治理、技术防护“三部曲”组成的覆盖数据全生命周期的防护与治理体系。
2.3.2 数据安全供需市场的新博弈
2.3.2.1 宏观看市场角色转变
传统的网络与信息安全市场,需求潜力巨大、但供给相对不足,所以看似是甲方市场,实际上是乙方市场。一方面,甲方对市场定价,掌握安全产品、安全服务价格话语权,表面是甲方在主导市场。但另一方面,整个市场技术发展和水平,主要由乙方主导。
在数据时代,在实现对数据本身客观保护时,要解决数据与业务的高度纠缠问题,可以说数据安全天生带着深刻的业务适用属性,如果脱离业务场景,不可能实施数据的有效保护,所以数据安全技术与产品,需要在丰富业务场景中持续迭代和验证。基于以上考虑,甲方需要亦可能成为数据安全市场主导者。
2.3.2.2 中观看产业定位转变
传统的网络与信息安全行业,主要呈现通用安全技术和手段覆盖,整体的产品体系是“硬件-软件-服务”格局。上游:网络安全产业链上游为基础硬件提供商,为中游设备厂商提供芯片、内存等基础元器件;中游:产业链中游主要是安全硬件设备厂商、安全软件厂商和安全集成厂商;下游:产业链下游主要为各类用户主要为政企客户, 包括政府、军工、电信、教育、金融、能源等。
数据安全时代,在宏观市场供给与需求双方角色切换下,传统下游将掌握更大话语权,能整合上下游资源的企业将获得更高效的运作效率。产业链下游企事业单位为了实现安全目标或定制化需求,同时在全球化竞争格局新变化形态下,有可能进行中游乃至上游的关键产业链环节整合,比如新型物联网企业可能整合安全芯片、安全固件、安全服务器、安全中间件以及安全方案集成全产业链整合或资源优化。
2.3.2.3 微观看技术实现转变
传统的网络与信息安全技术,侧重于对硬件或软件加固,或侧重于通用的网络流量解析和攻击特征分析,结合身份认证体系,最终实现业务完整性和可用性、数据机密性以及内容合规性。而数据安全威胁作为复杂业务处理的伴生风险问题,通用的传统安全技术难以直接照搬,数据安全要求安全能力作用于业务流和数据本身,而企业不同的业务形态要求贴身的保护手段。
针对数据本身或者结合数据内容表达上下文特征,建立数据生命周期保护是实施数据安全保护的主要手段。同时,针对海量的数据资产或关联数据,往往需要在业务场景中运用大数据分析、AI算法。同时,数据安全所涉及的前沿技术本身需要政企客户自身业务和数据模型支持。
2.3.3 数据安全实战能力的新要求
2.3.3.1 数据安全要侧重数据保护能力
从数据安全技术转变,可以看出数据安全更加侧重要数据保护能力(传统网络安全主要为检测响应)。在数据集约化、规模化发展前,受限于IT技术和产业发展影响,数据留存与分析本身不是IT建设重点(主要是业务实现)。进而,对数据自身保护往往有限,比如大量数据明文存储(2011年,CSDN账号口令被拖库可以看出,敏感数据保护是常见短板);再比如企业重要文件无异地备份(2014年,勒索病毒爆发后,较多企事业单位敏感文件无法找回)。
当前,在国家法律法规持续完善的合规引导下,企事业单位应当建立主动的数据保护体系,在数据安全管理制度下,从数据本身内容表达进行机密性、可用性、完整性、价值、使用价值、属主等关键要求保护。
2.3.3.2 数据安全要赋能业务运营能力
传统的网络安全、信息安全技术手段,往往不考虑业务特性,侧重于信息化系统,通过点式防护,堆积可复制化设备来实现安全。然而,数据是业务组织经营和业务运营的关键因子。企业保护数据要求结合组织使命和业务特征,实现场景化的解决方案。比如,业务要求实现对互联网用户提供消费服务,那么,管理者需要考虑用户敏感个人信息存储安全、展示安全,需要考虑结合业务数据和个人信息互联网传输安全,本质上要求管理者把数据安全能力赋予组织业务运营。
2.3.3.3 数据安全要提供服务支撑能力
云服务、数据中心成为数字经济时代关键信息基础设施之一,成为企事业单位优化IT架构最主要实施手段。进而,数据安全亦要成为服务于信息化重要支撑。在满足监管合规要求的前提下,数据安全能力建设要契合业务发展需要(以数据治理为中心的业务运营理论将成为主要组织目标),同时应结合管理、技术、运营形成服务能力,为组织持续的数据增长、业务发展提供长久保障。结合业务场景,通过数据资产管控技术,建立面向统一数据调度方式,形成良性数据共享机制,提高数据置信度、优化模型合理性、数据流转更清晰,管理权责更明确,在以成效为导向的价值标准下,数据安全服务支撑能力成为组织数据安全能力建设核心之一。
2.3.4 数据安全思路模型的新演进
在全球贸易形态新变化和后疫情时代下,数据安全面临的安全风险与挑战越来越复杂。基于此,实现数据安全通常有两种思路。第一种思路是复杂对抗复杂,建设复杂管控平台,在数据全生命周期流转的各个环节,发现数据安全威胁,加固数据安全漏洞;第二种思路是安全思路与模型的进化,即在网络安全“防漏洞,堵漏洞”思路的基础上,结合数据安全侧重要于保护思路,进行新安全模型进化。
进一步探索,传统的网络安全经典模型是DR(检测/响应)模型,并进行不断完善如PDR(防护/检测/响应)、P2DR2(策略/防护/检测/响应/恢复)模型等。其特征是,其中PDR安全模型是基于时间的动态安全模型,如果信息系统的防御机制能抵御入侵时间,能超过检测机制发现入侵的时间和响应机制有效应对入侵时间之和,那么这个系统就能有安全保障。然而,在数字时代,5G、物联网、云服务等技术大量应用,入侵检测时间和响应机制不足满足数据和数据价值保护时间。
而对于数据安全新思路和新模型,则是在对数据的防护能力顺序、空间颗粒度、数据状态等多个维度上,采用面向失效的安全理念,协同联动的叠加多种安全保护机制。故本文重点考虑了在数据安全实现中的新思路和新安全模型。
三、数据安全技术亟待叠加演进
3.1 数据安全需要新框架
数据的最大特征就是流动,只有流动中的数据才能创造价值。对于重要信息系统而言,软硬件漏洞不可避免,未知威胁层出不穷,内外夹击形势严峻,传统的防御思路已不能有效应对,与其陷入无休止地“挖漏洞、补漏洞”的被动局面,不如寻求数据防护的新思路,探索数据安全建设新框架。
3.1.1 数据安全需兼顾内外威胁防护
数据安全面临的风险主要来自两方面。一是带有获利目的的外部威胁与对抗的持续升级,加之新兴技术演进带来不可预知的安全风险。二是来自内部的安全风险,即传统安全体系存在着固有的问题。
针对外部数据安全威胁,Canalys《网络安全的下一步》报告显示,2020年数据泄露呈现爆炸式增长,短短12个月内泄露的记录比过去15年的总和还多。其中,最为明显的特征是勒索软件攻击激增,相比 2019 年增长了60%,成为主要数据泄露渠道。
针对内部安全风险,传统的网络安全设备注重单点防护、静态防护,缺乏联动能力,且对未知威胁缺乏“看得见”的能力。同时,安全管理系统往往存在重建设、轻运营,缺乏有效的安全运营工具和手段,难以定位攻击方,缺乏事后分析、追溯能力等不足。
网络和数据安全始终是攻击者和防御者之间的战斗。未来具有不确定性,但能肯定的一点是:作为数据安全的防御者,仍将继续面临新的、不断演化的网络安全威胁与挑战。
3.1.2 数据防护从应对式转向主动式
然而,目前的数据防护主流思路是应对式防御,通常是系统遭受了攻击后,根据攻击情况采取行动,包括且不限于:传统杀毒软件、基于特征库入侵检测、病毒查杀、访问控制、数据加密等手段,“滞后于攻击手段”的弊端明显。传统“封堵查杀”难以适应时代发展,应对拟人化和精密化的攻击,且容易被攻击者快速发现漏洞,针对薄弱点进行精准攻击,不利于整体安全。
当下来看,网络漏洞始终在所难免,应对式防御“治标不治本”,直接针对数据本身进行主动式防护,是实现数据安全的最直接有效的手段,这也是“以数据为中心的安全”。
构建主动防护能力,政策已先行。于2019年12月1日起正式实行的等保2.0标准,在1.0时代标准的基础上,也更加注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,不仅实现了对传统信息系统、基础信息网络的等级保护,还实现了对云计算、大数据、物联网、移动互联网和工业控制信息系统的等级保护对象的全覆盖。
对于行业来说,威胁和安全响应就是一场时间赛跑,以主动式防护为代表的产品和服务需求未来必将快速增长。主动式防护将实现安全运营、安全态势感知与防御协同形成联动,能够在面临威胁时做到从容不迫,并给予“道高一丈”式压制打击。
3.1.3 网络与数据并重的新建设思路
传统的城防式数据安全,主要是保护被传统物理网络多层包围的数据,这种防护体系仅适用于保护静态数据。但当下,数据已成为新生产要素,数据被充分共享流转以产生价值,传统城防式数据安全已经难以满足需求。
我们认为,数据与“网络/主机/数据库/应用”是正交关系,“以数据为中心的安全”本质,是在数据流转的多个层次环节中,通过重建业务规则,对数据施加主动式安全防护,即直接对数据本身进行加密、访问控制、安全审计等安全手段。结合企业信息化发展,以数据为中心的安全建设理念是更加有效的做法。
以网络为中心的安全体系是保证数据安全的前提和基石,而以数据为中心的安全,以数据为抓手实施安全保护,能够更有效增强对数据本身的防护能力。因此,网络与数据并重的安全建设成为大势所趋。“以网络攻防为中心的安全”与“以数据保护为中心的安全”之间是相互关联、彼此依赖、叠加演进的。
图 1 网络与数据并重的新安全建设理念
着眼当下,数据安全所面临的问题不是做的过多导致冗余,而是出血口太多、防护能力达不到。事实上,应用系统、安全产品、基础设施都潜藏着漏洞,或者存在考虑不周的安全设计缺陷。好的安全理念应该是以网络与数据并重为新建设方向,面向失效的安全机制,通过有联动协同的纵深安全机制,构建有效防线。
从针对数据本身进行主动式防护出发,将数据安全技术组合赋能给具体行业安全问题,比发掘一个适用于所有行业的通用问题,更符合用户的实际需求。在数据安全建设的发展进程中,不断洞悉时代发展需求,创造性地提供新框架、新方法,能够有效带动其他参与者在一个良性的生态中协同共进,为数据安全建设带来全新突破。
3.1.4 经典网络安全框架ATT&CK
作为网络安全行业目前公认权威、并被普遍接受的网络攻击模型框架,ATT&CK是由MITRE公开发布于2015年,全称是Adversarial Tactics, Techniques, and Common Knowledge(对抗性的战术、技术和通用知识)。从最初的一个内部人员分享的Excel电子表格工具,到如今已经发展成为威胁活动、技术和模型的全球知识库,ATT&CK汇聚来自全球安全社区贡献的基于历史实战的高级威胁攻击战术、技术,形成了针对黑客行为描述及相应防御构建的通用语言和知识图谱,并在企业、政府和安全厂商中广为流行。
目前,ATT&CK当前主流版本包括14个攻击战术、205个攻击技术、573个攻击流程,覆盖了绝大多数网络攻击手段,使安全运营不仅知己而且知彼,从而有机会衡量安全体系应对攻击的纵深防御、检测响应能力,并在实战对抗中持续改进提升,能够为网络安全防护提供专业的技术参考。ATT&CK框架以及关联的Shield主动防御框架,以网络攻防为视角,侧重“以网络为中心的安全”保护思路,通过“防漏洞、堵漏洞”的方式保护数据。
3.1.5 数据安全技术框架DTTACK
进入数据时代,侧重攻防对抗的ATT&CK框架,难以覆盖“主动式保护数据”的各种技术手段。炼石尝试从“以数据为中心”的角度提出DTTACK数据安全技术框架,全称是Data-centric Tactics, Techniques And Common Knowledge(以数据为中心的战术、技术和通用知识)。
3.1.5.1 DTTACK的设计思路
网络安全持续的变化,攻防之间的博弈在不停的进化,已有的网络安全能力的度量逐步显露出局限性和不适用性。数据安全建设领域亟待出现新的安全能力度量方式,以应对不断变化的网络与数据安全发展趋势。
如果说ATT&CK的出现,是让攻击手法拥有通用语言,那么DTTACK的诞生便是对数据本身进行主动式防护,为防护模式打造了通用技术库。DTTACK不是网络服务器或应用程序安全性的模型,它更强调数据本身的安全性,并从对数据的应对式防护向主动式防护转变,重视从业务风险映射视角列举数据保护需求,也可以为信息化建设、企业业务架构设计提供数据安全能力参考。
目前,炼石已初步梳理6个战术,31个技术,83个扩展技术,145个方法,并持续更新迭代,致力于打造数据安全领域的专业权威技术框架。
3.1.5.2 DTTACK的设计理念
DTTACK框架列举了诸多技术,其作用类似于“兵器库”,防守方需要体系化的思路整合这些技术,才能利用好先发优势,精心“排兵布阵”,环环相扣构造纵深防御战线,体系化的防范内外部威胁,提升防御有效性。
(1)重视从业务风险映射视角列举数据保护需求
安全本质上是一种业务需求,“传统业务需求”侧重于“希望发生什么”,而“安全需求”侧重于“不希望发生什么”,从而确保“发生什么”。从这个角度看,各种安全的定义都可以映射到业务需求,比如Security(安全防攻击)、Safety(安全可靠)、Reliability(可靠性)、Trustiness(诚信度)以及Sureness(确定性)等。而数据安全需求重点是数据的机密性和完整性。
当前版本的DTTACK,在数据安全技术列举方面,参考了工信部相关机构正在编制的行业标准《电信网和互联网数据安全管控平台技术要求和测试方法》,将114个具体技术流程分类并对号入座,为数据安全建设提供技术支持。
(2)结合NIST安全能力模型、安全滑动标尺模型
DTTACK框架的构建,以NIST安全能力模型和安全滑动标尺模型为参考,并做了整合与精简。基于此,DTTACK最新版本选择了六大战术作为基本结构:IDENTIFY(识别)、PROTECT(防护)、DETECT(检测)、RESPOND(响应)、RECOVER(恢复)、COUNTER(反制)。
图 2 参考IPDR2和安全滑动标尺模型的结构
NIST CSF是由美国国家标准与技术研究所(National Institute of Standards and Technology,简称NIST)制定的网络安全框架(Cybersecurity Framework,简称CSF),旨在为寻求加强网络安全防御的组织提供指导,目前已成为全球认可的权威安全评估体系。该体系由标准、指南和管理网络安全相关风险的最佳实践三部分组成,其核心内容可以概括为经典的IPDRR能力模型,即风险识别能力(Identify)、安全防御能力(Protect)、安全检测能力(Detect)、安全响应能力(Response)和安全恢复能力(Recovery)五大能力,实现了网络安全“事前、事中、事后”的全过程覆盖,可以主动识别、预防、发现、响应安全风险。
安全滑动标尺模型为企业在威胁防御方面的措施、能力以及所做的资源投资进行分类,可作为了解数据安全措施的框架。模型的标尺用途广泛,如向非技术人员解释安全技术事宜,对资源和各项技能投资进行优先级排序和追踪、评估安全态势以及确保事件根本原因分析准确无误。该模型包含五大类别:基础结构安全、纵深防御、态势感知与积极防御、威胁情报、攻击与反制。这五大类是一个非割裂的连续体,从左到右,具有一种明确的演进关系,左侧是右侧的基础,如果没有左侧基础结构安全和纵深防御能力的建设,在实际中也很难实现右侧的能力有效发挥。从左到右,是逐步应对更高级网络威胁的过程。
深入研究发现,NIST安全能力模型、安全滑动标尺模型两者有交集、但也各有侧重。DTTACK融合两大模型中的丰富安全能力,并施加到流转的数据上,为防御纵深夯实技术基础,是提升数据安全建设有效性的关键之举。
(3)发挥以密码技术为核心的数据安全实战价值
在DTTACK六大战术中,密码技术也为其提供了重要价值。比如:识别方面,密码可以为数据识别提供身份安全能力,为接口通道实现安全加密;防护方面,数据加密技术本身就是在开放式信道中,构建了强制的防护措施,并结合身份实现访问控制。检测、响应、恢复和反制方面,密码也能够为其分别提供身份鉴别、数据保护、水印追溯等不同能力。
尤其对于流转数据防护,密码技术可以提供独特价值。共享流转的数据很难有边界,在做访问控制的时候,如果数据库或归档备份中的数据是明文,访问控制机制很容易被绕过。而通过数据加密技术,可以打造一个强防护场景,用户在正常访问应用的过程中数据才会解密,并结合身份访问控制、审计等安全技术,从而实现了“防绕过的访问控制”、以及“高置信度的审计”。密码技术为数据重新定义了虚拟的“防护边界”,从而更好地对数据实施防护与管控。
(4)填补“以数据为中心”的安全技术体系空白
当下,数据已成为新生产要素,数据被充分共享流转以产生价值。凡是有数据流转的业务场景,都会有数据安全的需求产生。“以数据为中心”的安全强调数据处于中心位置,就需要站在数据的视角,纵观数据的生命周期,然后针对数据流转的每个关键环节重新审视安全问题和解法。
结合到企业或机构的信息系统中,数据安全则来自于业务处理中的风险映射。从时间维度看,数据在流转的全生命周期中的每个环节都会有相应的安全需求;从空间维度看,数据在基础设施层、平台层以及应用层之间流转,不同层次会有不同颗粒度的防护需求。
DTTACK以数据安全领域的全地图技术框架为目标,可为不同场景的数据安全防护提供基本思路,期望在一定程度上助力提升全社会、全行业的数据安全水位,填补“以数据为中心”的安全技术体系的空白,为数据安全厂商提供通用知识库,为甲方的数据安全规划和技术对比提供参考依据。
3.1.6 网络与数据一体化的叠加演进
实际上,DTTACK不是孤立的。由于“以网络攻防为中心的安全”与“以数据保护为中心的安全”之间是相互关联、依赖、叠加演进的,网络安全是实现数据安全的基础,但光靠网络安全又很难有效保护数据,数据安全新框架是安全技术演进的必然。因此,把“以网络攻防为中心的ATT&CK框架”和“以数据保护为中心的DTTACK框架”相结合,两者相辅相成,将实现全方位多维度的网络与数据安全防护。
3.2 数据安全需要新战法
安全漏洞层出不穷,攻击手段与利用手法日益复杂精妙,攻击方和内部威胁方天然具有单点突破的优势。同时,在构建安全防御体系的过程中,由于防护规则覆盖难以面面俱到,或在具体实施过程中难免疏漏,或内部人员天然有接触数据的风险,这些都可能导致某个安全节点被突破失效,所以简单堆叠防护技术和产品在体系化进攻和日益复杂的内部威胁面前是难以奏效的。
面对数倍于防护速度的安全威胁,防守者需要摒弃“一招制敌”的幻想,体系化地与进攻者对抗,打造更为先进的防护战法,才能有效应对日益严峻的安全形势。基于DTTACK的防御纵深,将凭借强大的知识库和技术支撑,形成层层递进、协同联动的新战法,实现在网安对抗中的技高一筹。
3.2.1 知彼:攻击体系化
当下,数据安全防御变得越来越困难,各种强悍的防御手段,在一些“精妙”的攻击下都很快被击破,比如APT攻击让传统防御手段变得形同虚设,信息交互的刚需使网络隔离难以奏效,各种宣称“解决一起安全问题”的防御技术很快被绕过。究其根本,是伴随着安全体系建设的演进,攻击也呈现出体系化的发展趋势。
从攻击对象来看,只要有利益、有价值的系统和服务,都存在被攻击的现象,尤其是有影响力国家级、企业级数据,由于针对安全攻击能够带来高回报率,引来越来越多的活跃数据安全攻击团伙的全面研究与精准打击。
从攻击特点来看,攻击正变得更为聪明和大胆,不仅是蓄意且具备高智力的,而且逐渐向拟人化和精密化的方向发展。攻击者们不仅能够通过快速查明防御系统或环境中存在的漏洞,精确针对特定薄弱区域定制并发起大规模攻击,还能模拟合法行为模式以绕开和躲避安全工具。
从攻击趋势来看,过去针对数据安全漏洞层出不穷的情况,攻击手法大多都是“单点突破”,但绝大多数的单点突破,难以达到攻击目的。因此,攻击趋势正从“单点突破”向“体系化”转变,攻击手段也越来越专业,甚至攻击任务都出现了“黑产链”、“专业外包”等情况。在这样复杂的进攻下,传统的安全边界或网络隔离策略变得形同虚设。
当然,体系化的攻击也并非没有弱点。攻击的目的是获利,获利往往会让攻击暴露更多细节。在分析窃取信息为目的的攻击并设计防御措施时,特别需要关注“窃取”这个获利环节。定位寻找有价值的信息,读取访问获得目标信息,以及各种渠道回传窃取的信息,从而实现攻击的目的。如果没有获利环节,一次针对信息系统的攻击可能是没有效益的。另一方面,在整个攻击过程中,获利环节的隐匿性可能是最低的,而且由于攻击产业链的信任关系问题,其执行水平可能也是最差的。
3.2.2 知己:银弹不存在
可以看到,攻击者已经联合起来,形成分工合作的生态圈,如果防守依然处于孤立、静态且不成体系的,那么成功者毋庸置疑会是攻击者。基于分析,值得庆幸的一点是,攻击行为的体系化、链条化,恰恰带来了更多的防御点。
防御者首先要达成一个共识,数据安全建设不存在“银弹”,要放弃一招制敌的幻想。“银弹”即银色子弹,在欧洲民间传说及19世纪以来哥特小说风潮的影响下,往往被描绘成具有驱魔功效的武器,是针对狼人等超自然怪物的特效武器。用在数据安全建设领域,代表具有极端有效性的解决方法。但实际上,安全防护不可能达到 100% 的安全,即使是 1% 的漏洞,也可能造成 100% 的损伤。
数据依托于信息系统而存在,数据安全不仅仅局限于数据本身,而应扩展到信息系统的各安全领域。多层面、全方位、环环相扣的纵深防御,是目前保障数据安全的有效路径。
纵深防御(Defence in depth)概念来源于一种军事战略,在军事领域中是指利于纵深、梯次地部署兵力兵器,抗击敌人大纵深、立体攻击;利于疏散配置兵力兵器,减少敌方火力杀伤;利于实施兵力、火力机动,适时以攻势行动歼灭突入、迂回、机降之敌;利于组织指挥各部队、分队相互支援。数据安全领域的纵深防御是指,在信息系统上根据不同的安全威胁或系统攻击,结合不同的安全防护技术与措施,实施多层的安全控制策略,目标是提供了环环相扣、协同联动的安全防御,也意味着一种安全措施失效或被攻破后,还有另一种安全防御来阻止进一步的威胁,降低攻击者进攻成功的机率。
麻烦是永远存在的,除非主动解决,否则它不会主动消失。在数据安全建设领域也是这样,数据安全是件极其复杂的事,现在考虑进来的麻烦多了,未来遇到的麻烦就会少。事后消补永远不及设计之初就纳入安全,不论是效果还是成本都会有所体现。
3.2.3 百战不殆:面向失效的安全设计
知己知彼,才能百战不殆。针对数据安全漏洞的攻击变得体系化加大了防御的难度,但获利环节让攻击暴露更多细节,使得防御者有了更加精准的防护切入点。在数据安全防护过程中,不存在一招制敌的战法,基于DTTACK 的防御纵深,将凭借先发优势、面向失效的设计、环环相扣的递进式设防,成为百战不殆的有效战术。
3.2.3.1 先发优势
为了对抗体系化的攻击,防御体系的设计应用好“先发优势”,针对威胁行为模式,提前布置好层层防线,综合利用多样化的手段,实现各个维度防御手段的纵深覆盖,让进攻者在防守者布局的环境中“挣扎”。
一方面,通过“排兵布阵”制定策略,结合IT基础设施、网络结构、系统分区、业务架构、数据流向等进行精心防御设计,消耗进攻者的资源;另一方面,是形成多道防线,每一道防线都是针对前一道防线破防的情形打造,而不是盲目的堆砌,这就需要提到面向失效的设计原则。
3.2.3.2 面向失效的设计
面向失效的设计原则是指,任何东西都可能失效,且随时失效。需要考虑如前面一道防御机制失效了,后面一道防御机制如何补上后手等问题,考虑系统所有可能发生故障或不可用的情形,并假设这些可能都会发生,倒逼自己设计出足够健壮的系统。是一种在悲观假设前提下,采取积极乐观的应对措施。
面向失效的设计是防御纵深的关键。整体思路:从传统静态、等待银弹的方式转向积极体系化的防御纵深模式。分析进攻者的进入路径,基于面向失效的设计原则,打造多样化多层次递进式的防御“后手”。
图 3 面向失效的数据安全纵深防御新战法
基于面向失效(Design for Failure)的防御理念,从几个重要维度层层切入,综合利用多样化手段构建纵深,当一种保护手段失效后,有后手安全机制兜底,打造纵深协同、而非简单堆叠的新战法。这里选择三个比较重要的维度,一是安全能力维度(I.识别、P.防护、D.检测、R.响应、R.恢复、C.反制),二是数据形态维度(使用态、存储态和传输态等),三是技术栈维度(SaaS/业务应用、Paas/平台、IaaS/基础设施),这三个维度之间关系是独立的、正交的,三者叠加可构建更有效的数据纵深防御体系。
3.2.3.3 数据安全纵深防御
“纵深防御”是一种应该体现在数据安全防御体系设计各个方面的基本原 则,而不是一种“可以独立堆叠形成的解决方案”。
(1)多层堆叠不等于防御纵深
图 4 数据安全防护架构图
企业传统的城防式安全防护是将数据一层层地保护在中心,为了保护核心数据,在多个层面进行控制和防御,比如安全制度建设(安全意识培训)、物理安全防护(服务器加锁,安保措施等)、边界安全措施(使用防火墙等)、应用安全系统防御(访问控制、日志审计等)以及对数据本身的保护(数据加密等)。实际上任意层漏洞都可能直接造成数据的泄漏,导致之前建设的所有的安全手段就会瞬间瓦解。
例如,在2017年11月15日,Oracle就发布了五个针对Tuxedo的补丁,修补了5个极高危的漏洞,攻击者可以利用这些漏洞从应用层面获得数据库的完全访问权限,而无需有效的用户名和密码即可获得数据库中的关键数据。内网+多层边界防护是一个丰满的理想,但现实却是骨感的。因为攻击者有可能绕过网络和主机层的“马奇诺防线”,直接从Web应用层打进来。单一边界防护难以保证所谓的内网安全,堆砌式“纵深防御”难以实现“安全网神话”。
多组件系统实现“模块纵深”防御覆盖时,必须实现可信可靠、环环相扣的组件间安全交互机制,才能确保实现的是纵深防御而不是多层堆叠。结合业务流程设置多道防线,有助于阻断攻击获利环节。密文信息的解密环节可重点防护,信息系统在加密等防御保护措施基础上,对解密操作等行为的重点监控,可能给攻击获利环节造成难度,甚至形成威慑效果。
企业传统的城防式安全防护不等于防御纵深,多层堆叠容易沦为马奇诺防线,环环相扣的多层面递进式纵深是最佳防御路径。
(2)从多个维度分别构建数据纵深防御
① 从安全能力构建数据防御纵深
“IPDRRC”体现了数据保护的时间顺序,基于时间维度,可以有机结合多种安全机制。识别是一切数据保护的前提,在数据识别与分类分级、以及身份识别的前提下,针对数据安全威胁的事前防护、事中检测和响应、事后恢复和追溯反制等多种安全机制环环相扣,协同联动,可以有效构建出面向失效的纵深防御机制。
图 5 IPDRRC投资回报率分布图
当然,从当前企业的数据安全建设重点看,越靠近“事前防护”,投资回报率越高,如果仅依靠检测/响应、恢复以及反制等环节,损失已经发生,企业会付出更高成本。因此,数据安全建设之初,应当优先建设事前防护能力,需要综合应用多种安全技术,尤其是采用密码技术开展数据安全保护,比如加密、脱敏等。
② 从数据形态构建数据防御纵深
数据大致可以分成传输态、存储态和使用态,而身份鉴别及信任体系则是对数据访问的补充或者前提,基于“数据三态”可延伸出数据全生命周期。围绕数据形态,可以构建多种安全机制有机结合的防御纵深。我们梳理出20种密码应用模式,采用IPDRRC中数据防护段的密码技术,进入了数据形态维度的纵深防御构建。
图 6 二十种密码应用模式一览
在信息系统中,数据在传输、存储、使用等不同形态之间的转化,每时每刻都在发生,在这种转化过程中,可以利用多种安全技术构建协同联动的纵深防御机制。
在传统网络安全防护中,边界是非常重要的概念,边界上可以构建防火墙或IDS等规则。但数据防护过程中,数据没有边界,如果应用密码技术,则可以起到一种虚拟边界的作用,从而在虚拟边界基础上对数据实施保护,形成有效保护作用。在数据存储和使用态的切换中,如果不经过数据加密,只进行访问控制和身份认证,当明文数据在数据库或归档备份时,数据访问容易被绕过。但当我们在数据流转的关键节点上,对数据进行加解密,并结合用户的身份信息和上下文环境做访问控制,可以构建防绕过的访问控制、高置信度的审计,进而在数据存储、使用形态上形成防护纵深,构建出密码安全一体化的数据防护体系。
③ 从技术栈构建数据防御纵深
信息系统的技术栈体现了空间维度,这也可以作为数据保护的纵深。沿着数据流转路径,在典型B/S三层信息系统架构(终端侧、应用侧、基础设施侧)的多个数据处理流转点,综合业内数据加密技术现状,总结出适用技术栈不同层次的数据保护技术。我们继续前文所述的IPDRRC中数据防护段的密码技术,保护数据存储态,再结合典型信息系统的技术栈分层,可以从技术栈维度构建数据防御纵深。
图 7 覆盖不同技术栈的数据存储加密技术
上图列举了10种数据存储加密技术,在应用场景以及优势挑战方面各有侧重:DLP终端加密技术侧重于企业PC端的数据安全防护;CASB代理网关、应用内加密(集成密码SDK)、应用内加密(AOE面向切面加密)侧重于企业应用服务器端的数据安全防护;数据库加密网关、数据库外挂加密、TDE透明数据加密、UDF用户自定义函数加密则侧重于数据库端的数据安全防护;TFE透明文件加密、FDE全磁盘加密则侧重于文件系统数据安全防护。其中,覆盖全量数据的FDE技术可作为基础设施层安全标配,进一步的,针对特别重要的数据再叠加AOE等技术实施细粒度加密保护,两者的结合可以面向技术栈构建出数据防护纵深。
综上所述,从安全能力、数据形态、技术栈等多个不同维度上,有机结合多种安全技术构建纵深防御机制,形成兼顾实战和合规、协同联动体系化的数据安全新战法。
进一步的,针对数据本身进行安全技术的“排兵布阵”,可利用先发优势,基于面向失效的设计,布置层层防线,综合利用多样化的手段,构造层层递进式的纵深防御战线,并在一定程度上实现安全与业务的动态平衡。这对于企业数据安全建设来说,必将婴城固守、金城汤池、易守难攻。
四、数据安全框架重点技术详解
4.1 l:识别
在识别战术领域,主要聚焦在数据资产发现和处理,本报告重点对数据资源发现,数据资产识别,数据资产处理(分析),数据分类分级,数据资产打标作出描述。
4.1.1 技术:数据资源发现
基本概念
数据源发现是指对不同类型的数据资源发现的技术,是[战术:识别]的首要工作。数据资源发现非正式定义指:或通过网络流量分析并还原应用协议(被动的),或通过在业务应用嵌入监测锚点(主动的),或利用网络爬虫和扫描引擎探测并请求应用程序接口数据(主动的),以识别网络协议、应用接口、网页、文本、图片、视频、脚本等数据源。
主要实现
数据源发现系列技术主要包括网络流量分析、应用接口探测和业务锚点监测等。
4.1.2 技术:数据资产识别
数据资源的资产属性,且一般归类为无形资产。由于数据资产属性,在开展数据安全工作时,首先对数据资产识别是常见技术手段之一。
数据资产识别非正式定义为:结合组织的行业属性,利用文本识别(音频转义)、图像识别(视频分帧)等技术,通过关键字匹配,正则表达式匹配以及其它自动化识别技术,对数据资源信息、构成等进行资产属性挖掘。
数据资产识别一般为数据资源发现后置动作,一般为数据资产处理、数据分类分级前置动作。
基本概念
数据资产,是指拥有数据权属(勘探权、使用权、所有权)、有价值、可计量、可读取的网络空间中的数据集。
主要实现
数据资产识别的主要实现方式为利用自动化技术手段对企业数据进行筛选与分析,找出符合数据资产定义的数据集。数字资产的识别技术主要包含关键字、正则表达式、基于文件属性识别、精准数据比对、指纹识别技术和支持向量网络等。
4.1.3 技术:数据资产处理(分析)
当前,常规的、可控的、静态的数据分类分级已有较好的技术支撑,但针对多格式的、自动采集、动态的数据安全分类分级特别要求在数据资产识别后,需要优先进行数据资产处理。
基本概念
数据资产处理(分析)指在数据清洗的基础上,针对已采集和识别的重要数据资产和个人信息进行合规和安全处理。
主要实现
通常,数据资产处理(分析)要首先对数据内容进行识别,然后再进行安全性分析、合规性分析、重要性(敏感性)分析等。
4.1.4 技术:数据分类分级
基本概念
数据分类分级需要分两个步骤来开展。数据分类指根据组织数据的属性或特征,将其按照一定的原则和方法进行区分和分类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用组织数据的过程。数据分级指按照一定的分级原则对分类后的数据进行定级,从而为数据的开放和共享安全策略提供支撑。
主要实现
数据分类分级主要实现方式为依据标签库、关键词、正则表达式、自然语言处理、数据挖掘、机器学习等内容识别技术,进行数据分类,根据数据分类的结果,依据标签进行敏感数据的划分,最终实现数据分级的效果。
数据分类分级技术按元数据类型可分为:
#内容感知分类技术
对非结构化数据内容的自动分析来确定分类,涉及正则表达式、完全匹配、部分或完整指纹识别、机器学习等。
#情境感知分类技术
基于数据特定属性类型,利用广泛上下文属性,适用于静态数据(如基于存储路径或其他文件元数据)、使用中的数据(如由CAD应用程序创建的数据)和传输中的数据(基于IP)。
按实际应用场景分类技术:
#根据分类分级规则
建立标签库,利用机器学习算法经过训练形成分类器,利用分类器将生成的分类器应用在有待分类的文档集合中,获取文档的分类结果,并可进行自动化打标。
4.1.5 技术:数据资产打标
基本概念
数据资产打标指在生产过程中,依据国家相关规定或企业自身管理需求,在产品上通过各种技术进行文字、图片等标识,产品并不局限于实体。
主要实现
数据资产打标的主要实现方式包括:基于关键字的敏感数据打标:通过字段名称,注释信息;基于正则的敏感数据打标:通过样本数据;基于机器学习的敏感数据打标:整个表中所有字段名,样本数据,与其他表的相似度进行训练;对账号字段打标等。
4.2 P:防护
在防护战术领域,重点考虑识别战术后,围绕数据资产展开的主动、被动安全保护技术手段,故对于未直接作用于数据本身的保护技术手段暂未收录。
4.2.1 技术:数据加密技术
基本概念
数据加密指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。
主要实现
利用加密算法、加密协议以及加密产品,对存储态数据、传输态数据、使用态数据实现密文到明文相互转化。
4.2.2 技术:数据脱敏技术
基本概念
数据脱敏又称为数据漂白、数据去隐私话或数据变形。是指从原始环境向目标环境进行敏感数据交换的过程中,通过一定方法消除原始环境数据中的敏感信息,并保留目标环境业务所需的数据特征或内容的数据处理过程。既能够保障数据中的敏感数据不被泄露又能保证数据可用性的特性,使得数据脱敏技术成为解决数据安全与数据经济发展的重要工具。
主要实现
数据脱敏主要包括动态脱敏技术、静态脱敏技术、隐私保护技术等。
4.2.3 技术:隐私计算技术
基本概念
隐私计算是指在保护数据本身不对外泄露的前提下实现数据分析计算的一类信息技术,是数据科学、密码学、人工智能等多种技术体系的交叉融合。
主要实现
从技术实现原理上看,隐私计算主要分为密码学和可信硬件两大领域。密码学技术目前以多方安全计算等技术为代表;可信硬件领域则主要指可信执行环境;此外,还包括基于以上两种技术路径衍生出的联邦学习等相关应用技术。
4.2.4 技术:身份认证技术
基本概念
身份认证技术,是指对实体和其所声称的身份之间的绑定关系进行充分确认的过程,目的是为了解决网络通信双方身份信息是否真实的问题,使各种信息交流可以在一个安全的环境中进行。身份认证技术可以提供关于某个人或某个事物身份的保证,这意味着当某人(或某事)声称具有一个身份时,认证技术将提供某种方法来证实这一声明是正确的。
主要实现
在网络安全,乃至数据安全中,身份认证技术作为第一道,也是极其重要的一道防线,有着重要地位。可靠的身份认证技术可以确保信息只被正确的“人”访问。身份认证技术的发展,经历了从软件实现到硬件实现,从单因子认证到多因子认证,从静态认证到动态认证的过程。目前比较流行的身份认证技术包括口令认证技术、无口令认证、生物特征认证等。
4.2.5 技术:访问控制技术
基本概念
访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制的主要目的是限制访问主体对客体的访问,从而保障数据资源在合法范围内得以有效使用和管理。
主要实现
访问控制的功能性实现一般需要两步:一是识别和确认访问系统的用户;二是利用技术手段决定该用户可以对某一系统资源进行何种类型及权限的访问。技术实现方式可分为网络访问控制、权限管理控制、风险操作控制和数据访问控制等衍生技术。
4.2.6 技术:数字签名技术
基本概念
数字签名(Digital signature),签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果,该结果只能用签名者的公钥进行验证,用于确认签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。
主要实现
数字签名使用了公钥加密领域的技术实现,用于鉴别数字信息。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。每种公钥加密体系都能设计实现相应的数字签名,代表性的有RSA签名和DSA签名。
4.2.7 技术:DLP技术
数据(泄露)防护(Data leakage prevention, DLP),又称为“数据丢失防护”(Data Loss prevention, DLP),通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。DLP这一概念来源于国外,是国际上最主流的信息安全和数据防护手段。
基本概念
DLP技术,即数据泄露防护技术,主要核心是通过识别结构化数据和非结构化等数据资产,根据安全策略执行相关动作,以实现数据资产保护。
主要实现
DLP技术的内容识别方法别包括关键字、正则表达式、文档指纹、向量学习等;策略包括拦截、提醒、记录等。DLP技术可部署在终端、电子邮件、云和网络等各种出口通道上,能够为其提供DLP功能的工具包括邮件安全和邮件网关(SEG)解决方案、Web安全网关(SWG)、云访问安全代理(CASB)、终端保护平台以及防火墙等。
4.2.8 技术:数据销毁技术
基本概念
数据销毁是指将数据存储介质上的数据不可逆地删除或将介质永久销毁,从而使数据不可恢复、还原的过程。
主要实现
数据销毁作为数据生命周期中的最后一环,其目的是使得被删除的敏感数据不留踪迹、不可恢复,主要分为硬销毁和软销毁。
4.2.9 技术:云数据保护技术
基本概念
数据保护技术是指利用云资源和虚拟化技术,实现云平台海量数据的保护技术。通常包含数据分级存储、多租户身份认证等。
主要实现
在数据安全领域,云安全保护技术呈现“百花齐放”,基于报告篇幅问题,本文重点探讨云密码服务、云身份鉴别服务、云身份管理和访问控制等已经在非云领域得到算法分析、模型推导等充分验证的安全技术。
4.2.10 技术:大数据保护技术
除了传统的网络安全、信息安全、数据安全相关保护技术外,在大数据环境下安全保护技术具有特定应用背景下数据保护技术。
基本概念
大数据保护技术指在大数据处理环境下,针对大数据自身安全特性,施加安全增强的数据保护技术。
主要实现
常见的大数据保护技术包含数据隔离、分层访问、列数据授权、批量授权等。
#数据隔离
在中国墙访问控制模型下,结合业务场景,可以得出针对不同的业务,不同的客户,不同的项目,需要实现数据隔离。利用访问控制手段,实现只能调取某些相关的数据,而无法调取,或者说没有权限其他不相关的数据。
#数据分层访问
强制访问控制的现实工程应用,即不同层级业务部门对数据具备不同的访问权限,高层级部门可以访问底层级部门的数据,而低层级部门不可访问高层级部门的数据。
#列级数据授权
不同业务部门对同一份数据的访问权限要求不同,所以要求能够对数据进行精细化授权。
#批量授权
结合RBAC模型和ABAC模型,针对大规模用户群体,可在利用批量授权或者基本角色的授权模型,来实现一次授权,相同权限内员工现时赋权。
4.3 D:检测
在检测战术领域,结合数据动态流转特性,本文共收录六类检测手段,即威胁检测、流量监测、数据访问治理、安全审计、共享监控等。
4.3.1 技术:威胁检测
基本概念
威胁检测,是指采用应用威胁情报、机器学习、沙箱、大数据技术计算资产历史行为等多种检测方法,对网络流量和终端进行实时的监控,深度解析、发现与成分分析;对IT资产进行精细化识别和重要度评估,帮助信息系统管理者精准检测失陷风险,追溯攻击链,定位攻击阶段,防止攻击进一步破坏系统或窃取数据的主动安全排查行为。
主要实现
通过对全流量常态化威胁监测,提取行为模式和属性特征,创建异常行为基线,智能检测分析如内网横移行为、漏洞利用行为、隐蔽通信行为等APT高级威胁攻击行为,提前发现或隐藏在流量和终端日志中的可疑活动与安全威胁因素。
4.3.2 技术:流量监测
基本概念
网络流量是指单位时间内通过网络设备和传输介质的信息量(报文数、数据包数或字节数)。流量检测,是指针对网络流量以及其他流量进行的检测分析。
主要实现
流量检测需要对网络中传输的实际数据进行分析,包括从底层的数据流一直到应用层的数据的分析,目前包括网络流量分析、高级安全分析、文件分析、TLS解密等技术。
4.3.3 技术:数据访问治理
基本概念
数据访问治理包括政策、流程、协议和监督等方面职能,是指对数据存储单位中的数据分级分类访问权限进行实时跟踪、合规审核与风险评估的治理过程。
主要实现
通常是针对存储在数据库中的数据,采用实时检测、用户访问行为分析、业务风险评估、动态风险评估、安全影响评估、优化管理等措施来保障数据安全治理整体工作的有效开展。
4.3.4 技术:安全审计
基本概念
安全审计,主要是指通过检测组织针对数据平台的日常服务和运维是否开展安全审计,并验证安全审计是否具有自动分析和报警功能的行为。
主要实现
安全审计主要内容分为两项:一是检查是否对数据平台部署独立、实时的审计系统;二是验证数据平台的安全审计系统是否具有日志自动分析功能。主要包括主机安全审计、网络安全审计、数据库安全审计、业务安全审计和数据流转审计等环节。
4.3.5 技术:共享监控
基本概念
共享监控,是一种基于应用特征的终端识别方法,是指针对在业务系统之间流转或对外提供服务过程中API接口调用未授权或调用异常的监测。
主要实现
在数据共享过程中,需要采取相应的共享安全监控措施实时掌握数据共享后的完整性、保密性和可用性。基于HTTP报文User-agent字段识别网络接入终端,可对网络中用户私接设备共享上网的行为进行识别和控制;通过针对共享数据的监测管控,防止数据丢失、篡改、假冒和泄漏。
4.4 R:响应
R:响应是D:检测的极其重要的后手动作,是DR模型的重要一环。本文收录了事件发现,事件处置,应急响应,事件溯源等四个技术。
4.4.1 技术:事件发现
基本概念
安全事件发现是数据安全事件响应的第一步,是指通过主动发现和被动发现,确认入侵检测机制或另外可信站点警告已入侵,以及主动监测数据可能泄露的点,第一时间定位和处理,是实行紧急预案。
主要实现
安全事件发现的主要实现方式为通过对信息网络系统进行初始化快照、采用应急响应工具包等。
#系统快照
常规情况下,信息系统进程、账号、服务端口和关键文件签名等状态信息的记录。通过在系统初始化或发生重要状态改变后,在确保系统未被入侵的前提下,立即制作并保存系统快照,并在检测的时候将保存的快照与信息系统当前状态进行对比,是后续“检测”安全事件的一种重要途径。同时,通过态势感知、Net- Flow技术等技术辅助发现。
4.4.2 技术:事件处置
基本概念
事件处理是指安全事件发生之后,采取常规的技术手段处理应急事件,目前包括了事件还原和流量分析等技术,一方面分析安全事件发生的原因,一方面减小安全事件造成的影响或者损失。法律法规方面,《中华人民共和国数据安全法》对于有关部门在发生数据安全事件时的处理作了相关说明:“发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。”,同时对相关数据处理的主体也做了责任说明:“发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。”
主要实现
事件处理的主要实现方式为及时抑制。抑制是指对攻击所影响的范围、程度进行扼制,通过采取各种方法,控制、阻断、转移安全攻击。抑制阶段主要是针对前面检测阶段发现的攻击特征,比如攻击利用的端口、服务、攻击源、攻击利用系统漏洞等,采取有针对性的安全补救工作,以防止攻击进一步加深和扩大。抑制阶段的风险是可能对正常业务造成影响,如系统中了蠕虫病毒后要拔掉网线,遭到DDoS 攻击时会在网络设备上做一些安全配置,由于简单口令遭到入侵后要更改口令会对系统的业务造成中断或延迟,所以在采取抑制措施时,必须充分考虑其风险。
4.4.3 技术:应急响应
基本概念
“应急响应”对应的英文是“Incident Response”或“Emergency Response”等,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。
主要实现
应急响应的主要实现方式为准备(预防:扫描、风险分析、打补丁)、检测(事件是否发生,事件产生的原因和性质)、遏制(隔离网络、修改防火墙或者路由器规则、删除攻击者登录账号、关闭被利用的服务器或者主机)、根除(分析原因、进行安全加固)、恢复(恢复系统备份)跟踪(关注效果)等。
4.4.4 技术:事件溯源
基本概念
安全事件溯源,是指根据入侵者的入侵痕迹进行全方位的追踪和分析,也是应急响应的重要一环。比如可以采用高置信度行文审计,定责的数据访问审计可以记录识别到的主客体信息,在记录操作行为的同时,能够对每条审计日志进行签名,不仅做到独立于应用系统的第三方审计,还能够通过数字签名技术确保审计日志的不可篡改,以及在事后追溯问题过程中提供重要依据。
主要实现
安全事件溯源的主要实现方式为攻击源捕获、溯源反制等。
#攻击源捕获
攻击源捕获的技术实现包括:安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等;日志与流量分析,异常的通讯流量、攻击源与攻击目标等;服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务;邮件钓鱼,获取恶意文件样本、钓鱼网站URL等;蜜罐系统,获取攻击者行为、意图的相关信息。
#溯源定位手段
溯源反制手段的技术实现包括:IP定位技术:根据IP定位物理地址—代理IP;ID追踪术:搜索引擎、社交平台、技术论坛、社工库匹配;网站url:域名Whois查询—注册人姓名、地址、电话和邮箱;恶意样本:提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析;社交账号:基于JSONP跨域,获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等。
4.5 R:恢复
恢复是安全事件发生后,主要补救手段,通常会涉及网络恢复、设备恢复、业务恢复、数据恢复等,基于本文主旨,特别强调数据恢复。
4.5.1 技术:灾难恢复
基本概念
灾难恢复,是指自然或人为灾害后,重新启用信息系统的数据、硬件及软件设备,并恢复正常商业运营的过程。
主要实现
其核心是对企业或机构的灾难性风险作出评估、防范,特别是对关键性业务数据、流程,给予记录、备份及保护,尽可能迅速地将平台恢复到正常运营的状态。
4.5.2 技术:数据迁移技术(分层存储管理)
基本概念
数据迁移是一种将离线存储与在线存储融合的技术,是将很少使用或不用的文件移到辅助存储系统的存档过程。这些文件通常是需在未来任何时间可进行方便访问的图像文档或历史信息。迁移工作与备份策略相结合,并且仍要求定期备份。
主要实现
数据迁移的实现可以分为3个阶段:数据迁移前的准备、数据迁移的实施和数据迁移后的校验。充分周到的准备是完成数据迁移工作的主要基础,具体是要进行待迁移数据源的详细说明(包括数据的存储方式、数据量、数据的时间跨度);建立新旧系统数据库的数据字典;对旧系统的历史数据进行质量分析,新旧系统数据结构的差异分析;新旧系统代码数据的差异分析;建立新老系统数据库表的映射关系,对无法映射字段的处理方法;开发、部署ETL工具,编写数据转换的测试计划和校验程序;制定数据转换的应急措施等。
4.5.3 技术:本地双机热备
双机热备应对服务器的故障最可靠最高效的灾难恢复技术,可能有效降低设备故障、操作系统故障、软件系统故障引起的数据丢失或业务宕机。
基本概念
双机热备特指基于active/standby方式的服务器热备。服务器数据包括数据库数据同时往两台或多台服务器执行写操作,或者使用一个共享的存储设备。
主要实现
共享方式和软同步数据是双机热备两种主流实现方式。
#共享方式
即两台服务器连接一个共享使用的存储设备或存储网络,通过安装双机软件实现双机热备。
#软同步数据
即利用纯软件方式或软件同步数据方式,两台服务器所需要的应用数据放在各自的服务器中,不使用共同的存储设备。
4.5.4 技术:远程异地容灾
基本概念
远程容灾系统一般由生产系统(即数据中心)、可接替运行的备份中心、数据复制系统、通信线路等部分组成。在正常生产和数据备份状态下,生产系统向备份系统传送需备份的数据。灾难发生后,当系统处于灾难恢复状态时,备份系统将接替生产系统继续运行。
主要实现
远程异地容灾技术要求容灾系统满足基本建设要求:
1)备份中心与数据中心在距离上要足够远,使得当数据中心遭受灾害破坏时,不会影响到备份中心;
2)必须保证备份中心与数据中心的数据同步;
3)备份中心的所有应用系统必须经过严格的测试,确保业务系统能够正常运行;
4)备份中心与数据中心间为保持数据同步而需传输的数据量,以及两地间的网络带宽,以及网络带宽必须能够保证两地间数据的顺畅同步;
5)备份中心的计算机系统有足够的处理能力来接管数据中心的业务;
6)数据中心与备份中心的应用切换快速可靠,并可进行自动和手工切换。
4.6 C:反制
数据被侵害或被侵权很难根本杜绝。那么,有必要考虑或假想确定遭受数据攻击,数据泄露后,如何积极应对,同时考虑实施积极的反制技术威慑和震慑敌手。故,本文DTTACK模型特别强调了反制的重要性。考虑商业实用性,本版本收录水印技术、溯源技术、版权管理技术等内容。
4.6.1 技术:水印技术
基本概念
数字水印技术是一种将特制的、不可见的标记,利用数字内嵌的方法隐藏在数字图像、声音视频等数字内容中,由此来确定版权拥有者、认证数字内容来源的真实性、识别购买者、提供关于数字内容的其他附加信息、确认所有权认证和跟踪侵权行为的技术。
主要实现
水印技术包括图像水印、媒体水印、数据库水印、屏幕水印等。
4.6.2 技术:溯源技术
数据溯源指记录原始数据在整个生命周期内(从产生、传播到消亡)的演变信息和演变处理内容,进而可以根据追踪路径重现数据的历史状态和演变过程,实现数据历史档案的追溯。
基本概念
数据溯源指对目标数据的源头数据以及流转过程中的变动加以追溯、确认、描述和记录保存的过程,其主要包含三部分内容:
1)对产生当前数据项的源头数据的追溯与描述;
2)对源头数据如何演变为当前数据状态的过程信息的追溯、捕获或记录;
3)对所有能够影响数据状态的因素(比如影响数据的实体、工具等)进行追溯、描述和记录。
主要实现
一般情况中,数据溯源技术通过构建数据溯源模型,利用附加信息或计算等数据溯源追踪方法,实现对数据可靠性确认。
结合场景,数据溯源模型主要包含:流溯源信息模型、时间-值中心溯源模型、四维溯源模型、开放的数据溯源模型、Provenir数据溯源模型、数据溯源安全模型、PrInt 数据溯源模型等。
常用的数据溯源追踪方法主要包含:标注法、反向查询法、通用的数据追踪方法、双向指针追踪法、图论追踪法以及专用查询语言追踪法等。
在数据安全保护场景中实现数据溯源技术,还可以利用其它工程实践中较成熟的技术,比如权限流转、权限迁移和签名验证等。
4.6.3 技术:版权管理技术
版权管理技术放置于DTTACK模型最后一个技术模块旨在强调:从技术角度考量,版权管理是最后的手段。在数据安全工作中,数字版权破坏和数字版权不正当使用后,如果有版权管理技术支撑,对于组织后续维权和追责具有重大意义。
基本概念
本文的版权管理技术特指数字版权管理(Digital Right Management,DRM),即密码技术、去标识化技术、水印技术从技术上防止对数字内容的非法复制和非法使用。
主要实现
数字版权管理提供了对数字内容进行安全分发、权限控制和运营管理的能力,使得数字内容相关权益方能对每个数字内容定义不同的使用权限、每个权限对应不同的商业价值和价格。相关用户只有得到授权后才能按照相应的权限消费数字内容。数字版权管理常见实现手段包含:
#加密技术
对数字化作品进行加密,使得已实施版权保护的数字作品或商品,只有通过解密的逆变换,方可阅读或其他方式进行使用。
#数字证书技术
对数字作品或商品进行数字证书签发,表明拥有证书的合法用户身份。证书通常包括证书申请者的名称和信息、申请者的公钥、证书颁发者CA的数字签名和一组控制信息。
#数字对象唯一标识符,(Digital Object Unique Identifier,DOI)
利用识别号解析协议对数字对象进行唯一标识符命名,使得数字产品或商品具备一个持久可追溯的鉴别特征。
#数字水印技术
将不妨碍对数据的正常使用特征信息,但它可嵌入到数字产品或商品,以实现对版权的跟踪和保护。
#安全容器技术
采用加密技术把数据包(拥有者特征,使用规则)封装在数字产品或商品中。
#移动代理技术
采用执行用户操作和程序功能的代码或程序,在特定节点或触发条件下,进行自我复制和子移动代理生成。
(*** 4.1 ~ 4.6章节的部分细节内容省略,详见白皮书原文)
(*** 4.7 G:治理的内容,此处省略,详见白皮书原文)
五、数据安全应用示例方案参考
5.1 云平台数据安全存储场景
参考适用场景:云平台中数据存储场景
表 1:云平台数据安全存储场景典型威胁情境
5.1.1 概要
把企业业务和数据托管于云服务,即可以降低硬件采购成本,又可以减少运维成本。同时,云端资源可实现高弹性和个性化订制服务。但是对于企业用户来说,由于网络、业务、数据由第三方来负责维护,那么数据是否可能被未知的超级用户访问,是否可能被异常丢失、数据泄露,一直困扰着已上云或计划上去企业用户。
同时,根据《中华人民共和国网络安全法》第二十一条要求:网络运营者应当按照网络安全等级保护制度的要求进行网络安全保护,网络运营者不履行等保义务的,将被给予警告并处以罚款,构成犯罪的,依法追究刑事责任。结合等级保护2.0云计算扩展要求,企业不管是整体或部分业务迁移到云端都要保证安全合规。
5.1.2 安全现状
5.1.2.1 已完成安全建设
目前,国内主流的云服务商都通过三级及以上等保测评,满足A类机房要求,具备27001等国内国际安全认证。同时,大多数云服务商都具备安全能力云服务,如DDoS流量清洗、漏洞扫描、Web应用防火墙、云证书管理、SSL证书管理、云堡垒机等,等级保护建设涉及软硬件安全设备。同时,在预算可控条件下,云租户会采购配套的等级保护咨询和测评服务。
5.1.2.2 缺失安全手段
业务上云后,企业面临最突出安全问题是安全边界被打破。大量的数据异地存储和使用,现有的多数安全手段更加注重于网络边界防护和访问控制。但云上存储的数据可能存在明文数据泄露的风险。企业应该考虑利用加密、去标识化技术为云上高速流转的数据重构防护边界。
需要解决如下数据安全风险:
1.数据存储安全风险:存储在云端的数据可能被黑客攻击应用引发数据泄露,可能被数据库运维人员攻击数据库引发数据泄露,可能被虚拟机运维人员攻击引发数据泄露,可能被存储管理人员攻击引发数据泄露。
2.访问控制失造成数据泄露风险:云服务中安全配合至关重要,默认口令/弱口令、应用配置文件非授权访问等都有可能被第三方或黑客网络爬虫、互联网探测平台等,恶意或非恶意访问并泄露或公开。
3.法律合规遵循不足风险:较多企业在系统或业务定级备案时,未充分关注云上业务或数据满足等保合规及信息系统密码应用基本要求的管理规定。
5.1.3 解决方案
建议平台管理者单位结合DTTACK模型,进行如下方案分析与设计:
需求一实现:选择4.2 P:防护ˆ4.2.1技术:数据加密技术ˆ4.2.1.1扩展技术:存储加密ˆ# 应用内加密(AOE面向切面加密)方法;选择4.2 P:防护ˆ4.2.9 技术:云数据保护技术ˆ4.2.9.1 扩展技术:云密码服务ˆ# 密钥管理;选择4.2 P:防护ˆ4.2.1技术:数据加密技术ˆ4.2.1.1扩展技术:存储加密ˆ# TFE透明文件加密;选择# FDE全磁盘加密。
需求二实现:选择4.2 P:防护ˆ4.2.5技术:访问控制ˆ4.2.5.2 扩展技术:权限管理控制ˆ# RBAC技术;选择# ABAC技术,选择# ABAC技术;选择4.2 P:防护ˆ4.2.4技术:身份认证技术ˆ4.2.4.3 扩展技术:生物特征认证技术;选择4.2 P:防护ˆ4.2.6 技术:数字签名ˆ4.2.6.2 扩展技术:签名验签技术;选择4.7 G:治理ˆ4.7.7数字道德ˆ# AvanadeTrendlines:数字道德技术。
图 8 加入密码能力支撑的云平台整体规划
建设以密码技术为核心的数据安全密码防护中台,以应用层为抓手,可实现:
1.云平台上的数据加密存储,防范数据泄露风险;
2.云平台上的应用系统可免开发改造,敏捷实施,成本低;
3.提供云服务形态,对存量和新增应用增强密码防护能力;
4.满足等保合规及信息系统密码应用基本要求的管理规定。
5.1.4 总结
企业将系统或数据迁移到云平台可能存在数据被泄露、被滥用等安全风险,通过构建密码基础设施和密码服务平台,强化生物识别或证书登录,使用密码技术实现用户身份鉴别、应用程序访问控制、数据存储过机密性和完整性保护,进一步满足等保2.0以及密码应用安全性评估等合规要求。
5.2 工业互联网数据多方安全共享
参考适用场景:工业数据、制造业数据在多个参与方进行数据共享时数据安全实现。
表 2:工业互联网数据多方安全共享场景典型威胁情境
5.2.1 概要
利用工业互联网新技术、新应用,对传统产业进行全方位、全角度、全链条的改造,提高全要素生产率,释放数字对经济发展的放大、叠加、倍增效应。数据是工业互联网的核心,在工业互联网中,汇聚着海量来自不同工业运营商数据尽管如此,随着工业数据由少量、单一、单向正在向大量、多维、双向转变,具体表现为工业互联网数据体量大、种类多、结构复杂。工业领域业务应用复杂,数据种类和保护需求多样,数据流动方向和路径复杂,重要工业数据以及用户数据保护的难度陡然增大。
5.2.2 安全现状
5.2.2.1 已完成安全建设
工业互联网相关企业在信息化规划及建设规划过程中都已或多或少考虑了信息安全,并已经建立了一些信息安全系统,企业信息安全系统主要由防火墙、VPN、IPS、IDS、防病毒、存储备份、容灾和安全管理制度等组成。
在工业互联网数据共享交换场景下,由国家监管部门大力支持下已经在预研了通用计算服务平台,平台设计具有去中心化、数据保护、联合计算等功能。
5.2.2.2 缺失安全手段
在进行企业内部和外部进行数据共享交换时,没有充分的数据安全措施,面临着更多的数据交换方式和业务应用方式的结合问题。同时,工业网络接入互联网已势在必行,在完善的计算服务平台未推广或形成快捷解决方案时,需要进行紧急数据安全手段补充,其中建设重点和难点在于:
1.通过算法自动化智能化的发现数据平台中存在的敏感数据;
2.敏感数据动态脱敏,在客户端和服务器之间按照策略进行SQL操作的改写,来实现对数据脱敏的效果;
3.加密特定的文件类型(例如电子表格、数据库、文件或临时文件夹);
4.在传统的访问控制基础上,实现主体到人,客体到字段的动态、精细化的访问控制;
5.对敏感数据,如调度数据、交付日期、机器的状态数据和运维状态、产品的供应状态、源代码、图纸等,实现多方安全计算,以防止数据安全和其他安全风险失控。
5.2.3 解决方案
建议企业管理者单位结合DTTACK模型,进行如下方案分析与设计:
需求一实现:选择4.3 D:检测ˆ44.3.5技术:共享监控ˆ4.3.5.3 扩展技术:接口访问预警ˆ# 文字识别技术;选择# 图片识别技术。
需求二实现:选择4.2 P:防护ˆ4.2.1技术:数据加密技术ˆ4.2.1.1扩展技术:存储加密ˆ# 应用内加密(AOE面向切面加密)方法;针对工业互产网数据类型,筛选并建立行业敏感字段(主要参考《工业数据分类分级指南(试行)》、《工业数据质量—通用技术规范》(GB/T 39400-2020)、《T/31SCTA 003-2017 工业大数据平台技术规范 数据处理》等)、数据库字段等特征库;利用脱敏模块实现敏感字段级加密。
需求三实现:选择4.2 P:防护ˆ4.2.1技术:数据加密技术ˆ4.2.1.1扩展技术:存储加密ˆ# 应用内加密(AOE面向切面加密)方法。
需求四实现:选择4.2 P:防护ˆ4.2.5技术:访问控制ˆ4.2.5.2 扩展技术:权限管理控制ˆ# ABAC技术。
需求五实现:选择4.2 P:防护ˆ4.2.1技术:数据加密技术ˆ4.2.1.3扩展技术:使用加密ˆ# MPC多方安全计算技术。
具体地:
1.采用TFE透明文件加密
对指定类型的文件进行实时、强制、透明的加解密,在正常使用时,计算机内存中的文件是以受保护的明文形式存放,但硬盘上保存的数据却处于加密状态,如果没有合法的使用身份、访问权限和正确的安全通道,所有加密文件都将以密文状态保存。
2.采用应用级存储加密技术
通过AOE面向切面加密技术对应用程序产生的敏感数据进行加密。
1)将AOE模块部署在客户应用服务器上,数据经应用采集,插入到数据库时,模块会根据设置的加密策略将数据加密,以密文形式存储在应用所连接的数据库上。
2)当数据从应用端被访问时被解密,并根据所设置的脱敏策略在应用端展示脱敏后的数据或明文数据。
3.ABAC(基于属性的访问控制)功能
实现主体到人,客体到字段的动态、精细化的访问控制。通过管理平台对企业员工进行权限管理。其中,访问主体的用户信息可以与企业的统一用户身份管理进行集成,也可以与应用的用户管理进行同步。在密文数据被访问时,则根据用户身份,向授权的用户展示明文数据或部分遮掩数据,而向未授权用户展示密文或脱敏数据。实现结合用户身份的动态脱敏,保证对于敏感数据的严格管控,并支持可追溯、防篡改的第三方数据操作审计,每条日志支持主体追溯到人,保证可事后追责。
5.2.4 总结
分析工业互联网企业数据防泄密路径和数据共享交换业务特性,利用加密技术、去标识化技术、多方安全计算技术保护企业的信息资产和核心机密数据为企业提供有效的数据安全保障。
来源:炼石网络