English | 中文

产品资料

联系我们

  • 联系人:北京炼石网络技术有限公司
  • 电话:010-88459460
  • 地址:北京市海淀区北三环西路32号楼7层0710-1
  • 邮编:100097

您现在的位置: 白话数据安全»公司动态

12万字 | 2021数据安全与个人信息保护技术白皮书(附下载)

前言

当前,以数字经济为代表的新经济成为经济增长新引擎,数据作为核心生产要素成为了基础战略资源,数据安全的基础保障作用也日益凸显。伴随而来的数据安全风险与日俱增,数据泄露、数据滥用等安全事件频发,为个人隐私、企业商业秘密、国家重要数据等带来了严重的安全隐患。近年来,国家对数据安全与个人信息保护进行了前瞻性战略部署,开展了系统性的顶层设计。《中华人民共和国数据安全法》于2021年9月1日正式施行,《中华人民共和国个人信息保护法》于2021年11月1日正式施行。

本白皮书(或本报告)正是在《数据安全法》、《个人信息保护法》等法律陆续施行的背景下编制。《数据安全法》旨在维护国家安全和社会公共利益,保障数据安全,其关于“数据”的定义,是指任何以电子或者其他方式对信息的记录。《个人信息保护法》更侧重于个人权益,是为了维护公民个人的隐私、人格、人身、财产等利益,其关于“个人信息”的定义,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

业内关于“数据”和“信息”之间关系的理解,大致可以分为三类:一是“信息”属于“数据”的子概念,“信息”是从采集的“数据”中提取的有用内容;二是“信息”与“数据”互相混用,概念区分没有实质意义;三是“数据”属于“信息”的子概念,仅表示“信息”在电子通信环境下的表现形式。本报告基于数据和信息之间关系的第一种释义,即“个人信息”属于“数据”的子概念。同时,《数据安全法》中的数据处理者在处理个人信息时,也是《个人信息保护法》中的个人信息处理者,除需遵守《数据安全法》,还必须遵守《个人信息保护法》。从技术层面看,个人信息往往以结构化数据或非结构化数据形式存在,保护个人信息和保护数据的防护手段,二者高度通用。综合考虑以上原因,本报告将数据安全技术与个人信息保护技术合并论述。

本报告综合梳理了当下数据安全发展面临的挑战与机遇,结合真实的数据泄漏事件,分析业务流转各环节伴生的安全风险与应对,探索数据安全“新框架”与“新战法”。本报告参考经典的网络安全框架ATT&CK,提出了新的数据安全技术框架DTTACK(以数据为中心的战术、技术和通用知识),以期结合两大框架实现“攻防兼备、网数一体”。本报告详细介绍了DTTACK框架,针对数据安全从识别(I)、防护(P)、检测(D)、响应(R)、恢复(R)、反制(C)、治理(G)七大方面说明了相应的战术、技术,覆盖了数据的全生命周期(收集、存储、使用、加工、传输、提供、公开等)的安全防护。最后,报告从云平台、工业互联网、政务大数据、银行金融、民航业等十个场景,简要阐述了数据安全的应用示例方案以供参考。

“工欲善其事,必先利其器”,在数字经济快速发展的背景下,我们更需要深刻认识到数据安全建设的重要性,不仅需要在安全意识和管理水平上提升,更需要在技术上重点布局、勇于创新,希望本报告能够为企业或机构的数据安全建设提供参考和借鉴。由于编者水平有限,报告中的错误之处在所难免,敬请读者指正,也欢迎业界同仁共同参与完善,为行业发展提供助力!(关注本公众号,回复“炼石就是数据安全”,下载完整版《2021数据安全与个人信息保护技术白皮书》PDF高清文件)

本文约5万字,预计阅读时间 30 分钟。
注1:欢迎业界同仁反馈改进、共同完善、交流合作,信息反馈请发送邮件至:support@ciphergateway.com。
注2:本公众号文章由于微信后台排版5万字限制,只展示部分内容,请关注后下载完整12万字白皮书原文

声明:北京炼石网络技术有限公司对本技术报告内容及相关产品信息拥有受法律保护的著作权,未经授权许可,任何人不得将报告的全部或部分内容以转让、出售等方式用于商业目的使用。转载、摘编使用本报告文字或者观点的应注明来源。报告中所载的材料和信息,包括但不限于文本、图片、数据、观点、建议等各种形式,不能替代律师出具的法律意见。违反上述声明者,本公司将追究其相关法律责任。报告撰写过程中,为便于技术说明和涵义解释,引用了一系列的参考文献,内容如有侵权,请联系本公司修改或删除。

报告架构

一、数据安全发展面临严峻挑战

1.1 数据要素赋能数字中国

1.1.1 数据成为新型生产要素
1.1.2 数据开发利用加速发展

1.2 个人信息亟待严格保护

1.2.1 个保法律强化保护义务
1.2.2 个人信息需要体系防护

1.3 业务处理伴生数据风险

1.3.1 数据收集风险
1.3.2 数据存储风险
1.3.3 数据使用风险
1.3.4 数据加工风险
1.3.5 数据传输风险
1.3.6 数据提供风险
1.3.7 数据公开风险

1.4 数据风险制约产业创新

1.4.1 数据跨境流动带来新隐患
1.4.2 新技术迭代催生更多风险
1.4.3 新业态出现激发潜在危机


二、数据安全产业迎来发展机遇

2.1 实战合规共驱安全产业

2.1.1 数据安全面临国内外挑战
2.1.2 安全需求被置于次要地位
2.1.3 强合规监管深化鞭子效力

2.2 数据安全成为国家战略

2.2.1 国际数据安全发展战略概况
2.2.2 我国数据安全立法监管加强

2.2.3 全球公正数据安全规则构建

2.3 多重因素推动技术升级

2.3.1 数据安全攻防视角的新框架
2.3.2 数据安全供需市场的新博弈
2.3.3 数据安全实战能力的新要求
2.3.4 数据安全思路模型的新演进


三、数据安全技术亟待叠加演进

3.1 数据安全需要新框架

3.1.1 数据安全需兼顾内外威胁防护
3.1.2 数据防护从应对式转向主动式
3.1.3 网络与数据并重的新建设思路
3.1.4 经典网络安全框架ATT&CK
3.1.5 数据安全技术框架DTTACK
3.1.6 网络与数据一体化的叠加演进

3.2 数据安全需要新战法

3.2.1 知彼:攻击体系化
3.2.2 知己:银弹不存在
3.2.3 百战不殆:面向失效的安全设计


四、数据安全框架重点技术详解

4.1 l:识别

4.1.1 技术:数据资源发现
4.1.2 技术:数据资产识别
4.1.3 技术:数据资产处理(分析)
4.1.4 技术:数据分类分级
4.1.5 技术:数据资产打标

4.2 P:防护

4.2.1 技术:数据加密技术
4.2.2 技术:数据脱敏技术
4.2.3 技术:隐私计算技术
4.2.4 技术:身份认证技术
4.2.5 技术:访问控制技术
4.2.6 技术:数字签名技术
4.2.7 技术:DLP技术
4.2.8 技术:数据销毁技术
4.2.9 技术:云数据保护技术
4.2.10 技术:大数据保护技术

4.3 D:检测

4.3.1 技术:威胁检测
4.3.2 技术:流量监测
4.3.3 技术:数据访问治理
4.3.4 技术:安全审计
4.3.5 技术:共享监控

4.4 R:响应

4.4.1 技术:事件发现
4.4.2 技术:事件处置
4.4.3 技术:应急响应
4.4.4 技术:事件溯源

4.5 R:恢复

4.5.1 技术:灾难恢复
4.5.2 技术:数据迁移技术(分层存储管理)
4.5.3 技术:本地双机热备
4.5.4 技术:远程异地容灾

4.6 C:反制

4.6.1 技术:水印技术
4.6.2 技术:溯源技术
4.6.3 技术:版权管理技术

4.7 G:治理

4.7.1 数据价值
4.7.2 数据安全策略
4.7.3 数据安全模型
4.7.4 数据安全管理
4.7.5 数据安全运营
4.7.6 意识与教育
4.7.7 数字道德


五、数据安全应用示例方案参考

5.1云平台数据安全存储场景

5.1.1 概要
5.1.2 安全现状
5.1.3 解决方案
5.1.4 总结

5.2工业互联网数据多方安全共享

5.2.1 概要
5.2.2 安全现状
5.2.3 解决方案
5.2.4 总结

5.3重要商业设计图纸安全共享场景

5.3.1 概要
5.3.2 安全现状
5.3.3 解决方案
5.3.4 总结

5.4电子档案数据的安全存储和使用场景

5.4.1 概要
5.4.2 安全现状
5.4.3 解决方案
5.4.4 总结

5.5企业办公终端数据安全使用场景

5.5.1 概要
5.5.2 安全现状
5.5.3 增强方案
5.5.4 总结

5.6政务大数据交换共享场景

5.6.1 概要
5.6.2 安全现状
5.6.3 增强方案
5.6.4 总结

5.7银行业数据安全增强方案

5.7.1 概要
5.7.2 安全现状
5.7.3 增强方案
5.7.4 总结

5.8互联网金融数据安全使用场景

5.8.1概要
5.8.2安全现状
5.8.3解决方案
5.8.4总结

5.9民航业数据安全存储场景

5.9.1 概要
5.9.2 安全现状
5.9.3 解决方案
5.9.4 总结

5.10电力数据中台的数据安全增强

5.10.1 概要
5.10.2 安全现状
5.10.3 解决方案
5.10.4 总结




一、数据安全发展面临严峻挑战



1.1 数据要素赋能数字中国

1.1.1 数据成为新型生产要素
2020年4月9日,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》(以下简称《意见》),提出土地、劳动力、资本、技术、数据五个要素领域的改革方向和具体举措。数据作为一种新型生产要素写入中央文件中,体现了互联网大数据时代的新特征。当前数字经济正在引领新经济发展,数字经济覆盖面广且渗透力强,与各行业融合发展,并在社会治理中如城市交通、老年服务、城市安全等方面发挥重要作用。而数据作为基础性资源和战略性资源,是数字经济高速发展的基石,也将成为“新基建”最重要的生产资料。数据要素的高效配置,是推动数字经济发展的关键一环。加快培育数据要素市场,推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护,使大数据成为推动经济高质量发展的新动能,对全面释放数字红利、构建以数据为关键要素的数字经济具有战略意义。
在数据时代,以大数据为代表的信息资源向生产要素形态演进,数据已同其他要素一起融入经济价值创造过程。与其他资源要素相比,数据资源要素具有如下特征:一是数据体量巨大。且历史数据量不断累积增加,通过流转和共享对社会发展产生重要价值,基于数据创新的商业模式或应用不断演进。二是数据类型复杂。不仅包含各种复杂的结构化数据,而且图片、指纹、声纹等非结构化数据日益增多;三是数据处理快,时效性要求高。通过算法对数据的逻辑处理速度非常快,区别于传统数据挖掘,大数据处理技术遵循“一秒定律”,可以从各种类型的数据中快速获得高价值的信息。四是数据价值密度低。数据价值的高度与精确性、信噪比有关,在海量数据面前有价值的数据所占比例很小。在获取高价值数据的过程中,往往需要借助数据挖掘等方法深度分析海量数据,从中提取出对未来趋势与模式预测分析有价值的数据。
基于以上四个特性分析,数据在参与经济建设、社会治理、生活服务时,具有重要意义。一是数据作为一种生产性投入方式,可以大大提高生产效率,是新时期我国经济增长的重要源泉之一。二是推动数据发展和应用,可以鼓励产业创新发展,推动数据与科研创新的有机结合,推进基础研究和核心技术攻关,形成数据产业体系,完善数据产业链,使得大数据更好服务国家发展战略。三是数据安全是数据应用的基础。保护个人隐私、企业商业秘密、国家秘密等。在加强安全管理的同时,又鼓励合规应用,促进创新和数字经济发展,实现公共利益最大化。从合规要求看,数据安全成为国家顶层设计,相关法律政策明确提出加强网络安全、数据安全和个人信息保护,数据安全产业迎来前所未有的历史发展机遇。最终用户对于主动化、自动化、智能化、服务化、实战化的安全需求进一步提升,在此需求推动下,数据安全市场未来五年将继续维持高增速发展。根据赛迪咨询数据测算,2021年我国数据安全市场规模为69.7亿元,预测在2023年我国数据安全市场规模将达到127亿元。从实战需求看,日趋严峻的网络安全威胁让企业面临业务风险,数字产业化迫切需要数据安全能力,而产业数字化转型带来数据安全新需求。当前,我国数据安全产业处于起步期,相比于西方发达国家,我国尚有很大增长潜力,这既是短板也是市场机会。随着实战化和新合规的要求逐步深入,数据安全将迎来广阔的市场空间。
1.1.2 数据开发利用加速发展
当前,数据要素成为推动经济转型发展的新动力。通过数据流引领技术流、物资流、资金流、人才流,推动社会生产要素的网络化共享、集约化整合、协作化开发和高效化利用,提升经济运行水平和效率。特别是后疫情时代,数字产业化和产业数字化将推动数据开发利用的需求从被动变为主动,从启动变为加速,迎来蓬勃发展的黄金时代。
政府数据开放共享,推动资源整合,提升治理能力。随着国家顶层设计和统筹规划,政府依托数据统一共享交换平台和政府数据统一开放平台,大力推进中央部门与地方政府条块结合、联合试点,实现公共服务的多方数据安全共享、制度对接和协同配合;通过政务数据公开共享,引导企业、行业协会、科研机构、社会组织等主动采集并开放数据,提升社会数据资源价值、加强数据资源整合和安全保护。同时,优化数据开发利用,不断提升大数据基础设施建设、宏观调控科学化、政府治理精准化、商事服务便捷化、安全保障高效化、民生服务普惠化。
推动产业创新发展,培育新兴业态,助力经济转型。随着5G、云计算、大数据、人工智能等新技术的发展,以及互联网金融、数据服务、数据探矿、数据化学、数据材料、数据制药等新业态的加速兴起,提升了数据资源的采集获取和分析利用能力,充分发掘数据资源支撑创新的潜力。同时,工业大数据、农业农村大数据、万众创新大数据、基础研究和核心技术攻关等同步蓬勃发展,围绕数据采集、整理、分析、发掘、展现、应用等环节,打造较为健全的大数据产品体系,带动技术研发体系创新、管理方式变革、商业模式创新和产业价值链体系重构,推动跨领域、跨行业的数据融合和协同创新。
强化安全保障,提高管理水平,促进健康发展。数据开发利用升级离不开数据安全的保障。加强数据安全问题研究和安全技术研究,落实商用密码应用安全性评估、信息安全等级保护、网络安全审查等网络安全制度,建立健全大数据安全保障体系。建立大数据安全评估体系。同时,采用安全可信产品和服务,提升基础设施关键设备安全可靠水平,强化安全支撑。


1.2 个人信息亟待严格保护

1.2.1 个保法律强化保护义务
个人信息作为数据资源的重要组成部分,应该受到严格保护。但过去由于传统观念、信息环境、技术手段和立法规划等方面的原因,我国的个人信息保护一直没有得到应有的重视,也没有制定专门针对个人信息保护方面的法律。
2021年11月1日,《中华人民共和国个人信息保护法》正式实施。《个人信息保护法》就“个人信息处理规则”、“个人信息跨境提供的规则”、“个人在个人信息处理活动中的权利”、“个人信息处理者的义务”、“履行个人信息保护职责的部门”等,以及相关各方的“法律责任”作出了明确界定。该法统筹私人主体和公权力机关的义务与责任,兼顾个人信息保护与利用,为个人信息保护工作提供了清晰的法律依据。《个人信息保护法》是我国保护个人信息的基础性法律,奠定了我国网络社会和数字经济的法律之基。
个人信息受到应有的保护是社会文明进步的重要标志之一,也是我国法制建设与国际接轨的有力举措。《个人信息保护法》借鉴国际立法经验,结合本国经济社会实际,是中国智慧的结晶。该法必将在保护个人权益,促进经济社会稳定发展方面发挥重要作用。
1.2.2 个人信息需要体系防护
目前,我国个人信息的安全状况相当严峻。基于个人信息所蕴含的巨大商业价值,加上数字经济带来了新变化,个人信息安全事件呈现出大幅上升的势头。掌握大量个人信息的商业银行、电信运营商、电商平台、交通旅游业企业等成为案发重灾区,相关案例屡屡见诸媒体。这就要求与个人信息相关的行业企业,提高对个人信息保护工作重视程度,依照《个人信息保护法》要求,建立起行之有效的保护体系。基本措施包括:
1)建立和完善相关的组织机构
个人信息保护法》具有强制力,相关部门和单位应该依照法条要求,制定和落实保护计划。只有建立高效的组织,制定科学的制度,积极采取行动,使措施落地,个人信息的安全才能依法得到保证。
2)加强个人信息保护技术的应用
数字经济能够产生高附加值的重要原因之一是数据资源的共享。大数据、云计算、区块链等新技术的应用,使得网络“边界”难于划分,原有的基于传统信息安全保护思路,注重固定“边界”攻防的技术手段,已难于满足当前个人信息保护的需求。新老问题叠加,需要新的信息安全保护思路和技术手段,积极采用加密与去标识化等技术,才能有效应对新的安全威胁,这对个人信息保护工作提出了新挑战。
3)落实个人信息处理者责任
对于个人信息安全事件的追责不力是导致个人信息安全事件频发的重要原因之一。伴随个人信息保护法的出台,众多涉及个人信息的处理者都将共同参与行动,与之配套的就是要落实责任。结合各单位的具体情况,应该设立个人信息保护责任人,设立奖惩制度。只有责任到人,才能踏石留印,抓铁有痕,见到实效。


1.3 业务处理伴生数据风险

数据这种新型生产要素,是实现业务价值的主要载体,数据只有在流动中才能体现价值,而流动的数据必然伴随风险,数据安全威胁伴随业务生产无处不在。因此,凡是有数据流转的业务场景,都会有数据安全的需求产生。传统认为,安全和业务是关联的,有时候对立。但换个角度,安全其实就是一种业务需求。“传统业务需求”侧重于“希望发生什么”,而“安全需求”则侧重于“不希望发生什么”,从而确保“发生什么”。从业务视角出发,数据安全需求重点是数据的机密性和完整性。
结合到企业或机构的信息系统中,数据安全则来自于业务处理中的风险映射。从时间维度看,数据在流转的全生命周期中的每个环节都会有相应的安全需求;从空间维度看,数据在基础设施层、平台层以及应用层之间流转,不同层次会有不同颗粒度的防护需求。《数据安全法》提出“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等”,为数据生命周期的各环节提供了明确定义,数据在各环节均面临诸多泄露威胁与安全挑战。
1.3.1 数据收集风险
在数据收集环节,风险威胁涵盖保密性威胁、完整性威胁、可用性威胁等。保密性威胁指攻击者通过建立隐蔽隧道,对信息流向、流量、通信频度和长度等参数的分析,窃取敏感的、有价值的信息;完整性威胁指数据与元数据的错位、源数据存有恶意代码;可用性威胁指数据伪造、刻意制造或篡改。
(1) 国内
1)某程集团因涉嫌违规采集个人信息被诉至法院
司法机关:浙江省绍兴市柯桥区人民法院
案例描述:2021年7月,浙江省绍兴市柯桥区人民法院开庭审理了胡某诉上海某程集团侵权纠纷案件。胡某以上海某程集团采集其个人非必要信息,进行“大数据杀熟”等为由诉至法院,要求某程集团APP为其增加不同意“服务协议”和“隐私政策”时仍可继续使用的选项。法院审理后认为,某程集团的“服务协议”和“隐私政策”以拒绝提供服务形成对用户的强制。其中,“服务协议”和“隐私政策”要求用户特别授权某程集团及其关联公司、业务合作伙伴共享用户的注册信息、交易、支付数据并允许某程集团及其关联公司、业务合作伙伴对其信息进行数据分析等内容属于非必要信息的采集和使用,无限加重了用户个人信息使用风险。据此,法院判决某程集团应为原告增加不同意其现有“服务协议”和“隐私政策”仍可继续使用的选项,或者为原告修订“服务协议”和“隐私政策”,去除对用户非必要信息采集和使用的相关内容,修订版本须经法院审定同意。
2)速贷之家主体智借网络贩卖个人信息被罚
执法机构:江苏省仪征市人民法院
法律依据:《中华人民共和国刑法》第二百五十三条之一第一、四款,第二十五条第一款,第二十六条第一、四款,第二十七条,第六十七条第一、三款,第四十五条,第七十二条第一、三款,第七十三条第二、三款,第五十二条,第五十三条第一款,第六十四条和《中华人民共和国刑事诉讼法》第十五条
案例描述:2016年,贤某成立北京智借网络科技有限公司(简称“智借网络”),并担任法定代表人,从事贷款超市等业务。2018年1月至2019年7月间,贤某与公司技术部负责人赵某等人共同商议孵化“一键贷”项目。在明知公司没有贷款资质的情况下,贤某及相关负责人仍开发“一键贷”贷款申请页面投放网络,诱骗他人申请注册,收集个人信息,在未取得受害人同意的情况下,向下游多家不特定信息服务公司出售包含姓名、身份证号、手机号等个人信息,非法盈利共计316.96余万元。买方涉及多家知名公司,如平安普惠、拍拍贷、你我贷等。最终法院判决智借网络犯侵犯公民个人信息罪,判处罚金320万元。主犯贤某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑三年,并处罚金30万元。
(2) 国外
1)ZOOM因涉嫌非法泄漏个人数据而被起诉
法律依据:《加州消费者隐私法》
案例描述:根据2020年4月在加利福尼亚州圣何塞市联邦法院提起的诉讼,用户安装或打开Zoom应用程序时收集信息,并在没有适当通知的情况下将其共享给包括Facebook在内的第三方。Zoom的隐私权政策并未向用户说明其应用程序包含向Facebook和潜在的其他第三方披露信息的代码。投诉称,该公司的“程序设计和安全措施完全不足,并将继续导致未经授权而泄露其用户个人信息”。根据《加州消费者隐私法》规定,任何消费者如其在第1798.81.5节(d)条(1)款(A)项下所定义的未加密和未经处理的个人信息,由于企业违反义务而未实施和维护合理安全程序以及采取与信息性质相符的做法来保护个人信息,从而遭受了未经授权的访问和泄露、盗窃或披露,则消费者可提起民事诉讼并请求。为每个消费者每次事件赔偿不少于一百美元(100美元)且不超过七百五十美元(750美元)的损害赔偿金或实际损害赔偿金,以数额较大者为准。
1.3.2 数据存储风险
在数据存储环节,风险威胁来自外部因素、内部因素、数据库系统安全等。外部因素包括黑客脱库、数据库后门、挖矿木马、数据库勒索、恶意篡改等,内部因素包括内部人员窃取、不同利益方对数据的超权限使用、弱口令配置、离线暴力破解、错误配置等;数据库系统安全包括数据库软件漏洞和应用程序逻辑漏洞,如:SQL注入、提权、缓冲区溢出;存储设备丢失等其他情况。
(1) 国内
1)某东电商平台确认12G用户数据泄漏
案例描述:2016年2月,国内媒体一本财经报道称一个超过12G的数据包正在黑市流通,数据包信息包括用户名、密码、真实姓名、身份证号、电话号码、QQ号、邮箱等多类个人用户信息。这个数据包已在黑市上明码交易,价格在10万-70万不等,黑市买卖双方表示该数据包来源为某电商平台。某东电商平台表示,黑客利用了Struts 2的漏洞对某电商平台数据库进行了拖库。
2)济南20万孩童信息以每条一两毛被打包出售
案例描述:2016年,济南20万名孩童信息被打包出售,每条信息价格一两毛。泄漏信息包括孩子的姓名、年龄、性别、父亲姓名以及父母联系电话、家庭住址(全部精确到户)等。济南警方侦破案件,系黑客入侵免疫规划系统网络,4名嫌犯被抓获。
3)机锋论坛2300万用户信息泄露
执法机构:北京市第一中级人民法院
法律依据:《个人信息保护法》第五十一条、第六十六条
案例描述:2015年1月,互联网安全漏洞平台漏洞盒子发布消息称,国内最大的安卓论坛机锋论坛2300万用户数据遭泄露,包含用户名、密码、邮箱。据《个人信息保护法》规定,个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。有相关违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。机锋论坛掌握众多用户个人信息和敏感个人信息,应采取相关技术保护个人信息安全,防止用户信息泄漏。
4)乌云漏洞报告某易用户数据库疑似泄露(亿级)
执法机构:北京市第一中级人民法院
法律依据:《网络安全法》第42条
案例描述:2015年10月,国内安全网络反馈平台WooYun(乌云)发布消息称,某易的用户数据库疑似泄露,影响数量共计数亿条,泄露信息包括用户名、MD5密码、密码提示问题/答案(hash)、注册IP、生日等。某易邮箱过亿数据泄漏(涉及邮箱账号/密码/用户密保等)。根据《网络安全法》第42条相关规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。某易产品收集大量用户信息和重要数据,应该采取相关措施保护数据安全,防止数据泄露事件发生。
5)非法获取公民的电话信息10万多条
案号:(2020)冀0681刑初507号、(2021)冀06刑终180号
法律依据:《中华人民共和国刑法》第二百五十三条之一、第六十七条第三款、第六十四条、第七十二条第一款,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条第二款、第五条,《中华人民共和国刑事诉讼法》第二百零一条,《最高人民法院关于适用<中华人民共和国刑事诉讼法>的解释》第三百六十五条,《中华人民共和国网络安全法》第七十六条第五项,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条
司法机关:河北省保定市中级人民法院
案例描述:2020年5月份至8月份,被告人刘某花8000元在网上购买“北斗创客”软件,通过该软件非法获取公民的电话信息10万多条。2020年7月份,刘某通过QQ联系被告人高某欲购买公民个人信息数据,后被告人高某分两次以1000元的价格出售给被告人刘某公民个人信息数据6万多条。判决如下:判决如下:被告人刘某犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币五千元;被告人高某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑五年,并处罚金人民币五千元。
(2) 国外
1)Facebook证实4.19亿用户的电话信息被泄露
案例描述:2019年9月Facebook证实,存储了超4亿条与Facebook账户关联的电话号码数据库被曝光,每条记录都包含一个用户的Facebook ID和连接到他们账户的电话号码。同样,2018年3月“剑桥分析丑闻”首次被曝光——Facebook8700万用户数据泄露,一家名为剑桥分析的公司通过这些数据影响了美国选举。最终,美国联邦贸易委员会(FTC)宣布与Facebook就该事件达成一项50亿美元的和解协议。
2)微软泄露 2.5 亿条客户支持记录和 PII(个人验证信息)
案例描述:2020年1月,微软意外地在网上曝光了 2.5 亿条客户服务和支持记录。泄漏的数据包含客户电子邮件地,IP 地址,地点,CSS 声明和案例的描述,案例编号,解决方案和备注等。微软确认此数据泄漏,并揭示此问题是由微软内部案例分析数据库的配置错误而导致。
3)5700万名优步司机信息遭泄露
执法机构:美国伊利诺伊州司法部
法律依据:《国家消费者保护法》
案例描述:据环球网科技综合2018年9月报道,美国科技公司优步2016年泄漏约5700万名乘客与司机个人资料,在长达一年的时间里,优步未能通知司机该平台遭受黑客袭击导致司机们个人信息被泄漏一事,而且隐瞒盗窃证据,并向黑客支付赎金以确保数据不会被滥用。美国50州及华盛顿特区官员向该公司提起集体诉讼,之后优步与各州达成和解协议。2018年9月优步宣布:将支付1.48亿美元罚金,并承诺加强数据安全管理。和解要求优步遵守维护个人信息的国家消费者保护法,并在发生信息泄漏情况下立即通知相关部门,保护第三方平台用户数据,并制定强有力的密码保护政策。优步还将聘请一家外部公司对优步的数据安全进行评估,并按照其建议进一步加固数据安全。
4)美国第二大医疗保险公司Athem泄露8000万个人信息
法律依据:《国家消费者保护法》
案例描述:人民网旧金山2015年2月5日报道,美国第二大医疗保险公司Anthem(安塞姆)2月5日向客户发邮件称,公司数据库遭黑客入侵,包括姓名、出生日期、社会安全号、家庭地址以及受雇公司信息等8000名用户个人信息受到影响。这已经不是Anthem第一次遭遇黑客攻击。另据Threatpost网站2017年8月1日报道,2017年7月,Anthem就此次信息泄露事件达成了1.15亿美元的和解。
5)雅虎曝史上最大规模信息泄露 5亿用户资料被窃
案例描述:2016年9月,美国互联网公司雅虎证实,至少5亿用户的账户信息在2014年遭黑客盗取,创造了史上最大单一网站信息遭窃的纪录,泄漏信息包括:受影响用户的姓名、邮箱地址、电话号码、出生日期、密码以及部分取回密码时的安全问题。受事件影响,雅虎股票午盘下跌0.3%至44.02美元,Verizon股价反而上升1%至52.39美元。
6)英国电信运营商CarphoneWarehouse 240万用户个人信息泄露
法律依据:《数据保护法案》
案例描述:据《华尔街日报》杂志版2015年8月报道,英国电信运营商Carphone Warehouse表示,在近来备受外界关注的黑客入侵事件中,约有240万在线用户的个人信息遭到黑客入侵,包含姓名、地址、出生日期和加密的信用卡数据。根据《数据保护法案》规定:处理过程中应确保个人数据的安全采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失(“数据的完整性与保密性”)。控制者有责任遵守以上第1段,并且有责任对此提供证明。(“可问责性”)违反相关规定,英国信息专员办公室有权对违反该项数据法的公司施以高达1700万英镑(约合人民币1.49亿元)的罚款,或者征收该公司4%的全球营业额。
1.3.3 数据使用风险
在数据使用环节,风险威胁来自于外部因素、内部因素、系统安全等。外部因素包括账户劫持、APT攻击、身份伪装、认证失效、密钥丢失、漏洞攻击、木马注入等;内部因素包括内部人员、DBA违规操作窃取、滥用、泄露数据等,如:非授权访问敏感数据、非工作时间、工作场所访问核心业务表、高危指令操作;系统安全包括不严格的权限访问、多源异构数据集成中隐私泄露等。
(1) 国内
1)湖南某银行257万条公民银行个人信息被泄露
执法机构:绵阳市公安局网络安全保卫支队
法律依据:《刑法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
案例描述:湖南某银行支行行长,出售自己的查询账号给中间商,再由中间商将账号卖给有银行关系的“出单渠道”团伙,再由另外一家银行的员工进入内网系统,大肆窃取个人信息,泄漏的个人信息包括征信报告、账户明细、余额等。2016年10月,绵阳警方破获公安部挂牌督办的“5·26侵犯公民个人信息案”,抓获包括银行管理层在内的犯罪团伙骨干分子15人、查获公民银行个人信息257万条、涉案资金230万元。根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法规定的“提供公民个人信息”;第四条规定,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法规定的“以其他方法非法获取公民个人信息”。根据《刑法》的相关规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
2)某物流公司10亿条用户信息数据被出售
案例描述:2019年,暗网一位ID“f666666”的用户开始兜售某物流公司10亿条快递数据,该用户表示售卖的数据为2014年下旬的数据,包括寄(收)件人姓名、电话、地址等信息,10亿条数据已经过去重处理,数据重复率低于20%,数据被该用户以1比特币打包出售。
(2) 国外
1)伟易达被曝480万家长及儿童信息泄露来源
法律依据:《美国儿童网络隐私保护法COPPA》
案例描述:2015年,全球最大的婴幼儿及学前电子学习产品企业伟易达,被曝出其存在安全漏洞,致使数百万家长和儿童的数据曝光,包括家长注册账号使用的姓名、住址、邮件、密码等。2018年,美国联邦贸易委员会(FTC)宣布对伟易达(VTech)2015年因安全漏洞导致数百万家长及孩子的数据泄露事件进行处罚,宣布处以65万美元的罚款。《美国儿童网络隐私保护法COPPA》规定,运营者需建立并维护合理的措施以保护儿童个人信息的保密、安全和完整性。采取合作的措施保证仅向有能力保护儿童个人信息的保密、安全和完整性并为其提供保障的服务提供商和第三方披露儿童个人信息。
作为对照,我国《个人信息保护法》规定,个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
2)Zoom超50万个Zoom账户泄露并在Dark Web出售
案例描述:2020年4月,Zoom被爆出漏洞,黑客通过凭据注入攻击收集,在Dark Web和黑客论坛上,出售超过50万个Zoom帐户,1块钱可以买7000个。泄漏数据包括邮箱、密码以及个人会议链接和密钥,甚至许多还被免费赠送。另外,2020年11月据美国联邦贸易委员会(FTC),Zoom将制定一项全面的安全计划,以解决该公司涉嫌欺诈和不公平行为的指控。FTC的指控可以追溯到2018年Zoom的Mac桌面应用程序的更新,该程序秘密安装了ZoomOpener网络服务器,绕过Safari浏览器的安全措施,在没有提醒的情况下启动该应用程序。根据协议,Zoom将在以后的每次违规行为中面临高达43280美元的罚款。
1.3.4 数据加工风险
在数据加工环节,泄露风险主要是由分类分级不当、数据脱敏质量较低、恶意篡改/误操作等情况所导致。
(1) 国内
1)某集团80万用户数据被删除
案例描述:2017年,因某为公司误操作导致某集团80万用户数据丢,此次故障影响面非常大,涉及到钦州、北海、防城港、桂林、梧州、贺州等地用户,属于重大通信事故。事故发生后,某集团已经发布声明承认故障影响,技术人员也已经展开紧急维修。有消息称因为此次事故,某为公司已经被某集团处以5亿罚款,同时某集团已经展开全国范围的系统大排查,主要针对某技术公司第三方代维隐患问题。
(2) 国外
1)代码资源托管网站运维人员误删300G数据
案例描述:2017年,著名代码资源托管网站Gitlab.com的一位工程师在维护数据时不慎删除约300GB的数据。本次事故也影响到了约5000个项目,5000个评论和700个新用户账户。
1.3.5 数据传输风险
在数据传输环节,数据泄露主要包括网络攻击、传输泄露等风险。网络攻击包括DDoS攻击、APT攻击、通信流量劫持、中间人攻击、DNS欺骗和IP欺骗、泛洪攻击威胁等;传输泄露包括电磁泄漏或搭线窃听、传输协议漏洞、未授权身份人员登录系统、无线网安全薄弱等。
(1)国内
1)“瑞智华胜”涉嫌非法窃取用户信息30亿条
案号:(2019)浙0602刑初1143号
法律依据:《中华人民共和国刑法》第二百八十五条、第二十五条第一款、第二十七条、第六十七条第三款、第七十二条第一、三款;《中华人民共和国刑事诉讼法》第十五条、第二百零一条
司法机关:浙江省绍兴市越城区人民法院
案例描述:邢某于2013年5月在北京成立瑞智华胜。瑞智华胜通过邢某成立的其他关联公司与运营商签订精准广告营销协议,获取运营商服务器登录许可,并通过部署SD程序,从运营商服务器抓取采集网络用户的登录cookie数据,并将上述数据保存在运营商redis数据库中,利用研发的爬虫软件、加粉软件,远程访问redis数据库中的数据,非法登录网络用户的淘宝、某博等账号,进行强制加粉、订单爬取等行为,从中牟利。案发前,瑞智华胜发现淘宝网在调查订单被爬的情况,遂将服务器数据删除。经查,2018年4月17-18日期间,瑞智华胜爬取淘宝订单共计22万余条(浙江淘宝网络有限公司实际输出1万条),向指定加粉淘宝账号恶意加淘好友共计13.7万余个(浙江淘宝网络有限公司实际输出2万个)。最终判决被告人王某犯非法获取计算机信息系统数据罪,判处有期徒刑二年,缓刑二年六个月,并处罚金人民币六万元。
(2) 国外
1)南非大规模数据泄露事件3160万份南非公民数据被泄漏
案例描述:2017年,南非史上规模最大的数据泄露事件——共有3160万份用户的个人资料被公之于众,连总统祖马和多位部长都未能幸免。泄漏信息包括身份号码、个人收入、年龄,甚至就业历史、公司董事身份、种族群体、婚姻状况、职业、雇主和家庭地址等敏感信息。此次被黑客公布的数据来源于 Dracore Data Sciences 企业的 GoVault 平台,其公司客户包括南非最大的金融信贷机构——TransUnion。
1.3.6 数据提供风险
在数据提供环节,风险威胁来自于政策因素、外部因素、内部因素等。政策因素主要指不合规的提供和共享;内部因素指缺乏数据拷贝的使用管控和终端审计、行为抵赖、数据发送错误、非授权隐私泄露/修改、第三方过失而造成数据泄露;外部因素指恶意程序入侵、病毒侵扰、网络宽带被盗用等情况。
(1) 国内
1)脱口秀演员交易流水遭泄露,某银行被罚450万元
执法机构:中国银行保险监督管理委员会
法律依据:《中华人民共和国银行业监督管理法》第二十一条、第四十六条和相关审慎经营规则《中华人民共和国商业银行法》第七十三条
案例描述:2020年5月6日,脱口秀演员池子(本名王越池)通过新浪微博控诉某银行上海虹口支行在未经其授权的情况下,私自将其个人账户流水提供给上海笑果文化传媒有限公司。王越池认为,某银行的这一行为侵犯了其合法权益,要求某银行赔偿损失,并公开道歉。同时,王越池还表示,某银行方面对此作出的回应为“配合大客户的要求”。对于举报,某银行也曾在官方微博公开发布致歉信称,该行员工未严格按规定办理,向笑果文化提供收款记录;某银行已按制度规定对相关员工予以处分,并对支行行长予以撤职。2021年3月19日,银保监会消保局公布的罚单信息显示,某银行因涉及客户信息保护体制机制不健全、客户信息收集环节管理不规范等四项违法违规行为,被处罚款450万元。
2)掉进短信链接“陷阱”被骗3.6万余元
法律依据:[2014]10号《关于加强商业银行与第三方支付机构合作业务管理的通知》第三条规定,银发(2009)142号《中国人民银行、中国银行业监督管理委员会、公安部、国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》第二条第(六)项,《中华人民共和国合同法》第一百零七条
执法机构:河南省高级人民法院
案号:(2019)豫民申6252号、(2018)豫0326民初2446号
案例描述:2017年3月18-19日,顾某收到“车辆违规未处理”短信,在点击链接后,其建行账户被开通天翼电子商务、易宝支付、苏宁易付宝、北京百付宝、快钱支付、美团大众点评、支付宝、财付通、电e宝、拉卡拉、上海盛付通、某易宝等十余个第三方快捷支付服务,并通过其中部分第三方支付平台连续扣款52笔,每笔金额从1元至2500元不等,共计36960.79元。顾某报警后,在公安机关和银行等机构的协作下,部分款项被追回并转入原告建行卡中,剩余17728.94元未能追回。法院认为,被告建行汝阳支行在为原告顾三斗办理银行卡时提供的相关格式文件条款中,未能反映出原告顾三斗主动申请并书面确认开通网上银行或电子银行等业务,原告因点击手机不明链接导致账户资金被盗取,较大可能系不法分子通过网上银行或电子银行操作,被告未能严格按照上述通知要求执行,对此应承担相应的责任。
1.3.7 数据公开风险
在数据公开环节,泄露风险主要是很多数据在未经过严格保密审查、未进行泄密隐患风险评估,或者未意识到数据情报价值或涉及公民隐私的情况下随意发布的情况。
(1) 国内
1)微信朋友圈中流传着某医院数千人名单
执法机构:胶州市公安局
法律依据:《中华人民共和国治安管理处罚法》第二十九条
案例描述:2020年4月13日,微信群里出现某医院出入人员名单信息,内容涉及6000余人的姓名、住址、联系方式、身份证号码等个人身份信息,造成了不良社会影响。依据《中华人民共和国治安管理处罚法》第二十九条规定,有下列行为之一的,处5日以下拘留;情节较重的,处5日以上10日以下拘留:违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的。公安机关依法对叶某、姜某、张某给予行政拘留的处罚。
2)邯郸市丛台区政府泄露特困人员隐私法律
执法机构:丛台区政府办公室
法律依据:《网络安全法》第42条、第72条
案例描述:2020年8月24日,河北省邯郸市丛台区人民政府信息公开网站发布了一份《丛台区2020年8月份农村特困供养金发放明细》,公示了黄粱梦镇、三陵乡、兼庄乡、南吕固乡的129位村民的信息,公示名单中除了所属乡镇、姓名、发放款数、备注等信息之外,还悉数公开了村民的身份证号和银行卡号。经核实,发布机构丛台区民政局确实存在泄露隐私的问题,随后删除了该名单,并受到了内部公开群内通报批评,书面反馈整改内容的处罚。


1.4 数据风险制约产业创新

据IDC预测,2025年全球数据量将高达175ZB。其中,中国数据量增速最为迅猛,预计2025年将增至48.6ZB,占全球数据圈的27.8%,平均每年的增长速度比全球快3%,中国将成为全球最大的数据圈。面对指数级增长的数据,数据共享流转、数据跨境流动、新技术演进、新业态出现等均会带来潜在伴生风险。数据安全成为事关国家安全和国家发展、广大人民群众工作生活幸福。因此,需要从国际国内大势出发,从内外部威胁梳理,从纵深演进分析数据安全面临的威胁和挑战,有助于倒逼技术产品创新升级,深化危机应对措施,化解重大风险挑战,保障数据安全。
1.4.1 数据跨境流动带来新隐患
随着全球数字经济的发展,数据跨境流动成为推动国际贸易中货物、服务、人、资金流动不可或缺的部分,并且在促进经济增长、提升创新能力、推动全球化等方面发挥着积极作用。然而,数据跨境流动的价值与风险越来越凸显,数据跨境流动风险与隐忧主要集中于数据的传输、存储和使用三个环节。传输上,数据跨境过程环节多、路径广、溯源难,传输过程中可能被中断,数据也面临被截获、篡改、伪造等风险;存储上,受限于数据跨域存储当地的防护水平等因素,容易出现数据泄露等问题;使用上,跨境数据的承载介质多样、呈现形态各异、应用广泛,数据所在国政策和法律存在差异、甚至冲突,导致数据所有和使用者权限模糊,数据应用开发存在数据被滥用和数据合规等风险。具体来看:
1、海量跨境数据难以梳理分类,不当应用引发风险隐患。一方面,数据在产生、存储后,被开放利用的情况随着数据采集、挖掘、分析等技术的不断发展而动态变化,加上数据体量大、增速快,当下未必就能准确地完成分级分类评估;另一方面,跨境流动中已被开发利用的各类数据,呈现形态各异、应用领域广泛、价值定义不明的状态,新技术、新业态引发的数据风险未知大于已知,加剧了数据跨境流动的安全隐患。
2、跨境数据攻击升级,黑灰产加剧数据风险。一是攻击者从独立的黑客扩展到具有特定目标诉求的专业团体。例如,全球最大的SIM卡制造商金雅拓曾遭英美联合攻击,SIM卡密钥被盗取,用于解密、监控移动通信用户的语音等通讯数据。二是攻击对象从个人设备逐渐升级为各类泛在网络设备、终端和软硬件,甚至包括关键信息基础设施。比如,移动设备的GPS、麦克风、摄像头,移动通信的SIM卡、蜂窝基站、热点、蓝牙、Wi-Fi,以及广泛分布的物联网设备等。三是攻击方式随着技术发展不断演变升级,更加多样、隐蔽、智能。以人工智能为例,通过对数据的推理学习,会使数据去标识化、匿名化等安全保护措施无效。
1.4.2 新技术迭代催生更多风险
随着云计算、大数据、物联网、人工智能、5G等数字经济新技术的发展,数据安全技术与之深度融合。新兴技术伴生新风险,为安全防线带来“新口子”。比如:网络架构的变化中虚拟化、边缘化、能力开放、切片等技术给 5G 带来多种安全风险;人工智能培训数据污染会导致人工智能决策错误,即所谓的“数据中毒”;物联网设备的处理能力和内存通常较短,导致其缺乏强大的安全解决方案和加密协议保护免受威胁;云计算模式下,传输数据需要依赖网络,由于网络自身的缺陷和技术弊端,在出现非法操作的情况下,黑客更容易入侵网络导致数据泄露。
进一步分析,一方面,数据价值凸显引来更多的攻击者,而新兴技术的应用使得外部攻击面不断扩大,数据安全防御能力亟待提升。另一方面,在新兴技术应用与数据安全防护间寻找平衡。新兴技术本身安全方面的脆弱性,容易带来新安全问题并增加引入恶意攻击的风险。在数字化转型与新兴技术的融合中,数据交互的维度和范围增加,业务提供的个性化和复杂性提升,导致更多设施面临网络攻击。
1.4.3 新业态出现激发潜在危机
近年来,我国新业态不断涌现,尤其在新冠肺炎疫情对全社会数字生存能力大考期间,进一步催化了数字经济加速发展,一大批新业态新模式进一步涌现出来。2020年7月15日,国家发展和改革委等13部门联合印发了《关于支持新业态新模式健康发展 激活消费市场带动扩大就业的意见》,提出数字经济15种新业态新模式,即:融合化在线教育、互联网医疗、线上办公、数字化治理、产业平台化发展生态、传统企业数字化转型、“虚拟”产业园和产业集群、基于新技术的“无人经济”、培育新个人、微经济、多点执业、共享生活、共享生产、生产资料共享、数据要素流通等。目前,数据安全技术广泛运用于政务、金融、央企、农工商教医旅等领域,实现了数据安全与行业场景特点的融合应用。伴随新业态的出现,数据资源安全正面临严峻挑战。
数据基础设施频受攻击,数据丢失及泄露风险加大。数据交易中心、移动智能终端承载大量重要业务数据和用户个人信息,但数据资产没有进行全生命周期跟踪,资产使用规则执行不佳;与国家等保三级安全技术框架仍存在灾备建设、身份认证、访问控制、内容安全、安全运营等多方面差距。此外,近年来针对IDC的攻击日趋增加,侵犯数据安全的恶意应用、木马等日益增多,对用户隐私和财产安全构成极大隐患。
敏感个人信息泄漏成重灾区。融合化在线教育、互联网医疗、线上办公等,受益于科技进步和大数据、人工智能、语音识别、直播互动等技术应用,用户体验及产品效果得到提升。由于此类场景中,数据包含患者姓名、年龄、电话等个人敏感信息,因此成为不法分子窥视的重要目标。应用渠道主要分为两类:PC端互联网门户网站和移动客户端软件下载渠道。新冠肺炎疫情爆发引发了网络钓鱼和恶意软件攻击的新潮流,由于下载渠道的多样性,以及渠道对移动客户端软件的管理、技术检测等手段不足,使得具有钓鱼目的、欺诈行为的移动客户端软件仿冒成为不法者的工具。


二、数据安全产业迎来发展机遇



2.1 实战合规共驱安全产业

2.1.1 数据安全面临国内外挑战
面向“十四五”时期,信息技术快速演进,数字经济蓬勃发展,数字产业化和产业数字化快速推进,海量数据资源汇聚融合、开发利用,数据要素倍增作用凸显,助推数据资源“势能”转换为数字化转型升级的“动能”,推动数据价值的正向发挥,但也带来了严峻的数据安全挑战。
放眼于国外,数据潜在价值的凸显,使得各国高度重视并围绕数据开展战略博弈,全球数据安全形势日益严峻;着眼于国内,高价值数据泄漏、个人信息滥用情况突出,新技术迭代衍生出新的风险,针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新,经济、政治、社会等各领域面临巨大潜在影响。其背后凸显出的是:缺乏数据安全整体管控、忽视数据安全能力建设的产业现状。
2.1.2 安全需求被置于次要地位
实际调研证实,企业出现安全投入比例不足、安全建设滞后于业务功能建设等情况,源于数据安全需求被企业管理者放在“次要地位”。
安全需求不被重视可用两个角度来解释:一是数据安全的建设者与受益者不一致,符合“经济学的外部效应”理论,类似化工企业如果没有《环境保护法》等法律制约,在不考虑社会责任情况下,其最经济的选择是就地排污排废。数据安全亦然,比如泄漏了大量个人信息,最终受害者是广泛用户,而企业没有实质损失,因此企业往往会忽视数据安全建设。二是管理者的行为遵从“前景理论”(Prospect Theory),意味着人对损失和获得的敏感程度是不同的,损失的痛苦要远远大于获得的快乐,映射到数据安全方面,管理者往往认为自己是幸运儿,数据泄露等风险不会发生在自己身上,所以赌一把“业务先行、安全滞后”。
2.1.3 强合规监管深化鞭子效力
数据安全已成为事关国家安全与经济社会发展的重大问题。近年来,国家高度重视安全建设,统筹发展和安全,推进行业数据安全保障能力提升,构建起坚实有力的安全法律屏障,形成了《网络安全法》《密码法》《数据安全法》《个人信息保护法》“四法共治”新局面,使得合规监管权责更鲜明、制度更健全、技术更创新。
“四法”之间紧密关联又各有侧重,《网络安全法》提出了安全治理道路,《数据安全法》和《个人信息保护法》明确了保护目标,提出了数据保护的“中国方案”,而《密码法》强调了保护信息与数据的技术手段。

结合顶层设计、法律法规,数据安全新监管同时体现对过程和结果的合规要求。数据处理者既应当从过程方面积极履行数据安全保护义务,也要对数据安全防护的最终结果负责。



2.2 数据安全成为国家战略

2.2.1 国际数据安全发展战略概况
数据安全是事关国家安全和发展、事关人们工作生活的重大战略问题,应该从国际国内大势出发,总体布局,统筹各方,创新发展。一个安全稳定繁荣的网络空间,对各国乃至世界都具有重大意义。随着数据量呈指数级增长,数据安全成为美国、欧盟、英国等国家经济发展和国际竞争力提升的新引擎。大国竞争正在从国际规则制定权竞争向技术标准制定权转移。各国纷纷制定法律政策、技术标准,在数据安全领域进行国家战略博弈,以图占据价值链的制高点。
2.2.1.1 美国数据安全战略
2019年2月美国发布《国防部云战略白皮书》,提出“国防部将安全从边界防御,转向聚焦保护数据和服务”。2019年12月,美国发布《联邦数据战略和2020年行动计划》,以2020年为起始点,规划了美国政府未来十年的数据愿景,核心思想是将数据作为战略资源来开发, 通过确立一致的数据基础设施和标准实践来逐步建立强大的数据治理能力,为美国国家经济和安全提供保障。2020年10月,美国发布《国防部数据战略》,提出其将加快向“以数据为中心”过渡,制定了数据战略框架,提出数据是战略资产、数据要集体管理、数据伦理、数据采集、数据访问和可用性、人工智能训练数据、数据适当目的、合规设计等八大原则和数据应当可见的、可访问的、易于理解的、可链接的、可信赖的、可互操作的、安全的等七大目标。美国政府通过发布一系列数据战略,来促进美国内部机构数据的访问、共享、互操作和安全,使数据发挥更大的价值,支持更多创新算法应用,最终支持美国国家战略和数字现代化战略的实施。
2.2.1.2 欧盟数据安全战略
2020年2月,欧盟发布《欧盟数字化战略》《数据战略》《人工智能战略》,旨在建立欧盟数据平台的基础上,实现数据主权和技术主权,从而达到数字经济时代国家竞争力提升和领先。2020年6月,德国和法国合作启动欧洲数据基础架构GAIA-X项目,该项目被视为一个开放的数字生态系统摇篮,是欧洲国家、企业和公众联合建设的下一代数据基础设施。
2018年5月,发布《通用数据保护条例》(GDPR),明确了个人数据定义及适用范围,确定了数据保护的合法性基础、数据主体权利、数据控制者义务、数据流通标准、数据救济和处罚等。依据GDPR有关规定,欧盟对个人数据出境进行了高水平保护,并认为GDPR应该成为世界的标杆,并在实施数据战略中,力推让世界向欧盟看齐。与此同时,GDPR实际也是全球众多国家、地区制定数据保护条例的重要参考。
2.2.1.3 英国数据安全战略
2018年5月23日,英国正式通过新修订的《数据保护法》,加强数据主体对其个人数据的控制权、加强数据控制者义务。在脱欧之后,英国政府于2020年9月发布了《国家数据战略》,着眼于利用现有优势,促进政府、企业、社会团体和个人更好地利用数据,推动数字行业和经济的增长,改善社会和公共服务,并努力使英国成为下一代数据驱动创新浪潮的领导者。该《战略》还阐述了数据有效利用的核心支柱,确保数据可用性、安全可靠性。
2.2.1.4 其他国家数据安全战略
日本作为信息化高度发达、拥有领先网络信息技术的国家,对数据安全高度重视。日本第一部《个人信息保护法》于2005年4月1日起施行。随着互联网技术的不断发展,2015年进行了大幅修正,2017年5月30日,2015年日本《个人信息保护法》(Personal Information Protection Act ,“PIPA”)(修订稿)全面实施。该法比较符合成文法国家的常见体例,从总则、有关机构职责、个人信息保护的规则、个人信息处理业者的义务、个人信息保护委员会、附则、罚则等七个方面规定了七章的内容。
德国联邦议院于2018年 4月27日通过《个人信息保护调整和施行法》,其中包含新的德国BDSG《联邦个人信息保护法》。在这部新的法案中,已实施40年的BDSG进行了大幅调整以符合欧盟GDPR《通用数据保护条例》。
新加坡作为全球金融中心之一,被誉为“世界上最安全的国家之一”。新加坡的安全,不仅在于人身安全,还在于对个人信息数据的保障。新加坡当局于2012年出台《个人数据保护法》后,为了更好的执行《个人数据保护法》,新加坡个人数据保护委员会出台了一系列条例及指引。其中条例包括2013年《个人数据保护(违法构成)条例》、2013年的《个人数据保护(禁止调用注册表)条例》、2014年的《个人数据保护(执行)条例》,上述三项条例与2014年的《个人数据保护条例》一起于2014年7月2日起实施。此外,还包括2015年1月23日开始实施的《个人数据保护(上诉)条例》。
印度于2018年下半年发布《个人数据保护法案》(PDP),一项综合性的个人数据保护法。该法案在欧盟GDPR颁布后做出了修改,同时,该法案已提交国会进行审议。该法案规定了个人数据采集、存储、处理和传输的方式。
泰国政府于2018年9月向国会提交了包含GDPR特色的个人数据保护法(PDPA)草案,2019年2月,泰国国会审议通过了该法案,并将于政府公报一年后(2020年5月下旬)开始施行,这也是泰国第一部规范私人数据采集、适用、披露的法律,具有极其重要的意义。
巴西于2018年8月通过第一部综合性的数据保护法,《The General Data Protection Law》(GDPL)。GDPL将依然受限于已经获得通过的近200条修正案,这些修正案关系到数据保护立法基础、公共主体数据保护法律适用以及数据安全的技术标准等实质问题。
2.2.2 我国数据安全立法监管加强
近年来,国家陆续出台相关法律政策,统筹发展和安全,推动数据安全建设。《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》明确要求加强数据安全。《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》明确提出:保障国家数据安全,加强个人信息保护。随着《国家安全法》《网络安全法》《民法典》《密码法》《数据安全法》《个人信息保护法》“五法一典”出台,我国数据安全法制化建设不断推进,监管体系不断完善,安全由“或有”变“刚需”。结合顶层设计、法律法规,数据安全新监管同时体现对过程和结果的合规要求。数据处理者既应当从过程方面积极履行数据安全保护义务,也要对数据安全防护的最终结果负责。
同时,我国强化数据安全技术自主创新,加速数据安全标准国际化进程。积极开展数据安全技术创新,提升产品性能,促进数据安全技术的成果转化;坚持立足于开放环境推进数据安全标准化工作,推进数据安全中国标准与国外标准之间的转化运用,扩大我国数据安全技术的国际影响力,进而鼓励数据安全企业进入海外市场,为交易流通、跨境传输和安全保护等数据安全应用的基础制度、标准规范和安全评估体系,保障跨境数据安全。
2.2.3 全球公正数据安全规则构建
开放合作是增强国际经贸活力的重要动力,并逐步变成国际合作主题。在全球经济贸易和产业分工合作日益密切的背景下,确保信息技术产品和服务的供应链安全对于提升用户信心、保护数据安全、促进数字经济发展至关重要。在全球范围构筑公正的数据安全规则成为主权国家重要诉求。
2020年9月8日,中方发起《全球数据安全倡议》。该倡议是数字安全领域首个由国家发起的全球性倡议,聚焦全球数字安全治理领域核心问题,旨在通过明确政府行为规范、推动企业共担责任、合作应对安全风险等务实举措,为加强全球数字安全治理、促进数字经济可持续发展提出中国方案,贡献中国智慧。
2021年3月29日,中国与阿拉伯国家联盟共同发表了《中阿数据合作与安全倡议》,阿拉伯国家成为全球范围内首个与中国共同发表数据安全倡议的地区。中阿在数字治理领域的高度共识,有利于推进数据安全领域国际规则制定,标志着发展中国家在携手推进全球数字治理方面迈出了重要一步。
2021年9月27日,在2021世界互联网大会乌镇峰会网络安全技术发展和国际合作论坛上,与会专家一致认为,当前虚拟世界与现实世界高度融合趋势凸显,其“虚拟”特点易使网络空间边界和游戏规则被破坏。而网络攻防属于高对抗的领域,攻击手段不断推陈出新,在开放条件下带来的技术点多面广更需要协同。同时,网络安全涉及供应链、人员、经济、法律等多个方面,整体考虑需要资源优势互补,一旦出现问题将带来共同的利益受损,网络安全领域的多层面合作是最佳选择。


2.3 多重因素推动技术升级

数字时代背景下,一方面数据战略价值凸显,各国围绕数据展开战略竞争;另一方面数据成为安全重灾区,近年来针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新,使得经济、政治、社会等各领域面临着巨大的风险。随着数字与现实世界的打通融合,数据安全的复杂度发生了质变,原有的对抗思路、技术储备、防护模式、建设路径等都陷入难以适应的被动局面。如何为数据安全建设注入“免疫力”,成为各领域数字化转型的关键。
2.3.1 数据安全攻防视角的新框架
2.3.1.1 传统“老三样”防御手段面临挑战
回顾过去,不难发现传统网络安全是以防火墙、杀毒软件和入侵检测等“老三样”为代表的安全产品体系为基础。传统边界安全防护的任务关键是把好门,这就好比古代战争的打法一样。在国与国、城与城之间的边界区域,建立一些防御工事,安全区域在以护城河、城墙为安全壁垒的区域内,外敌入侵会很“配合”地选择同样的防御线路进行攻击,需要攻克守方事先建好的层层壁垒,才能最终拿下城池。其全程主要用力点是放在客观存在的物理边界上的,防火墙、杀毒软件、IDS、IPS、DLP、WAF、EPP等设备功能作用亦如此。
而观当下,云计算、移动互联网、物联网、大数据等新技术蓬勃发展,数据高效共享、远程访问、云端共享,原有的安全边界被“打破”了,这意味着传统边界式防护失效和无边界时代的来临。
2.3.1.2 由应对到主动的安全防护技术升级
IT系统不可避免的存在缺陷,利用缺陷进行漏洞攻击或是网络安全永远的命题,攻防对抗视角的网络安全防护是过去主要的安全防护手段。当然,所有网络安全防护最终还是为了保护数据,防止“偷数据、改数据”,但是今天我们认为网络漏洞始终在所难免,所以需要从“防漏洞、补漏洞”的应对式防护,转化到“为数据访问重建安全规则”的主动式防护,也即“以数据为中心的安全”,这也是安全技术不断进化的必然产物。
在实践中,需要把“以网络攻防为中心的安全”和“以数据保护为中心的安全”相结合,两者相辅相成、齐驱并进,方可全方位保护网络与数据生命周期安全。
2.3.1.3 大数据时代下数据安全防护挑战空前
大数据时代,数据的产生、流通和应用变得空前密集。分布式计算存储架构、数据深度发掘及可视化等新型技术、需求和应用场景大大提升了数据资源的存储规模和处理能力,也给安全防护工作带来了巨大的挑战。
首先,系统安全边界模糊或引入的更多未知漏洞,分布式节点之间和大数据相关组件之间的通信安全薄弱性明显。
其次,分布式数据资源池汇集大量用户数据,用户数据隔离困难,网络与数据安全技术需齐驱并进,两手同时抓。突破传统基于安全边界的防护策略,从防御纵深上实现更细粒度的安全访问控制,提升加密算法能力和密钥管理能力,是保证数据安全的关键举措。
再次,各方对数据资源的存储与使用的需求持续猛增,数据被广泛收集并共享开放,多方数据汇聚后的分析利用价值被越来越重视,甚至已成为许多组织或单位的核心资产。随之而来的安全防护及个人信息保护需求愈发突出,实现“数据可用不可见、身份可算不可识”是重大命题,也是市场机遇。
最后,数字化生活、智慧城市、工业大数据等新技术新业务新领域创造出多样的数据应用场景,使得数据安全防护实际情境更为复杂多变。使得如何保护数据的机密性、完整性、可用性、可信性、安全性等问题更加突出和关键。
2.3.1.4 建设以数据为中心的安全治理体系
对国家而言,致力构建与时俱进的网络空间数据安全保障体系,努力实现从应对到主动防护的战略转变,以维护国家网络空间安全,是事关国家安全和人民利益;事关服务关键信息基础设施和重要信息系统安全可控的国家战略需求。
对企业或组织而言,数据安全治理是事关自身资产安全、可持续发展战略的必经之路,须从保护商业秘密、业务安全、客户权益等方面扎实做好数据安全防护工作。一是保护数据本身安全,即数据机密性、完整性、可用性;二是满足国家相关法律法规对个人信息和关基的合规性要求。
这就决定,数据安全防护需以“数据为中心”建立安全防护与治理体系,聚焦数据与生态,明确数据的使用、存储、传输场景,构建由数据安全组织管理、合规治理、技术防护“三部曲”组成的覆盖数据全生命周期的防护与治理体系。
2.3.2 数据安全供需市场的新博弈
2.3.2.1 宏观看市场角色转变
传统的网络与信息安全市场,需求潜力巨大、但供给相对不足,所以看似是甲方市场,实际上是乙方市场。一方面,甲方对市场定价,掌握安全产品、安全服务价格话语权,表面是甲方在主导市场。但另一方面,整个市场技术发展和水平,主要由乙方主导。
在数据时代,在实现对数据本身客观保护时,要解决数据与业务的高度纠缠问题,可以说数据安全天生带着深刻的业务适用属性,如果脱离业务场景,不可能实施数据的有效保护,所以数据安全技术与产品,需要在丰富业务场景中持续迭代和验证。基于以上考虑,甲方需要亦可能成为数据安全市场主导者。
2.3.2.2 中观看产业定位转变
传统的网络与信息安全行业,主要呈现通用安全技术和手段覆盖,整体的产品体系是“硬件-软件-服务”格局。上游:网络安全产业链上游为基础硬件提供商,为中游设备厂商提供芯片、内存等基础元器件;中游:产业链中游主要是安全硬件设备厂商、安全软件厂商和安全集成厂商;下游:产业链下游主要为各类用户主要为政企客户, 包括政府、军工、电信、教育、金融、能源等。
数据安全时代,在宏观市场供给与需求双方角色切换下,传统下游将掌握更大话语权,能整合上下游资源的企业将获得更高效的运作效率。产业链下游企事业单位为了实现安全目标或定制化需求,同时在全球化竞争格局新变化形态下,有可能进行中游乃至上游的关键产业链环节整合,比如新型物联网企业可能整合安全芯片、安全固件、安全服务器、安全中间件以及安全方案集成全产业链整合或资源优化。
2.3.2.3 微观看技术实现转变
传统的网络与信息安全技术,侧重于对硬件或软件加固,或侧重于通用的网络流量解析和攻击特征分析,结合身份认证体系,最终实现业务完整性和可用性、数据机密性以及内容合规性。而数据安全威胁作为复杂业务处理的伴生风险问题,通用的传统安全技术难以直接照搬,数据安全要求安全能力作用于业务流和数据本身,而企业不同的业务形态要求贴身的保护手段。
针对数据本身或者结合数据内容表达上下文特征,建立数据生命周期保护是实施数据安全保护的主要手段。同时,针对海量的数据资产或关联数据,往往需要在业务场景中运用大数据分析、AI算法。同时,数据安全所涉及的前沿技术本身需要政企客户自身业务和数据模型支持。
2.3.3 数据安全实战能力的新要求
2.3.3.1 数据安全要侧重数据保护能力
从数据安全技术转变,可以看出数据安全更加侧重要数据保护能力(传统网络安全主要为检测响应)。在数据集约化、规模化发展前,受限于IT技术和产业发展影响,数据留存与分析本身不是IT建设重点(主要是业务实现)。进而,对数据自身保护往往有限,比如大量数据明文存储(2011年,CSDN账号口令被拖库可以看出,敏感数据保护是常见短板);再比如企业重要文件无异地备份(2014年,勒索病毒爆发后,较多企事业单位敏感文件无法找回)。
当前,在国家法律法规持续完善的合规引导下,企事业单位应当建立主动的数据保护体系,在数据安全管理制度下,从数据本身内容表达进行机密性、可用性、完整性、价值、使用价值、属主等关键要求保护。
2.3.3.2 数据安全要赋能业务运营能力
传统的网络安全、信息安全技术手段,往往不考虑业务特性,侧重于信息化系统,通过点式防护,堆积可复制化设备来实现安全。然而,数据是业务组织经营和业务运营的关键因子。企业保护数据要求结合组织使命和业务特征,实现场景化的解决方案。比如,业务要求实现对互联网用户提供消费服务,那么,管理者需要考虑用户敏感个人信息存储安全、展示安全,需要考虑结合业务数据和个人信息互联网传输安全,本质上要求管理者把数据安全能力赋予组织业务运营。
2.3.3.3 数据安全要提供服务支撑能力
云服务、数据中心成为数字经济时代关键信息基础设施之一,成为企事业单位优化IT架构最主要实施手段。进而,数据安全亦要成为服务于信息化重要支撑。在满足监管合规要求的前提下,数据安全能力建设要契合业务发展需要(以数据治理为中心的业务运营理论将成为主要组织目标),同时应结合管理、技术、运营形成服务能力,为组织持续的数据增长、业务发展提供长久保障。结合业务场景,通过数据资产管控技术,建立面向统一数据调度方式,形成良性数据共享机制,提高数据置信度、优化模型合理性、数据流转更清晰,管理权责更明确,在以成效为导向的价值标准下,数据安全服务支撑能力成为组织数据安全能力建设核心之一。
2.3.4 数据安全思路模型的新演进
在全球贸易形态新变化和后疫情时代下,数据安全面临的安全风险与挑战越来越复杂。基于此,实现数据安全通常有两种思路。第一种思路是复杂对抗复杂,建设复杂管控平台,在数据全生命周期流转的各个环节,发现数据安全威胁,加固数据安全漏洞;第二种思路是安全思路与模型的进化,即在网络安全“防漏洞,堵漏洞”思路的基础上,结合数据安全侧重要于保护思路,进行新安全模型进化。
进一步探索,传统的网络安全经典模型是DR(检测/响应)模型,并进行不断完善如PDR(防护/检测/响应)、P2DR2(策略/防护/检测/响应/恢复)模型等。其特征是,其中PDR安全模型是基于时间的动态安全模型,如果信息系统的防御机制能抵御入侵时间,能超过检测机制发现入侵的时间和响应机制有效应对入侵时间之和,那么这个系统就能有安全保障。然而,在数字时代,5G、物联网、云服务等技术大量应用,入侵检测时间和响应机制不足满足数据和数据价值保护时间。
而对于数据安全新思路和新模型,则是在对数据的防护能力顺序、空间颗粒度、数据状态等多个维度上,采用面向失效的安全理念,协同联动的叠加多种安全保护机制。故本文重点考虑了在数据安全实现中的新思路和新安全模型。


三、数据安全技术亟待叠加演进



3.1 数据安全需要新框架

数据的最大特征就是流动,只有流动中的数据才能创造价值。对于重要信息系统而言,软硬件漏洞不可避免,未知威胁层出不穷,内外夹击形势严峻,传统的防御思路已不能有效应对,与其陷入无休止地“挖漏洞、补漏洞”的被动局面,不如寻求数据防护的新思路,探索数据安全建设新框架。
3.1.1 数据安全需兼顾内外威胁防护
数据安全面临的风险主要来自两方面。一是带有获利目的的外部威胁与对抗的持续升级,加之新兴技术演进带来不可预知的安全风险。二是来自内部的安全风险,即传统安全体系存在着固有的问题。
针对外部数据安全威胁,Canalys《网络安全的下一步》报告显示,2020年数据泄露呈现爆炸式增长,短短12个月内泄露的记录比过去15年的总和还多。其中,最为明显的特征是勒索软件攻击激增,相比 2019 年增长了60%,成为主要数据泄露渠道。
针对内部安全风险,传统的网络安全设备注重单点防护、静态防护,缺乏联动能力,且对未知威胁缺乏“看得见”的能力。同时,安全管理系统往往存在重建设、轻运营,缺乏有效的安全运营工具和手段,难以定位攻击方,缺乏事后分析、追溯能力等不足。
网络和数据安全始终是攻击者和防御者之间的战斗。未来具有不确定性,但能肯定的一点是:作为数据安全的防御者,仍将继续面临新的、不断演化的网络安全威胁与挑战。
3.1.2 数据防护从应对式转向主动式
然而,目前的数据防护主流思路是应对式防御,通常是系统遭受了攻击后,根据攻击情况采取行动,包括且不限于:传统杀毒软件、基于特征库入侵检测、病毒查杀、访问控制、数据加密等手段,“滞后于攻击手段”的弊端明显。传统“封堵查杀”难以适应时代发展,应对拟人化和精密化的攻击,且容易被攻击者快速发现漏洞,针对薄弱点进行精准攻击,不利于整体安全。
当下来看,网络漏洞始终在所难免,应对式防御“治标不治本”,直接针对数据本身进行主动式防护,是实现数据安全的最直接有效的手段,这也是“以数据为中心的安全”。
构建主动防护能力,政策已先行。于2019年12月1日起正式实行的等保2.0标准,在1.0时代标准的基础上,也更加注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,不仅实现了对传统信息系统、基础信息网络的等级保护,还实现了对云计算、大数据、物联网、移动互联网和工业控制信息系统的等级保护对象的全覆盖。
对于行业来说,威胁和安全响应就是一场时间赛跑,以主动式防护为代表的产品和服务需求未来必将快速增长。主动式防护将实现安全运营、安全态势感知与防御协同形成联动,能够在面临威胁时做到从容不迫,并给予“道高一丈”式压制打击。
3.1.3 网络与数据并重的新建设思路
传统的城防式数据安全,主要是保护被传统物理网络多层包围的数据,这种防护体系仅适用于保护静态数据。但当下,数据已成为新生产要素,数据被充分共享流转以产生价值,传统城防式数据安全已经难以满足需求。
我们认为,数据与“网络/主机/数据库/应用”是正交关系,“以数据为中心的安全”本质,是在数据流转的多个层次环节中,通过重建业务规则,对数据施加主动式安全防护,即直接对数据本身进行加密、访问控制、安全审计等安全手段。结合企业信息化发展,以数据为中心的安全建设理念是更加有效的做法。
以网络为中心的安全体系是保证数据安全的前提和基石,而以数据为中心的安全,以数据为抓手实施安全保护,能够更有效增强对数据本身的防护能力。因此,网络与数据并重的安全建设成为大势所趋。“以网络攻防为中心的安全”与“以数据保护为中心的安全”之间是相互关联、彼此依赖、叠加演进的。
图 1 网络与数据并重的新安全建设理念
着眼当下,数据安全所面临的问题不是做的过多导致冗余,而是出血口太多、防护能力达不到。事实上,应用系统、安全产品、基础设施都潜藏着漏洞,或者存在考虑不周的安全设计缺陷。好的安全理念应该是以网络与数据并重为新建设方向,面向失效的安全机制,通过有联动协同的纵深安全机制,构建有效防线。
从针对数据本身进行主动式防护出发,将数据安全技术组合赋能给具体行业安全问题,比发掘一个适用于所有行业的通用问题,更符合用户的实际需求。在数据安全建设的发展进程中,不断洞悉时代发展需求,创造性地提供新框架、新方法,能够有效带动其他参与者在一个良性的生态中协同共进,为数据安全建设带来全新突破。
3.1.4 经典网络安全框架ATT&CK
作为网络安全行业目前公认权威、并被普遍接受的网络攻击模型框架,ATT&CK是由MITRE公开发布于2015年,全称是Adversarial Tactics, Techniques, and Common Knowledge(对抗性的战术、技术和通用知识)。从最初的一个内部人员分享的Excel电子表格工具,到如今已经发展成为威胁活动、技术和模型的全球知识库,ATT&CK汇聚来自全球安全社区贡献的基于历史实战的高级威胁攻击战术、技术,形成了针对黑客行为描述及相应防御构建的通用语言和知识图谱,并在企业、政府和安全厂商中广为流行。
目前,ATT&CK当前主流版本包括14个攻击战术、205个攻击技术、573个攻击流程,覆盖了绝大多数网络攻击手段,使安全运营不仅知己而且知彼,从而有机会衡量安全体系应对攻击的纵深防御、检测响应能力,并在实战对抗中持续改进提升,能够为网络安全防护提供专业的技术参考。ATT&CK框架以及关联的Shield主动防御框架,以网络攻防为视角,侧重“以网络为中心的安全”保护思路,通过“防漏洞、堵漏洞”的方式保护数据。
3.1.5 数据安全技术框架DTTACK
进入数据时代,侧重攻防对抗的ATT&CK框架,难以覆盖“主动式保护数据”的各种技术手段。炼石尝试从“以数据为中心”的角度提出DTTACK数据安全技术框架,全称是Data-centric Tactics, Techniques And Common Knowledge(以数据为中心的战术、技术和通用知识)。
3.1.5.1 DTTACK的设计思路
网络安全持续的变化,攻防之间的博弈在不停的进化,已有的网络安全能力的度量逐步显露出局限性和不适用性。数据安全建设领域亟待出现新的安全能力度量方式,以应对不断变化的网络与数据安全发展趋势。
如果说ATT&CK的出现,是让攻击手法拥有通用语言,那么DTTACK的诞生便是对数据本身进行主动式防护,为防护模式打造了通用技术库。DTTACK不是网络服务器或应用程序安全性的模型,它更强调数据本身的安全性,并从对数据的应对式防护向主动式防护转变,重视从业务风险映射视角列举数据保护需求,也可以为信息化建设、企业业务架构设计提供数据安全能力参考。
目前,炼石已初步梳理6个战术,31个技术,83个扩展技术,145个方法,并持续更新迭代,致力于打造数据安全领域的专业权威技术框架。
3.1.5.2 DTTACK的设计理念
DTTACK框架列举了诸多技术,其作用类似于“兵器库”,防守方需要体系化的思路整合这些技术,才能利用好先发优势,精心“排兵布阵”,环环相扣构造纵深防御战线,体系化的防范内外部威胁,提升防御有效性。
(1)重视从业务风险映射视角列举数据保护需求
安全本质上是一种业务需求,“传统业务需求”侧重于“希望发生什么”,而“安全需求”侧重于“不希望发生什么”,从而确保“发生什么”。从这个角度看,各种安全的定义都可以映射到业务需求,比如Security(安全防攻击)、Safety(安全可靠)、Reliability(可靠性)、Trustiness(诚信度)以及Sureness(确定性)等。而数据安全需求重点是数据的机密性和完整性。
当前版本的DTTACK,在数据安全技术列举方面,参考了工信部相关机构正在编制的行业标准《电信网和互联网数据安全管控平台技术要求和测试方法》,将114个具体技术流程分类并对号入座,为数据安全建设提供技术支持。
(2)结合NIST安全能力模型、安全滑动标尺模型
DTTACK框架的构建,以NIST安全能力模型和安全滑动标尺模型为参考,并做了整合与精简。基于此,DTTACK最新版本选择了六大战术作为基本结构:IDENTIFY(识别)、PROTECT(防护)、DETECT(检测)、RESPOND(响应)、RECOVER(恢复)、COUNTER(反制)。
图 2 参考IPDR2和安全滑动标尺模型的结构
NIST CSF是由美国国家标准与技术研究所(National Institute of Standards and Technology,简称NIST)制定的网络安全框架(Cybersecurity Framework,简称CSF),旨在为寻求加强网络安全防御的组织提供指导,目前已成为全球认可的权威安全评估体系。该体系由标准、指南和管理网络安全相关风险的最佳实践三部分组成,其核心内容可以概括为经典的IPDRR能力模型,即风险识别能力(Identify)、安全防御能力(Protect)、安全检测能力(Detect)、安全响应能力(Response)和安全恢复能力(Recovery)五大能力,实现了网络安全“事前、事中、事后”的全过程覆盖,可以主动识别、预防、发现、响应安全风险。
安全滑动标尺模型为企业在威胁防御方面的措施、能力以及所做的资源投资进行分类,可作为了解数据安全措施的框架。模型的标尺用途广泛,如向非技术人员解释安全技术事宜,对资源和各项技能投资进行优先级排序和追踪、评估安全态势以及确保事件根本原因分析准确无误。该模型包含五大类别:基础结构安全、纵深防御、态势感知与积极防御、威胁情报、攻击与反制。这五大类是一个非割裂的连续体,从左到右,具有一种明确的演进关系,左侧是右侧的基础,如果没有左侧基础结构安全和纵深防御能力的建设,在实际中也很难实现右侧的能力有效发挥。从左到右,是逐步应对更高级网络威胁的过程。
深入研究发现,NIST安全能力模型、安全滑动标尺模型两者有交集、但也各有侧重。DTTACK融合两大模型中的丰富安全能力,并施加到流转的数据上,为防御纵深夯实技术基础,是提升数据安全建设有效性的关键之举。
(3)发挥以密码技术为核心的数据安全实战价值
在DTTACK六大战术中,密码技术也为其提供了重要价值。比如:识别方面,密码可以为数据识别提供身份安全能力,为接口通道实现安全加密;防护方面,数据加密技术本身就是在开放式信道中,构建了强制的防护措施,并结合身份实现访问控制。检测、响应、恢复和反制方面,密码也能够为其分别提供身份鉴别、数据保护、水印追溯等不同能力。
尤其对于流转数据防护,密码技术可以提供独特价值。共享流转的数据很难有边界,在做访问控制的时候,如果数据库或归档备份中的数据是明文,访问控制机制很容易被绕过。而通过数据加密技术,可以打造一个强防护场景,用户在正常访问应用的过程中数据才会解密,并结合身份访问控制、审计等安全技术,从而实现了“防绕过的访问控制”、以及“高置信度的审计”。密码技术为数据重新定义了虚拟的“防护边界”,从而更好地对数据实施防护与管控。
(4)填补“以数据为中心”的安全技术体系空白
当下,数据已成为新生产要素,数据被充分共享流转以产生价值。凡是有数据流转的业务场景,都会有数据安全的需求产生。“以数据为中心”的安全强调数据处于中心位置,就需要站在数据的视角,纵观数据的生命周期,然后针对数据流转的每个关键环节重新审视安全问题和解法。
结合到企业或机构的信息系统中,数据安全则来自于业务处理中的风险映射。从时间维度看,数据在流转的全生命周期中的每个环节都会有相应的安全需求;从空间维度看,数据在基础设施层、平台层以及应用层之间流转,不同层次会有不同颗粒度的防护需求。
DTTACK以数据安全领域的全地图技术框架为目标,可为不同场景的数据安全防护提供基本思路,期望在一定程度上助力提升全社会、全行业的数据安全水位,填补“以数据为中心”的安全技术体系的空白,为数据安全厂商提供通用知识库,为甲方的数据安全规划和技术对比提供参考依据。
3.1.6 网络与数据一体化的叠加演进
实际上,DTTACK不是孤立的。由于“以网络攻防为中心的安全”与“以数据保护为中心的安全”之间是相互关联、依赖、叠加演进的,网络安全是实现数据安全的基础,但光靠网络安全又很难有效保护数据,数据安全新框架是安全技术演进的必然。因此,把“以网络攻防为中心的ATT&CK框架”和“以数据保护为中心的DTTACK框架”相结合,两者相辅相成,将实现全方位多维度的网络与数据安全防护。


3.2 数据安全需要新战法

安全漏洞层出不穷,攻击手段与利用手法日益复杂精妙,攻击方和内部威胁方天然具有单点突破的优势。同时,在构建安全防御体系的过程中,由于防护规则覆盖难以面面俱到,或在具体实施过程中难免疏漏,或内部人员天然有接触数据的风险,这些都可能导致某个安全节点被突破失效,所以简单堆叠防护技术和产品在体系化进攻和日益复杂的内部威胁面前是难以奏效的。
面对数倍于防护速度的安全威胁,防守者需要摒弃“一招制敌”的幻想,体系化地与进攻者对抗,打造更为先进的防护战法,才能有效应对日益严峻的安全形势。基于DTTACK的防御纵深,将凭借强大的知识库和技术支撑,形成层层递进、协同联动的新战法,实现在网安对抗中的技高一筹。
3.2.1 知彼:攻击体系化
当下,数据安全防御变得越来越困难,各种强悍的防御手段,在一些“精妙”的攻击下都很快被击破,比如APT攻击让传统防御手段变得形同虚设,信息交互的刚需使网络隔离难以奏效,各种宣称“解决一起安全问题”的防御技术很快被绕过。究其根本,是伴随着安全体系建设的演进,攻击也呈现出体系化的发展趋势。
从攻击对象来看,只要有利益、有价值的系统和服务,都存在被攻击的现象,尤其是有影响力国家级、企业级数据,由于针对安全攻击能够带来高回报率,引来越来越多的活跃数据安全攻击团伙的全面研究与精准打击。
从攻击特点来看,攻击正变得更为聪明和大胆,不仅是蓄意且具备高智力的,而且逐渐向拟人化和精密化的方向发展。攻击者们不仅能够通过快速查明防御系统或环境中存在的漏洞,精确针对特定薄弱区域定制并发起大规模攻击,还能模拟合法行为模式以绕开和躲避安全工具。
从攻击趋势来看,过去针对数据安全漏洞层出不穷的情况,攻击手法大多都是“单点突破”,但绝大多数的单点突破,难以达到攻击目的。因此,攻击趋势正从“单点突破”向“体系化”转变,攻击手段也越来越专业,甚至攻击任务都出现了“黑产链”、“专业外包”等情况。在这样复杂的进攻下,传统的安全边界或网络隔离策略变得形同虚设。
当然,体系化的攻击也并非没有弱点。攻击的目的是获利,获利往往会让攻击暴露更多细节。在分析窃取信息为目的的攻击并设计防御措施时,特别需要关注“窃取”这个获利环节。定位寻找有价值的信息,读取访问获得目标信息,以及各种渠道回传窃取的信息,从而实现攻击的目的。如果没有获利环节,一次针对信息系统的攻击可能是没有效益的。另一方面,在整个攻击过程中,获利环节的隐匿性可能是最低的,而且由于攻击产业链的信任关系问题,其执行水平可能也是最差的。
3.2.2 知己:银弹不存在
可以看到,攻击者已经联合起来,形成分工合作的生态圈,如果防守依然处于孤立、静态且不成体系的,那么成功者毋庸置疑会是攻击者。基于分析,值得庆幸的一点是,攻击行为的体系化、链条化,恰恰带来了更多的防御点。
防御者首先要达成一个共识,数据安全建设不存在“银弹”,要放弃一招制敌的幻想。“银弹”即银色子弹,在欧洲民间传说及19世纪以来哥特小说风潮的影响下,往往被描绘成具有驱魔功效的武器,是针对狼人等超自然怪物的特效武器。用在数据安全建设领域,代表具有极端有效性的解决方法。但实际上,安全防护不可能达到 100% 的安全,即使是 1% 的漏洞,也可能造成 100% 的损伤。
数据依托于信息系统而存在,数据安全不仅仅局限于数据本身,而应扩展到信息系统的各安全领域。多层面、全方位、环环相扣的纵深防御,是目前保障数据安全的有效路径。
纵深防御(Defence in depth)概念来源于一种军事战略,在军事领域中是指利于纵深、梯次地部署兵力兵器,抗击敌人大纵深、立体攻击;利于疏散配置兵力兵器,减少敌方火力杀伤;利于实施兵力、火力机动,适时以攻势行动歼灭突入、迂回、机降之敌;利于组织指挥各部队、分队相互支援。数据安全领域的纵深防御是指,在信息系统上根据不同的安全威胁或系统攻击,结合不同的安全防护技术与措施,实施多层的安全控制策略,目标是提供了环环相扣、协同联动的安全防御,也意味着一种安全措施失效或被攻破后,还有另一种安全防御来阻止进一步的威胁,降低攻击者进攻成功的机率。
麻烦是永远存在的,除非主动解决,否则它不会主动消失。在数据安全建设领域也是这样,数据安全是件极其复杂的事,现在考虑进来的麻烦多了,未来遇到的麻烦就会少。事后消补永远不及设计之初就纳入安全,不论是效果还是成本都会有所体现。
3.2.3 百战不殆:面向失效的安全设计
知己知彼,才能百战不殆。针对数据安全漏洞的攻击变得体系化加大了防御的难度,但获利环节让攻击暴露更多细节,使得防御者有了更加精准的防护切入点。在数据安全防护过程中,不存在一招制敌的战法,基于DTTACK 的防御纵深,将凭借先发优势、面向失效的设计、环环相扣的递进式设防,成为百战不殆的有效战术。
3.2.3.1 先发优势
为了对抗体系化的攻击,防御体系的设计应用好“先发优势”,针对威胁行为模式,提前布置好层层防线,综合利用多样化的手段,实现各个维度防御手段的纵深覆盖,让进攻者在防守者布局的环境中“挣扎”。
一方面,通过“排兵布阵”制定策略,结合IT基础设施、网络结构、系统分区、业务架构、数据流向等进行精心防御设计,消耗进攻者的资源;另一方面,是形成多道防线,每一道防线都是针对前一道防线破防的情形打造,而不是盲目的堆砌,这就需要提到面向失效的设计原则。
3.2.3.2 面向失效的设计
面向失效的设计原则是指,任何东西都可能失效,且随时失效。需要考虑如前面一道防御机制失效了,后面一道防御机制如何补上后手等问题,考虑系统所有可能发生故障或不可用的情形,并假设这些可能都会发生,倒逼自己设计出足够健壮的系统。是一种在悲观假设前提下,采取积极乐观的应对措施。
面向失效的设计是防御纵深的关键。整体思路:从传统静态、等待银弹的方式转向积极体系化的防御纵深模式。分析进攻者的进入路径,基于面向失效的设计原则,打造多样化多层次递进式的防御“后手”。
图 3 面向失效的数据安全纵深防御新战法
基于面向失效(Design for Failure)的防御理念,从几个重要维度层层切入,综合利用多样化手段构建纵深,当一种保护手段失效后,有后手安全机制兜底,打造纵深协同、而非简单堆叠的新战法。这里选择三个比较重要的维度,一是安全能力维度(I.识别、P.防护、D.检测、R.响应、R.恢复、C.反制),二是数据形态维度(使用态、存储态和传输态等),三是技术栈维度(SaaS/业务应用、Paas/平台、IaaS/基础设施),这三个维度之间关系是独立的、正交的,三者叠加可构建更有效的数据纵深防御体系。
3.2.3.3 数据安全纵深防御
“纵深防御”是一种应该体现在数据安全防御体系设计各个方面的基本原 则,而不是一种“可以独立堆叠形成的解决方案”。
(1)多层堆叠不等于防御纵深