百家讲坛 | 张坤：数据安全降龙十巴掌

随着网络攻击面的扩大、供应链攻击的频繁发生以及向云的转移，数据安全比以往任何时候都更加重要。根据IBM Security发布的《2023年数据泄露成本报告》，2023年全球数据泄露平均成本达到445万美元，创下历史新高。有效的数据安全措施包括技术建设、实时监控并作出快速的反应。在接下来的文章里，将向各位介绍数据安全的主要原则，并带来十种数据安全最佳实践。

要了解哪些数据面临风险，我们首先看一下最常被盗的数据类型及成本（见下图）：在所有记录类型中，客户和员工个人识别信息（PII）的泄露成本最高。

2023年，客户PII（如姓名和社会保障编号）每笔记录的成本为183美元，员工PII每笔记录的成本为181美元，紧随其后。泄露成本最低的记录类型是匿名客户数据，到2023年，组织每笔记录的成本为138美元。与2022年和2021年的情况一样，客户PII是2023年最常遭受泄露的记录类型。52%的泄露事件涉及某种形式的客户PII。这比2022年增加了五个百分点，当时客户PII占所有泄露数据的47%。

第二常见泄露的数据类型是员工PII，占比为40％。2021年遭泄露的员工PII占所有泄露记录的26%，自 2021年以来，这一数值大幅增长。自2022年以来，遭泄露的知识产权增长了三个百分点，而匿名（非PII）数据比2022年下降了七个百分点，从33%下降到 26%。其他企业数据，如财务信息和客户名单，在遭泄露的数据中所占比例从2022年的15%上升到2023年的21%。

没有任何企业、任何系统能够100%免受错误配置、内部威胁和网络攻击的影响，无论是有意的、无意的。根据Verizon的《2023年数据泄露调查报告》，74%的数据泄露都包含人为因素，甚至许多外部网络攻击也可能仅由于员工的行为而发生。组织的敏感数据可能会丢失、损坏或被错误的人获取。

人为错误和疏忽——合法用户可能由于网络安全方面的疏忽、注意力不集中、疲劳和其他人为因素而犯下各种错误。

恶意内部人员——内部用户可能为了自身利益而故意窃取、损坏或销毁组织的数据。

权限滥用——具有提升权限的用户可能会进行各种类型的敏感数据滥用或不当数据处理。

第三方威胁——数据安全威胁可能来自有权访问组织敏感数据的合作伙伴、供应商和分包商。第三方也可以成为外部攻击者的中间人，就像在某些供应链攻击中一样。

根据Gartner的说法，保护数据的四种主要方法是：

数据安全背后的基本原则是对核心数据提供机密性、完整性和可用性保障，也称为CIA三要素：

虽然国内外有差异，但大道归一，无论是国内的《网络安全法》《数据安全法》《个人信息保护法》还是《通用数据保护条例》等，目的是一样的，即通过各种手段（下文十招）保障三原则。我们接下来就详细谈谈怎么使用“降龙十巴掌”来为数据安全工作保驾护航。

1. 都是目标也就没有目标

首先，明确数据的敏感性。

个人不建议对数据敏感度划分为特别多的级别，有些标准要求划分为五个级别，个人认为，对企业而言分为三个级别是符合要求且具有良好实践意义的，从流转范围和影响两个角度进行划分：

2. 制度流程是内功，先发制人

建立支持网络安全机制、活动和控制措施的策略，通过策略的实施，使您组织的人力和技术资源有效支持您的数据安全工作：

3. 应急响应是防御，退可守

事件响应计划（或程序）或IRP是一组书面指令，能够及时响应数据泄露、内部威胁和其他网络安全事件。IRP详细阐述了检测和识别事件、对其做出响应、减轻其后果并确保其不会再次发生的措施。

大多数组织没有为事件响应做好准备。根据IBM的2021年网络弹性组织研究，全球只有26%的组织制定了网络安全事件响应计划，并在整个组织中一致应用。任何网络安全事件都可能让毫无准备的组织措手不及，并且从此类事件中恢复可能会消耗大量时间和资源。相反，响应计划的存在表明组织中拥有发达的网络安全文化。先带大家看看为什么需要做应急响应计划：

为紧急情况做好准备——提前制定经过深思熟虑的事件响应流程至关重要，因为安全事件会在没有通知的情况下发生。

协调网络安全工作——IRP可以立即确定事件期间谁应该做什么。

及时解决事件——书面程序可以减少完全补救事件所需的时间。

减少损害——较短的响应时间限制了犯罪者对您的敏感资产造成严重损害的能力。

弥补安全漏洞——制定事件响应计划的过程有助于发现组织安全措施中的缺陷并提前解决它们。

收集关键知识——IRP帮助您的组织保留处理事件的知识和经验，以防止将来再次发生。

遵守网络安全要求——制定事件响应程序是许多网络安全标准、法律和法规的要求。

美国国家标准与技术研究院（NIST）提供了构建事件响应计划的基准，以有效管理潜在的网络安全事件。根据NIST事件管理指南，事件响应计划应包括以下阶段：

准备——组织应该在网络安全事件发生之前做好应对准备，并提前计划响应程序。准备阶段还包括计划如何从一开始就防止数据泄露或攻击发生。

检测分析——组织必须能够检测网络事件，并拥有适当的工具和技术来收集、记录和分析与事件相关的数据。为了使这项任务变得更容易，NIST指定了八种攻击向量并列出了网络安全事件的最常见迹象。我们将在下一节中详细讨论它们。考虑根据事件的业务影响及其恢复所需时间的估计来分析每个事件并确定其优先级。

遏制、根除和恢复——组织必须能够有效地处理攻击、消除威胁并开始恢复受影响的系统和数据。在这些阶段，收集有关事件的证据也很重要，以便稍后用于解决事件和法律诉讼。

事件后活动——成功处理安全事件后，组织应使用从事件中学到的信息来改进其当前的IRP。NIST网络安全框架的最大优点是它既灵活又适应性强，因此大型企业和小型企业都可以有效实施。

实践响应计划最担心的是无法采用对应的措施去应对不同的网络安全事件，而我们可以通过对其进行分类、分级，设定流程和固定的对应措施来减轻风险后果，以达到快速恢复的目的。

事件响应计划可以及时处理网络安全事件并减轻其后果。在设计详细响应计划的时候，可以参考HIPAA、NIST800-53、PCI DSS以及其他设定事件响应要求的标准、法律和法规：

1）组织架构

建立网络安全事件响应小组或者至少选择负责的人员。无论您的组织规模和工作领域有多大，创建事件响应计划时要做的第一件事就是建立网络安全事件响应团队（CIRT）。CIRT负责在安全事件期间协调关键资源和团队成员，以最大程度地减少事件的影响并尽快恢复所有操作。CIRT的主要职能是：定义事件响应政策和程序、及时处理网络安全事件、调查并分析之前的事件、建立事件报告能力并建立必要的沟通、培训员工并提高对网络安全威胁及其缓解措施的认识、改进当前的事件响应计划。

2）提前规划

a. 建立应急预案，针对不同的攻击事件、攻击来源去建立对应的影响计划。

b. 要对威胁和攻击产生的影响去设计级别，可以根据事件对功能的影响、信息的影响、可恢复性的影响去判定，特定事件对业务运营的影响、根据受事件影响的信息的重要性和敏感性、资源组织需要完全从事件中恢复所需要的成本三个角度可以结合判定事件优先级，从而配置资源。

c. 一旦确定了可能发生的事件的优先级，就可以开始规划响应这些事件的标准程序了。考虑针对最常见的事件（例如系统故障、拒绝服务、入侵和间谍软件感染、勒索病毒、人员恶意行为、操作故障等）制定遏制策略和标准操作程序（SOP）。

3）密切监控

如果，我们能看到，那么我们就能管理，尽我们所能去监控网络中发生的一切，去发现、防止可能的攻击。通过密切关注，网络中单个用户和实体的活动，我们可以尽早检测并终止恶意事件，并且可以收集有价值的数据进行进一步的分析。

另外随着人工智能技术在安全行业的应用，人工智能驱动的分析技术可以更好地检测、分析异常行为，寻找正常用户和异常用户的偏差。

4）备份恢复

恢复，是整个应急响应流程中最后的防线，也是最关键的部分，为一切响应计划兜底，在建立恢复策略的时候，首先需要明确两件事情：第一，哪些数据最有价值，需要特别注意特别保护。我们无法把有限的资源用在所有的事情上面（至少大部分企业是这样）。第二，建立备份系统，涵盖数据恢复和服务恢复，数据恢复要考虑对应业务所能接受的时间间隔和数据损失，服务恢复要保证可接受的最小服务状态，例如核心功能、性能保障。

5）定期更新

建议是每年至少审查一次，另外，当发生重大变化需要进行审查和更新。

事件响应计划是整个网络安全策略最重要且不可或缺的一部分，各个组织最好根据企业特殊需求去自定义使用的IRP，而不是使用通用的模板，这样才能在风险面前快速响应减少损失。

4. 数据存储普通且重要

数据存储安全需要注意三件事情，简单却又无比复杂：

（1）存储介质自身的安全

（2）数据安全方法（备份、加密、屏蔽和确认擦除）

（3）所有关联设备管理

5. 访问控制

（1）物理访问控制

（2）多因素身份识别

（3）最小特权和特权管理

（4）安全访问能力

（5）远程访问管理

6. 持续监控

需要使用有效的解决方案来提升用户行为的可见性，至少应涵盖所有特权账户和敏感信息的可接触人员，随时可查看与敏感数据交互的用户行为、特权账户的活动轨迹以及异常活动的分析。

7. 第三方风险管理

监控IT基础设施内第三方用户的行为至关重要。第三方可能包括合作伙伴、分包商、供应商以及有权访问您的关键系统的任何其他外部用户。即使您信任第三方，他们的系统也有可能容易受到黑客攻击和供应链攻击。

第三方风险产生的主要原因一般包括缺乏对第三方的可见性、数据管理不善、权限管理不善，由此可导致软硬件感染或不可用、账户滥用或泄漏、数据安全风险和水坑攻击等，另外由于员工和供应链成员的原因，也会导致人为风险，例如安全意识带来的风险等，当然，也会有恶意行为下的数据窃取、系统破坏、欺骗等，根据Ponemon的《2022年内部威胁成本报告》，18%的组织无法检测到内部威胁。

8. 权力越大风险越大

员工拥有的访问权限越多，他们滥用或滥用特权的可能性就越大。根据ENISA《2021年威胁形势报告》，三分之一的受访组织在2020年4月至2021年7月期间遭受了内部人员滥用特权的情况。这就是为什么建立适当级别的特权帐户管理在确保组织的网络安全方面发挥着重要作用。

特权账户的管理主要目标是针对普通用户、管理员、超级管理员等特权用户的权限在许可范围内使用进行管理，包括权限的授予和撤销（变更）、用户活动的监控和审计、身份权限的保护（密码、密钥卡、指纹、面部特征等）、以及密码管理策略。

9. 安全意识教育应如晨钟暮鼓

根据Verizon的《2022年数据泄露调查报告》，94%的资产丢失和被盗都是内部行为者造成的，而2021年，人为因素影响了82%的数据泄露事件。

安全意识教育是所有企业里最不重视但是投入产出比最高的安全行为，但也是需要持续进行且不易评估的行为。培训的范围一般包括新员工、全员、特殊岗位人员（领导、技术、财务、特权账号持有者、研发、商务等）。

10. 高僧难念无米的经

无论如何，应考虑专门的数据安全保护技术、产品服务去应对未知的风险，在这里做个简单的罗列：

但需要注意的是，部署太多的工具反而不是最优的选择，会对性能造成影响，让流程更加复杂化，也会让维护成本增加。

数据安全旨在保护数据在创建、存储、管理和传输过程中的安全，需要对抗内部人员、外部人员和第三方人员，需要去应对无意的、恶意的不法行为。需要采用尽可能的措施以实现最佳数据安全性。但不要忘记，安全是动态的，是未来的不确定性。它们的变化以及它们对您的组织造成的后果的严重性也一直在变化，甚至负责处理事件的人员也在进行变化（人员的入离调转），持续的保障才是打赢这场拉锯战的核心。