Введение
Вечером 9 декабря 2021 года мир взорвала уязвимость удаленного выполнения кода Apache Log4j2 (CVE-2021-44228). Эту уязвимость можно назвать эпической уязвимостью с оценкой CVSS 10 из 10. Она затрагивает большинство интернет-компаний мира, включая Baidu, Apple и другие компании, у которых была обнаружена эта уязвимость.
Прошел почти месяц с момента появления уязвимости. В течение этого месяца атаки с использованием этой уязвимости возникали одна за другой. Некоторые распространяют майнинг, некоторые распространяют программы-вымогатели, некоторые создают ботнеты, а некоторые используются для проведения APT-атак с целью кражи данных. Помимо майнинга, со сбором данных связаны и другие виды атак. Поэтому мы должны высказаться: после грандиозного взлома пришло время вернуться к защите ваших данных! Поэтому в этой статье речь пойдет оБезопасность данныхи данныеБезопасная эксплуатацияСистема.
два,Безопасность данныхНеобходимость строительства
1 Обзор
Говоря о безопасности данных, самым впечатляющим в 2021 году является не кто иной, как Didi:
- 2 июля Администрация киберпространства Китая начала проверку безопасности Didi Chuxing и приостановила регистрацию новых пользователей на основании «рисков национальной безопасности данных, обеспечения национальной безопасности и защиты общественных интересов»;
- 4 июля Администрация киберпространства Китая опубликовала уведомление, в котором говорилось, что приложение Didi Chuxing осуществляет серьезный незаконный и незаконный сбор и использование личной информации, и предписало магазину приложений удалить это приложение;
- 9 июля Администрация киберпространства Китая выпустила еще одно уведомление с требованием удалить 25 приложений, включая Didi Enterprise Edition;
- 16 июля Управление киберпространства Китая объявило, что Управление киберпространства Китая совместно с Министерством общественной безопасности, Министерством национальной безопасности, Министерством природных ресурсов, Министерством транспорта, Государственной налоговой администрацией, Государственным Управление по регулированию рынка и другие отделы, совместно размещенные в Didi Chuxing Technology Co., Ltd., для выполненияинформационная безопасностьобзор.
В то же время 5 июля «Юньманьмань», «Wagon Gang» и «BOSS Direct Recruitment» подверглись проверке сетевой безопасности, и на этот период регистрация новых пользователей была остановлена. 10 июля Администрация киберпространства Китая опубликовала «Меры по проверке кибербезопасности (пересмотренный проект для комментариев)» (меры были рассмотрены и одобрены на 20-м заседании Администрации киберпространства Китая в 2021 году 16 ноября 2021 года и будут (вступает в силу с 15 февраля 2022 г.), операторы, владеющие личной информацией более 1 миллиона пользователей, обязаны публиковать ее за рубежом и должны подать заявку на проверку сетевой безопасности в Управление по проверке кибербезопасности.
За этой серией событий стоит хаос, который произошел на отечественных интернет-платформах в последние годы, например, уязвимости в системе безопасности данных и злоупотребление данными. В настоящее время безопасность данных стала наиболее актуальной и основной проблемой безопасности в эпоху цифровой экономики, а усиление управления безопасностью данных стало стратегической необходимостью для поддержания национальной безопасности и национальной конкурентоспособности. В последние годы, "Закон о кибербезопасности》,《закон о безопасности данных"и"Закон о защите личной информации«Внедрение или обнародование правовых рамок, связанных с защитой данных, таких как «Закон о защите данных», обеспечило институциональную и юридическую поддержку защите безопасности данных.
С введением национального управления безопасностью данных и связанных с ним законов важность данных в экономическом развитии все больше отражается. Являясь основным и наиболее ценным фактором производства в эпоху цифровой экономики, данные все быстрее становятся новой движущей силой и новым двигателем глобального экономического роста.
Фактически, 9 апреля 2020 года в «Заключениях ЦК Коммунистической партии Китая и Государственного совета о построении более совершенной рыночно-ориентированной системы распределения и механизма факторов» «данные» были записаны в документ как новый тип фактора производства, а «Данные» соседствуют с землей, трудом, капиталом и технологией.
Новые технологии ИКТ, новые модели и новые приложения, такие как 5G, искусственный интеллект, облачные вычисления и блокчейн, — все они основаны на огромных объемах данных, и объем данных также испытывает взрывной рост. По прогнозам IDC, глобальный объем данных увеличится на 175 ЗБ в 2025 году. Среди них ожидается, что объем данных Китая увеличится до 48,6 ЗБ в 2025 году, что составит 27,8% глобального круга данных.Китай станет крупнейшим в мире кругом данных.
2. Политика моей страны в отношении безопасности данных
Управление безопасностью данных постепенно было поднято на стратегический уровень управления национальной безопасностью. Об этом свидетельствует тот факт, что в последние годы в стране неоднократно издавались соответствующие законы и постановления, ставящие безопасность данных на видное место.
Вот некоторые законы и правила, связанные с безопасностью данных, которые страна ввела в последние годы.
- 1 июля 2015 года был официально обнародован Закон о национальной безопасности Китайской Народной Республики, официально включивший безопасность данных в сферу национальной безопасности;
- 7 ноября 2016 года был официально опубликован «Закон Китайской Народной Республики о кибербезопасности», включающий «защиту личной информации», «хранение данных и трансграничную безопасность», «безопасность контента (информации)» и «системы данных». , платформы и средства». «Безопасность» и другие аспекты, регулирующие соблюдение данных и личной информации; этот закон официально вступил в силу 1 июня 2017 года;
- 28 мая 2019 г. были опубликованы «Меры по управлению безопасностью данных (проект для комментариев)» для уточнения проблем безопасности сетевых данных за последние годы, включая методы сбора конфиденциальной личной информации, точную рекламную кампанию, чрезмерные претензии на права приложений и трудности. при аннулировании аккаунта и других вопросах;
- 13 июня 2019 года были опубликованы «Меры по оценке безопасности передачи персональной информации за границу (проект для комментариев)», в которых разъяснялось основное содержание оценки безопасности передачи персональной информации за границу, а также устанавливалось, что вся передача персональной информации должна сообщать в Администрацию киберпространства Китая в соответствии с законом и передавать в Администрацию киберпространства Китая. Информационное бюро организовало оценку безопасности, разъяснило гарантии реализации прав субъектов личной информации, таких как право знать в исходящем сообщении. сценарии, усиленный надзор за зарубежными получателями посредством ряда проектов, всесторонне оговоренные условия контракта, подписанного между сетевыми операторами и получателями личной информации.
- 30 декабря 2019 года была выпущена «Методика определения незаконного сбора и использования личной информации приложениями», в которой определены шесть категорий незаконного и незаконного сбора и использования личной информации мобильными приложениями и предложены стандарты определения;
- 28 мая 2020 года был принят Гражданский кодекс Китайской Народной Республики, который разъяснил положение и определение конфиденциальности и личной информации, уточнил сферу обработки личной информации, права субъектов, требования и принципы, а также уточнил, что деятельность с данными должны соблюдать законные и законные законы и правила, принцип необходимости;
- 22 марта 2021 года было выпущено «Положение об объёме необходимой персональной информации для распространенных типов мобильных интернет-приложений», которое уточнило объём необходимой личной информации для 39 распространенных типов приложений и потребовало от их операторов не предоставлять ненужную личную информацию. информация из-за несогласия пользователей.Целью отказа пользователям в доступе к основным функциональным услугам Приложения является эффективное регулирование сбора и использования личной информации Приложением и содействие здоровому развитию Приложения;
- 26 апреля 2021 года было опубликовано «Временное положение о защите и управлении личной информацией в мобильных интернет-приложениях (проект для комментариев)», устанавливающее два важных принципа «информированного согласия» и «минимально необходимого»; детализируя требования для разработчиков приложений и операторов, распространение Ответственность и обязательства пяти типов организаций, включая платформы, сторонних поставщиков услуг, производителей терминалов и поставщиков услуг доступа к сети, четыре нормативных требования, включая жалобы и отчеты, надзор и проверки, меры по утилизации, и предлагаются предупреждения о рисках;
- 10 июня 2021 года был официально принят «Закон о безопасности данных Китайской Народной Республики», устанавливающий различные базовые системы управления безопасностью данных, уточняющий обязательства по защите данных и реализующий обязанности по защите данных, подчеркивающий равный акцент на безопасности и развитии. и предусматривающие меры поддержки для обеспечения безопасности и развития данных; этот закон будет официально введен в действие 1 сентября 2021 года;
- 20 августа 2021 года был официально принят «Закон Китайской Народной Республики о защите личной информации», который разъяснил правила обработки личной информации, права и обязанности отдельных лиц при обработке личной информации, а также ведомства, выполняющие обязанности по защите личной информации. . Официально этот закон вступит в силу 1 ноября 2021 года.
- 16 ноября 2021 года были официально приняты «Меры по проверке кибербезопасности», требующие от операторов, владеющих личной информацией более 1 миллиона пользователей, обнародовать информацию за рубежом и подать заявку на проверку сетевой безопасности в Управление по проверке кибербезопасности. Эта мера вступит в силу 15 февраля 2022 года.
В дополнение к соответствующим законам, постановлениям и политике на национальном уровне различные местные провинции и города также издали ряд постановлений и руководств, касающихся безопасности данных, некоторые из которых перечислены ниже:
Кроме того, отрасли, связанные с безопасностью данных, такие как финансовая и страховая индустрия, телекоммуникации и интернет-индустрия, интернет-индустрия транспортных средств, промышленная интернет-индустрия и т. д., в последние годы также уделяют все больше внимания вопросам безопасности данных и данных. Народный банк Китая, Комиссия по регулированию банковской и страховой деятельности Китая, Министерство промышленности и информационных технологий и т. д. Такие ведомства, как Министерство науки и технологий и Министерство науки и технологий, издали соответствующие правила для стандартизации управления безопасностью данных в различных промышленности и улучшить возможности защиты данных. Он предоставляет политические рекомендации по классификации и классификации данных, оценке возможностей управления, защите безопасности и другой сопутствующей работе. нравиться:
В целом, действующие правовые нормы моей страны, касающиеся безопасности данных, основаны на Законе о национальной безопасности, Законе о кибербезопасности и Законе о Гражданском кодексе, и каждая провинция и город будут издавать соответствующие местные законы, основанные на местных условиях. активно изучаются проблемы трансграничных данных. В ответ на широкий спектр применений данных регулирующие органы в различных отраслях должны выполнять свои собственные обязанности по управлению и защите данных в отрасли.
3. Игра между великими державами вокруг безопасности данных
На самом деле, проблемы безопасности данных ни в коем случае не являются уникальными для Китая, а являются общей проблемой, с которой сталкивается весь мир. Правительства во всем мире постепенно осознали, что данные стали основным фактором, тесно связанным с национальной безопасностью и международной конкурентоспособностью, и их понимание безопасности данных также выросло от традиционной защиты личной информации до поддержания национальной безопасности.
25 мая 2018 года Европейский Союз официально представил ГенеральнуюЗащита данныхРегламент, который представляет собой GDPR (Общий регламент по защите данных), с которым мы знакомы, который требует, чтобы меры защиты конфиденциальности в системе компании были более подробными, соглашение о защите данных было более подробным, а также раскрытие конфиденциальности компании и защита данных. практика более удобна для пользователя и детализирована. 30 июня 2020 года Европейское управление по защите данных также опубликовало «Стратегический план Европейского агентства по защите данных (2020-2024)», целью которого является дальнейшее укрепление безопасности данных по трем аспектам: дальновидность, действенность и скоординированность. защищать права на неприкосновенность частной жизни.
Помимо Европы, Управление управления и бюджета Белого дома (OMB) 23 декабря 2019 года также опубликовало «Федеральную стратегию данных и план действий на 2020 год», в которой установлены требования к защите целостности данных, обеспечению подлинности циркулирующих данных. и хранение данных, безопасность и другие основные принципы.
Поскольку безопасность данных постепенно поднимается до национального уровня, конкуренция за данные между странами постепенно начинает восприниматься всерьез. Обзор Didi на этот раз повышает вероятность утечки данных на национальном уровне.Согласно законам США, аудиторские документы, пользовательские данные и данные о городах должны быть представлены в соответствии с Законом о привлечении к ответственности иностранных компаний.Некоторые данные, представленные Карта являются основными данными, связанными с национальным суверенитетом данных, и могут напрямую влиять на национальную безопасность, общественные интересы и социальную стабильность.
Сегодня, когда игра между великими державами продолжает обостряться, данные являются важным фактором производства и стратегическим ресурсом для страны, а их все более частый трансграничный поток создает потенциальные риски для национальной безопасности. Во-первых, разведывательные данные, передаваемые за границу, с большей вероятностью будут получены иностранными правительствами. Во-вторых, стратегические действия моей страны легко предсказать, и она впадает в политическую пассивность. финансовые данные. В-третьих, конкурентные преимущества моей страны в новых технологиях, основанных на данных, постепенно ослабляются. Например, в моей стране действует ведущая в мире компания по распознаванию лиц SenseTime. Как только ее данные будут получены другими странами, это значительно ослабит конкурентные преимущества моей страны в этой области. .
Некоторые страны, особенно Соединенные Штаты, в настоящее время скрывают данные Китая, исключая мою страну из глобальной системы управления безопасностью данных, и могут сформулировать правила проверки безопасности данных для моей страны, образуя «окружение» вокруг моей страны в области безопасности данных. . . Например, в 2020 году США, Индия, Австралия и другие страны совместно начали подавление TikTok по соображениям безопасности данных и ограничили его использование и развитие на том основании, что результаты расследования безопасности нарушают правила.
По данным Synergy Research Group, по состоянию на 2020 год 20 крупнейших в мире компаний, предоставляющих облачные и интернет-услуги, управляют гипермасштабными центрами обработки данных 597. Среди них количество центров обработки данных в США намного превышает количество центров обработки данных в других странах и составляет почти 40%. Китай Хотя и занимает второе место, на его долю приходится лишь 10%:
В век информации это огромное преимущество в области данных чрезвычайно устрашает. Китай не является «страной-центром обработки данных», но его нельзя сводить к «стране-спутнику данных».
3. Распространенные угрозы безопасности данных
Угрозы безопасности данных затрагивают национальную безопасность, социальную безопасность, безопасность граждан и безопасность предприятий. В настоящее время они представляют собой серьезную проблему безопасности, с которой сталкиваются страны, предприятия и отдельные лица. К основным угрозам безопасности, связанным с данными, относятся следующие:
- Кража и утечка данных в настоящее время являются наиболее распространенными проблемами в сфере безопасности данных. Национальные и социальные проблемы, вызванные утечками данных, являются обычным явлением, например, инцидент со Сноуденом, инцидент в Хуачжу и т. д.;
- Данные шифруются и вымогаются.Программы-вымогатели стали самой большой угрозой в области сетевой безопасности в последние годы и на долгое время.Это также очень большая проблема безопасности, с которой сталкиваются различные государственные учреждения, отрасли критической инфраструктуры, предприятия и т. д. . Например, инцидент «wancry» в 2017 году вызвал проблему безопасности для всего мирового сообщества.
- Данные удаляются и уничтожаются. «Удаление базы данных и побег» — термин, над которым мы часто шутим, но на самом деле случаи удаления базы данных тоже случаются время от времени.
- Угроза незаконного сбора данных в основном возникает из-за того, что компании или отдельные разработчики используют приложения и другие программы для сбора данных, необходимых для программы, например данных личной конфиденциальности.
Основными способами возникновения угроз безопасности данных являются:
- Традиционные сетевые атаки: [Фишинг]: фишинг учетных записей пользователей, включая машины, домены, почтовые ящики, инструменты обмена мгновенными сообщениями и т. д., с целью входа в определенные носители (машина, почтовый ящик и т. д.) и кражи конкретной информации; [Кибератака]: путем установка вредоносных троянов, использование троянов для управления целевой машиной и кражи конфиденциальных файлов. Методы атаки включают проникновение в Интернет, цепочку поставок, гарпун, APT-атаки и т. д.; [Программы-вымогатели]: после атаки запускается программа-вымогатель, и файлы данных на компьютере шифруются. Конечно, стоит отметить, что перед запуском программы-вымогателя злоумышленники часто крадут важные файлы на машине, а затем запускают программу-вымогатель. Это может не только потребовать выкуп, но и уничтожить журналы операций злоумышленника на локальном компьютере, чтобы предотвратить отслеживание.
- Уязвимости программы: [Ошибки конфигурации]: такие как раскрытие адресов каталогов конфиденциальных файлов, снятие разрешений для доступа к конфиденциальным файлам, настройки разрешений интерфейса вызовов API и т. д.; [Уязвимости]: уязвимости чтения произвольных файлов, уязвимости без входа в учетную запись, уязвимости повышения привилегий и т. д.; Эксплуатация ошибок или уязвимостей конфигурации используется для получения соответствующих данных, а затем используется нереализованный контроль рисков, такой как ограничения частоты доступа, ненормальные запросы на вход в учетную запись и т. д., для кражи больших объемов данных с помощью сканеров и других методов.
- Человеческий фактор [кража]: инсайдеры напрямую крадут конфиденциальные данные внутри предприятия и сливают их; [пренебрежение]: раскрытие внутренних системных адресов, информации для входа в учетную запись и т. д. во внешние сети, такие как github; случайное выполнение таких операций, как rm -rf.
Вот список некоторых крупных инцидентов, связанных с безопасностью данных, произошедших за последние годы:
- В мае 2013 года Эдвард Джозеф Сноуден, бывший сотрудник ЦРУ и технический специалист Агентства национальной безопасности (АНБ), передал Великобритании большое количество конфиденциальных правительственных документов США. The Guardian и Washington Post сообщили, что утечка данных содержала материалы, представляющие общественный интерес, включая программу наблюдения АНБ «Призма». Этот материал содержит большое количество материалов кибератак со стороны правительства США, а также включает в себя слежку за гражданами США, ущемляющую личные права граждан США. Утечка вызвала бурю негодования, а сам Сноуден был объявлен в розыск правительством США;
- В марте 2016 года руководитель предвыборного штаба Хиллари Джон Подеста подвергся фишинговой атаке по электронной почте. После того, как злоумышленник украл пароль учетной записи электронной почты Подесты, он вошел в почтовый ящик и украл все электронные письма, включая большое количество писем Хиллари. И данные были слиты в WikiLeaks и опубликованы. Этот инцидент привел к ухудшению ситуации с выборами Хиллари, что в конечном итоге изменило результаты выборов в США и даже картину всего мира;
- 12 мая 2017 года вспыхнул вирус-вымогательwancry. Программа-вымогатель распространилась, используя уязвимость EternalBlue, и быстро заразила более 300 000 компьютеров как минимум в 150 странах мира. Все файлы данных на зараженной машине зашифрованы и не могут быть расшифрованы до тех пор, пока не будет заплачен выкуп. Вирус парализовал государственные учреждения, больницы, автозаправочные станции, производственные компании и т. д., нанеся серьёзные экономические потери;
- 28 августа 2018 г., естьхакерПользовательские данные гостиничных сетей, принадлежащих Huazhu Group, продаются в даркнете за 8 биткойнов или 520 монеро (текущая цена составляет около 370 000 юаней). Данные включают информацию о гостях более чем из 10 брендовых отелей, принадлежащих Huazhu, включая Hanting, Xiyue, Orange и Ibis. Утечка информации включает регистрационную информацию на официальном веб-сайте Huazhu, идентификационную информацию о регистрации в отеле и записи о бронировании номеров в отеле, имена гостей, номера мобильных телефонов, адреса электронной почты, идентификационные номера, пароли учетных записей и т. д.
- 23 февраля 2020 года SaaS-бизнес Weimob внезапно рухнул, все торговые мини-программы на основе Weimob прекратили работу, а бизнес 3 миллионов торговцев практически остановился. В ходе расследования выяснилось, что основные бизнес-данные на сервере Weimeng были злонамеренно удалены. Драма «удаление базы данных и побег» происходит в реальности. В конце концов, инцидент привел к падению рыночной стоимости Weimob на 1 миллиард. Сотрудник, который удалил базу данных и сбежал, был приговорен к 6 годам лишения свободы;
- 5 апреля 2021 года произошла утечка персональных данных примерно 533 миллионов пользователей американской социальной сети Facebook (Facebook), включая номера телефонов, электронные письма и другую информацию. Российские СМИ сообщили, что в сеть также попал номер телефона основателя Facebook Цукерберга.
4. Безопасность данных и сетевая безопасность
В сфере безопасности часто можно услышать три термина:информационная безопасность, сетевая безопасность, безопасность данных. Согласно обсуждению в книге «Проектирование и практика архитектуры безопасности данных», порядок разработки следующий: информационная безопасность — сетевая безопасность — безопасность данных.
Когда необходимо подчеркнуть систему управления безопасностью, или конфиденциальность, целостность, доступность информации и информационных систем, или соответствие контента, или DLP (предотвращение внутренней искусственной утечки информации), или защиту статической информации (например, систем хранения, Термин «информационная безопасность» часто используется в таких сценариях, как информация на оптических дисках.
Термин «сетевая безопасность» часто используется, когда необходимо подчеркнуть границы сети и домены безопасности, или предотвращение вторжений в сеть, или системы сетевой связи, или безопасность передачи, или киберпространство и другие сценарии.
Термин «безопасность данных» часто используется, когда необходимо подчеркнуть защиту данных на протяжении всего жизненного цикла, или когда данные используются для повышения производительности, или когда такие сценарии, как суверенитет данных, права субъектов данных, юрисдикция длинной руки и конфиденциальность. особое внимание уделяется защите.
Киберпространство обеспечивает вычислительную среду, а данные служат носителем информации и становятся объектом вычислений. Сетевая безопасность подчеркивает безопасность вычислительной среды (киберпространства) для обеспечения безопасности вычислительных объектов (данных). Таким образом, сетевая безопасность является предпосылкой безопасности данных, а безопасность данных является проявлением сетевой безопасности. Сетевая безопасность охватывает более широкую сферу, в то время как сфера безопасности данных более ясна и целенаправленна.
Судя по реальной ситуации, конечной целью сетевой безопасности является безопасность данных, включая их кражу, передачу, шифрование, злонамеренное удаление и т. д. Второе — это майнинговые вирусы.
5. Построение безопасности данных
Безопасность данных — это расширение или воплощение сетевой безопасности. Построение безопасности данных и построение сетевой безопасности имеют много общего.
Конечными активами или целями обеспечения сетевой безопасности являются оборудование, такое как традиционные ПК, серверы, устройства IoT и т. д. Активами, гарантированными в эпоху облачных вычислений, являются рабочие нагрузки, включая виртуальные машины, контейнеры, бессерверные облачные службы и т. д.
В сфере сетевой безопасности операции по обеспечению безопасности обычно начинаются с инвентаризации активов, а затем проводятся проверки активов на наличие рисков для установления базовых показателей безопасности, такие как сканирование уязвимостей, сканирование портов, слабые пароли и другие элементы обнаружения. После этого мы установили ряд правил или использовали машинное обучение для мониторинга компьютерных аномалий в различных измерениях в облаке и на стороне канала, таких как размещение подозрительных файлов, выполнение вредоносных процессов, подозрительные сетевые ссылки, аномальное поведение и т. д.
Когда дело доходит до безопасности данных, активы или цели, защищаемые с помощью безопасности данных, являются данными. Таким образом, безопасность данных должна взять активы данных в качестве основы и провести ряд мероприятий по созданию возможностей безопасности.
Основными моментами построения безопасности данных являются: какие данные существуют, откуда они поступают, где находятся данные и кто их использует. Поэтому необходимо построить операционную систему безопасности данных вокруг этих четырех основных пунктов. Эти четыре основных пункта также охватывают жизненный цикл данных:
1. Какие данные есть?
Аналогично инвентаризации активов в сфере кибербезопасности. Вам необходимо знать, какие информационные активы ваша компания хочет защитить. Если вы даже не знаете, какие у вас данные, как вы можете защитить безопасность своих данных? Зная, какие данные имеются, их необходимо классифицировать и классифицировать.
С точки зрения субъекта данных данные делятся на три категории: общедоступные данные, личная информация и данные юридического лица:
- Публичные данные: данные, собранные и генерируемые органами государственного управления и обслуживания в процессе выполнения обязанностей по государственному управлению и оказанию услуг в соответствии с законом, а также данные, затрагивающие общественные интересы, собранные и генерируемые другими организациями и отдельными лицами при предоставлении государственных услуг. Например, данные о государственных делах и предоставление данных, затрагивающих общественные интересы в государственных услугах, таких как водоснабжение, электроснабжение, газоснабжение, отопление, общественный транспорт, уход за пожилыми людьми, образование, медицинское здравоохранение, почтовые услуги и т. д.;
- Персональные данные: различная информация, относящаяся к идентифицированному или идентифицируемому физическому лицу, записанная в электронном или ином виде, за исключением обезличенной информации. Например, личная идентификационная информация, личная биометрическая информация, информация о личной собственности, информация о личном общении, информация о личном местонахождении, информация о личном здоровье и физиологических данных и т. д.;
- Данные юридического лица: данные, собранные и генерируемые организацией в процессе производства, эксплуатации и внутреннего управления, такие как бизнес-данные, данные эксплуатации и управления, данные о работе системы и безопасности и т. д.
По степени вреда, причиненного национальной безопасности, общественным интересам или законным правам и интересам отдельных лиц и организаций в случае подделки, уничтожения, утечки или незаконного получения или использования данных, данные делятся на общедоступный уровень (уровень 1). и внутренний уровень от низкого до высокого. Существует пять уровней (уровень 2), чувствительный уровень (уровень 3), важный уровень (уровень 4) и основной уровень (уровень 5). Среди них важные данные относятся к важному уровню (уровень 4), а национальные основные данные относятся к основному уровню (уровень 5).
- Публичный уровень (уровень 1): данные общедоступного уровня имеют атрибуты публичной коммуникации и могут быть опубликованы и отправлены во внешний мир. Однако необходимо также учитывать количество и категории общедоступных данных, чтобы избежать их использования для корреляционного анализа из-за слишком большого количества категории или слишком большое количество. Если данные этого уровня подделаны, уничтожены, утекли, получены или незаконно использованы, это может нанести небольшой ущерб законным правам и интересам отдельных лиц и организаций, но не поставит под угрозу национальную безопасность или общественные интересы;
- Внутренний уровень (уровень 2): данные внутреннего уровня обычно передаются и используются внутри организации и связанных сторон, а также могут быть переданы за пределы организации с разрешения связанных сторон. Если данные этого уровня подделаны, уничтожены, утекли или незаконно получены или использованы незаконно, это может нанести общий ущерб законным правам и интересам отдельных лиц и организаций или нанести небольшой ущерб общественным интересам, но не поставит под угрозу национальную безопасность. ;
- Уровень конфиденциальности (уровень 3): доступ к данным уровня конфиденциальности могут получить только уполномоченные внутренние агентства или сотрудники. Если вы хотите поделиться данными с внешними организациями, вам необходимо выполнить соответствующие условия и получить разрешение от соответствующих сторон. Если данные этого уровня подделаны, уничтожены, утекли или незаконно получены или использованы, это может нанести серьезный ущерб законным правам и интересам отдельных лиц и организаций или нанести общий ущерб общественным интересам, но не поставит под угрозу национальную безопасность;
- Важный уровень (уровень 4). Данные важного уровня строго контролируются в соответствии с утвержденным списком разрешений и могут быть переданы или распространены только после строгого рассмотрения, утверждения и оценки в пределах контролируемой области. Если данные этого уровня подделаны, уничтожены, утекли или получены или использованы незаконно, это может нанести особенно серьезный ущерб законным правам и интересам отдельных лиц и организаций, может нанести серьезный ущерб общественным интересам или причинить незначительный или общий вред. национальной безопасности;
- Базовый уровень (уровень 5): данные базового уровня запрещено передавать или распространять за пределы. Если данные этого уровня подделаны, уничтожены, утекли или получены незаконным путем или используются незаконно, это может нанести серьезный или особенно серьезный ущерб национальной безопасности или нанести особенно серьезный ущерб общественным интересам.
Кроме того, с точки зрения распространения данных данные также можно разделить на данные для публичного распространения и данные для закрытого распространения. Данные для публичного общения относятся к данным, которые имеют атрибуты публичного общения и могут быть публично опубликованы и переданы. Данные общедоступного уровня относятся к данным публичного общения. К данным, не подлежащим публичному общению, относятся данные, которые не имеют атрибутов публичного сообщения и распространяются только в пределах разрешенного ограниченного объема или распространение которых запрещено, например, государственная тайна, важные данные, коммерческая тайна, личная информация, общедоступные данные с условиями или запретами. о совместном использовании, Интеллектуальная собственность работает без согласия и т. д. Данные внутреннего уровня, конфиденциального уровня, важного уровня и основного уровня являются данными для закрытого распространения.
Основная структура классификации и классификации данных выглядит следующим образом:
2. Откуда берутся данные?
Вам необходимо знать, откуда собираются данные, чтобы решить следующие проблемы безопасности:
- Является ли процесс сбора законным и соответствует ли он требованиям? Необходимо строго соблюдать «Закон о безопасности данных», «Положения об объеме необходимой личной информации для распространенных типов мобильных интернет-приложений», GDPR и т. д.;
- Безопасны ли терминал сбора и процесс сбора? Обнаружение безопасности терминала, безопасная клавиатура для обеспечения безопасности ввода и т. д.;
- Безопасна ли передача данных при сборе данных в облако? Шифрование каналов передачи.
3. Где данные?
Необходимо решить, где хранятся данные и безопасность среды хранения.
- Хранение данных: шифрование, десенсибилизация, водяные знаки;
- Безопасность носителей данных: физические носители, операционные системы и т. д., традиционные категории сетевой безопасности для предотвращения вирусов-вымогателей, кражи паролей и т. д.;
- Резервное копирование данных: несколько копий, несколько центров обработки данных и т. д. Для быстрого восстановления после катастрофы.
4. Кто использует данные?
Необходимо решить проблемы безопасности при использовании данных:
- Проверка личности пользователя и разрешений
- Безопасность интерфейса API данных
- DLP, предотвращение утечки данных
- Сценарии и частота доступа к данным
- Повторная обработка данных
Поэтому, основываясь на вышеизложенных концепциях, необходимо создать операционную систему безопасности данных, которая будет видимой, управляемой, работоспособной, отслеживаемой и восстанавливаемой. Более подробная информация будет обсуждаться в следующем разделе.
6. Структура работы по обеспечению безопасности данных
В этой статье предлагается структура операции по обеспечению безопасности данных, основанная наНулевое довериеи структура операций по обеспечению безопасности данных DataSecOps.
Давайте сначала поговорим о нулевом доверии. Нулевое доверие — это концепция или структура безопасности, которая в настоящее время широко используется в области сетевой безопасности. Фактически, в сфере безопасности данных также может быть принята концепция нулевого доверия. В основе этой философии лежит следующее: никогда не доверяй, всегда проверяй. В сфере безопасности данных сохраняются основные принципы нулевого доверия:
- на основе идентичности
- принцип наименьших привилегий
- Динамичная,проверка стратегий и стратегий
Фактически, в эталонной архитектуре нулевого доверия Министерства обороны (DOD) упоминается, что данные являются одним из целевых столпов нулевого доверия:
Остальное включает в себя удостоверения, устройства, сети, приложения. Таким образом, защита безопасности данных является конечной целью нулевого доверия.
Таким образом, структуру нулевого доверия можно разделить на следующие последовательности и этапы:
1. Доступ к сети с нулевым доверием (ZTNA, доступ к сети с нулевым доверием) — это этап, на котором находится большинство современных продуктов с нулевым доверием. Он в основном используется для доступа с нулевым доверием к бизнес-системам и в основном использует архитектуру SDP;
2. Доступ к приложениям с нулевым доверием (ZTAA, доступ к приложениям с нулевым доверием) — это этап, на котором расположены большинство современных продуктов с нулевым доверием, и в основном он построен с микроизоляцией в качестве ядра;
3. Доступ к данным с нулевым доверием и защита данных с нулевым доверием (ZTDA, доступ к данным с нулевым доверием и ZTDP, защита данных с нулевым доверием) в основном созданы для обеспечения безопасности данных.
Таким образом, доступ к данным является следующим этапом развития сетей и приложений, и соответствующая схема структуры может быть:
Нулевое доверие 1.0
Нулевое доверие 2.0
Несколько компонентов заключаются в следующем:
- Прокси-сервер доступа к данным: любой доступ на основе данных, будь то прямая операция с базой данных или интерфейс API, не требует прямого доступа и работы. Вместо этого он передается через агента. Разрешения на доступ к базе данных и операции по умолчанию запрещены. В агентстве разрешения на доступ могут быть предоставлены только после предоставления личности, разрешений и других проверок политики, а затем можно выполнять соответствующие операции с базой данных.
- Центр принятия решений: Центр принятия решений — это мозг системы нулевого доверия, решающий, какие пользователи и какие приложения могут работать с какими данными. Центр принятия решений использует систему контроля на основе идентификации. RBAC, ABAC и т. д. могут использоваться для контроля доступа. Размеры контроля могут включать в себя: личность, устройство, сеть, приложение, поведение и т. д. Кроме того, динамические стратегии можно корректировать в зависимости от сценариев, периодов времени и т. д.
- Центр обработки данных: хранилище данных может храниться отдельно в соответствии с категориями данных, уровнями и т. д. Убедитесь, что все данные изолированы друг от друга. Включая каталог хранения, компьютерный зал, разрешения и т. д.
Конечно, для реализации решения по защите данных с нулевым доверием его необходимо объединить с DataSecOps. DataSecOps, как расширение концепции DevSecOps в области данных, также подчеркивает необходимость внедрения атрибутов безопасности в процесс разработки, эксплуатации и хранения данных, а не последующей защиты данных.
Чтобы создать совместную команду для постоянного сотрудничества между инженерами безопасности, инженерами данных и другими соответствующими заинтересованными сторонами; необходимо установить принцип наименьших привилегий и проводить контроль разрешений на уровне устройства и на уровне строк; упростить доступ к данным, сохраняя при этом безопасность в процесс. нравиться:
Наконец, недостаточно иметь оборудование и архитектуру: необходимо также иметь полноценный центр обработки данных с высокой гибкостью сетевой безопасности. Сделайте данные видимыми, управляемыми, работоспособными, отслеживаемыми и восстанавливаемыми.
- Видимость: провести тщательную инвентаризацию активов данных, уточнить категории и классификации данных, разрешения, необходимые пользователям, записи об использовании данных и т. д.;
- Управляемые: детальный контроль идентификации и разрешений, десенсибилизация данных, шифрование данных, мониторинг безопасности медиасети (терминалы, межсетевые экраны и т. д.), DLP и т. д.;
- Эксплуатационные: аудит журналов, мониторинг отклонений в поведении и т. д.;
- Прослеживаемость: добавление к данным цифровых водяных знаков, таких как раскрашивание данных, невидимые/явные водяные знаки на изображениях и т. д.;
- Возможность восстановления: меры аварийного восстановления, такие как резервное копирование и т. д.
7. Резюме
В настоящее время проблемы безопасности данных по-прежнему серьезны, и необходимо срочно построить безопасный центр обработки данных. Защита безопасности данных страны и граждан от посягательств стала консенсусом всего общества.
Следует отметить, что наиболее важным аспектом нападения и защиты сетевой безопасности и безопасности данных по-прежнему является нападение и защита между людьми.Люди всегда являются самым коротким звеном в стволе. Архитектура нулевого доверия может в наибольшей степени компенсировать некоторые человеческие недостатки в системе и улучшить общие возможности безопасности.
Конечно, необходимо отметить, что нулевое доверие не является панацеей и все равно не может решить все проблемы безопасности. Поэтому для лучшего обеспечения безопасности данных необходимо создать высокозрелый операционный центр по обеспечению безопасности данных.
Стоит отметить, что безопасность данных в настоящее время является самой популярной областью финансирования сетевой безопасности, и появляется все больше и больше стартапов и продуктов безопасности, в основе которых лежит безопасность данных:
Мы считаем, что по мере того, как законы и положения страны в области безопасности данных становятся все более совершенными, различные агентства, подразделения и предприятия уделяют все больше внимания безопасности данных и вкладывают все больше и больше средств в безопасность данных. Становится все лучше и лучше.
8. Справочные ссылки
1. Эскалация проблем безопасности данных: последствия, контрмеры и возможности в ключевых областях: http://n1.sinaimg.cn/finance/9b213f90/20210826/ShuJuAnQuanBaoGao20210823.pdf
2. Стандартное практическое руководство по сетевой безопасности — Рекомендации по классификации и классификации данных: https://www.tc260.org.cn/upload/2021-09-30/1633014582064034019.pdf.
3、中国网络安全产业分析报告(2021年):http://www.mogesec.com/%e4%b8%ad%e5%9b%bd%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e4%ba%a7%e4%b8%9a%e5%88%86%e6%9e%90%e6%8a%a5%e5%91%8a%ef%bc%882021%e5%b9%b4%ef%bc%89/
4、Department of Defense (DOD) Zero Trust Reference Architecture(国防部零信任参考架构):http://www.mogesec.com/department-of-defense-dod-zero-trust-reference-architecture%ef%bc%88%e5%9b%bd%e9%98%b2%e9%83%a8%e9%9b%b6%e4%bf%a1%e4%bb%bb%e5%8f%82%e8%80%83%e6%9e%b6%e6%9e%84%ef%bc%89/
Оригинал статьи принадлежит автору FANG, FANG, при воспроизведении просьба указывать: https://cncso.com/ru/создание-оперативного-потенциала-бе.