奇安信集团数据安全首席专家刘前伟表示,重要敏感的大规模数据泄露事件多次发生,暴露出国内数据安全仍然面临着合规落地滞后、重要数据针对性防护缺失、缺乏全方位风险感知等三大矛盾,如何保障重要数据“零事故”、不出事是当前亟待解决的核心课题。
国内数据安全尚面临三大矛盾
大数据时代,个体、组织和国家所产生的数据将行为主体的敏感信息、自身权益以及经济价值等置于更加透明的位置,其网络安全风险也随之加剧。根据奇安信威胁情报中心的监测发现,仅仅是2022年1月到10月,就有超过950亿条的中国境内机构数据在海外被非法交易,其中60%的数据泄露事件泄露的是公民个人信息,约有570多亿条,这就相当于14亿中国人,在2022年,平均每人泄露了41条个人信息。数据安全已成为关乎社会民生的重大问题,而当下有三大矛盾亟需破解。
第一个是法律法规监管加码和合规落地滞后的矛盾。
2021年,国家先后发布了《数据安全法》、《个人信息保护法》、《数据出境安全评估办法(征求意见稿)》、《网络数据安全管理条例》(征求意见稿);2022年6月,国家又发布了《关于开展数据安全管理认证工作的公告》,进一步将数据安全从法律法规层面,推向了监管落地层面。
图:国家战略与网络安全、数据安全法律法规概览
然而,这些重磅法律法规具体的实施落地情况,却不尽人意,甚至和法规要求相去甚远。2022年6月,工信部对外公布已累计通报、下架违法违规APP近3000款;2022年8月,国内某出行巨头被罚处80.26亿元,加上国内频发的数据泄露、数据滥用等事件,都暴露了《数据安全法》等法律法规,距离实际落地依然存在不小的“真空地带”。
第二是关乎民生数据的高重要性,与防护体系非常脆弱的矛盾。
刘前伟认为,目前大规模重要敏感数据缺乏针对性的防护手段。众所周知,随着云计算、大数据技术的发展,大数据的集中存储使得其重要性和价值也随之增加。不过,与之匹配的安全防护手段却没有随之增加,如API安全防护、特权账号管理、数据库安全审计等。由于大量敏感数据缺少分级分类的防护措施,直接暴露在攻击者面前,带来了巨大的泄露和滥用风险。
第三是攻击者大肆贩卖获益,和丢失者后知后觉的矛盾
从近年来的一些大规模数据泄露事件来看,黑客的暗网交易渠道、社区竟然成为了组织获知数据泄露的重要渠道等。这暴露一个突出矛盾,企业普遍缺乏对数据泄露风险的全方位感知能力。
习总书记2016年4月19日在网络安全和信息化工作座谈会上的讲话曾指出,维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓“聪者听于无声,明者见于未形”。感知网络安全态势是最基础的工作。然而就目前发生的数据泄露事件来看,仍有相当数据量的企业难以感知数据安全风险,直到大量数据在“暗网”被打包出售才“后知后觉”。
数据安全建设需分步实施、多管齐下
面对与日俱增的数据泄露事件、愈发严峻的数据安全形势,传统突击型数据安全建设、单纯的产品堆砌、盲目的照搬照抄,无法有效保护业务数据。刘前伟认为,企业数据安全需要从以下三个方面展开,筑牢数据安全防线。
首先是确保“合规不踩线”,守好企业经营基石
刘前伟认为,“合规不踩线”是企业经营的重要基石之一。从外部来看,世界各国家、地区均通过法律法规、经济管理与行政手段等多种措施加强了对数据的安全监管;从内部来看,我国也加快推进数据安全的法规制度、标准体系建设,迈入有法可依,有据可查的强监管时代。可以说,数据安全合规是企业的立身之本。
以隐私合规举例,奇安盘古隐私安全团队推出的“隐私卫士”,可针对各类操作平台下的App、小程序、网站等全类互联网应用服务,进行主动全面的安全检测,从基础用户接触面的信息交互,到产品开发层面的第三方SDK、API、开源代码应用,再到企业管理面的数据存储、数据应用等可完成全面的隐私安全排查。并以“三法一条例”(《个人信息保护法》、《数据安全法》、《网络安全法》以及《关键信息基础设施安全保护条例》)为基,达标行业监管实行的191、164、14号文及国标35273、41391等,可帮助各类企业实现业务的合规开展,降低监管通报风险、并提高数据的安全防护能力。
其次是分步实施的体系化数据安全建设。
数据安全不是单点防护而是全局体系化防御,数据环境随着业务发展不断动态变化,在流动过程中各环节都可能面临不同的安全风险,单一安全产品根本无法解决。为此,奇安信认为政企机构筑牢数据安全防线需要“三步走”,分别是盘清资产、精准防护、全局管控。
图:奇安信数据安全能力框架
第一步,盘清资产。系统梳理在线的敏感数据数据库、API接口以及特权账号等数据资产,并形成数据资产梳理报告。第二步,精准防护。一方面,要做好特权账号管理,做到能审查、能告警、能拦截;另一方面做好API管理,可通过API安全卫士及时发现API异常行为,提防外部攻击。第三步,全局管控。以“零信任”策略为核心,实现“权限最小化”,降低被攻击的风险;通过数据安全态势感知,对各类安全日志进行研判,快速响应处置。
最后是实战化、常态化的安全运营,以及对风险的感知能力。
数据安全不是一劳永逸的工程,有了整体规划和设计,还需要通过实战化、常态化运营,落实在数据全生命周期和全流程中,保障企业的数据合规状态能持续存在,并能提升对未知风险的感知预测能力。
其中,企业需重点关注身份安全、数据流通安全,而涉及跨境业务的企业还需关注数据跨境安全。企业可通过以“零信任”为核心的动态授信体系,价值和隐私共存的数据流通安全系统,以及可知、可查、可见的数据跨境安全系统,做好企业数据安全合规、有序运营。
图:奇安信数据安全风险态势感知视图
在风险感知方面,奇安信数据安全态势感知可以为客户进行数据流动监测、数据安全风险精细化检测、事件处置,为政企单位构建数据安全的全方位态势感知与动态防护。而奇安盘古“移动应用监测平台”可集中化呈现本地区、行业等隐私数据泄漏潜在风险,依托可视化的态势感知呈现,织密数字天网,让风险无处可逃。
原文始发于微信公众号(奇安信集团):疑似45亿条快递信息泄露 数据安全再敲警钟
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论