2022数据安全与个人信息保护技术白皮书

2022数据安全与个人信息保护技术白皮书缩略图

2022数据安全与个人信息保护技术白皮书

赛通信息

前言

数字经济是继农业经济、工业经济之后的主要经济形态,事关国家发展大局,而数据安全作为促进数据开发利用和产业发展的基础支撑,是推动以数据为关键要素的数字经济高质量发展的基石。数字时代,如何构建数据安全体系,增强数据保护能力,提升数据治理水平,成为事关企业生存发展的重大战略问题。

国家高度重视数据安全发展。2021年9月1日,我国第一部数据安全领域的专门法律《数据安全法》正式施行。该法与《网络安全法》《密码法》《个人信息保护法》等一起构建了数据安全法治化发展的基本体系,引导和鼓励各行业完善数据安全工作机制,推动数据安全技术产品、应用范式、商业模式协同创新,健全数据安全生态体系,不断壮大数据安全产业规模。当下,企业数据安全建设需求迫切,但实际落地中又倍感头绪万千、无从下手。值此《数据安全法》施行一周年之际,正式发布《2022数据安全与个人信息保护技术白皮书》(简称“《白皮书》”),立足全球数据安全态势和法规要求,总结数据安全发展新阶段涌现的新技术、新应用,尝试从用户视角分析数据安全建设的出发点、建设目标、建设路径、以及预期投入与回报,以期为各行业数据安全从业人员提供参考。

关注本公众号赛通信息(SytonSoft),回复“20220926”,下载完整版《2022数据安全与个人信息保护技术白皮书》。

声明:北京炼石网络技术有限公司对2022数据安全与个人信息保护技术白皮书(以下简称“白皮书”)的内容及相关产品信息拥有受法律保护的著作权,未经授权许可,任何人不得将白皮书的全部或部分内容以转让、出售等方式用于商业目的使用。转载、摘编使用本白皮书文字或者观点的应注明来源。白皮书中所载的材料和信息,包括但不限于文本、图片、数据、观点、建议等各种形式,不能替代律师出具的法律意见。违反上述声明者,本公司将追究其相关法律责任。白皮书撰写过程中,为便于技术说明和涵义解释,引用了一系列的参考文献,内容如有侵权,请联系本公司修改或删除。

观点速览业务风险驱动数据实战保护。伴随着数字经济蓬勃发展,数字产业化迫切需要数据安全能力,产业数字化转型带来数据安全新需求。《白皮书》全面梳理了数据收集、存储、使用、加工、传输、提供、公开、删除等数据处理环节中实际发生的数据安全事件,包含信创安全可控、数据跨境流动、新兴技术迭代、产业结构优化等领域潜在风险,综合分析影响企业生存发展的数据安全威胁,探索明确数据安全的覆盖范围和建设方向。
法规监管划定数据安全基线。当前,数据主权成为继边防、海防、空防之后另一个大国博弈的空间,尤其在俄乌冲突、中美摩擦等复杂多变的国际局势下,强化数据安全在全球视角下的合规建设已成为共识。《白皮书》系统梳理了我国的数据安全立法监管发展路径,并总结欧洲、北美洲、南美洲、亚洲、大洋洲、非洲六大洲,包括美国、英国、欧盟、德国、法国、日本等14个国家或组织的数据安全相关法律法规,从各国立法总体情况、法律位阶、法律关系、各法定位、内容要点等维度进行分析,以期助力企业从全球视野,对各国法规划定的基线以及各国差异有总体性了解。
安全建设围绕一实战双合规。实战与合规辩证驱动安全发展,实战检验了合规建设的成效,合规降低了实战对抗的落地成本。从应用系统看,复杂的数据开发利用场景对攻防对抗提出极高要求,而安全合规将这种偶发的、高技术水平的对抗风险,转化成常态的、可重复验证、可被审计的非对抗风险,显著降低安全手段使用门槛。此外,安全合规也解决了“外部经济学”中的消费方与受益方不一致问题,强制要求数据处理者加强数据保护。在风险驱动和合规要求下,企业数据安全需求从被动应对,升级为主动建设。《白皮书》立足企业数据安全建设目标,分析“一实战、双合规”的实现路径,以合规遵循为起点,以实战对抗为导向,通过“密评”定义密码技术基线,通过DSM数据安全管理认证等全面保障数据合规,构建实战化的数据安全防护体系。
数据保护演进新框架新战法。《白皮书》介绍了典型技术理念和架构、数据安全新框架、数据安全新战法。“典型技术理念和架构”分析了零信任、内生安全、内置式安全、安全平行切面等与数据安全之间的互生互联关系,并介绍了GARTNER、信通院等提出的技术架构。“数据安全新框架”着重论述了应对式到主动式防御的叠加演进、网络与数据并重的安全建设、经典网络攻防对抗框架ATT&CK、数据安全技术框架DTTACK、网络与数据一体化叠加演进、切面安全提升防守资源效率等理念。“数据安全新战法”则以简单堆叠防护技术、“一招制敌”的思考为切入点,重点介绍体系化对抗以及多维递进式纵深防御等层层递进、协同联动的新战法。
技术框架覆盖事前事中事后。《白皮书》迭代更新DTTACK数据安全技术框架内容,从识别(I)、防护(P)、检测(D)、响应(R)、恢复(R)、反制(C)、治理(G)七大方面扩充了相应的战术和技术,形成38个技术、110个扩展技术、161个方法,围绕数据全生命周期安全,覆盖事前、事中、事后,以期为各行业数据安全建设提供技术与工具参考。
数据安全落地分阶段抓效果。数据安全体系建设是系统工程,并非“一朝一夕”可以完成,企业须综合考量实战和合规的现实要求,开展数据安全整体规划,做好资源部署和工作推进,分阶段评估实战与合规收益,稳步提升数据安全水平。《白皮书》结合企业在数据安全建设过程中的重点难点,推荐“合规治理与实战技术并行”的建设思路,提出以数据为中心的“实战防护和合规遵循平台”新安全体系,打造以“数据保护主平台”为核心,辅助外延多种数据安全技术的多层次防御,为企业赋予“航母战斗群”级的安全能力,提高攻击者成本,持续消耗攻击者资源。同时,提出筑基础、建体系、强能力、验效能、抓测评等建设路径,给出推进策略和关键举措参考。
行业案例提供数据保护参考。《白皮书》聚焦政府、金融、民航、工业互联网等十个典型场景,综合分析了各行业的安全建设现状及安全短板,通过推导企业当下亟需解决的场景化安全问题,结合DTTACK数据安全技术框架针对性设计应用示例方案以供参考。

DTTACK数据安全技术框架概览图

2022数据安全与个人信息保护技术白皮书插图
文章架构

文章架构一、业务风险驱动数据实战保护

1.1 数据开发利用支撑行业数字转型

    1.1.1 数字经济蓬勃发展加速数字化升级
    1.1.2 数据要素价值释放赋能高质量发展

    1.1.3 数据有效开发利用迎来跨越式变革

1.2 数据安全威胁影响企业生存发展

    1.2.1 数据安全能力建设有待加强
    1.2.2 个人信息泄漏呈现三高特征

    1.2.3 数据安全市场发展空间巨大

1.3 业务数据处理面临多重安全风险

    1.3.1 防范业务处理各环节安全薄弱点

    1.3.2 化解产业创新多维度潜在风险源
二、法规监管划定数据安全基线

2.1 数据法规确保有法可依

    2.1.1 国际数据安全发展政策概况

    2.1.2 我国数据安全立法监管加强
    2.1.3 全球公正数据安全规则构建

2.2 数据处理遵循合规要求

    2.2.1 数据安全面临国内外挑战
    2.2.2 安全需求被置于次要地位

    2.2.3 强合规监管深化鞭子效力
三、安全建设围绕一实战双合规

3.1 实战合规辩证驱动安全发展

3.2 攻防对抗有效检验防护能力

3.3 密评合规明确定义技术基线

3.4 安全认证全面保障数据合规
四、数据保护演进新框架新战法

4.1 典型技术理念和架构

    4.1.1 典型技术理念
    4.1.2 典型技术架构

4.2 数据安全需要新框架

    4.2.1 应对式叠加演进主动式安全
    4.2.2 网络与数据并重的安全建设
    4.2.3 经典网络安全框架ATT&CK

    4.2.4  数据安全技术框架DTTACK
    4.2.5  网络与数据一体化叠加演进
    4.2.6  切面安全提升防守资源效率

4.3 数据安全需要新战法

    4.3.1  数据安全建设的发展演进
    4.3.2  数据安全攻击不断体系化
    4.3.3  数据安全需放弃“一招鲜”

    4.3.4  数据安全多维递进式设防
五、技术框架覆盖事前事中事后

5.1 l:识别

    5.1.1 技术:数据源发现
    5.1.2 技术:数据资产识别
    5.1.3 技术:数据资产处理(分析)
    5.1.4 技术:数据分类分级
    5.1.5 技术:数据资产打标

5.2 P:防护

    5.2.1 技术:数据加密技术
    5.2.2 技术:数据脱敏技术
    5.2.3 技术:隐私计算技术
    5.2.4 技术:身份认证技术
    5.2.5 技术:访问控制技术
    5.2.6 技术:数字签名技术
    5.2.7 技术:DLP技术
    5.2.8 技术:数据销毁技术
    5.2.9 技术:云数据保护技术
    5.2.10 技术:大数据保护技术

5.3 D:检测

    5.3.1 技术:威胁检测
    5.3.2 技术:流量监测
    5.3.3 技术:数据访问治理
    5.3.4 技术:安全审计
    5.3.5 技术:共享监控

5.4 R:响应

    5.4.1 技术:事件发现
    5.4.2 技术:事件处置
    5.4.3 技术:应急响应
    5.4.4 技术:事件溯源

5.5 R:恢复

    5.5.1 技术:灾难恢复
    5.5.2 技术:数据迁移技术(分层存储管理)
    5.5.3 技术:集群技术
    5.5.4 技术:远程异地容灾

5.6 C:反制

    5.6.1 技术:水印技术
    5.6.2 技术:溯源技术
    5.6.3 技术:版权管理技术

5.7 G:治理

    5.7.1 数据价值
    5.7.2 数据安全策略
    5.7.3 数据安全模型
    5.7.4 数据安全管理
    5.7.5 数据安全运营
    5.7.6 意识与教育
    5.7.7 数字道德

六、数据安全落地分阶段抓效果

6.1 并行推进治理与技术手段

6.2 优先建设数据保护主平台

6.3 分段规划实战与合规需求

    6.3.1 任务与计划
    6.3.2 推进与举措

七、数据安全应用示例方案参考

7.1 政务大数据交换共享场景

    7.1.1 概要
    7.1.2 安全现状
    7.1.3 解决方案
    7.1.4 总结

7.2 电子档案数据的安全存储和使用场景

    7.2.1 概要
    7.2.2 安全现状
    7.2.3 解决方案
    7.2.4 总结

7.3 银行业数据安全增强方案

    7.3.1 概要
    7.3.2 安全现状
    7.3.3 解决方案
    7.3.4 总结

7.4 互联网金融数据安全使用场景

    7.4.1 概要
    7.4.2 安全现状
    7.4.3 解决方案
    7.4.4 总结

7.5 民航业数据安全存储场景

    7.5.1 概要
    7.5.2 安全现状
    7.5.3 解决方案
    7.5.4 总结

7.6 工业互联网数据多方安全共享

    7.6.1 概要
    7.6.2 安全现状
    7.6.3 解决方案
    7.6.4 总结

7.7 重要商业设计图纸安全共享场景

    7.7.1 概要
    7.7.2 安全现状
    7.7.3 解决方案
    7.7.4 总结

7.8 电力数据中台的数据安全增强

    7.8.1概要
    7.8.2安全现状
    7.8.3解决方案
    7.8.4总结

7.9 云平台数据安全存储场景

    7.9.1 概要
    7.9.2 安全现状
    7.9.3 解决方案
    7.9.4 总结

7.10 企业办公终端数据安全使用场景

    7.10.1 概要
    7.10.2 安全现状
    7.10.3 解决方案
    7.10.4 总结

一、业务风险驱动数据实战保护

1.1 数据开发利用支撑行业数字转型

1.1.1 数字经济蓬勃发展加速数字化升级

从1987年“跨越长城,走向世界”,一封只有8个字的电子邮件由北京发出,到1994年中国全功能接入国际互联网,再到我国数字经济发展乘风而起、日新月异,涓涓细流汇成奔腾不息的滔滔江河,为中国经济转型升级和蓬勃发展注入不竭动力。近年来,我国加快建设网络强国、数字中国,从国家层面部署推动数字经济发展,取得显著成就。2022年1月,国务院印发《“十四五”数字经济发展规划》指出,数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态。数据显示,从2012年至2021年,我国数字经济规模从11万亿元增长到45.5万亿元,数字经济占国内生产总值比重由21.6%提升至39.8%。我国数字经济规模连续多年位居全球第二,其中电子商务交易额、移动支付交易规模位居全球第一,一批网信企业跻身世界前列,新技术、新产业、新业态、新模式不断涌现,推动经济结构不断优化、经济效益显著提升。数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。发展数字经济是我国把握新一轮科技革命和产业变革新机遇的战略选择,也正在成为行业加速数字化转型升级的驱动力量。数字经济所具有的高创新性、强渗透性、广覆盖性,是催生新兴产业“无中生有”的有力抓手,是实现传统产业“有中生新”的重要支点。在数字经济时代背景下,数字化转型成为众多行业重要发展趋势,数据作为基础性资源和战略性资源,通过释放潜在价值,实现了各个行业的创新发展。具体体现在商业模式的创新、价值链的增长、用户体验的提升、业务流程的优化等,这一系列的变化和影响下,各个行业将会朝着数字化、智能化的方向迈进,实现数字技术与行业的对接发展,以满足数字经济时代所带来的更高要求,保障可持续性及更大的发展空间。

 1.1.2 数据要素价值释放赋能高质量发展

一切数字化发展的背后,都离不开数据。数据作为新型生产要素,被称为“信息时代的石油”,已成为一个国家重要的基础性、战略性资源。“要构建以数据为关键要素的数字经济。”2017年,习近平总书记在十九届中央政治局第二次集体学习时,突出强调了数据在发展数字经济中的重要性。2020年4月9日,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,提出土地、劳动力、资本、技术、数据五个要素领域的改革方向和具体举措。数据作为一种新型生产要素写入中央文件中,体现了互联网大数据时代的新特征。数据要素的高效配置,是推动数字经济发展的关键一环。加快培育数据要素市场,推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护,使大数据成为推动经济高质量发展的新动能,对全面释放数字红利、构建以数据为关键要素的数字经济具有战略意义。在数据时代,以大数据为代表的信息资源向生产要素形态演进,数据已同其他要素一起融入经济价值创造过程。与其他资源要素相比,数据资源要素具有如下特征:一是数据体量巨大。且历史数据量不断累积增加,通过流转和共享对社会发展产生重要价值,基于数据创新的商业模式或应用不断演进。二是数据类型复杂。不仅包含各种复杂的结构化数据,而且图片、指纹、声纹等非结构化数据日益增多。三是数据处理快,时效性要求高。通过算法对数据的逻辑处理速度非常快,区别于传统数据挖掘,大数据处理技术遵循“一秒定律”,可以从各种类型的数据中快速获得高价值的信息。四是数据价值密度低。数据价值的高度与精确性、信噪比有关,在海量数据面前有价值的数据所占比例很小。在获取高价值数据的过程中,往往需要借助数据挖掘等方法深度分析海量数据,从中提取出对未来趋势与模式预测分析有价值的数据。基于以上四个特性分析,数据在参与经济建设、社会治理、生活服务时,具有重要意义。一是数据作为一种生产性投入方式,可以大大提高生产效率,是新时期我国经济增长的重要源泉之一。二是推动数据发展和应用,可以鼓励产业创新发展,推动数据与科研创新的有机结合,推进基础研究和核心技术攻关,形成数据产业体系,完善数据产业链,使得大数据更好服务国家发展战略。三是数据安全是数据应用的基础。保护个人隐私、企业商业秘密、国家秘密等。在加强安全管理的同时,又鼓励合规应用,促进创新和数字经济发展,实现公共利益最大化。从合规要求看,数据安全成为国家顶层设计,相关法律政策明确提出加强网络安全、数据安全和个人信息保护,数据安全产业迎来前所未有的历史发展机遇。最终用户对于主动化、自动化、智能化、服务化、实战化的安全需求进一步提升,在此需求推动下,数据安全市场未来五年将继续维持高增速发展。从实战需求看,日趋严峻的网络安全威胁让企业面临业务风险,数字产业化迫切需要数据安全能力,而产业数字化转型带来数据安全新需求。当前,我国数据安全产业处于起步期,相比于西方发达国家,我国尚有很大增长潜力,这既是短板也是市场机会。随着实战化和新合规的要求逐步深入,数据安全将迎来广阔的市场空间。

1.1.3 数据有效开发利用迎来跨越式变革当前,数据要素成为推动经济转型发展的新动力。通过数据流引领技术流、物资流、资金流、人才流,推动社会生产要素的网络化共享、集约化整合、协作化开发和高效化利用,提升经济运行水平和效率。特别是后疫情时代,数字产业化和产业数字化将推动数据开发利用的需求从被动变为主动,从启动变为加速,迎来蓬勃发展的黄金时代。促进政府数据开放,加强资源整合,提升治理能力。随着国家顶层设计和统筹规划,政府依托数据统一共享交换平台和政府数据统一开放平台,大力推进中央部门与地方政府条块结合、联合试点,实现公共服务的多方数据安全共享、制度对接和协同配合;通过政务数据公开共享,引导企业、行业协会、科研机构、社会组织等主动采集并开放数据,提升社会数据资源价值、加强数据资源整合和安全保护。同时,优化数据开发利用,不断提升大数据基础设施建设、宏观调控科学化、政府治理精准化、商事服务便捷化、安全保障高效化、民生服务普惠化。推动行业融合创新,培育新兴业态,助力经济转型。随着5G、云计算、大数据、人工智能等新技术的发展,以及互联网金融、数据服务、数据探矿、数据化学、数据材料、数据制药等新业态的加速兴起,提升了数据资源的采集获取和分析利用能力,充分发掘数据资源支撑创新的潜力。同时,工业大数据、农业农村大数据、万众创新大数据、基础研究和核心技术攻关等同步蓬勃发展,围绕数据采集、整理、分析、发掘、展现、应用等环节,打造较为健全的大数据产品体系,带动技术研发体系创新、管理方式变革、商业模式创新和产业价值链体系重构,推动跨领域、跨行业的数据融合和协同创新。支撑企业数字蝶变,赋能业务协同,实现分析决策。对于企业来说,数据要素不仅是核心资产,也是实现分析服务、智能决策的有效抓手。数据要素具有边际成本低、规模效应大、流动性高、可复用性强等区别于传统生产要素的新特点。推进数据聚合,激活要素潜能,以需求和应用场景为导向,推进数据开发利用和产业发展,有利于形成符合业务需要、使用场景灵活、实际功能多元的数据服务能力,并实现能力输出和反哺,赋能创新应用与业务协同。强化安全保障,提高管理水平,促进健康发展。数据开发利用升级离不开数据安全的保障,加强数据安全问题研究和安全技术研究,落实商用密码应用安全性评估、信息安全等级保护、网络安全审查等网络安全制度,建立健全大数据安全保障体系、大数据安全评估体系。同时,采用安全可信产品和服务,提升基础设施关键设备安全可靠水平,强化安全支撑。以数据安全保障数据开发利用和产业数字化发展,将发挥数据要素倍增效应,拉动产业经济效益和社会效益,加速数字中国建设。

1.2 数据安全威胁影响企业生存发展

1.2.1 数据安全能力建设有待加强

当前,信息技术快速演进,数字经济蓬勃发展,促使海量数据资源汇聚融合、开发利用,推动数据价值的正向发挥,但也带来了严峻的数据安全挑战。着眼于国外,数据潜在价值的凸显,使得各国高度重视并围绕数据开展战略博弈,全球数据安全形势日益严峻;着眼于国内,高价值数据泄漏、个人信息贩卖情况突出,新技术迭代衍生出新的风险,针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新,经济、政治、社会等各领域遭受巨大影响。其背后凸显出的是,数据安全整体管控不足、安全建设滞后于业务建设、数据安全能力建设有待提升的产业现状。安全本身就是一种业务需求,通过实现“不希望发生什么”,从而确保“发生什么”。但在实际调研中,企业出现安全投入比例不足、安全建设与业务功能建设不同步等情况,大多源于数据安全需求被企业管理者放在“次要地位”。安全需求重视程度不够可用两个经济学原理来解释:一是安全需求本身具备经济学的外部效应特征,即消费方与受益方不一致。以化工厂为例,如果没有《环境保护法》等法律法规制约,在不考虑社会责任的情况下,其最经济的选择是就地排污排废。就数据保护而言,如果没有外部的合规要求,数据泄露最直接的受害者就是老百姓,而对企业等数据处理者的自身利益没有实质损害。二是管理者的行为遵从Prospect Theory(前景理论),意味着人对损失和获得的敏感程度是不同的,损失的痛苦要远远大于获得的快乐,映射到数据安全就是:“管理者往往认为自己是幸运儿,数据泄露等风险不会发生在自己身上”。因此,对数据的服务者提出基础性的安全保障要求,如将密码应用保障数据安全的要求通过法定程序转化为国家意志,对于提升国家安全具有积极意义。从技术演进来看,数据是实现业务价值的主要载体,数据安全需求来自于数据复杂业务处理的“风险映射”,实现数据安全这种“业务需求”是通过“安全访问规则”来体现,而安全访问规则又取决于业务规则,所以业务边界决定着数据安全的边界。但是,难以划定边界的复杂业务与数据安全扭结缠绕,会给业务实现者造成客观上的负担。尤其是在政务、金融、电信等业务高度依赖信息化的领域,随着数据在企业内部快速流转,更高的数据价值被“萃取”,由于自身的安全防护机制不严谨,引发的数据安全泄露事件,对企业生存发展有着举足轻重的影响。但由于业务网络存在区域分散、数据分散、系统繁多、环境复杂的特征,即便想要对所有数据泄露的“风险点”建立严密制度和技术管控,实际操作起来也是困难重重。当下,伴随着政策大力驱动和安全急迫需求,提升数据安全的覆盖度和连接能力,补齐安全短板,无疑是当下产业数字化转型发展的首要目标。因此,各行业与企业逐步展开对自身安全情况梳理排查,试图通过对潜在风险点的整改,将数据安全保障能力和必要的隐私设计融入产品及运营流程,构建与整体架构相匹配的安全体系,进一步提升公司在安全方面的管理。然而,在实际建设及整改中发现,相同领域不同企业在相关环节数据安全保障建设中,存在相关数据安全产品配置、技术投入、管控监督不平衡,安全能力参差不齐、水平不一,留下安全与常态化运营结合不紧密的漏洞,为后续企业发展埋下隐患,为数据安全防护带来严峻挑战。因此,企业急需一套从决策层到技术层,从业务部门到IT部门,从管理制度到技术支撑,自上而下深入业务流程的数据安全防护完整覆盖,并且要与其间的各个环节相匹配和适应,以能确保企业数字化支撑下业务的“长治久安”。这在一定程度上,也为数据安全产业发展提供驱动力量。 

1.2.2 个人信息泄漏呈现三高特征

数字经济时代下,要素属性的加持,促进了数据资源“势能”转变为创新发展动能。数据创新赋能主要体现在,数据作为实现业务价值的主要载体,对于创新产品和服务、加深市场需求洞察与即时响应、优化生产及分配过程等的价值赋能。尤其是各行业所掌握的海量个人隐私信息,例如在电信业务流转中的个人信息,涵盖身份信息、网络偏好、位置信息、社交特征、消费账单、通信使用状况、手机终端型号等数据,在真实性、规模性、多样性等方面具有独特优势,被赋予了高附加值属性。这些个人不仅是各行业的核心资产,也成为实现分析服务、智能决策的有效抓手,并在有效利用中进一步凸显价值属性。由于高附加值属性引发蓄意持续的攻击,以及针对安全攻击能够带来高回报率,目前我国个人信息的安全状况相当严峻,个人信息安全事件呈现出大幅上升的势头。掌握大量个人信息的商业银行、电信运营商、电商平台、交通旅游业企业等成为案发重灾区,相关案例屡屡见诸媒体。总体来看,个人信息泄漏呈现出“高损化”“高频化”“高显化”三大特征。“高损化”体现在不论是丢失或泄露客户个人信息,还是涉及核心商业秘密的敏感数据,不仅给企业造成的损失难以估量,甚至会引发用户不满、社会动荡,乃至国家安全;“高频化”体现在企业正在遭受有针对性的大规模高频率的攻击,这些攻击不仅能够快速找到防御体系中潜藏的漏洞和薄弱区,还能模拟合法行为模式以绕开和躲避安全工具,让运营商防不胜防;“高显化”体现在自媒体的快速传播下,数据泄露事件常常跻身头条、影响巨大,企业将面临品牌声誉受损、用户不信任、舆论压力谴责等严重影响。2021年11月1日,《中华人民共和国个人信息保护法》正式施行。《个人信息保护法》就“个人信息处理规则”、“个人信息跨境提供的规则”、“个人在个人信息处理活动中的权利”、“个人信息处理者的义务”、“履行个人信息保护职责的部门”等,以及相关各方的“法律责任”作出了明确界定。该法统筹私人主体和公权力机关的义务与责任,兼顾个人信息保护与利用,为个人信息保护工作提供了清晰的法律依据。《个人信息保护法》是我国保护个人信息的基础性法律,奠定了我国网络社会和数字经济的法律之基。个人信息受到应有的保护是社会文明进步的重要标志之一,也是我国法制建设与国际接轨的有力举措。《个人信息保护法》借鉴国际立法经验,结合本国经济社会实际,是中国智慧的结晶。该法必将在保护个人权益,促进经济社会稳定发展方面发挥重要作用。基于此,与个人信息相关的行业企业,需要提高对个人信息保护工作重视程度,依照个人信息保护法要求,建立起行之有效的保护体系。基本措施包括:(1)建立和完善相关的组织机构《个人信息保护法》具有强制力,相关部门和单位应该依照法条要求,制定和落实保护计划。只有建立高效的组织,制定科学的制度,积极采取行动,使措施落地,个人信息的安全才能依法得到保证。(2)加强个人信息保护技术的应用数字经济能够产生高附加值的重要原因之一是数据资源的共享。大数据、云计算、区块链等新技术的应用,使得网络“边界”难于划分,原有的基于传统信息安全保护思路,注重固定“边界”攻防的技术手段,已难于满足当前个人信息保护的需求。新老问题叠加,需要新的信息安全保护思路和技术手段,积极采用加密与去标识化等技术,才能有效应对新的安全威胁,这对个人信息保护工作提出了新挑战。(3)落实个人信息处理者责任。

对于个人信息安全事件的追责不力是导致个人信息安全事件频发的重要原因之一。伴随个人信息保护法的出台,众多涉及个人信息的处理者都将共同参与行动,与之配套的就是要落实责任。结合各单位的具体情况,应该设立个人信息保护责任人,设立奖惩制度。只有责任到人,才能踏石留印,抓铁有痕,见到实效。

1.2.3 数据安全市场发展空间巨大

当下来看,数据安全已经迎来了里程碑式的新发展阶段,无论是个人层面、企业层面还是国家层面,促进数据安全产业发展已经成为数字时代的最大命题。而随着数据量的增加,隐藏在数据背后可被挖掘的信息也逐渐丰富,无论是政府还是企业都开始意识到数据泄露可能带来的严重后果,对数据安全的重视程度提升趋势明显,并在积极探索在安全可控的情况下最大化发掘数据价值。

2022数据安全与个人信息保护技术白皮书插图1

图 1 2010-2025全球数据量增长预测数据呈现海量且持续增长势头,我国将成全球最大数据圈。根据IDC发布的《数据时代2025》报告,到2020年,全球数据量达到了60ZB,2025年将达到175ZB,接近2020年数据量的3倍。同时,IDC预测中国数据量增速最为迅猛,预计2025年将增至48.6ZB,占全球数据圈的27.8%,成为全球最大的数据圈。数据安全是一片蓝海市场,成长空间潜力巨大、未来可期。据海外市场研究机构VMR统计,2019年全球数据安全市场规模约为173.8亿美元,且预计到2027年全球数据安全市场规模将达到572.9亿美元,年复合增长率约为17.35%。而中商产业研究院统计数据显示,2019年我国数据安全市场规模仅为38亿元,仅占全球数据安全市场规模的3.4%,与我国整体数据量在全球27.8%的占比仍有较大差距。由此可见,未来中国数据安全市场容量仍有较大增长空间,而考虑到中国数据安全市场整体发展节奏慢于美国,所以中期来看中国数据安全市场存在千亿市场空间,长期看市场空间可达万亿。网络安全投入占信息化投入比例达10%,带动数据安全投入。工信部在2021年7月16日发布《网络安全产业高质量发展三年行动计划(2021-2023 年)(征求意见稿)》,其中提出未来三年电信等重点行业网络安全投入占信息化投入比例达10%,而这将会同时带动数据安全领域的投入。通过对现有重点行业在网络安全领域的投入占比情况进行测算,对标工信部对于10%的网络安全投入占比要求以及国际平均投入水平,可以预测未来政府、金融、运营商、交通、医疗等行业数据安全领域的投入将进一步打开5到10倍的成长空间。

2022数据安全与个人信息保护技术白皮书插图2

图 2 数据安全市场规模/同比增长率及预测情况数据安全将用6年时间,达到网络安全20年创造市场规模。据预估,数据安全3年后的市场规模将达到传统网络安全2018年的市场规模。根据嘶吼安全产业研究院最新调研数据显示,2021年数据安全产业市场规模达到88亿元,同比增长91%;预计2022年数据安全产业规模有望达到130亿元,同比增长率达到48%;预计2025年,数据安全产业有望达到478亿元,用6年时间(2020-2025年)达到传统网络安全20年(1999-2018年)所创造的市场规模。

1.3 业务数据处理面临多重安全风险

1.3.1 防范业务处理各环节安全薄弱点

数据作为基础性资源和战略性资源,是实现业务价值的主要载体,数据只有在流动中才能体现价值,而流动的数据必然伴随风险,数据安全威胁伴随业务生产无处不在。因此,凡是有数据流转的业务场景,都会有数据安全的需求产生。而确保数据要素处于有效保护和高效利用的状态,以及具备保障持续安全状态的能力,是推动数字经济发展的关键一环。各类数据处理者对于数据安全防护需求日渐强烈,将其作为信息化建设中的重中之重。然而,在实际业务中,高速流动的数据增大风险敞口,在收集、存储、使用、加工、传输、提供、公开、删除等全生命周期中的各个环节面临诸多安全威胁和挑战。(该章节各环节的案例内容省略,详见白皮书原文)

1.3.1.1 数据收集:合法、正当、必要在数据收集环节,风险威胁涵盖保密性威胁、完整性威胁等,以及超范围采集用户信息等。保密性威胁指攻击者通过建立隐蔽隧道,对信息流向、流量、通信频度和长度等参数的分析,窃取敏感的、有价值的信息;完整性威胁指数据伪造、刻意篡改、数据与元数据的错位、源数据存在破坏完整性的恶意代码。

1.3.1.2 数据存储:加密、控制、审计在数据存储环节,风险威胁来自外部因素、内部因素、数据库系统安全等。外部因素包括黑客脱库、数据库后门、挖矿木马、数据库勒索、恶意篡改等,内部因素包括内部人员窃取、不同利益方对数据的超权限使用、弱口令配置、离线暴力破解、错误配置等;数据库系统安全包括数据库软件漏洞和应用程序逻辑漏洞,如:SQL注入、提权、缓冲区溢出;存储设备丢失等其他情况。

1.3.1.3 数据使用:告知、监督、检测在数据使用环节,风险威胁来自于外部因素、内部因素、系统安全等。外部因素包括账户劫持、APT攻击、身份伪装、认证失效、密钥丢失、漏洞攻击、木马注入等;内部因素包括内部人员、DBA违规操作窃取、滥用、泄露数据等,如:非授权访问敏感数据、非工作时间、工作场所访问核心业务表、高危指令操作;系统安全包括不严格的权限访问、多源异构数据集成中隐私泄露等。

1.3.1.4 数据加工:内控、风险、响应在数据加工环节,泄露风险主要是由分类分级不当、数据脱敏质量较低、恶意篡改/误操作等情况所导致。

1.3.1.5 数据传输:加密、脱敏、约定在数据传输环节,数据泄露主要包括网络攻击、传输泄露等风险。网络攻击包括DDoS攻击、APT攻击、通信流量劫持、中间人攻击、DNS欺骗和IP欺骗、泛洪攻击威胁等;传输泄露包括电磁泄漏或搭线窃听、传输协议漏洞、未授权身份人员登录系统、无线网安全薄弱等。

1.3.1.6 数据提供:评估、保护、监督在数据提供环节,风险威胁来自政策因素、外部因素、内部因素等。政策因素主要指不合规的提供和共享;内部因素指缺乏数据拷贝的使用管控和终端审计、行为抵赖、数据发送错误、非授权隐私泄露/修改、第三方过失而造成数据泄露;外部因素指恶意程序入侵、病毒侵扰、网络宽带被盗用等情况。

1.3.1.7 数据公开:危害、分析、影响在数据公开环节,泄露风险主要是很多数据在未经过严格保密审查、未进行泄密隐患风险评估,或者未意识到数据情报价值或涉及公民隐私的情况下随意发布的情况。

1.3.1.8 数据删除:约定、委托、主动在数据删除环节,主要风险是违约删除和未履约删除。一方面对于不应删除的个人信息,服务提供者未按时限留存、设备事故误操作等进行了删除,就造成了违约删除,给用户带来人身财产或精神损失;另一方面对于应删除的个人信息,没有删除或删除不及时、不彻底,因漏洞、攻击、撞库等形式外泄,会造成未履约删除的风险,危及用户隐私和信息安全。 

1.3.2 化解产业创新多维度潜在风险源

1.3.2.1 信创安全可控面临新挑战

迈入新时代,信息技术应用创新是数字经济发展的基础,是制造强国、网络强国、数字中国建设的关键支撑。推进安全技术与信创产业的深化融合应用,对于发展软件和信息技术服务行业,支撑数字中国建设具有重要意义。信创发展尽头是市场经济前提下的产业领先。当下,信创产业已进入发展关键期,这是我国坚持信息技术应用自主创新的必经之路。据艾媒咨询统计,中国信创产业规模在2020年突破1万亿,2021年信创产业规模超1.3万亿元,预计未来将保持高速增长态势。信创发展初期,采用指令式的手段,按照“计划经济模式”发展,旨在通过行业应用拉动构建国产化信息技术软硬件底层架构体系和全周期生态体系,解决核心技术关键环节“卡脖子”的问题,实现为数字中国建设夯实基础的目标。但信创产业的尽头,应该是市场经济前提下达到产业领先,在国家信创战略的指引下,依靠市场和广大企业、用户的自发选择。在实际建设发展中,信创产业面临着多方面的安全挑战:一是关键软件自主可控方面,中美贸易摩擦,凸显关键软件供应链安全风险,针对通用基础软件、重要领域应用软件,我国已开始布局国产化替代,但仍然需要周期;二是软件内建安全机制方面,安全的外部经济学、前景理论等特点,决定了安全机制总是滞后于业务设计,软件安全机制普遍薄弱;三是安全应用协同发展方面,传统安全合规侧重基础设施防护,导致安全主要以“外挂”模式保护应用与数据,导致安全与应用长期脱钩,如同隔靴搔痒,防护效果有限。

1.3.2.2 数据跨境流动带来新隐患

随着全球数字经济的发展,数据跨境流动成为推动国际贸易中货物、服务、人、资金流动不可或缺的部分,并且在促进经济增长、提升创新能力、推动全球化等方面发挥着积极作用。然而,数据跨境流动的价值与风险越来越凸显,数据跨境流动风险与隐忧主要集中于数据的传输、存储和使用三个环节。传输上,数据跨境过程环节多、路径广、溯源难,传输过程中可能被中断,数据也面临被截获、篡改、伪造等风险;存储上,受限于数据跨域存储当地的防护水平等因素,容易出现数据泄露等问题;使用上,跨境数据的承载介质多样、呈现形态各异、应用广泛,数据所在国政策和法律存在差异,甚至冲突,导致数据所有和使用者权限模糊,数据应用开发存在数据被滥用和数据合规等风险。具体来看:一是海量跨境数据难以梳理分类,不当应用引发风险隐患。一方面,数据在产生、存储后,被开放利用的情况随着数据采集、挖掘、分析等技术的不断发展而动态变化,加上数据体量大、增速快,当下未必就能准确地完成分类分级评估;另一方面,跨境流动中已被开发利用的各类数据,呈现形态各异、应用领域广泛、价值定义不明的状态,新技术、新业态引发的数据风险未知大于已知,加剧了数据跨境流动的安全隐患。二是跨境数据攻击升级,黑灰产加剧数据风险。一是攻击者从独立的黑客扩展到具有特定目标诉求的专业团体。例如,全球最大的SIM卡制造商金雅拓曾遭英美联合攻击,SIM卡密钥被盗取,用于解密、监控移动通信用户的语音等通讯数据。二是攻击对象从个人设备逐渐升级为各类泛在网络设备、终端和软硬件,甚至包括关键信息基础设施。比如,移动设备的GPS、麦克风、摄像头,移动通信的SIM卡、蜂窝基站、热点、蓝牙、Wi-Fi,以及广泛分布的物联网设备等。三是攻击方式随着技术发展不断演变升级,更加多样、隐蔽、智能。以人工智能为例,通过对数据的推理学习,会使数据去标识化、匿名化等安全保护措施无效。

1.3.2.3 新兴技术迭代催生新风险

随着云计算、大数据、物联网、人工智能、5G等数字经济新技术的发展,数据安全技术与之深度融合。新兴技术伴生新风险,为安全防线带来“新口子”。比如:网络架构的变化中虚拟化、边缘化、能力开放、切片等技术给 5G 带来多种安全风险;人工智能培训数据污染会导致人工智能决策错误,即所谓的“数据中毒”;物联网设备的处理能力和内存通常较短,导致其缺乏强大的安全解决方案和加密协议保护免受威胁;云计算模式下,传输数据需要依赖网络,由于网络自身的缺陷和技术弊端,在出现非法操作的情况下,黑客更容易入侵网络导致数据泄露。进一步分析,一方面,数据价值凸显引来更多的攻击者,而新兴技术的应用使得外部攻击面不断扩大,数据安全防御能力亟待提升。另一方面,在新兴技术应用与数据安全防护间寻找平衡。新兴技术本身安全方面的脆弱性,容易带来新安全问题并增加引入恶意攻击的风险。在数字化转型与新兴技术的融合中,数据交互的维度和范围增加,业务提供的个性化和复杂性提升,导致更多设施面临网络攻击。

1.3.2.4 产业结构优化激发新需求

2022年政府工作报告指出,“高技术制造业增加值增长18.2%,信息技术服务等生产性服务业较快发展”,数字经济时代下产业结构优化呈现新业态。第二产业中的制造业逐渐由中低附加值走向中高附加值,包括配方、工艺、图纸、数模等工业数据在内的商业秘密保护,在我国制造业知识产权保护中占比居首位,直接关系到我国自主创新成果和创新主体的“安身立命之本”,亟待提升工业数据安全能力建设。以服务业为主体的第三产业,通过对海量个人信息的处理、共享和分析,推动数据挖掘分析、商业决策应用等价值释放,但由于应用场景和参与主体日益多样化,安全外延不断扩展,尤其是掌握大量个人信息的政务、金融、运营商、交通、教育医疗文旅等行业,个人信息泄漏事件频发。随着《个人信息保护法》的施行,在技术层面将加密和去标识化、匿名化等关键技术作为个人信息保护的基线要求,在合规层面推进个人信息保护手段融入企业运营全流程,建设个人信息全生命周期保护体系成为关键所在。(该部分剩余内容省略,详见白皮书原文)

二、法规监管划定数据安全基线

2.1 数据法规确保有法可依
2.1.1 国际数据安全发展政策概况

数据安全是事关国家安全和发展、事关人们工作生活的重大战略问题,应该从国际国内大势出发,总体布局,统筹各方,创新发展。一个安全稳定繁荣的网络空间,对各国乃至世界都具有重大意义。随着数据量呈指数级增长,数据安全成为美国、欧盟、英国等国家经济发展和国际竞争力提升的新引擎。大国竞争正在从国际规则制定权竞争向技术标准制定权转移。各国纷纷制定法律政策、技术标准,在数据安全领域进行国家战略博弈,占据价值链的制高点,其中欧洲、北美洲、南美洲、亚洲、大洋洲、非洲六大洲,包括欧盟、德国、法国、英国、意大利、俄罗斯、美国、加拿大、巴西、日本、印度、韩国、澳大利亚、南非等14个国家或组织发布了数据安全相关政策。(注:国外数据安全相关法律政策、技术标准详见白皮书附录2)

2022数据安全与个人信息保护技术白皮书插图3


图 3 全球数据安全政策汇总图 
2.1.2 我国数据安全立法监管加强
近年来,国家陆续出台相关法律政策,统筹发展和安全,推动数据安全建设。2021年《数据安全法》《个人信息保护法》出台,与《国家安全法》《网络安全法》《密码法》《民法典》形成“五法一典”安全体系,在此基础上,2022年7月国家互联网信息办公室正式发布《数据出境安全评估办法》(简称《办法》),开启数据出境监管新篇章,这是继《网络安全法》《数据安全法》《个人信息保护法》颁布实施的又一项重要的法律文件,标志着我国在依法治网方面取得了新的成效。同年《“十四五”数字经济发展规划》和《网络安全审查办法》颁布,要求提升重要设施设备安全可靠水平,增强重点行业数据安全保障能力,维护国家安全。2022年6月为了鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护,国家市场监督管理总局、国家互联网信息办公室发布了基于 《信息安全技术 网络数据处理安全要求》(以下简称“GB/T 41479”)等相关标准规范开展数据安全管理认证工作(简称DSM认证)。我国数据安全法制化建设不断推进,监管体系不断完善,安全由“或有”变“刚需”。结合顶层设计、法律法规,数据安全新监管同时体现对过程和结果的合规要求。数据处理者既应当从过程方面积极履行数据安全保护义务,也要对数据安全防护的最终结果负责。同时,我国强化数据安全技术自主创新,加速数据安全标准国际化进程。积极开展数据安全技术创新,提升产品性能,促进数据安全技术的成果转化;坚持立足于开放环境推进数据安全标准化工作,推进数据安全中国标准与国外标准之间的转化运用,扩大我国数据安全技术的国际影响力,进而鼓励数据安全企业进入海外市场,为交易流通、跨境传输和安全保护等数据安全应用的基础制度、标准规范和安全评估体系,保障跨境数据安全。(注:我国数据安全相关法律政策、技术标准详见白皮书附录1.) 
2.1.3 全球公正数据安全规则构建 (该章节内容省略,详见白皮书原文)

2.2 数据处理遵循合规要求2.2.1 数据安全面临国内外挑战
数字经济时代,数字产业化和产业数字化快速推进,人工智能、物联网、云计算等技术与数据采集、挖掘、分析能力加速融合,数据活动不断发展、迭代与深化,使得数据安全风险越来越具有多样性、复杂性和多变性等特征,一方面在利用数据追求利益最大化的诱导下,数字技术融入互联互通的新产业生态时,也意味着向产业链供应链相关环节的其他市场主体特别是平台企业让渡了部分数据权益,增加了数据泄露和经济损失风险。另一方面现代战争需要依靠军事指挥信息系统实现指挥控制、情报侦察、预警探测、情报交互、安全保密、信息对抗等功能,这种以计算机网络为核心的军事信息系统,即便实行物理隔离也不能高枕无忧。数据的重要性日益凸显,推数据资源“势能”转换为数字化转型升级的“动能”,海量数据重新定义大国博弈的空间和国家治理架构和模式,进一步成为“国家主权”信息战重要影响因素。放眼于国外,俄乌冲突关键信息基础设施成为“新战场”。2022年“俄乌冲突”爆发,在此期间,除了正面的军事对抗外,关键信息基础设施是对手发动网络攻击的首要目标,打击、破坏关键信息基础设施甚至成为一个新战场。表 1 俄乌冲突网络战时间线

2022数据安全与个人信息保护技术白皮书插图4

着眼于国内,中美摩擦升级威胁国家安全。8月2日,美国议长佩洛西窜访台湾,牵动中国亿万人民的心,由于美国严重违反中美三个联合公报中所作承诺,中方发布对美国的8项反制措施“三个取消五个暂停”:取消安排中美两军战区领导通话、取消中美国防部工作会晤、取消中美海上军事安全磋商机制会议和暂停中美非法移民遣返合作、暂停中美刑事司法协助合作、暂停中美打击跨国犯罪合作、暂停中美禁毒合作、暂停中美气候变化商谈,其中三个“取消”,都涉及到中美两军的交流机制,分属不同层级,意味着两国的军事互信已经降到谷底,也意味着中美未来一段时间发生碰撞、摩擦的风险威胁到国家安全。没有网络安全和数据安全就没有国家安全,没有信息化就没有现代化。网络安全和数据安全就好比国家安全体系的“神经系统”,在整个安全体系链路中处于牵一发而动全身的战略地位。一旦网络安全和数据安全出现问题,与网络技术高度融合渗透的政治安全、国土安全、军事安全、经济安全和社会安全等方方面面都会发生系统性重大风险。政府数据安全方面,例如:美国白宫和军方提供IT和电信支持的美国国防情报系统局(US Defence Information Systems Agency)发生数据泄露事件,约有20万人的个人数据遭到泄露。美国200多个公检法部门泄露296GB数据文件,这些数据包含了美国200多个警察部门和执法融合中心(Fusion Centers)的报告、安全公告、执法指南等。据推测,某些文件还包含敏感的个人信息,例如姓名、银行账号和电话号码。据称,此次数据泄露事件的始作俑者又是黑客组织“匿名者”。政府相关数据安全泄漏事件,不仅危害到个人信息权益,还关系到国家安全。现代战争需要依靠军事指挥信息系统实现指挥控制、情报侦察、预警探测、情报交互、安全保密、信息对抗等功能,这种以计算机网络为核心的军事信息系统,即便实行物理隔离也不能高枕无忧。其实,看似安全的物理隔离并不是绝对安全的,物理隔离对加强目标网络的安全性有不错的效果,但这只是基础防护措施,并不能完全解决安全问题,单纯依赖物理隔离的网络,其脆弱性将越来越明显。无论从防止数据泄露方面还是在防止远程控制方面,都必须在维持物理隔离的前提下,有效结合其他管理方法和技术手段去保护核心网络和资产。 
2.2.2 安全需求被置于次要地位
目前,企业出现安全投入比例不足、安全建设滞后于业务功能建设,“马太效应”情况显现,原因在于数据安全需求被企业管理者放在“次要地位”。安全需求不被重视可用两个角度来解释:一是数据安全的建设者与受益者不一致,符合“经济学的外部效应”理论,类似化工企业如果没有《环境保护法》等法律制约,在不考虑社会责任情况下,其最经济的选择是就地排污排废。数据安全亦然,比如泄漏了大量个人信息,最终受害者是广泛用户,而企业没有实质损失,因此企业往往会忽视数据安全建设。二是管理者的行为遵从“前景理论”(Prospect Theory),意味着人对损失和获得的敏感程度是不同的,损失的痛苦要远远大于获得的快乐,映射到数据安全方面,管理者往往认为自己是幸运儿,数据泄露等风险不会发生在自己身上,所以赌一把“业务先行、安全滞后”。
2.2.3 强合规监管深化鞭子效力
数据安全已成为事关国家安全与经济社会发展的重大问题。近年来,国家高度重视安全建设,统筹发展和安全,推进行业数据安全保障能力提升,构建起坚实有力的安全法律屏障,形成了《网络安全法》《密码法》《数据安全法》《个人信息保护法》“四法共治”新局面,使得合规监管权责更鲜明、制度更健全、技术更创新。 “四法”之间紧密关联又各有侧重,《网络安全法》提出了安全治理道路,《数据安全法》和《个人信息保护法》明确了保护目标,提出了数据保护的“中国方案”,而《密码法》强调了保护信息与数据的技术手段。结合顶层设计、法律法规,数据安全新监管同时体现对过程和结果的合规要求。数据处理者既应当从过程方面积极履行数据安全保护义务,也要对数据安全防护的最终结果负责。
三、安全建设围绕一实战双合规

3.1 实战合规辩证驱动安全发展
从信息安全技术,到网络(空间)安全,再到数据安全,我国的安全事业跨过了新的里程碑。当下,法规监管(五法一典)与攻防演练(HVV)是安全事业的里程碑工程。

当下,初步建立了数据安全相关的法律法规体系,形成“五法一典”共治的新合规局面,包括《国家安全法》《网络安全法》《数据安全法》《密码法》《个人信息保护法》以及《民法典》。“五法一典”之间紧密关联又各有侧重,《国家安全法》是维护国家总体安全的基础法律,《网络安全法》提出了安全治理道路,《数据安全法》和《个人信息保护法》明确了保护目标,《民法典》包含了自然人的人格权保护,而《密码法》强调了保护信息与数据的技术手段。

进一步的,根据《中华人民共和国网络安全法》及《国家网络安全事件应急预案》等法律法规要求,关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。贴近实战的“HVV”成为网络安全和数据安全建设重要的一环。当下,广泛的企事业单位加入HVV中,网络安全和数据安全需求也从被动应对,升级为主动建设。

“HVV”是由有关监管机构牵头,针对机关和企事业单位的安全领域的真刀实枪式的攻防演练,评估和促进企事业单位的网络安全建设。具体实践中,有关监管机构组织红方(攻击方)会在一个月内对防守方发动网络攻击,检测出蓝方(防守方)企事业单位存在的安全漏洞。通过两方的实战对抗,提升企事业单位网络、系统以及设备等的安全性。

辩证地看,在数据安全发展中,实战与合规是企业的数据安全建设的内因与外因。避免数据资产被破坏,确保业务连续性,是企业数据安全需求的根本原因。没有企业愿意面临数据安全风险威胁,承担数据安全风险带来的影响。可以说,数据安全建设的根据,同时合规是数据安全建设条件,数据安全合规落地需要企业实战应对发生效用。实战和合规既相区别又相联系,辩证统一,实战的最佳实践形成合规的需求来源,合规推广为面向实战提供了防护基线。在数字经济建设浪潮中,企业的具象的数据安全实战诉求和合规需求亦不断转化。

同时,实战和合规存在“量-质”变化规律。结合前述的HVV是实战中重要的演练环节,除了在持续的HVV中总结经验,完善保护,更多的,持续的数量化的实战对抗行动,本质是落地法律要求,维护国家安全,社会秩序和人民利益。实战检验了合规建设的成效,合规降低了实战对抗的落地成本。

当前,实战与合规辩证驱动安全发展。面向应用系统,复杂的数据处理场景对攻防对抗提出极高要求,绝大多数的企业和机构难以持续维持对抗所需的足够资源投入,而合规建设将偶发的、高技术水平的对抗风险,转化成常态的、可重复验证、可被审计的非对抗风险,显著降低安全技术使用门槛。同时合规也解决了“外部经济学”中的消费方与受益方不一致问题,强制要求信息服务运营商加强数据保护。企业需要以合规为起点,以真实对抗为导向,构建有效的数据安全实战化防护体系。数据安全实战化防护指标包含三部分:第一,应满足密码防护能力融入业务流程,提供多场景细粒度有效防护;第二,能够融合访问控制、审计等其他安全技术,实现安全机制可靠有效运行;第三,支持敏捷部署、实施周期短、对业务影响小等特点。

3.2 攻防对抗有效检验防护能力3.2.1 数据安全攻防视角的新思路
3.2.1.1 传统“老三样”防御手段面临新挑战

回顾过去,不难发现传统网络安全是以防火墙、杀毒软件和入侵检测等“老三样”为代表的安全产品体系为基础。传统边界安全防护的任务关键是把好门,这就好比古代战争的打法一样。在国与国、城与城之间的边界区域,建立一些防御工事,安全区域在以护城河、城墙为安全壁垒的区域内,外敌入侵会很“配合”地选择同样的防御线路进行攻击,需要攻克守方事先建好的层层壁垒,才能最终拿下城池。其全程主要用力点是放在客观存在的物理边界上的,防火墙、杀毒软件、IDS、IPS、DLP、WAF、EPP等设备功能作用亦如此。

而观当下,云计算、移动互联网、物联网、大数据等新技术蓬勃发展,数据高效共享、远程访问、云端共享,原有的安全边界被“打破”了,这意味着传统边界式防护失效和无边界时代的来临。

3.2.1.2 由应对到主动的安全防护技术升级

IT系统不可避免地存在缺陷,利用缺陷进行漏洞攻击或是网络安全永远的命题,攻防对抗视角的网络安全防护是过去主要的安全防护手段。当然,所有网络安全防护最终还是为了保护数据,防止“偷数据、改数据”,但是今天我们认为网络漏洞始终在所难免,所以需要从“防漏洞、补漏洞”的应对式防护,转化到“为数据访问重建安全规则”的主动式防护,也即“以数据为中心的安全”,这也是安全技术不断进化的必然产物。

在实践中,需要把“以网络攻防为中心的安全”和“以数据保护为中心的安全”相结合,两者相辅相成、齐驱并进,方可全方位保护网络与数据生命周期安全。

3.2.1.3 数字时代下数据安全防护挑战空前

大数据时代,数据的产生、流通和应用变得空前密集。分布式计算存储架构、数据深度发掘及可视化等新型技术、需求和应用场景大大提升了数据资源的存储规模和处理能力,也给安全防护工作带来了巨大的挑战。

首先,系统安全边界模糊或引入的更多未知漏洞,分布式节点之间和大数据相关组件之间的通信安全薄弱性明显。

其次,分布式数据资源池汇集大量用户数据,用户数据隔离困难,网络与数据安全技术需齐驱并进,两手同时抓。突破传统基于安全边界的防护策略,从防御纵深上实现更细粒度的安全访问控制,提升加密算法能力和密钥管理能力,是保证数据安全的关键举措。

再次,各方对数据资源的存储与使用的需求持续猛增,数据被广泛收集并共享开放,多方数据汇聚后的分析利用价值被越来越重视,甚至已成为许多组织或单位的核心资产。随之而来的安全防护及个人信息保护需求愈发突出,实现“数据可用不可见、身份可算不可识”是重大命题,也是市场机遇。

最后,数字化生活、智慧城市、工业大数据等新技术新业务新领域创造出多样的数据应用场景,使得数据安全防护实际情境更为复杂多变。使得如何保护数据的机密性、完整性、可用性、可信性、安全性等问题更加突出和关键。

3.2.1.4 建设以数据为中心的安全治理体系

对国家而言,致力构建与时俱进的网络空间数据安全保障体系,努力实现从应对到主动防护的战略转变,以维护国家网络空间安全,是事关国家安全和人民利益;事关服务关键信息基础设施和重要信息系统安全可控的国家战略需求。

对企业或组织而言,数据安全治理是事关自身资产安全、可持续发展战略的必经之路,须从保护商业秘密、业务安全、客户权益等方面扎实做好数据安全防护工作。一是保护数据本身安全,即数据机密性、完整性、可用性;二是满足国家相关法律法规对个人信息和关基的合规性要求。

这就决定,数据安全防护需以“数据为中心”建立安全防护与治理体系,聚焦数据与生态,明确数据的使用、存储、传输场景,构建由数据安全组织管理、合规治理、技术防护“三部曲”组成的覆盖数据全生命周期的防护与治理体系。3.2.2 数据安全实战能力的新要求

3.2.2.1 数据安全要侧重数据保护能力

从数据安全技术转变,可以看出数据安全更加侧重要数据保护能力(传统网络安全主要为检测响应)。在数据集约化、规模化发展前,受限于IT技术和产业发展影响,数据留存与分析本身不是IT建设重点(主要是业务实现)。进而,对数据自身保护往往有限,比如大量数据明文存储(2011年,CSDN账号口令被拖库可以看出,敏感数据保护是常见短板);再比如企业重要文件无异地备份(2014年,勒索病毒爆发后,较多企事业单位敏感文件无法找回)。

当前,在国家法律法规持续完善的合规引导下,企事业单位应当建立主动的数据保护体系,在数据安全管理制度下,从数据本身内容表达进行机密性、可用性、完整性、价值、使用价值、属主等关键要求保护。

3.2.2.2 数据安全要赋能业务运营能力

传统的网络安全、信息安全技术手段,往往不考虑业务特性,侧重于信息化系统,通过点式防护,堆积可复制化设备来实现安全。然而,数据是业务组织经营和业务运营的关键因子。企业保护数据要求结合组织使命和业务特征,实现场景化的解决方案。比如,业务要求实现对互联网用户提供消费服务,那么,管理者需要考虑用户敏感个人信息存储安全、展示安全,需要考虑结合业务数据和个人信息互联网传输安全,本质上要求管理者把数据安全能力赋予组织业务运营。

3.2.2.3 数据安全要提供服务支撑能力

云服务、数据中心成为数字经济时代关键信息基础设施之一,成为企事业单位优化IT架构最主要实施手段。进而,数据安全亦要成为服务于信息化重要支撑。在满足监管合规要求的前提下,数据安全能力建设要契合业务发展需要(以数据治理为中心的业务运营理论将成为主要组织目标),同时应结合管理、技术、运营形成服务能力,为组织持续的数据增长、业务发展提供长久保障。结合业务场景,通过数据资产管控技术,建立面向统一数据调度方式,形成良性数据共享机制,提高数据置信度、优化模型合理性、数据流转更清晰,管理权责更明确,在以成效为导向的价值标准下,数据安全服务支撑能力成为组织数据安全能力建设核心之一。3.2.3 数据安全思路模型的新演进

在全球贸易形态新变化和后疫情时代下,数据安全面临的安全风险与挑战越来越复杂。基于此,实现数据安全通常有两种思路。第一种思路是复杂对抗复杂,建设复杂管控平台,在数据全生命周期流转的各个环节,发现数据安全威胁,加固数据安全漏洞;第二种思路是安全思路与模型的进化,即在网络安全“防漏洞,堵漏洞”思路的基础上,结合数据安全侧重要于保护思路,进行新安全模型进化。

进一步探索,传统的网络安全经典模型是DR(检测/响应)模型,并进行不断完善如PDR(防护/检测/响应)、P2DR2(策略/防护/检测/响应/恢复)模型等。其特征是,其中PDR安全模型是基于时间的动态安全模型,如果信息系统的防御机制能抵御入侵时间,能超过检测机制发现入侵的时间和响应机制有效应对入侵时间之和,那么这个系统就能有安全保障。然而,在数字时代,5G、物联网、云服务等技术大量应用,入侵检测时间和响应机制不足满足数据和数据价值保护时间。

而对于数据安全新思路和新模型,则是在对数据的防护能力顺序、空间颗粒度、数据状态等多个维度上,采用面向失效的安全理念,协同联动的叠加多种安全保护机制。故本文重点考虑了在数据安全实现中的新思路和新安全模型。

3.3 密评合规明确定义技术基线

“密评”全称“商用密码应用安全性评估”,是指在采用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。从《商用密码应用与安全性评估》看,密评于2007年提出,经过十几年的积累,密评制度体系不断完善成熟,其发展历程大致可分为奠定、集结、建设、试点、推广5个阶段。

显式地,密评体现了强合规与政策特性。首先,开展密评,是国家相关法律法规提出的明确要求,是网络安全运营者的法定责任和义务;可以说,开展密评,是广大网络安全运营者落实法律法规要求,履行网络安全义务的一项重要责任。其次,通过密评可以及时发现在密码应用过程中存在的问题,为网络和信息安全提供科学的评价方法,逐步规范密码的使用和管理,从根本上改变密码应用不广泛、不规范、不安全的现状,确保密码在网络和信息系统中得到有效应用,切实构建起坚实可靠的网络安全密码保障。再次,密码应用是否合规、正确、有效,涉及密码算法、协议、产品、技术体系、密钥管理、密码应用多个方面。因此,需委托专业机构、专业人员,采用专业工具和专业手段,对系统整体的密码应用安全进行专项测试和综合评估,形成科学准确的评估结果,以便及时掌握密码安全现状,采取必要的技术和管理措施。最后,密码应用需要强监管来保证。重点面向网络安全等级保护第三级及以上系统,落实密码应用安全性评估制度。因此,针对重要领域网络与信息系统开展密评,是网络运营者和主管部门的法定责任。

隐式地,密码技术是网络与数据安全的关键基石。现代密码学作为数学、计算机、电子、通信、网络的一门交叉学科,广泛应用于军事、商业和现代社会的生产生活,但在信息化和信息安全建设过程中,终端层防护软件,网络层访问控制设施,主机层白名单策略,终端层防护软件增强了“人员”“信息”“操作”之间的权限管控。在早期信息化时代,面向信息系统的“隔离式”安全保护,前述措施发挥了重要作用。由此,从业者逐步忽略了密码技术底基层价值和弱化了密码技术“可证明安全性”安全基线保障。

可证明安全性起源于Shannon的完善保密性理论,是现代密码学中的基本工具,在引入计算复杂性、概率算法和随机预言模型,成为了密码方案和协议的理论基础和设计依据。

数据加密技术和去标识化技术是数据安全领域中密码技术的直接应用。同时,从密码技术演化出“加密”和“认证”两大基本功能,直接保证数据处理中权限管控技术实现。进一步地,借助密码技术建立泛信任机制是数据开发与利用底层支撑能力。企业数据资源的共享和使用需要新密码应用场景支持,如同态加密、多方安全计算、后量子密码等,以及区块链等更多的新技术应用。

如上所述,在结合商用密码算法应用大背景下,“密评”工作是企业或组织网络与数据安全建设中关键技术基线。

3.4 安全认证全面保障数据合规

在密评合规的技术基线上,企业的数据安全体系建设是全方位的,安全能力要下沉于各个业务和各个数据控制点。全方位的数据安全体系依托于“技术”“管理”,全面建设“运营”“策略”“人员”“制度”多层次展开。同时,要避免数据安全能力脱离数据应用及数据处理的关键环节。由此,评价一个企业或组织的数据安全能力,不断完善安全体系,保障数据合规变得十分重要。

认证是最常见的评价机制。一般定义下,认证指认证机构证明产品、服务、管理体系符合相关技术规范的强制性要求或者标准的合格评定活动。通常,根据强制程度可分为自愿性认证和强制性认证,根据认证对象可分为体系认证、产品认证和服务认证等。

特别地,第三方认证以“中立者”的视角为企业或提供认证服务,得到了市场的广泛认可。高可见式的第三方认证标志亦让企业或组织的体系、产品、服务增加企业侧的自信力和用户侧的公信力。

众所周知,ISO9001质量管理体系、ISO22000食品安全管理体系、ISO14001环境管理体系、ISO45001 职业健康安全体系等认证,为整个企业生产、产品质量、大众消费提供了公信强力。

对于网络安全,“网络关键设备和网络安全专用产品安全认证”是代表性安全认证之一,依据《网络安全法》第二十三条的规定,对网络关键设备和网络安全专用产品依据国家标准强制性要求开展安全认证。相关的网络安全产品要经过严格的型式试验、工厂检查后,方可获得认证,并要在获证后持续被监督,是权威第三方对网安产品精准风险识别,严格安全把关的典型情况。

与之对应,在国家监管部门指导下,行业专家、学者和企业,在数据安全领域快速完善者各类安全认证。本文选取DSM数据安全管理认证作为代表,研究、分析安全对于企业数据合规保障价值。

2022年6月9日,国家市场监督管理总局和国家互联网信息办公室联合发布了“关于开展数据安全管理认证工作的公告”(以下简称18号文)。

18号文明确要求参照国家标准《GB/T 41479-2022 信息安全技术 网络数据处理安全要求》,开展数据安全管理认证(DSM)。其中,《网络数据处理安全要求》结合了《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《GB/T 35273-2020个人信息安全规范》等规定,从数据处理安全总体要求、数据处理安全技术要求、数据处理安全管理要求三个方面规定了网络运营者开展数据处理活动的安全要求。

在数据处理安全总体要求中,数据识别、分类分级、风险防控、审计追溯形成了基本防护闭环。在数据处理安全技术要求中,开展数据处理时应进行影响分析和风险评估,采取风险控制是前提,同时,严格把关、收集、存储、使用、加工、传输、提供、公开是全生命周期技术要求,满足个人信息处理权利和权益保障,做好访问控制与审计,落实数据删除和匿名化是增强要求。在数据处理的管理要求中,数据安全责任人、人力资源保障与考核、事件应急处置俱是最基本管理落地。

如上所述,在密码技术基线上,围绕着《网络数据处理安全要求》,落实数据安全保障总体建设具有较高成效可预见性,成果可度量性。

进一步的,结合18号文件,根据《数据安全管理认证实施规则》,网络运营者可以利用数据安全管理体系认证准绳,以指导和验证数据安全管理体系有效性,提供数据处理及数据安全合规。
四、数据保护演进新框架新战法

4.1 典型技术理念和架构
4.1.1 典型技术理念(此章节的内容省略,详见白皮书原文)
4.1.2 典型技术架构(此章节的内容省略,详见白皮书原文)

4.2 数据安全需要新框架
数据的最大特征就是流动,只有流动中的数据才能创造价值。对于重要信息系统而言,软硬件漏洞不可避免,未知威胁层出不穷,内外夹击形势严峻,传统的防御思路已不能有效应对,与其陷入无休止地“挖漏洞、补漏洞”的被动局面,不如寻求数据防护的新思路,探索数据安全建设新框架。
4.2.1 应对式叠加演进主动式安全
数据安全面临的风险主要来自两方面。一是带有获利目的的外部威胁与对抗的持续升级,加之新兴技术演进带来不可预知的安全风险。二是来自内部的安全风险,即传统安全体系存在着固有的问题。据《人民日报》报道,意大利信息安全协会近期发布的研究报告显示,2021年全球网络犯罪造成的相关损失超过6万亿美元,而2020年这一数字估计为1万亿美元。传统的网络安全设备注重单点防护、静态防护,缺乏联动能力,且对未知威胁缺乏“看得见”的能力。同时,安全管理系统往往存在重建设、轻运营,缺乏有效的安全运营工具和手段,难以定位攻击方,缺乏事后分析、追溯能力等不足。网络和数据安全始终是攻击者和防御者之间的战斗。未来具有不确定性,但能肯定的一点是:作为数据安全的防御者,仍将继续面临新的、不断演化的网络安全威胁与挑战。然而,目前的数据防护主流思路是应对式防御,通常是系统遭受了攻击后,根据攻击情况采取行动,包括且不限于:传统杀毒软件、基于特征库入侵检测、病毒查杀、访问控制、数据加密等手段,“滞后于攻击手段”的弊端明显。传统“封堵查杀”难以适应时代发展,应对拟人化和精密化的攻击,且容易被攻击者快速发现漏洞,针对薄弱点进行精准攻击,不利于整体安全。当下来看,网络漏洞始终在所难免,应对式防御“治标不治本”,直接针对数据本身进行主动式防护,是实现数据安全的最直接有效的手段,这也是“以数据为中心的安全”。构建主动防护能力,政策已先行。于2019年12月1日起正式实行的等保2.0标准,在1.0时代标准的基础上,也更加注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,不仅实现了对传统信息系统、基础信息网络的等级保护,还实现了对云计算、大数据、物联网、移动互联网和工业控制信息系统的等级保护对象的全覆盖。对于行业来说,威胁和安全响应就是一场时间赛跑,以主动式防护为代表的产品和服务需求未来必将快速增长。主动式防护将实现安全运营、安全态势感知与防御协同形成联动,能够在面临威胁时做到从容不迫,并给予“道高一丈”式压制打击。
4.2.2 网络与数据并重的安全建设
传统的城防式数据安全,主要是保护被传统物理网络多层包围的数据,这种防护体系仅适用于保护静态数据。但当下,数据已成为新生产要素,数据被充分共享流转以产生价值,传统城防式数据安全已经难以满足需求。我们认为,数据与“网络/主机/数据库/应用”是正交关系,“以数据为中心的安全”本质,是在数据流转的多个层次环节中,通过重建业务规则,对数据施加主动式安全防护,即直接对数据本身进行加密、访问控制、安全审计等安全手段。结合企业信息化发展,以数据为中心的安全建设理念是更加有效的做法。以网络为中心的安全体系是保证数据安全的前提和基石,而以数据为中心的安全,以数据为抓手实施安全保护,能够更有效增强对数据本身的防护能力。因此,网络与数据并重的安全建设成为大势所趋。“以网络攻防为中心的安全”与“以数据保护为中心的安全”之间是相互关联、彼此依赖、叠加演进的。

2022数据安全与个人信息保护技术白皮书插图5

图 4 网络与数据并重的新安全建设理念
着眼当下,数据安全所面临的问题不是做的过多导致冗余,而是出血口太多、防护能力达不到。事实上,应用系统、安全产品、基础设施都潜藏着漏洞,或者存在考虑不周的安全设计缺陷。好的安全理念应该是以网络与数据并重为新建设方向,面向失效的安全机制,通过有联动协同的纵深安全机制,构建有效防线。从针对数据本身进行主动式防护出发,将数据安全技术组合赋能给具体行业安全问题,比发掘一个适用于所有行业的通用问题,更符合用户的实际需求。在数据安全建设的发展进程中,不断洞悉时代发展需求,创造性地提供新框架、新方法,能够有效带动其他参与者在一个良性的生态中协同共进,为数据安全建设带来全新突破。
4.2.3 经典网络安全框架ATT&CK
作为网络安全行业目前公认权威、并被普遍接受的网络攻击模型框架,ATT&CK是由MITRE公开发布于2015年,全称是Adversarial Tactics, Techniques, and Common Knowledge(对抗性的战术、技术和通用知识)。从最初的一个内部人员分享的Excel电子表格工具,到如今已经发展成为威胁活动、技术和模型的全球知识库,ATT&CK汇聚来自全球安全社区贡献的基于历史实战的高级威胁攻击战术、技术,形成了针对黑客行为描述及相应防御构建的通用语言和知识图谱,并在企业、政府和安全厂商中广为流行。目前,ATT&CK当前主流版本包括14个攻击战术、205个攻击技术、573个攻击流程,覆盖了绝大多数网络攻击手段,使安全运营不仅知己而且知彼,从而有机会衡量安全体系应对攻击的纵深防御、检测响应能力,并在实战对抗中持续改进提升,能够为网络安全防护提供专业的技术参考。ATT&CK框架以及关联的Shield主动防御框架,以网络攻防为视角,侧重“以网络为中心的安全”保护思路,通过“防漏洞、堵漏洞”的方式保护数据。

2022数据安全与个人信息保护技术白皮书插图6

图 5 ATT&CK企业版矩阵 
4.2.4 数据安全技术框架DTTACK
进入数据时代,侧重攻防对抗的ATT&CK框架,难以覆盖“主动式保护数据”的各种技术手段。炼石尝试从“以数据为中心”的角度提出DTTACK数据安全技术框架,全称是Data-centric Tactics, Techniques And Common Knowledge(以数据为中心的战术、技术和通用知识)。
4.2.4.1 DTTACK的设计思路

网络安全持续的变化,攻防之间的博弈在不停的进化,已有的网络安全能力的度量逐步显露出局限性和不适用性。数据安全建设领域亟待出现新的安全能力度量方式,以应对不断变化的网络与数据安全发展趋势。如果说ATT&CK的出现,是让攻击手法拥有通用语言,那么DTTACK的诞生便是对数据本身进行主动式防护,为防护模式打造了通用技术库。DTTACK不是网络服务器或应用程序安全性的模型,它更强调数据本身的安全性,并从对数据的应对式防护向主动式防护转变,重视从业务风险映射视角列举数据保护需求,也可以为信息化建设、企业业务架构设计提供数据安全能力参考。目前,炼石已初步梳理6个战术,31个技术,83个扩展技术,145个方法,并持续更新迭代,致力于打造数据安全领域的专业权威技术框架。
4.2.4.2 DTTACK的设计理念DTTACK框架
列举了诸多技术,其作用类似于“兵器库”,防守方需要体系化的思路整合这些技术,才能利用好先发优势,精心“排兵布阵”,环环相扣构造纵深防御战线,体系化的防范内外部威胁,提升防御有效性。(1)重视从业务风险映射视角列举数据保护需求安全本质上是一种业务需求,“传统业务需求”侧重于“希望发生什么”,而“安全需求”侧重于“不希望发生什么”,从而确保“发生什么”。从这个角度看,各种安全的定义都可以映射到业务需求,比如Security(安全防攻击)、Safety(安全可靠)、Reliability(可靠性)、Trustiness(诚信度)以及Sureness(确定性)等。而数据安全需求重点是数据的机密性和完整性。当前版本的DTTACK,在数据安全技术列举方面,参考了工信部相关机构正在编制的行业标准《电信网和互联网数据安全管控平台技术要求和测试方法》,将114个具体技术流程分类并对号入座,为数据安全建设提供技术支持。(2)结合NIST安全能力模型、安全滑动标尺模型DTTACK框架的构建,以NIST安全能力模型和安全滑动标尺模型为参考,并做了整合与精简。基于此,DTTACK最新版本选择了六大战术作为基本结构:IDENTIFY(识别)、PROTECT(防护)、DETECT(检测)、RESPOND(响应)、RECOVER(恢复)、COUNTER(反制)。

2022数据安全与个人信息保护技术白皮书插图7


图 6 参考IPDR2和安全滑动标尺模型的结构NIST CSF是由美国国家标准与技术研究所(National Institute of Standards and Technology,简称NIST)制定的网络安全框架(Cybersecurity Framework,简称CSF),旨在为寻求加强网络安全防御的组织提供指导,目前已成为全球认可的权威安全评估体系。该体系由标准、指南和管理网络安全相关风险的最佳实践三部分组成,其核心内容可以概括为经典的IPDRR能力模型,即风险识别能力(Identify)、安全防御能力(Protect)、安全检测能力(Detect)、安全响应能力(Response)和安全恢复能力(Recovery)五大能力,实现了网络安全“事前、事中、事后”的全过程覆盖,可以主动识别、预防、发现、响应安全风险。安全滑动标尺模型为企业在威胁防御方面的措施、能力以及所做的资源投资进行分类,可作为了解数据安全措施的框架。模型的标尺用途广泛,如向非技术人员解释安全技术事宜,对资源和各项技能投资进行优先级排序和追踪、评估安全态势以及确保事件根本原因分析准确无误。该模型包含五大类别:基础结构安全、纵深防御、态势感知与积极防御、威胁情报、攻击与反制。这五大类是一个非割裂的连续体,从左到右,具有一种明确的演进关系,左侧是右侧的基础,如果没有左侧基础结构安全和纵深防御能力的建设,在实际中也很难实现右侧的能力有效发挥。从左到右,是逐步应对更高级网络威胁的过程。深入研究发现,NIST安全能力模型、安全滑动标尺模型两者有交集、但也各有侧重。DTTACK融合两大模型中的丰富安全能力,并施加到流转的数据上,为防御纵深夯实技术基础,是提升数据安全建设有效性的关键之举。(3)发挥以密码技术为核心的数据安全实战价值在DTTACK六大战术中,密码技术也为其提供了重要价值。比如:识别方面,密码可以为数据识别提供身份安全能力,为接口通道实现安全加密;防护方面,数据加密技术本身就是在开放式信道中,构建了强制的防护措施,并结合身份实现访问控制。检测、响应、恢复和反制方面,密码也能够为其分别提供身份鉴别、数据保护、水印追溯等不同能力。尤其对于流转数据防护,密码技术可以提供独特价值。共享流转的数据很难有边界,在做访问控制的时候,如果数据库或归档备份中的数据是明文,访问控制机制很容易被绕过。而通过数据加密技术,可以打造一个强防护场景,用户在正常访问应用的过程中数据才会解密,并结合身份访问控制、审计等安全技术,从而实现了“防绕过的访问控制”、以及“高置信度的审计”。密码技术为数据重新定义了虚拟的“防护边界”,从而更好地对数据实施防护与管控。(4)填补“以数据为中心”的安全技术体系空白当下,数据已成为新生产要素,数据被充分共享流转以产生价值。凡是有数据流转的业务场景,都会有数据安全的需求产生。“以数据为中心”的安全强调数据处于中心位置,就需要站在数据的视角,纵观数据的生命周期,然后针对数据流转的每个关键环节重新审视安全问题和解法。结合到企业或机构的信息系统中,数据安全则来自于业务处理中的风险映射。从时间维度看,数据在流转的全生命周期中的每个环节都会有相应的安全需求;从空间维度看,数据在基础设施层、平台层以及应用层之间流转,不同层次会有不同颗粒度的防护需求。DTTACK以数据安全领域的“全地图技术框架”为目标,可为不同场景的数据安全防护提供基本思路,期望在一定程度上助力提升全社会、全行业的数据安全水位,填补“以数据为中心”的安全技术体系的空白,为数据安全厂商提供通用知识库,为甲方的数据安全规划和技术对比提供参考依据。 
4.2.5 网络与数据一体化叠加演进
实际上,DTTACK不是孤立的。由于“以网络攻防为中心的安全”与“以数据保护为中心的安全”之间是相互关联、依赖、叠加演进的,网络安全是实现数据安全的基础,但光靠网络安全又很难有效保护数据,数据安全新框架是安全技术演进的必然。因此,把“以网络攻防为中心的ATT&CK框架”和“以数据保护为中心的DTTACK框架”相结合,两者相辅相成,将实现全方位多维度的网络与数据安全防护。
4.2.6 切面安全提升防守资源效率
从实战角度,数据安全攻防对抗中,如果攻击者投入足够资源,理论上总能窃取到目标数据。从这个视角看,艰难的防守者也许永远无法构建出“绝对安全的防线”。但是,乐观的看,虽然我们无法杜绝数据泄露,但是可以积极采取技术防护手段,使攻击者对数据的窃取成本高于数据获利,从而让攻击者失去攻击的意义,从这个角度看,这就是“有效的数据保护”。借鉴物理世界中的战争,战争是双方消耗资源的行为,在战争中我方需要构建局部优势,形成降低我方成本、提高敌方成本的综合性博弈,也即所谓“战损比”优化。数据安全也是如此,防守方应当评估技术手段、排序优先,打造“纵深”的防御体系,用更少成本消耗攻击者更多成本,“集中优势兵力、各个歼灭敌人”,实现数据保护的“故胜兵若以镒称铢,败兵若以铢称镒”。

2022数据安全与个人信息保护技术白皮书插图8

图 7 数据安全的防守方需要以低成本撬动攻击者高成本

新时代之下,传统数据库侧加密的数据保护模式渐渐难以满足数据防护新需求,企业和大众的关注重点转向“如何保护企业应用系统中高速流转的数据”,从业务视角看,数据安全本质上就是针对数据重建业务规则,安全需求来源于对数据进行业务处理的“风险映射”,数据安全和业务之间扭结缠绕、不可分割,数据安全技术的演进方向,正在从游离于业务的“外挂式”演进到融合业务的“内嵌式”,从系统和网络层演进到业务应用层。

基于数据安全与业务之间不可分割的关系,在“应用免改造”或“应用轻量级改造”基础上,基于AOP面向切面编程思想,可以打造“面向切面数据安全”。在业务流转的过程中施加安全规则,实现安全与业务在技术上解耦,但又在能力上融合交织。实现“应用免改造”增强细粒度数据防护,不仅能够对大量已有应用提供免开发改造的数据安全增强,也能够为各种新建系统提供敏捷的数据安全集成能力。切面安全对应用是透明的,应用无需改造,也不改变其之前的运行机制,遗留应用或新建应用均可快速部署,不影响企业现有系统的稳定性,保证已上线系统的正常运营,确保企业的业务不中断。由于方案不需要开发改造代码,能够有效节约企业开发资源,用较低的防护成本,消耗了更高攻击者成本,从而提升了资源消耗比和总体防守效率。

4.3 数据安全需要新战法
安全漏洞层出不穷,攻击手段与利用手法日益复杂精妙,攻击方和内部威胁方天然具有单点突破的优势。同时,在构建安全防御体系的过程中,由于防护规则覆盖难以面面俱到,或在具体实施过程中难免疏漏,或内部人员天然有接触数据的风险,这些都可能导致某个安全节点被突破失效,所以简单堆叠防护技术和产品在体系化进攻和日益复杂的内部威胁面前是难以奏效的。面对数倍于防护速度的安全威胁,防守者需要摒弃“一招制敌”的幻想,体系化地与进攻者对抗,打造更为先进的防护战法,才能有效应对日益严峻的安全形势。基于DTTACK的防御纵深,将凭借强大的知识库和技术支撑,形成层层递进、协同联动的新战法,实现在网安对抗中的技高一筹。
4.3.1 数据安全建设的发展演进
当前,数据安全已经成为了政府、企业以及人民群众等各个领域都高度关注的焦点。纵观安全建设的整个发展历程,大体经历了三个阶段。(此处内容省略,详见白皮书原文)
4.3.2 数据安全攻击不断体系化
当下,数据安全防御变得越来越困难,各种强悍的防御手段,在一些“精妙”的攻击下都很快被击破,比如APT攻击让传统防御手段变得形同虚设,信息交互的刚需使网络隔离难以奏效,各种宣称“解决一起安全问题”的防御技术很快被绕过。究其根本,是伴随着安全体系建设的演进,攻击也呈现出体系化的发展趋势。从攻击对象来看,只要有利益、有价值的系统和服务,都存在被攻击的现象,尤其是有影响力国家级、企业级数据,由于针对安全攻击能够带来高回报率,引来越来越多的活跃数据安全攻击团伙的全面研究与精准打击。从攻击特点来看,攻击正变得更为聪明和大胆,不仅是蓄意且具备高智力的,而且逐渐向拟人化和精密化的方向发展。攻击者们不仅能够通过快速查明防御系统或环境中存在的漏洞,精确针对特定薄弱区域定制并发起大规模攻击,还能模拟合法行为模式以绕开和躲避安全工具。从攻击趋势来看,过去针对数据安全漏洞层出不穷的情况,攻击手法大多都是“单点突破”,但绝大多数的单点突破,难以达到攻击目的。因此,攻击趋势正从“单点突破”向“体系化”转变,攻击手段也越来越专业,甚至攻击任务都出现了“黑产链”、“专业外包”等情况。在这样复杂的进攻下,传统的安全边界或网络隔离策略变得形同虚设。当然,体系化的攻击也并非没有弱点。攻击的目的是获利,获利往往会让攻击暴露更多细节。在分析窃取信息为目的的攻击并设计防御措施时,特别需要关注“窃取”这个获利环节。定位寻找有价值的信息,读取访问获得目标信息,以及各种渠道回传窃取的信息,从而实现攻击的目的。如果没有获利环节,一次针对信息系统的攻击可能是没有效益的。另一方面,在整个攻击过程中,获利环节的隐匿性可能是最低的,而且由于攻击产业链的信任关系问题,其执行水平可能也是最差的。
4.3.3 数据安全需放弃“一招鲜”
可以看到,攻击者已经联合起来,形成分工合作的生态圈,如果防守依然处于孤立、静态且不成体系的,那么成功者毋庸置疑会是攻击者。基于分析,值得庆幸的一点是,攻击行为的体系化、链条化,恰恰带来了更多的防御点。防御者首先要达成一个共识,数据安全建设不存在“银弹”,要放弃一招制敌的幻想。“银弹”即银色子弹,在欧洲民间传说及19世纪以来哥特小说风潮的影响下,往往被描绘成具有驱魔功效的武器,是针对狼人等超自然怪物的特效武器。用在数据安全建设领域,代表具有极端有效性的解决方法。但实际上,安全防护不可能达到100% 的安全,即使是1% 的漏洞,也可能造成100% 的损伤。数据依托于信息系统而存在,数据安全不仅仅局限于数据本身,而应扩展到信息系统的各安全领域。多层面、全方位、环环相扣的纵深防御,是目前保障数据安全的有效路径。纵深防御(Defence in depth)概念来源于一种军事战略,在军事领域中是指利于纵深、梯次地部署兵力兵器,抗击敌人大纵深、立体攻击;利于疏散配置兵力兵器,减少敌方火力杀伤;利于实施兵力、火力机动,适时以攻势行动歼灭突入、迂回、机降之敌;利于组织指挥各部队、分队相互支援。数据安全领域的纵深防御是指,在信息系统上根据不同的安全威胁或系统攻击,结合不同的安全防护技术与措施,实施多层的安全控制策略,目标是提供了环环相扣、协同联动的安全防御,也意味着一种安全措施失效或被攻破后,还有另一种安全防御来阻止进一步的威胁,降低攻击者进攻成功的机率。麻烦是永远存在的,除非主动解决,否则它不会主动消失。在数据安全建设领域也是这样,数据安全是件极其复杂的事,现在考虑进来的麻烦多了,未来遇到的麻烦就会少。事后消补永远不及设计之初就纳入安全,不论是效果还是成本都会有所体现。
4.3.4 数据安全多维递进式设防
知己知彼,才能百战不殆。针对数据安全漏洞的攻击变得体系化加大了防御的难度,但获利环节让攻击暴露更多细节,使得防御者有了更加精准的防护切入点。在数据安全防护过程中,不存在一招制敌的战法,基于DTTACK 的防御纵深,将凭借先发优势、面向失效的设计、环环相扣的递进式设防,成为百战不殆的有效战术。
4.3.4.1 利用好先发优势
为了对抗体系化的攻击,防御体系的设计应用好“先发优势”,针对威胁行为模式,提前布置好层层防线,综合利用多样化的手段,实现各个维度防御手段的纵深覆盖,让进攻者在防守者布局的环境中“挣扎”。一方面,通过“排兵布阵”制定策略,结合IT基础设施、网络结构、系统分区、业务架构、数据流向等进行精心防御设计,消耗进攻者的资源;另一方面,是形成多道防线,每一道防线都是针对前一道防线破防的情形打造,而不是盲目的堆砌,这就需要提到面向失效的设计原则。
4.3.4.2 面向失效的设计面向失效的设计
原则是指,任何东西都可能失效,且随时失效。需要考虑如前面一道防御机制失效了,后面一道防御机制如何补上后手等问题,考虑系统所有可能发生故障或不可用的情形,并假设这些可能都会发生,倒逼自己设计出足够健壮的系统。是一种在悲观假设前提下,采取积极乐观的应对措施。面向失效的设计是防御纵深的关键。整体思路:从传统静态、等待银弹的方式转向积极体系化的防御纵深模式。分析进攻者的进入路径,基于面向失效的设计原则,打造多样化多层次递进式的防御“后手”。

2022数据安全与个人信息保护技术白皮书插图9

图 8 面向失效的数据安全纵深防御新战法
基于面向失效(Design for Failure)的防御理念,从几个重要维度层层切入,综合利用多样化手段构建纵深,当一种保护手段失效后,有后手安全机制兜底,打造纵深协同、而非简单堆叠的新战法。这里选择三个比较重要的维度,一是安全能力维度(I.识别、P.防护、D.检测、R.响应、R.恢复、C.反制),二是数据形态维度(使用态、存储态和传输态等),三是技术栈维度(SaaS/业务应用、Paas/平台、IaaS/基础设施),这三个维度之间关系是独立的、正交的,三者叠加可构建更有效的数据纵深防御体系。
4.3.4.3 多维度纵深防御
“纵深防御”是一种应该体现在数据安全防御体系设计各个方面的基本原则,而不是一种“可以独立堆叠形成的解决方案”。
(1)多层堆叠不等于防御纵深

2022数据安全与个人信息保护技术白皮书插图10

图 9 数据安全防护架构图
企业传统的城防式安全防护是将数据一层层地保护在中心,为了保护核心数据,在多个层面进行控制和防御,比如安全制度建设(安全意识培训)、物理安全防护(服务器加锁,安保措施等)、边界安全措施(使用防火墙等)、应用安全系统防御(访问控制、日志审计等)以及对数据本身的保护(数据加密等)。实际上任意层漏洞都可能直接造成数据的泄漏,导致之前建设的所有的安全手段就会瞬间瓦解。例如,在2017年11月15日,Oracle就发布了五个针对Tuxedo的补丁,修补了5个极高危的漏洞,攻击者可以利用这些漏洞从应用层面获得数据库的完全访问权限,而无需有效的用户名和密码即可获得数据库中的关键数据。内网+多层边界防护是一个丰满的理想,但现实却是骨感的。因为攻击者有可能绕过网络和主机层的“马奇诺防线”,直接从Web应用层打进来。单一边界防护难以保证所谓的内网安全,堆砌式“纵深防御”难以实现“安全网神话”。多组件系统实现“模块纵深”防御覆盖时,必须实现可信可靠、环环相扣的组件间安全交互机制,才能确保实现的是纵深防御而不是多层堆叠。结合业务流程设置多道防线,有助于阻断攻击获利环节。密文信息的解密环节可重点防护,信息系统在加密等防御保护措施基础上,对解密操作等行为的重点监控,可能给攻击获利环节造成难度,甚至形成威慑效果。企业传统的城防式安全防护不等于防御纵深,多层堆叠容易沦为马奇诺防线,环环相扣的多层面递进式纵深是最佳防御路径。
(2)安全措施和业务的动态平衡

从安全能力到数据形态,再到技术栈的层层纵深,包含着一个重要思路就是逐层收缩攻击面,对于攻击行为自由度进行压制,形成一个逐步内聚、互相隔离的防御纵深逻辑。当然,防御纵深的“排兵布阵”也并非一成不变。这里可以引入包以德循环(OODA循环)理论。该理论的基本观点是:武装冲突可以看作是敌对双方互相较量谁能更快更好地完成“观察(Observation)—调整(Orientation)—决策(Decision)—行动(Action)”的循环程序。双方都从观察开始,观察自己、观察环境和敌人。基于观察,获取相关的外部信息,根据感知到的外部威胁,及时调整系统,作出应对决策,并采取相应行动。通过OODA循环的基本观点就可以看出,它同样适用于有着“对抗”特征的数据安全领域,提醒数据安全防守者必须时刻警惕和调整自己的战略和行为,提高对攻击事件的“广度与纵深覆盖”能力。“调整”步骤在整个OODA循环中最为关键,也是快速战术响应的重要环节。因为如果防守者对外界威胁判断有误,或者对于周围的环境理解错误,那么必将导致方向调整错误,最终作出错误决策。而进攻者与防守者在这一决策循环过程的速度显然有快慢之分。防守者的目标应该是,率先完成一个OODA循环,然后迅速采取行动,干扰、延长、打断敌人的OODA循环。此外,防御纵深需要兼具有安全防护和系统保障的双重意义。在防御建设过程中,要提升数据安全能力,也不能忽视业务持续流畅度。安全措施和业务也是密切相关的,两者需要保持调和往前走的状态,最终实现动态平衡。找到两者的平衡点,就意味着实现了最佳安全防护和最佳业务性能。这也再一次印证了,不论是效果还是成本,事后消补永远不及设计之初就纳入安全。
(3)从多个维度分别构建数据纵深防御
①从安全能力构建数据防御纵深“IPDRRC”体现了数据保护的时间顺序,基于时间维度,可以有机结合多种安全机制。识别是一切数据保护的前提,在数据识别与分类分级、以及身份识别的前提下,针对数据安全威胁的事前防护、事中检测和响应、事后恢复和追溯反制等多种安全机制环环相扣,协同联动,可以有效构建出面向失效的纵深防御机制。

2022数据安全与个人信息保护技术白皮书插图11

图 10 IPDRRC投资回报率分布图
当然,从当前企业的数据安全建设重点看,越靠近“事前防护”,投资回报率越高,如果仅依靠检测/响应、恢复以及反制等环节,损失已经发生,企业会付出更高成本。因此,数据安全建设之初,应当优先建设事前防护能力,需要综合应用多种安全技术,尤其是采用密码技术开展数据安全保护,比如加密、脱敏等。② 从数据形态构建数据防御纵深数据大致可以分成传输态、存储态和使用态,而身份鉴别及信任体系则是对数据访问的补充或者前提,基于“数据三态”可延伸出数据全生命周期。围绕数据形态,可以构建多种安全机制有机结合的防御纵深。我们梳理出20种密码应用模式,采用IPDRRC中数据防护段的密码技术,进入了数据形态维度的纵深防御构建。

2022数据安全与个人信息保护技术白皮书插图12


图11 二十种密码应用模式
一览在信息系统中,数据在传输、存储、使用等不同形态之间的转化,每时每刻都在发生,在这种转化过程中,可以利用多种安全技术构建协同联动的纵深防御机制。在传统网络安全防护中,边界是非常重要的概念,边界上可以构建防火墙或IDS等规则。但数据防护过程中,数据没有边界,如果应用密码技术,则可以起到一种虚拟边界的作用,从而在虚拟边界基础上对数据实施保护,形成有效保护作用。在数据存储和使用态的切换中,如果不经过数据加密,只进行访问控制和身份认证,当明文数据在数据库或归档备份时,数据访问容易被绕过。但当我们在数据流转的关键节点上,对数据进行加解密,并结合用户的身份信息和上下文环境做访问控制,可以构建防绕过的访问控制、高置信度的审计,进而在数据存储、使用形态上形成防护纵深,构建出密码安全一体化的数据防护体系。③ 从技术栈构建数据防御纵深信息系统的技术栈体现了空间维度,这也可以作为数据保护的纵深。沿着数据流转路径,在典型B/S三层信息系统架构(终端侧、应用侧、基础设施侧)的多个数据处理流转点,综合业内数据加密技术现状,总结出适用技术栈不同层次的数据保护技术。我们继续前文所述的IPDRRC中数据防护段的密码技术,保护数据存储态,再结合典型信息系统的技术栈分层,可以从技术栈维度构建数据防御纵深。

2022数据安全与个人信息保护技术白皮书插图13


图 12 覆盖不同技术栈的数据存储加密技术
上图列举了10种数据存储加密技术,在应用场景以及优势挑战方面各有侧重:DLP终端加密技术侧重于企业PC端的数据安全防护;CASB代理网关、应用内加密(集成密码SDK)、应用内加密(AOE面向切面加密)侧重于企业应用服务器端的数据安全防护;数据库加密网关、数据库外挂加密、TDE透明数据加密、UDF用户自定义函数加密则侧重于数据库端的数据安全防护;TFE透明文件加密、FDE全磁盘加密则侧重于文件系统数据安全防护。其中,覆盖全量数据的FDE技术可作为基础设施层安全标配,进一步的,针对特别重要的数据再叠加AOE等技术实施细粒度加密保护,两者的结合可以面向技术栈构建出数据防护纵深。综上所述,从安全能力、数据形态、技术栈等多个不同维度上,有机结合多种安全技术构建纵深防御机制,形成兼顾实战和合规、协同联动体系化的数据安全新战法。进一步的,针对数据本身进行安全技术的“排兵布阵”,可利用先发优势,基于面向失效的设计,布置层层防线,综合利用多样化的手段,构造层层递进式的纵深防御战线,并在一定程度上实现安全与业务的动态平衡。这对于企业数据安全建设来说,必将婴城固守、金城汤池、易守难攻。

五、数据安全框架重点技术详解白皮书针对数据安全从识别(I)、防护(P)、检测(D)、响应(R)、恢复(R)、反制(C)、治理(G)七大方面扩充了相应的战术和技术,形成38个技术、110个扩展技术、172个方法,覆盖数据全生命周期安全防护,增强政府、金融、运营商、交通、教医旅等行业事前事中事后的数据安全防御能力。

5.1 l:识别
在识别战术领域,主要聚焦在数据资产发现和处理,本白皮书重点对数据资源发现,数据资产识别,数据资产处理(分析),数据分类分级,数据资产打标作出描述。
5.1.1 技术:数据资源发现

  • 基本概念

数据源发现是指对不同类型的数据资源发现的技术,是[战术: 识别]的首要工作。 数据资源发现非正式定义指: 或通过网络流量分析并还原应用协议(被动的),或通过在业务应用嵌入监测锚点(主动的),或利用网络爬虫和扫描引擎探测并请求应用程序接口数据(主动的),以识别网络协议、应用接口、网页、文本、图片、视频、脚本等数据源。

  • 主要实现

数据源发现系列技术主要包括网络流量分析、应用接口探测和业务锚点监测等。
5.1.2 技术:数据资产识别
数据资源的资产属性,且一般归类为无形资产。 由于数据资产属性,在开展数据安全工作时,首先对数据资产识别是常见技术手段之一。 数据资产识别非正式定义为: 结合组织的行业属性,利用文本识别(音频转义)、图像识别(视频分帧)等技术,通过关键字匹配,正则表达式匹配以及其他自动化识别技术,对数据资源信息、构成等进行资产属性挖掘。 数据资产识别一般为数据资源发现后置动作,一般为数据资产处理、数据分类分级前置动作。

  • 基本概念

数据资产,是指拥有数据权属(勘探权、使用权、所有权)、有价值、可计量、可读取的网络空间中的数据集。

  • 主要实现

数据资产识别的主要实现方式为利用自动化技术手段对企业数据进行筛选与分析,找出符合数据资产定义的数据集。 数字资产的识别技术主要包含关键字、正则表达式、基于文件属性识别、精准数据比对、指纹识别技术和支持向量网络等。
5.1.3 技术:数据资产处理(分析)
当前,常规的、可控的、静态的数据分类分级已有较好的技术支撑,但针对多格式的、自动采集、动态的数据安全分类分级特别要求在数据资产识别后,需要优先进行数据资产处理。

  • 基本概念

数据资产处理(分析)指在数据清洗的基础上,针对已采集和识别的重要数据资产和个人信息进行合规和安全处理。

  • 主要实现

通常,数据资产处理(分析)要首先对数据内容进行识别,然后再进行安全性分析、合规性分析、重要性(敏感性)分析等。 5.1.4 技术:数据分类分级

  • 基本概念

数据分类分级需要分两个步骤来开展。 数据分类指根据组织数据的属性或特征,将其按照一定的原则和方法进行区分和分类,并建立起一定的分类体系和排列顺序,以便更好地管理和使用组织数据的过程。 数据分级指按照一定的分级原则对分类后的数据进行定级,从而为数据的开放和共享安全策略提供支撑。

  • 主要实现

数据分类分级主要实现方式为依据标签库、关键词、正则表达式、自然语言处理、数据挖掘、机器学习等内容识别技术,进行数据分类,根据数据分类的结果,依据标签进行敏感数据的划分,最终实现数据分级的效果。 5.1.5 技术:数据资产打标

  • 基本概念

数据资产打标指在生产过程中,依据国家相关规定或企业自身管理需求,在产品上通过各种技术进行文字、图片等标识,产品并不局限于实体。

  • 主要实现

数据资产打标的主要实现方式包括: 基于关键字的敏感数据打标: 通过字段名称,注释信息; 基于正则的敏感数据打标: 通过样本数据; 基于机器学习的敏感数据打标: 整个表中所有字段名,样本数据,与其他表的相似度进行训练; 对账号字段打标等。

5.2 P:防护

在防护战术领域,重点考虑识别战术后,围绕数据资产展开的主动、被动安全保护技术手段,故对于未直接作用于数据本身的保护技术手段暂未收录。

 5.2.1 技术:数据加密技术

  • 基本概念

数据加密指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。

  • 主要实现

利用加密算法、加密协议以及加密产品,对存储态数据、传输态数据、使用态数据实现密文到明文相互转化。 5.2.2 技术:数据脱敏技术

  • 基本概念

数据脱敏又称为数据漂白、数据去隐私话或数据变形。 是指从原始环境向目标环境进行敏感数据交换的过程中,通过一定方法消除原始环境数据中的敏感信息,并保留目标环境业务所需的数据特征或内容的数据处理过程。 既能够保障数据中的敏感数据不被泄露又能保证数据可用性的特性,使得数据脱敏技术成为解决数据安全与数据经济发展的重要工具。

  • 主要实现

数据脱敏主要包括动态脱敏技术、静态脱敏技术、隐私保护技术等。

5.2.3 技术:隐私计算技术

  • 基本概念

隐私计算是指在保护数据本身不对外泄露的前提下实现数据分析计算的一类信息技术,是数据科学、密码学、人工智能等多种技术体系的交叉融合。

  • 主要实现

从技术实现原理上看,隐私计算主要分为密码学和可信硬件两大领域。 密码学技术目前以多方安全计算等技术为代表; 可信硬件领域则主要指可信执行环境; 此外,还包括基于以上两种技术路径衍生出的联邦学习等相关应用技术。 5.2.4 技术:身份认证技术

  • 基本概念

身份认证技术,是指对实体和其所声称的身份之间的绑定关系进行充分确认的过程,目的是解决网络通信双方身份信息是否真实的问题,使各种信息交流可以在一个安全的环境中进行。 身份认证技术可以提供关于某个人或某个事物身份的保证,这意味着当某人(或某事)声称具有一个身份时,认证技术将提供某种方法来证实这一声明是正确的。

  • 主要实现

在网络安全,乃至数据安全中,身份认证技术作为第一道,也是极其重要的一道防线,有着重要地位。 可靠的身份认证技术可以确保信息只被正确的“人”访问。 身份认证技术的发展,经历了从软件实现到硬件实现,从单因子认证到多因子认证,从静态认证到动态认证的过程。 目前比较流行的身份认证技术包括口令认证技术、无口令认证、生物特征认证等。
5.2.5 技术:访问控制技术

  • 基本概念

访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。 通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。 访问控制的主要目的是限制访问主体对客体的访问,从而保障数据资源在合法范围内得以有效使用和管理。

  • 主要实现

访问控制的功能性实现一般需要两步: 一是识别和确认访问系统的用户; 二是利用技术手段决定该用户可以对某一系统资源进行何种类型及权限的访问。 技术实现方式可分为网络访问控制、权限管理控制、风险操作控制和数据访问控制等衍生技术。

5.2.6 技术:数字签名技术

  • 基本概念

数字签名(Digital signature),签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果,该结果只能用签名者的公钥进行验证,用于确认签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。

  • 主要实现

数字签名使用了公钥加密领域的技术实现,用于鉴别数字信息。 一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。 每种公钥加密体系都能设计实现相应的数字签名,代表性的有RSA签名和DSA签名。

5.2.7 技术:DLP技术

数据(泄露)防护(Data leakage prevention, DLP),又称为“数据丢失防护”(Data Loss prevention, DLP),通过一定的技术手段,防止企业的指定数据或信息资产以违反安全策略规定的形式流出企业的一种策略。 DLP这一概念来源于国外,是国际上最主流的信息安全和数据防护手段。

  • 基本概念

DLP技术,即数据泄露防护技术,主要核心是通过识别结构化数据和非结构化等数据资产,根据安全策略执行相关动作,以实现数据资产保护。

  • 主要实现

DLP技术的内容识别方法别包括关键字、正则表达式、文档指纹、向量学习等; 策略包括拦截、提醒、记录等。 DLP技术可部署在终端、电子邮件、云和网络等各种出口通道上,能够为其提供DLP功能的工具包括邮件安全和邮件网关(SEG)解决方案、Web安全网关(SWG)、云访问安全代理(CASB)、终端保护平台以及防火墙等。
5.2.8 技术:数据销毁技术

  • 基本概念

数据销毁是指将数据存储介质上的数据不可逆地删除或将介质永久销毁,从而使数据不可恢复、还原的过程。

  • 主要实现

数据销毁作为数据生命周期中的最后一环,其目的是使得被删除的敏感数据不留踪迹、不可恢复,主要分为硬销毁和软销毁。
5.2.9 技术:云数据保护技术

  • 基本概念

数据保护技术是指利用云资源和虚拟化技术,实现云平台海量数据的保护技术。 通常包含数据分级存储、多租户身份认证等。

  • 主要实现

在数据安全领域,云安全保护技术呈现“百花齐放”,基于白皮书篇幅问题,本文重点探讨云密码服务、云身份鉴别服务、云身份管理和访问控制等已经在非云领域得到算法分析、模型推导等充分验证的安全技术。

5.2.10 技术:大数据保护技术除了传统的网络安全、信息安全、数据安全相关保护技术外,在大数据环境下安全保护技术具有特定应用背景下数据保护技术。

  • 基本概念

大数据保护技术指在大数据处理环境下,针对大数据自身安全特性,施加安全增强的数据保护技术。

  • 主要实现

常见的大数据保护技术包含数据隔离、分层访问、列数据授权、批量授权等。

5.3 D:检测
在检测战术领域,结合数据动态流转特性,本文共收录六类检测手段,即威胁检测、流量监测、数据访问治理、安全审计、共享监控等。
5.3.1 技术:威胁检测

  • 基本概念

威胁检测,是指采用应用威胁情报、机器学习、沙箱、大数据技术计算资产历史行为等多种检测方法,对网络流量和终端进行实时的监控,深度解析、发现与成分分析; 对IT资产进行精细化识别和重要度评估,帮助信息系统管理者精准检测失陷风险,追溯攻击链,定位攻击阶段,防止攻击进一步破坏系统或窃取数据的主动安全排查行为。

  • 主要实现

通过对全流量常态化威胁监测,提取行为模式和属性特征,创建异常行为基线,智能检测分析如内网横移行为、漏洞利用行为、隐蔽通信行为等APT高级威胁攻击行为,提前发现或隐藏在流量和终端日志中的可疑活动与安全威胁因素。
5.3.2 技术:流量监测

  • 基本概念

网络流量是指单位时间内通过网络设备和传输介质的信息量(报文数、数据包数或字节数)。 流量检测,是指针对网络流量以及其他流量进行的检测分析。

  • 主要实现

流量检测需要对网络中传输的实际数据进行分析,包括从底层的数据流一直到应用层的数据的分析,目前包括网络流量分析、高级安全分析、文件分析、TLS解密等技术。

5.3.3 技术:数据访问治理

  • 基本概念

数据访问治理包括政策、流程、协议和监督等方面职能,是指对数据存储单位中的数据分级分类访问权限进行实时跟踪、合规审核与风险评估的治理过程。

  • 主要实现

通常是针对存储在数据库中的数据,采用实时检测、用户访问行为分析、业务风险评估、动态风险评估、安全影响评估、优化管理等措施来保障数据安全治理整体工作的有效开展。
5.3.4 技术:安全审计

  • 基本概念

安全审计,主要是指通过检测组织针对数据平台的日常服务和运维是否开展安全审计,并验证安全审计是否具有自动分析和报警功能的行为。

  • 主要实现

安全审计主要内容分为两项: 一是检查是否对数据平台部署独立、实时的审计系统; 二是验证数据平台的安全审计系统是否具有日志自动分析功能。 主要包括主机安全审计、网络安全审计、数据库安全审计、业务安全审计和数据流转审计等环节。
5.3.5 技术:共享监控

  • 基本概念

共享监控,是一种基于应用特征的终端识别方法,是指针对在业务系统之间流转或对外提供服务过程中API接口调用未授权或调用异常的监测。

  • 主要实现

在数据共享过程中,需要采取相应的共享安全监控措施实时掌握数据共享后的完整性、保密性和可用性。 基于HTTP报文User-agent字段识别网络接入终端,可对网络中用户私接设备共享上网的行为进行识别和控制; 通过针对共享数据的监测管控,防止数据丢失、篡改、假冒和泄漏。

5.4 R:响应
R: 响应是D: 检测的极其重要的后手动作,是DR模型的重要一环。 本文收录了事件发现,事件处置,应急响应,事件溯源等四个技术。
5.4.1 技术:事件发现

  • 基本概念

安全事件发现是数据安全事件响应的第一步,是指通过主动发现和被动发现,确认入侵检测机制或另外可信站点警告已入侵,以及主动监测数据可能泄露的点,第一时间定位和处理,是实行紧急预案。

  • 主要实现

数据安全事件发现依赖内/外部情报技术和互联网监测技术,同时在综合参考5.3 D:检测战术后,采集足够安全检测和异常行为数据,进行结合大数据分析和快照技术实现事件分析与事件留痕。
5.4.2 技术:事件处置

  • 基本概念

事件处理是指安全事件发生之后,采取常规的技术手段处理应急事件,目前包括了事件还原和流量分析等技术,一方面分析安全事件发生的原因,一方面减小安全事件造成的影响或者损失。 法律法规方面,《中华人民共和国数据安全法》对于有关部门在发生数据安全事件时的处理作了相关说明: “发生数据安全事件,有关主管部门应当依法启动应急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。 ”,同时对相关数据处理的主体也做了责任说明: “发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。 

  • 主要实现

略(5.1~5.4章节的部分细节内容省略,详见白皮书原文) (5.5~5.7 章节的内容,此处省略,详见白皮书原文)
六、数据安全落地分阶段抓效果

6.1 并行推进治理与技术手段
当下,企业数据安全建设的一种思路是“先治理、后保护”模式,即“宏观布局,总体规划,梳理资产明细,再设定安全策略”,基于统筹规划角度,前述建设思路符合常规人脑思维,是较为通用工作推进方法。这种“先治理、后保护”模式,在企业今天面临的实战对抗威胁和合规要求背景下,存在较大局限性。具体来说,企业的数据安全建设必然由一个个项目或工程,相互迭代,持续推进。项目或工程的推进从规划、设计、建设开发、系统上线、运营维护、业务变更等整体工期并非“一朝一夕”可完成落实。同时,由于数据资产及数据处理的动态性,对于数据资产管理,不论是资源梳理,还是分类分级,将长期处于“较完善”状态。此外,企业的核心数据资产变非提出数据安全建设概念后才成为核心资产,比如设备加工参数,药物实验数据,用户个人信息,对于涉及运营的关键性敏感数据,企业的常态化信息化管理和安全管理中,多数已有充分掌握。

进一步,对于企业经营活动中,事关严重违法违规、经营活动中断、财务资金损失的数据安全短板已有共识。比如,2022年7月26日,广州市公安局新闻办公室召开新闻发布会,通报2022年广州民生实事“个人信息超范围采集整治治理”专项工作和“净网2022”专项行动中,全链条打击侵犯公民个人信息等突出网络违法犯罪的相关情况和典型案例。其中,广州警方公布了广东省公安机关首例适用《中华人民共和国数据安全法》的案件:广州一公司未履行数据安全保护义务被警方处罚5万元。在本案例中,涉案公司的“驾培平台”明文存储了驾校培训学员的姓名、身份证号、手机号、个人照片等信息1070万余条,但该公司没有建立数据安全管理制度和操作规程,对于日常经营活动采集到的驾校学员个人信息未采取去标识化和加密措施,系统存在未授权访问漏洞等严重数据安全隐患。针对数据安全短板,犹如重伤之人,需要“猛药攻之”,快速堵上“数据威胁出血口”,而后“温药和之、循序诊治”。

推荐“治理与保护并行推进”,即针对全局的数据合规治理与针对重要数据的实战保护,两者同时开展。针对长期战略的合规治理,仍然需要着重投入,如数据识别分类分级、数据安全应急管理、数据安全人才队伍等手段。针对数据安全技术短板凸显,需要紧急补充和快速上线,如明文敏感数据的存储及展示安全保护、多接收者的数据共享水印保护、关键数据的远程灾备、公开数据的接口防爬虫等措施。

综上分析,本文特别提出“以数据为中心的实战防护和合规平台新安全体系”。整体的数据安全建设需要由合规治理和实战技术双驱动,合规治理要以合规管理平台为依托,承载企业的安全策略、安全组织、安全运营、安全评价,合规治理平台整合安全作业和安全运营,驱动数据安全工作推进,以支撑业务应用安全发展,同时在业务应用数据安全工作中不断调整安全策略和工作矩阵,进一步优化数据安全治理流程,提升效率。

与此同时,实战技术应以业务层加密技术为出发点,在捕获元数据和大数据后,从主路建立起应用级数据安全能力,实战技术平台通过对安全模块管控,并由业务应用调用安全模块(在线/离线),进而利用对安全模块的流量监测和日志审计,实现总体防护技术管控。概要图所下所述:

2022数据安全与个人信息保护技术白皮书插图14


图 13 以数据为中心,实战化防护和新合规平台安全体系

6.2 优先建设数据保护主平台

数据安全建设过程中,企业面临一个突出问题:数据安全技术手段呈现离散、无序等特征。究其原因,整个网络安全和数据安全市场中产品呈现碎片化,缺乏站在企业客户立场。基于此,炼石特别推荐企业应当优先建设“数据保护主平台”,数据保护主平台呈现如下几项特征:

一是“以数据为中心”安全体系建设最佳落地。数据保护主平台首先是以数据为中心的安全平台,在数据安全建设与网络安全建设最大不同,数据安全建设核心是数据,作用点是业务,不管是资产识别、数据保护、行为检测、应急响应都应以可读可写的数据资产为着力点。首先,以数据为中心是未来应用模式,大数据技术和云服务技术应用,导致整体应用模式转为数据运营;其次,以数据为中心是未来业务模式,从数据采集起,处理数据即是业务功能与价值所在,如智能选品、智能采购、智能定价、智能推荐、智能排产、智能调度、智能编排等。最后,以数据为中心的未来的架构模式,基于运营和经营数据考核,为了复用代码复用功能,以数据为中心的软件架构设计,将成为新趋势。更多,数据安全必然也是以数据为中心考虑及设计。

二是应承载对重要数据和个人信息直接保护。优先主路防护,辅以旁路,并整合其他安全技术,数据保护主平台应对重要数据和个人提供字段级、文件级保护能力,比较于传统的网络安全,数据安全要实现数据读写权限上的安全保护,而不是外围或外挂式保护,同时,此类能力应当部署于业务数据流程关键环节,确保保护主平台可实现业务数据内容识别、上下文拦截、安全增强、行为分析,一方面把安全能力下沉到应用节点和安全设备,并统一管理节点、设备功能与性能,另一方面依托于旁路管理设备和分析设备进行数据访问行为和日志记录,与网络安全集中管控平台,与SOC/ISMP不同之处在于,数据安全主平台自身具备很好的数据保护融合能力,表现于三点。首先,数据安全主平台具备较丰富单体作战能力,可以给主路数据提供敏感数据加密、敏感数据去标识化、高风险数据访问分析和阻断、高置信数据安全审计日志输出、数据共享数字水印等能力,其次,数据安全主平台可以针对业务应用提供安全能力供给,可提供多安全模块的组件下发、策略管理、功能监测等,最后,数据安全主平台可整合、协同其他旁路和外挂数据安全设备,比如可以为数据资产治理系统提供实时敏感数据资产访问情况,可以为异常行为监测系统提供安全策略调整情报,亦可以为WAF/IDS/IPS提升安全策略和安全规则优化。

三是以主平台为核心,外延其他数据保护能力的层次防御体系。以数据保护主平台为核心的防御体系,可以类比“航母战斗群”。在以航空母舰为中心前提下,配置巡洋舰、驱逐舰、护卫舰、潜艇、补给舰,形成航空母舰战斗群的外防区、中防区、内防区的三层防御体系。以大型航母为核心,集海军航空兵、水面舰艇和潜艇为一体,是空中、水面和水下作战力量高度联合的海空一体化机动作战部队,具有灵活机动、综合作战能力强、威慑效果好等特点,可以在远离军事基地的广阔海洋上实施全天候、大范围、高强度的连续作战。航母战斗群具备防空、反潜、反舰、对地攻击。其中核心是对地攻击,而最首要的防御问题是防空和反潜。如下图所示:

2022数据安全与个人信息保护技术白皮书插图15

图 14 以主平台为核心多层防御体系示意图

以数据保护主平台为核心,辅助外延其他能力的数据安全防御体系,是集网络、平台、数据高度联动的整体防御能力,同样具有灵活机动(安全模块敏感部署、快速应用)、综合能力强(安全能力作用于数据控制点)、威慑效果好(多层安全防御),可以在贴合业务,可以为数据流转提供有效的连续保护。

数据保护主平台核心是保护流动中数据资产,最首要防护目标:防止非法应用层数据访问,防止内外部勾结窃取或破坏数据,同时利用外围数据安全技术手段,发现异常行为,持续优化安全策略和规则,数据保护主平台和外围数据安全技术紧密融合,可实现防护效果的“乘数效应”提升。不论是纵深安全防护,还是新技术威胁对抗,均可持续性地消减攻击的威胁能力,提高攻击者攻击成本。

6.3 分段规划实战与合规需求
开展数据安全整体规划,须综合考量实战和合规的现实要求,打消“一口吃成胖子”的幻想,整理好任务计划,开展恰当的工作推进计划和重要举措,特别考虑实战与合规综合收益后,稳步提升数据安全水平。
6.3.1 任务与计划

6.3.1.1 第一阶段 筑基础

提升数据安全认识和意识,摸底数据资产范围和数据安全防护“家底”,梳理数据安全管理流程机制,建立数据安全管理矩阵,加固紧迫的数据保护和管控手段。其中,重点工作步骤,调研与评估数据安全管理现状,梳理数据资产管理和全局防护水平,优化数据安全管理流程,建立数据安全责任矩阵,数据安全保护手段紧急加固等。

6.3.1.2 第二阶段 建体系

结合(一)阶段工作情况,实现模块化精细化数据管理,建立数据安全治理体系,其中安全管理体系、安全技术体系、安全运维体系、安全标准体系是基础模块。其中,重点工作步骤,建设安全管理体系,安全技术体系,安全运维体系,安全标准体系。

6.3.1.3 第三阶段 强能力

不断完善(二)阶段工作要求,并不断深化、重点突破,从数据资产管理、数据安全监测、数据安全管控、业务数据检测、数据安全应急响应、数据安全人才培养等六方面开展专项安全工作。其中,重点工作步骤为数据资产管理、数据安全监测、数据安全管控、业务数据检测、数据安全应急响应和数据安全人才培养。

6.3.1.4 第四阶段 验效能

体系化的工作要经得起检验。一方面,安全事件和应急响应中,将验证安全工作开展成效;另一方面,可参考国际国内通用安全管理知识或理念来复盘数据安全工作成效。其中,重点工作步骤,建立数据安全管理成熟度模型,数据安全防护能力模型(健康度),数据安全人员能力模型,数据安全风险自查模型。

6.3.1.5 第五阶段 抓评测

根据(一)(二)(三)(四)工作推进,要重点考虑跨行业数据安全工作评测。在行业测评方面,重点考虑测评技术安全评估管理保障制度,技术安全评估开展,安全可控的技术保障措施,包含但不限于内容安全、用户保护隐私、日志留存管理等。

在行业测评过程中,重点考虑建立第三方人员保障体系,要求技术保障人员运用科学的方法和手段,系统地分析通信网络及相关系统所面临的威胁及存在的脆弱性,并提出有针对性的抵御威胁的防护对策和安全措施。6.3.2 推进与举措
6.3.2.1推进策略

(1)资源整合与复用

建议在整个数据安全治理过程中,遵从强意识传递,透明技术覆盖,并最大限度地利旧设备,复用安全能力。避免推倒重建带来实施阻力。如下,重点数据安全资源能力需求与传统安全资源对比表:表 2 资源整合与复用示例

2022数据安全与个人信息保护技术白皮书插图16

(2)优先投入

① 风险项优先

实施安全风险管理对现有安全管理基础上安全意识的强化、安全理念的提升、工作思路的优化。针对组织的数据安全规划亦应当遵守网络和信息安全客观规律,在坚持长期以来行之有效做法的基础上,用安全风险管理的理念和方法对现行的安全管理进行系统和规范,促使现有安全管理更加理性和科学。

在推进数据安全核心为载体,以落实数据安全生产责任制为保证,全面引入风险管理的理念和方法构建安全风险控制体系,把风险管理与既有安全管理有机融合,切实强化数据安全过程控制和事后防范。使数据安全工作更具超前性、针对性和主动性,促进安全管理的规范化、系统化和科学化。

数据安全风险识别要围绕“设备、人员、操作”等要素,突出数据高风险环节,关键岗位管理,对安全问题和风险隐患进行全面排查,优先处置。

② 前置项优先

当前组织数据安全必然是从已有的安全工作中再优化,再建设。数据安全需要做全局或战略管理。因此,开展数据安全工作时,必须注意到要考虑前置工作优先原则,数据安全需要全员共识(或者需要逐步形成全员共识),共同制定目标、研究策略、明确分工、并严格执行,复盘演练、提高效率、利用大局思维,全局思维、用持续发展的眼光看待数据安全管理,运用PDCA管理方法论不断优化数据安全管理。

③ 创新项优先

创新项目可以带动数据安全推进和发展。数据安全推进去应用到跨行业技术和较新技术,比如组织范围邮件加密使用,组织范围文档水印管理等,数据安全创新项目推广将带来质量管理变化,创新项目很可能将数据安全理念渗透到组织各个生产和管理环节,当然,凝练和解决现有安全问题的数据安全创新需要集思众议的沟通交流。

表 3 DAMA-DMBOK框架下数据安全资源示例

2022数据安全与个人信息保护技术白皮书插图17

6.3.2.2 关键举措

(1)打造基于数据的资产管理

目标1:覆盖全生命周期,管理、采集、存储、整合、服务

在数据资产的管理能力当中,数据管理层为大数据从采集到应用提供辅助支撑,由早期以元数据和数据模型为核心的数据治理向数据安全管理、数据生命周期等能力拓展。数据采集逐渐成为大数据能力框架中的单独层次,通过数据资产管理平台,组织既能够获得离线和实时的内部数据,还可以取得互联网公共数据和第三方数据。

数据仓库层基于传统数据仓库技术,提供数据集市的构建、公共数据的汇总等能力;数据整合层则需要依赖数据资产管理所提供的大数据技术,实现离线数据整合与实时数据整合。数据服务层提供数据查询接口、数据交换和数据共享等能力。

目标2:动态可视化

数据可视化降低大数据的入门门槛,从而使得大数据更加走向跨专业使用,让海量数据通过一些专业的算法和数据分析,在数据之间建立起联系,从而帮助组织在业务发展角度进行助力和推动,组织对数据的需求已经不再停留于对历史数据的处理和分析,越来越多的组织开始实时动态处理数据。

(2)开展高风险环节监测和审计

目标1:数据动态流转

自动梳理业务系统数据库、表、表间关联关系,构建业务数据模型。监测访问业务数据库表及其关联表的操作行为,监测异常行为,比如账号滥用,账号异常,高危操作,批量导出,事件还原分析,围绕告警,回溯完整会话日志;提取信息,构建时间、人、事、内容等完整事件信息。

目标2:数据交换监控

监控数据交换传输过程中,监控应用服务器运行状态,数据库服务器运行状态,消息队列节点与父节点连接状态、消息队列节点与子节点连接状态,接收队伍消息数,处理事务中消息数等;监控数据交换服务、调度器、监听器等;对数据共享交换进行监控管理,包含共享交换过程中的发起方、接受方、采用的共享/交换规则,策略的运行情况等;对前置机的适配器和消息中间件的状态进行监控,及时了解各节点的运行状态。

目标3:多项网络安全审计

在数据安全管理中,仍然需要不断加强常规安全审计,至少要进行如下审计:

系统日志审计、网络设备审计、安全设备审计,根据审计目的又可分为,内部合规行为审计,外部攻击检测审计。

目标4:数据共享行为审计

对数据共享交换进行监控管理,包含共享交换过程中的发起方、接受方、采用的共享/交换规则,策略的运行情况等。对共享发送日志和接收日志进行审计,验证一致性,对数据高风险操作行为进行审计,如限定下载数据的使用权限,不同数据仓库间的共享数据,撤回外发数据,跨敏感级别数据使用,批量导入导出等行为进行审计。

(3)数据安全重要专项

① 部署内部数据安全检查

② 建设数据安全检测评估

③ 开展大数据合规评测

七、数据安全应用示例方案参考

7.1 政务大数据交换共享场景

参考适用场景: 政务类平台的数据存储、数据提供场景 表  4   政务大数据交换共享场景典型威胁情境

2022数据安全与个人信息保护技术白皮书插图18

7.1.1 概要

2022年1月6日,国家发展改革委印发《“十四五”推进国家政务信息化规划》,提出坚持安全可靠,强化安全保障。坚持网络安全底线思维,强化网络安全和数据安全,严格保护商业秘密和个人隐私,落实信息安全和信息系统等级分级保护制度,全面提升政务信息化基础设施、重大平台、业务系统和数据资源的安全保障能力。 电子政务公共数据开放共享平台项目建设目标是,依托统一的“云”数据中心建设统一的公共数据开放共享平台。集中机关各部门业务应用进行,制定相关的数据规范和信息交换标准,使机关各部门业务系统依托统一的开放平台进行开发建设。确保部门之间系统之间的互联互通、数据共享,为大数据分析提供数据依据。

7.1.2 安全现状

7.1.2.1已完成安全建设

结合相关国家标准和建设规范,各接入部门到电子政务公共数据开放共享平台的数据进行 VPN加密传输。接入部门和平台两端防火墙插卡设备之间采用IPSecVPN协议,保证数据在传输过程中的端到端安全性。平台业务系统在传递消息的过程中可以指定采用消息内容的校验。对安全性要求比较高的业务系统来说,在调用平台的 WebService接口时使用HTTPS协议,保证了传输层面的安全。平台部署了数据库审计产品来实现对数据安全审计及防护。

7.1.2.2缺失安全手段

在多年运营情况来分析,由于平台规划设计阶段未充分考虑收集数据数量和速率呈现倍数增长引发新安全隐患,未充分考虑数据对外共享接口管理可能出现失控,面临数据安全、个人信息保护方面新法规要求,导致平台持续健康运营存在安全风险。综合分析,平台需要紧急解决如下场景化数据安全问题:

(1)从各委办局录入或采集数据需要实现内容合规、数据安全(文档、数据库),同时要平衡人工审核和智能化投入成本;

(2)数据库存储的数据包含个人信息(含敏感信息)、公共数据(含重要数据),要实现数据库字段的数据加密存储,减少内部技术人员和黑客获取原始敏感数据的风险,同时符合多品牌、多版本数据库现状;

对外共享数据时,需要防止接口调用方滥用接口,或者攻击接口(非法请求),利用共享接口发起“拖库”或“撞库”等攻击。

7.1.3 解决方案

建议平台管理者单位结合DTTACK模型,进行如下方案分析与设计:需求一实现:选择5.1 I:识别ˆ5.1.3 技术:数据资产处理(分析)ˆ5.1.3.1 扩展技术:数据内容识别与5.1.5.1 扩展技术:标记字段法技术;选择5.3 D:检测ˆ5.3.2技术:流量监测ˆ5.3.2.1 扩展技术:网络流量分析;5.3.2.2 扩展技术:高级安全分析技术;针对电子政务类数据类型,筛选并建立行业敏感字段、数据库字段等特征库;利用识别算法和检测算法实现持续优化;(该部分剩余内容省略,详见白皮书原文) 

 7.1.4 总结随着法律法规监管日趋收紧,前期缺乏数据安全顶层设计的政务大数据交换共享平台面临数字经济发展和数据安全双重挑战。在尽量不改动平台架构与设计的前提下,重点考虑平台业务特性,贴合平台业务形态设计专有数据安全方案变得必要。参考DTTACK模型,从数据安全保护角度,查漏补缺,实现平台数据安全防护能力快速迭代,解决痛点问题,并最大化降低不必要或非紧急安全投入,平衡合规、威胁和安全投入。