数据安全态势感知前言
进入 21 世纪以来,全球科技创新进入空前活跃时期,新一代技 术的不断涌现驱动着数字经济的高速发展。 年我国数字经济规 模已达到 39.2 万亿元,占 GDP比重达 38.6%。受新冠疫情的影响, 个性化医疗、在线教育、远程办公等全面融入人们的日常工作与生活, 数字经济发展进一步加速,并成为我国经济高质量发展的强大动力。 数据作为数字经济最核心生产要素,规模也呈爆发式增加。据著名咨 询机构 IDC预测,2025 年全球数据量将高达 175ZB。其中,中国数据 量增速最为迅猛,预计 2025年将增至 48.6ZB,占全球数据圈的 27.8%, 平均每年的增长速度比全球快 3%。这标志着我国社会正在从 IT 时 代迈进 DT时代。
数据在推动数字经济高速发展的同时,数据滥用、数据泄漏等安 全事件频繁发生,数据安全风险日益凸显,数据安全问题受到国家和 社会的高度重视。近年来,我国陆续发布了一系列数据安全相关的法 律法规和标准规范,明确了企业和组织在数据开发利用活动中的责任 与义务,强调了数据安全建设的重要性与必要性。
DT时代的数据环境是随着业务发展而动态变化的,数据安全建 设不是一蹴而就、一成不变的,更不是靠单一的技术就能达成的,因 此数据安全领域提出了数据安全运营的理念,将技术、流程和人有机 的结合,体系化的进行数据安全建设。
DT时代要以安全运营理念建设数据安全
(一)数据安全上升到国家战略高度
数据规模的不断扩大,对经济和社会的发展产生了深刻的影响, 数据安全已经与国家安全紧密相连。
年 9 月 1 日,《数据安全法》正式颁布实施,由国家统筹 数据要素发展和安全,推动数据安全建设。安全法的颁布将“数据安 全”上升到了我国国家安全战略高度,该法明确了国家层面建立数据 分类分级、数据风险评估、数据安全应急处置和数据安全审查制度, 全面加强重要数据保护,降低数据安全风险,并要求数据处理者建立 健全全流程数据安全管理制度,组织开展数据安全教育培训,采取数 据安全技术研发、数据安全风险检测、定期数据安全风险评估等措施, 保障数据安全。同年 11 月 1 日,《个人信息保护法》正式颁布实施, 将合法、正当、必要与最小必要、透明公开、安全保障作为个人信息 活动的基本原则,明确个人信息跨境处理要求,充分保障用户对个人 信息处理的知情权和控制权,赋予用户删除、查询、更正、补充个人 信息等权利,明确个人信息处理者应当遵循告知、个人信息分类、个 人信息安全加密、敏感个人信息事前影响评估等义务,保障用户个人 信息安全。
接连发布的数据安全法律法规,凸显了数据安全的重要性,数据 安全俨然上升到国家战略高度。
(二)数据安全监管力度持续扩大
数据的加速流转促进各行各业的信息互通,数据安全问题也变 得越来越复杂,行业监管部门密集开展数据安全和个人信息保护专项 工作。
年 1 月,中央网信办、工业和信息化部、公安部、国家市 场监督总局联合在全国范围组织开展 App 违法违规收集使用个人信 息专项治理活动,对 App 运营者收集使用用户信息行为进行监督管 理,严格查处违法违规收集使用个人信息行为。
年 7 月,国家网信办连续发布了对多家互联网公司实施网 络安全审查的公告,审查期间,所有 APP 停止新用户注册。被进行 网络安全审查的几家企业都掌握大量用户隐私数据,并且业务与关键 信息基础设施有关。
针对运营商行业,工信部根据《国务院国有资产监督管理委员会 关于开展基础电信企业网络与信息安全责任考核有关工作的指导意 见》,自 年起连续三年制定《省级基础电信企业网络与信息安 全工作考核要点与评分标准》和《基础电信企业专业公司网络与信息 安全工作考核要点与评分标准》,对基础电信企业及其专业公司的数 据安全工作进行考核评估。
(三)以数据安全运营理念持续保障数据安全
DT时代下,数据在创造巨大经济价值的同时,国家高度重视数据 安全,行业的监管力度也不断加码,企业和组织落实数据安全建设已 经迫在眉睫,但如何下手,从哪儿开始成为了最大的问题。由于数据 环境是随着业务发展动态变化的,数据在流动过程中各环节都可能面 临不同的安全风险,依赖单一的安全根本无法解决。比如数据共享环 节中,数据访问控制技术能解决单一组织范围内的授权管理问题,却 无法解决跨组织的数据流向追踪问题,导致无法实现对数据接收方的 数据处理活动进行实时监控和审计,极易造成数据滥用的风险。
同时,由于数据本身结构的多样性,使得在特定场景下数据安全 风险难以被检测。比如在数据外发的场景中,通过内容检测可以轻松 的发现外发的文本文件中是否存在敏感信息,但如果将文件进行压缩 或者拍照外发,则可能轻易绕过内容检测,导致敏感数据泄漏。而且 数据关联关系复杂、敏感程度不一,单一的数据项可能无法形成敏感 内容,但是多个数据项进行组合就可能推导出敏感信息。
“人”往往是安全体系中最薄弱的一环,因为“人”是技术的建 设者,更是流程的执行者,一旦“人”的安全意识不到位,再好的技 术和流程都是空谈。恶意的内部人员利用自身的合法访问权限进行数 据违规操作的事件比比皆是,例如影响恶劣的微盟“删库”事件;浙 江某农商银行由于内部员工违规泄漏客户信息被银保监会罚款 30 万。
面对复杂多变的数据安全威胁,应以安全运营的理念落实,将技 术、流程、人进行有机结合,根据数据安全态势、技术发展和业务流 程等的不断变化演进式地完善数据安全体系建设。
参考资料
红蓝攻防构建实战化网络安全防御体系
青藤云安全 攻防演练蓝队防守指南
