声明
本文是学习数据安全态势感知运营中心建设桔皮书. 下载地址 http://github5.com/view/471而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
前言
进入21世纪以来,全球科技创新进入空前活跃时期,新一代技术的不断涌现驱动着数字经济的高速发展。2020年我国数字经济规模已达到39.2万亿元,占GDP比重达38.6%。受新冠疫情的影响,个性化医疗、在线教育、远程办公等全面融入人们的日常工作与生活,数字经济发展进一步加速,并成为我国经济高质量发展的强大动力。数据作为数字经济最核心生产要素,规模也呈爆发式增加。据著名咨询机构IDC预测,2025年全球数据量将高达175ZB。其中,中国数据量增速最为迅猛,预计2025年将增至48.6ZB,占全球数据圈的27.8%,平均每年的增长速度比全球快3%。这标志着我国社会正在从IT时代迈进DT时代。
数据在推动数字经济高速发展的同时,数据滥用、数据泄漏等安全事件频繁发生,数据安全风险日益凸显,数据安全问题受到国家和社会的高度重视。近年来,我国陆续发布了一系列数据安全相关的法律法规和标准规范,明确了企业和组织在数据开发利用活动中的责任与义务,强调了数据安全建设的重要性与必要性。
DT时代的数据环境是随着业务发展而动态变化的,数据安全建设不是一蹴而就、一成不变的,更不是靠单一的技术就能达成的,因此数据安全领域提出了数据安全运营的理念,将技术、流程和人有机的结合,体系化的进行数据安全建设。
DT时代要以安全运营理念建设数据安全
数据安全上升到国家战略高度
数据规模的不断扩大,对经济和社会的发展产生了深刻的影响,数据安全已经与国家安全紧密相连。
2021年9月1日,《数据安全法》正式颁布实施,由国家统筹数据要素发展和安全,推动数据安全建设。安全法的颁布将“数据安全”上升到了我国国家安全战略高度,该法明确了国家层面建立数据分类分级、数据风险评估、数据安全应急处置和数据安全审查制度,全面加强重要数据保护,降低数据安全风险,并要求数据处理者建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取数据安全技术研发、数据安全风险检测、定期数据安全风险评估等措施,保障数据安全。同年11月1日,《个人信息保护法》正式颁布实施,将合法、正当、必要与最小必要、透明公开、安全保障作为个人信息活动的基本原则,明确个人信息跨境处理要求,充分保障用户对个人信息处理的知情权和控制权,赋予用户删除、查询、更正、补充个人信息等权利,明确个人信息处理者应当遵循告知、个人信息分类、个人信息安全加密、敏感个人信息事前影响评估等义务,保障用户个人信息安全。
接连发布的数据安全法律法规,凸显了数据安全的重要性,数据安全俨然上升到国家战略高度。
数据安全监管力度持续扩大
数据的加速流转促进各行各业的信息互通,数据安全问题也变得越来越复杂,行业监管部门密集开展数据安全和个人信息保护专项工作。
2019年1月,中央网信办、工业和信息化部、公安部、国家市场监督总局联合在全国范围组织开展App违法违规收集使用个人信息专项治理活动,对App运营者收集使用用户信息行为进行监督管理,严格查处违法违规收集使用个人信息行为。
2021年7月,国家网信办连续发布了对多家互联网公司实施网络安全审查的公告,审查期间,所有APP停止新用户注册。被进行网络安全审查的几家企业都掌握大量用户隐私数据,并且业务与关键信息基础设施有关。
针对运营商行业,工信部根据《国务院国有资产监督管理委员会关于开展基础电信企业网络与信息安全责任考核有关工作的指导意见》,自2019年起连续三年制定《省级基础电信企业网络与信息安全工作考核要点与评分标准》和《基础电信企业专业公司网络与信息安全工作考核要点与评分标准》,对基础电信企业及其专业公司的数据安全工作进行考核评估。
以数据安全运营理念持续保障数据安全
DT时代下,数据在创造巨大经济价值的同时,国家高度重视数据安全,行业的监管力度也不断加码,企业和组织落实数据安全建设已经迫在眉睫,但如何下手,从哪儿开始成为了最大的问题。由于数据环境是随着业务发展动态变化的,数据在流动过程中各环节都可能面临不同的安全风险,依赖单一的安全根本无法解决。比如数据共享环节中,数据访问控制技术能解决单一组织范围内的授权管理问题,却无法解决跨组织的数据流向追踪问题,导致无法实现对数据接收方的数据处理活动进行实时监控和审计,极易造成数据滥用的风险。
同时,由于数据本身结构的多样性,使得在特定场景下数据安全风险难以被检测。比如在数据外发的场景中,通过内容检测可以轻松的发现外发的文本文件中是否存在敏感信息,但如果将文件进行压缩或者拍照外发,则可能轻易绕过内容检测,导致敏感数据泄漏。而且数据关联关系复杂、敏感程度不一,单一的数据项可能无法形成敏感内容,但是多个数据项进行组合就可能推导出敏感信息。
“人”往往是安全体系中最薄弱的一环,因为“人”是技术的建设者,更是流程的执行者,一旦“人”的安全意识不到位,再好的技术和流程都是空谈。恶意的内部人员利用自身的合法访问权限进行数据违规操作的事件比比皆是,例如影响恶劣的微盟“删库”事件;浙江某农商银行由于内部员工违规泄漏客户信息被银保监会罚款30万。
面对复杂多变的数据安全威胁,应以安全运营的理念落实,将技术、流程、人进行有机结合,根据数据安全态势、技术发展和业务流程等的不断变化演进式地完善数据安全体系建设。
DT时代下数据安全运营面临的主要挑战
数据资产难梳理,分类分级难落地
随着数字化的持续推进,各行业对数据感知、存储、传输、处理等能力提出了更高要求。随着企业对大数据技术的大规模采用,数据量呈PB级迅速激增,且业务的持续扩大与数据应用的不断裂变,往往存在这样的现象——大量的老数据存储在不同的、分散的中小型结构化数据库中,同时持续在建的数据仓库或数据中台则承担了大量新业务的数据存储职能,这就造成了数据的分布广泛且规模庞大的特点。
同时,企业不断推出的新业务也推动着数据形态特点不断演进——海量、多元和非结构化成为数据发展新常态,数据环境呈现多样化、复杂化特征,使得大量文本、图片、视频等非结构化数据被产生、存储和使用。例如,在智慧城市场景中,各类传感设备采集的数据从单一内部小数据形态向多元动态大数据形态发展。海量、分布广泛、结构各异的数据给企业对自身数据资产的梳理造成了困难,而建立在数据资产梳理基础之上的分类分级工作的实施则更无从谈起。
数据流动难监测,联防联控难实施
新一代信息技术的快速发展,企业的运行效率不断被优化和提升,企业新生业务对数据流动性要求日益增加,由此带来的是微服务架构的盛行,对数据变化则是调用链变得更长了。单体应用架构下数据只经过单个服务的处理就流向了终端(人),而在微服务架构下,服务的职能被切分的更加细致,数据可能需要经过几个甚至十几个服务的处理才会流向终端(人);而云和容器技术的广泛采用,南北向与东西向交叉的数据的调用链甚至能织成一张数据流动“网”。
同时,中大型企业的数据业务变得更加开放,数据的访问可能来源于企业内部,也可能来自于分支结构,甚至是外部的第三方合作伙伴;访问的客户端也从PC更多的转向各种手持设备,因此数据的访问来源也变得更加复杂。面对数据调用链长,访问来源多的场景,进行全面的业务梳理往往需要投入大量人力,而且安全部门与业务部门之间往往存在配合难问题,企业想建立清晰的数据流动监测视图非常困难。由于企业对数据流动视图处于“失明”状态,导致数据安全建设时只能采取传统的堆砌式的数据安全单品防护,实现“头痛医头脚痛医脚”,而体系化的联防联控只能沦为纸上谈兵。
数据风险难发现,安全评估难进行
数据安全与网络安全最大的不同在于,数据安全的违规行为往往隐藏在正常的办公行为中,甚至很多事件是已授权的用户、应用、API等对象非法操作导致的。例如水滴泄密——企业内部员工利用自身合法权限每天进行少量敏感数据下载,积累到一定程度后加密压缩外发到个人网盘;数据API滥用——数据API按业务需求开放后,可能有具备权限的第三方服务没有按约定场景使用,或长时间没有使用形成暴露在外的幽灵API等。由于从业务视角短期来看这些行为都属于正常行为,但实际上已成为潜在的数据安全风险。
同时,对数据泄漏事件的检测与识别也变得更加困难,据IBM发布的《2021年数据泄漏成本报告》显示,2021 年识别一起数据泄漏事件平均需要 212 天,遏制一起数据泄漏事件平均需要 75 天,总生命周期为 287 天。由此可见,恶劣数据泄漏往往是由一系列“微小”的可疑操作组成的,混淆在正常行为中,导致企业难以及时发现其中的数据安全风险,而有效的风险检测能力的缺少注定其定期开展的数据风险评估是 “失真”的,不可靠的。
延伸阅读
更多内容 可以点击下载 数据安全态势感知运营中心建设桔皮书. http://github5.com/view/471进一步学习