一、引言
2021年12月9日晚,Apache Log4j2遠端程式碼執行漏洞(CVE-2021-44228)引爆全球。該漏洞堪稱史詩級的漏洞,CVSS評分達到了滿分10分,影響全球大半的網路企業,包括百度、蘋果等企業都爆出有此漏洞。
如今,漏洞爆發到現在已經接近一個月了。在這一個月裡,利用該漏洞進行的攻擊活動層出不窮。有傳播挖礦的,有傳播勒索病毒的,有建構殭屍網路的,有用來進行APT攻擊活動竊取資料的。除了挖礦,其他的攻擊活動都跟資料之前相關。因此我們必須要高聲疾呼:史詩級的漏洞之後,該回去保護你的資料啦!因此,本文就來談談資料安全和數據安全營運體系建設。
二、資料安全建設的必要性
1、概述
說起資料安全,2021年最讓人印象深刻的,非滴滴莫屬:
- 7月2日,國家網信辦以「國家資料安全風險,維護國家安全,保障公共利益」為由,對「滴滴出行」展開了安全審查,暫停新用戶註冊;
- 7月4日,國家網信辦發布通報「滴滴出行」App 有嚴重違法違規收集使用個人資訊問題,勒令應用程式商店下架其App;
- 7月9日,國家網信辦再次發布通報,要求下架滴滴企業版等25款APP;
- 7月16日,國家網信辦通報,國家網信辦會同公安部、國家安全部、自然資源部、交通部、稅務總局、市場監理總局等部門聯合進駐滴滴出行科技有限公司,開展網路安全審查。
同時,7月5日,「運滿滿」、「貨車幫」、「BOSS 直聘」被實施網路安全審查,期間停止新用戶註冊。 7月10日,國家網信辦公佈《網路安全審查辦法(修訂草案徵求意見稿)》(此辦法已於2021年11月16日國家網路資訊辦公室2021年第20次室務會議審議通過,將在2022年2月15日起施行),要求掌握超過100 萬名用戶個人資料的業者赴國外上市,必須向網路安全審查辦公室申報網路安全審查。
這一系列事件背後,正映射著近年來國內網路平台存在資料安全漏洞、濫用資料等亂象。目前,資料安全已成為數位經濟時代最緊迫和最基礎的安全問題,加強資料安全治理已成為維護國家安全和國家競爭力的戰略需求。近幾年來,《網路安全法》、《資料安全法》和《個人資訊保護法》等資料安全保護相關法律架構的落地或頒布,為資料安全保障提供了製度和法律支撐。
從國家對資料安全的治理和相關法律的推出來,越來越體現出資料在經濟發展中的重要性。數據作為數位經濟時代最核心、最有價值的生產要素,正加速成為全球經濟成長的新動力、新引擎。
事實上,在2020年4月9日,在《中共中央國務院關於建構更加完善的要素市場化配置體制機制的意見》中,就將「數據」作為一種新型的生產要素寫入了文件,將「數據」與土地、勞力、資本、技術並列。
5G、人工智慧、雲端運算、區塊鏈等ICT 新技術、新模式、新應用無一不是以海量數據為基礎,數據量也正呈現爆發式成長態勢。根據IDC 預測,2025 年全球資料量將高175ZB。其中,中國數據量預計2025年將增加至48.6ZB,佔全球數據圈的27.8%,中國將成為全球最大的數據圈。
2.我國對資料安全的政策
隨著資料的重要性的提升,資料安全問題成為了相關國家安全、社會安全、公民安全的安全問題,資料安全治理也逐漸被提升到國家安全治理的戰略高度。從近年來,國家多次發布相關法規法案,將保障資料安全放到了重點突出的位置就可見一斑。
以下列舉一些近年來,國家推出的部分跟資料安全相關的法律法規。
- 2015年7月1日,正式發布《中華人民共和國國家安全法》,正式將資料安全納入國家安全的範疇;
- 2016年11月7日,正式發布《中華人民共和國網路安全法》,從「個人資訊保護」、「資料儲存與跨境安全」、 「資料(資訊)內容安全」及「資料系統、平台、設施安全」等角度,對資料及個人資訊合規方面予以規制;該法於2017年6月1日,正式施行;
- 2019年5月28日,發布《資料安全管理辦法(徵求意見稿)》,對近年來網路資料安全問題予以細化,包括個人敏感資訊收集方式、廣告精準推送、APP過度索權、帳戶註銷難等問題;
- 2019年6月13日,發布《個人資訊出境安全評估辦法(徵求意見稿)》,明確了個人資訊出境安全評估的重點評估內容,規定所有個人資訊出境均應依法向網信辦申報並由網信辦組織進行安全評估;明確了個人資訊主體在出境場景下知情權等權利履行的保障;透過系列設計加強對境外接收者的監督;全面規定了網路業者與個人資訊接收者簽訂的合約的具體內容;
- 2019年12月30日,發布《App違法違規蒐集使用個人資訊行為認定方法》,界定了手機App 違法違規蒐集使用個人資訊行為的六大類方法,並提出界定標準;
- 2020年5月28日,透過《中華人民共和國民法典》,明確了隱私、個人資訊的定位以及界定,明確了個人資訊處理範圍、主體權利、要求及原則,明確了資料活動必須遵守合法、正當、必要原則;
- 2021年3月22日,發布《常見類型行動互聯網應用程式必要個人資訊範圍規定》,明確了39 種常見類型APP 的必要個人資訊範圍,要求其經營者不得因用戶不同意提供非必要個人信息,而拒絕使用者使用App 基本功能服務,旨在有效規範App 收集使用個人資訊行為並促進App 的健康發展;
- 2021年4月26日,發布《行動網路應用程式個人資訊保護管理暫行規定(徵求意見稿)》,確立了「知情同意」「最小必要」兩項重要原則;細化了App 開發業者、分發平台、第三方服務提供者、終端生產企業、網路存取服務提供者等五類主體責任義務;提出了投訴舉報、監督檢查、處置措施、風險提示等四方面規範要求;
- 2021年6月10日,正式通過《中華人民共和國資料安全法》,確立了資料安全管理各項基本製度;明確了資料安全保護義務及落實資料安全保護責任;強調堅持安全與發展並重,規定支持促進資料安全與發展的措施;該法於2021年9月1日起正式實施;
- 2021年8月20日,正式通過《中華人民共和國個人資訊保護法》,明確了個人資訊處理規則、個人在個人資訊處理活動中的權利、義務、履行個人資訊保護職責的部門等。該法於2021年11月1日起正式施行。
- 2021年11月16日,正式通過《網路安全審查辦法》,要求掌握超過100 萬名用戶個人資料的業者赴國外上市,必須向網路安全審查辦公室申報網路安全審查。該辦法將於2022年2月15日起施行。
除了國家層級的相關法律法規和政策外,各地方省市,也發布了一系列的跟資料安全相關的規定和指南,部分列舉如下:
此外,資料安全相關產業,如金融保險業、電信及網際網路業、車聯網業、工業網際網路業等,近年來對資料及資料安全議題也都越來越重視,中國人民銀行、中國銀保監會、工信部、科技部等各部門紛紛發布相應規定,旨在規範各行各業中資料安全管理工作,提升資料安全保護能力。為資料分類分級、管理能力評估、安全防護等相關工作提供了政策指引。如:
總的來說,目前與我國的資料安全相關的法律規定是基於《國家安全法》、《網路安全法》以及《民典法》建立起來的,並且各省市針對地方情況會出台地方相應法律,對目前資料安全、資料跨境問題做積極探索。因應於資料應用的廣泛性,各行業監理機關各司其職,並對產業內資料進行管理與保護。
3.圍繞資料安全的大國博弈
事實上,資料安全問題絕非只在中國存在,而是全球共同面臨的問題。各國政府逐漸意識到,資料已成為與國家安全和國際競爭力緊密關聯的一大要素,對資料安全的認知也已從傳統的個人隱私保護上升到維護國家安全的高度。
歐盟在2018年5月25日就正式推出了《通用資料保護條例》,也就是我們熟悉的GDPR(General Data Protection Regulation),它要求公司體制中隱私保護措施更加細化,資料保護協議更加細緻,公司隱私和資料保護實務相關揭露對使用者更加友善且更加詳盡。而在2020年6月30日,歐洲資料保護監理局也發布了《歐洲資料保護監理局戰略計畫(2020-2024)》,旨在從前瞻性、行動性和協調性三個面向持續加強資料安全保護,以保障個人隱私權。
除了歐洲,美國白宮行政管理與預算辦公室(OMB)也在2019年12月23日,發布了《聯邦資料戰略與2020年行動計畫》,確立了保護資料完整性、確保流通資料真實性、資料存儲安全性等基本原則。
隨著資料安全逐漸上升到國家層面,各國之間數據競爭也逐漸被重視。此次滴滴被審查便存在國家層級資料外洩的可能,依據美國方面的法律,必須依照《外國公司問責法案》(Holding Foreign Companies Accountable Act)呈交以審計底稿、亦或是使用者資料和城市地圖為代表的部分數據,這些都是關乎國家數據主權的核心數據,可能直接影響國家安全、公共利益和社會穩定。
在大國博弈持續加劇的今天,數據作為國家重要的生產要素和戰略資源,其日益頻繁的跨境流動帶來了潛在的國家安全隱患。一是流轉到境外的情報資料更容易被外國政府取得。二是我國戰略動作易被預測,陷入政策被動,如美國大力推廣的微觀數據的匯聚分析,若在掌握我國金融數據的前提之下,便能在國際金融博弈中取得先機。三是我國以數據為驅動的新興技術領域競爭優勢被逐漸削弱,例如我國擁有全球領先的人臉辨識公司商湯科技,一旦其數據被他國獲取,會大大削弱我國在這一領域的競爭優勢。
而某些國家尤其是美國目前正採取對中國的數據打壓,將我國排除在全球數據安全治理體系之外,並可能製定針對我國的數據安全審查規則,在數據安全領域形成對我國的“包圍圈” 。例如,2020 年美、印、澳等多國以資料安全為由,聯合對TikTok 進行圍剿,以安全調查結果違規為由,限制其使用發展。
根據Synergy Research Group 的數據顯示,截至2020 年,全球主要的20 家雲端和網路服務公司營運的超大規模資料中心數量為597 個,其中美國的資料中心數量遠超其他國家,佔比接近40%,中國雖然位居第二但佔比僅10%:
在資訊時代,這種壓倒性的數據優勢是極度恐怖的。中國不是“資料中心國”,但也不能淪為“資料附屬國”,我們需要全力捍衛資料主權,加強資料的安全和保護。
三、常見的資料安全威脅
資料安全威脅影響國家安全、社會安全、公民安全、企業安全,是目前國家、企業、個人面臨的極大安全挑戰。與資料相關的安全威脅主要有以下幾種:
- 資料遭竊密、外洩資料外洩是目前資料安全領域最常見的問題。由資料外洩引發的國家問題、社會問題屢見不鮮,如斯諾登事件、華住事件等;
- 資料被加密勒索勒索病毒作為網路安全領域近年來和未來很長一段時間的最大的威脅,也是各國機關、關鍵基礎設施產業、企業等面臨的非常大的安全問題。如2017年的wannacry事件,引發為全球全社會的一個安全問題。
- 資料被刪除、銷毀」刪庫跑路」是我們經常調侃的一個詞,但事實上,刪庫的事件也時有發生。
- 非法採集數據此威脅主要是企業或個人開發者,利用app等程序,採集程序所必要的數據,如個人隱私數據等。
造成資料安全威脅的方式主要為:
- 傳統的網路攻擊:【網路釣魚】:釣取使用者帳號,包括機器、網域、信箱、IM工具等,從而登入特定的媒體(機器、信箱等),竊取具體的資訊;【網路攻擊】:透過植入惡意木馬,透過木馬來操控目標機器,來竊取機密文件。攻擊方式包括web滲透、供應鏈、魚叉、APT攻擊等;【勒索病毒】:攻擊後,執行勒索病毒,加密機器上的資料檔案。當然,值得注意的是,在執行勒索病毒前,攻擊者往往會先竊取機器上的重要文件,然後再執行勒索病毒。這樣既能勒索贖金,也能銷毀攻擊者在本機上的操作日誌,防止被溯源追蹤。
- 程式漏洞:【設定錯誤】:如暴露敏感檔案目錄位址、敏感檔案存取未設定權限、API呼叫介面權限設定等;【漏洞】:任意檔案讀取漏洞、無帳號登入漏洞、提權漏洞等;利用設定錯誤或漏洞,取得相關數據,然後利用未做風控,如存取頻率限制、帳號異常登入提示等,從而透過爬蟲等方式,竊取大量資料。
- 人為因素【盜取】:內部人員直接盜取企業內部的敏感資料進行洩漏;【疏忽】:把內部系統位址、帳號登入資訊等暴露在外網,如github上;不小心執行rm -rf等操作。
以下盤點一些近年來發生過的重大的資料安全事件:
- 2013年5月,前美國中央情報局(CIA)職員,美國國家安全局(NSA)外包技術員愛德華·約瑟·斯諾登(Edward Joseph Snowden),將獲取的大量美國政府的機密文件洩露給英國《衛報》和美國《華盛頓郵報》,洩漏的資料包含美國國家安全局關於稜鏡計畫監聽計畫在內的關係公共利益的資料。該資料包含了美國政府大量的網路攻擊資料,同時也包含了對美國公民的監控,侵犯了美國公民的個人權益。洩漏事件引起軒然大波,而史諾登本人也被美國政府通緝;
- 2016年3月,希拉蕊的競選團隊主席波德斯塔(John Podesta)遭受了郵件釣魚攻擊。攻擊者盜取了波德斯塔的郵件帳號密碼後,登入了信箱,竊取了所有的郵件,包括大量希拉蕊的郵件。並把資料外洩給了維基解密並公佈。這事件導致希拉蕊的選情急轉直下,最終改變了美國大選結果,乃至整個世界的格局;
- 2017年5月12日,wannacry勒索病毒爆發。該勒索病毒利用永恆之藍漏洞傳播,迅速感染全球至少150多個國家的30萬多台機器。被感染的機器上的所有資料檔案被加密,只有支付贖金才能進行解密。該病毒導致政府機關、醫院、加油站、製造業等癱瘓,造成嚴重的經濟損失;
- 2018年8月28日,有駭客以8個比特幣或520門羅幣(時價約37萬元)在暗網出售華住集團旗下連鎖飯店用戶資料。數據包含華住旗下漢庭、禧玥、桔子、宜必思等10餘個品牌飯店的住客資訊。洩漏的資訊包括華住官網註冊資料、飯店入住登記的身份資訊及飯店開房記錄,住客姓名、手機號碼、信箱、身分證字號、登入帳號密碼等。
- 2020年2月23日,微盟公司的SaaS業務突然崩潰,而基於微盟的商家小程式都處於宕機狀態,300萬商戶生意基本上停擺。經過排查發現,微盟伺服器上的核心業務資料被惡意刪除。 「刪庫跑路」的戲碼在現實中發生。最終,這起事件使得微盟公司市值暴跌10億。而該刪庫跑路的員工被判刑6年;
- 2021年4月5日,美國社群媒體臉書(Facebook)約5.33億用戶的個人資料遭洩露,包括電話號碼、電子郵件等資訊。俄媒稱,臉書創辦人祖克柏的電話號碼也遭外洩。
四、資料安全及網路安全
在安全領域,常聽到有三個名詞:資訊安全、網路安全、資料安全。根據《資料安全架構設計與實戰》一書中的論述,其發展順序為資訊安全-網路安全-資料安全。
當需要強調安全管理體系,或強調資訊及資訊系統的保密性、完整性、可用性,或內容合規,或DLP(防止內部人為的資訊外洩),或強調對靜態資訊的保護(如儲存系統、光碟上的信息)等場景時,“資訊安全”一詞多被使用。
當需要強調網路邊界和安全域,或網路入侵防禦,或網路通訊系統或傳輸安全,或網路空間等場景時,「網路安全」一詞多被使用。
當需要強調全生命週期中的資料保護,或資料作為生產力,或強調資料主權、資料主體權利、長臂管轄權、隱私保護等場景時,「資料安全」一詞多被使用。
網路空間提供計算的環境,資料則作為資訊的載體成為計算的物件。網路安全強調運算環境(網路空間)的安全,從而保障計算對象(資料)的安全。因此,網路安全是資料安全的前提,資料安全是網路安全的一種體現,網路安全涵蓋的範圍更廣,而資料安全的範圍更明確具有針對性。
以實際情況來看,網路安全最終保障的目的最大頭就是資料的安全,包括資料的竊取、轉移、加密、惡意刪除等。其次為挖礦病毒。
五、資料安全建設
資料安全作為網路安全的引申或具象,資料安全建置跟網路安全建置有許多共通的地方。
網路安全保障的最終的資產或目標為設備,如傳統的PC機器、伺服器、IOT設備等,雲端時代保障的資產是工作負載,包括虛擬機器、容器、雲端服務serverless等。
在網路安全中,安全營運通常從資產的盤點開始,然後對資產進行風險掃描,建立安全基線等,如漏洞掃描、連接埠掃描、弱密碼等偵測項目。之後建立了一系列的規則或利用機器學習,從雲端管端多維度來監測機器的異常,如可疑文件的落地、惡意進程的執行、可疑的網路連結、異常的行為等。
而到了資料安全,資料安全中保護的資產或目標是資料。因此在資料安全中需要以資料資產為核心,展開一系列的安全能力建構。
建置資料安全的核心點為:有什麼資料、資料哪裡來的、資料在哪裡、誰在使用資料。因此需要圍繞這4個核心點來展開資料安全營運體系的建置。這4個核心點同樣涵蓋了資料生命週期:
1.有什麼數據
類似網路安全中的資產盤點。需要知道你企業要保障的數據資產有哪些。如果連資料資產有哪些都不清楚,談何保護資料的安全?知道有什麼資料後,需要將資料分類分級。
從資料主體角度,將資料分為公共資料、個人資訊、法人資料三個類別:
- 公共資料:公共管理和服務機構在依法履行公共管理和服務職責過程中收集、產生的數據,及其他組織和個人在提供公共服務中收集、產生的涉及公共利益的數據。如政務數據,及提供供水、供電、供氣、供熱、公共交通、養老、教育、醫療健康、郵政等公共服務中涉及公共利益的數據等;
- 個人資料:以電子或其他方式記錄的與已識別或可識別的自然人有關的各種信息,不包括匿名化處理後的信息。如個人識別資訊、個人生物辨識資訊、個人財產資訊、個人通訊資訊、個人位置資訊、個人健康生理資訊等;
- 法人資料:組織在生產經營和內部管理過程中,收集和產生的資料如業務資料、經營管理資料、系統運作和安全資料等。
根據資料一旦遭到竄改、破壞、外洩或非法取得、非法利用,對國家安全、公共利益或個人、組織合法權益造成的危害程度,將資料從低到高分成公開級(1 級)、內部級(2 級)、敏感級(3 級)、重要級(4 級)、核心級(5 級)五個級別。其中,重要數據屬於重要級(4 級),國家核心數據屬於核心級(5 級)。
- 公開級(1 級):公開級資料具有公共傳播屬性,可對外公開發布、轉發傳播,但也需考慮公開的資料量及類別,避免因類別較多或數量過大被用於關聯分析。此等級的資料一旦遭到竄改、破壞、外洩或非法取得、非法利用,可能對個人合法權益、組織合法權益造成輕微危害,但不會危害國家安全、公共利益;
- 內部層級(2 級):內部層級資料通常在組織內部、關聯方共用和使用,相關方授權後可與組織外部共用。此等級的資料一旦遭到竄改、破壞、外洩或非法取得、非法利用,可能對個人合法權益、組織合法權益造成一般危害,或對公共利益造成輕微危害,但不會危害國家安全;
- 敏感級(3 級):敏感級資料只能由授權的內部機構或人員訪問,如果要將資料共享到外部,需要滿足相關條件並獲得相關方的授權。此等級的資料一旦遭到竄改、破壞、外洩或非法取得、非法利用,可能對個人合法權益、組織合法權益造成嚴重危害,或對公共利益造成一般危害,但不會危害國家安全;
- 重要等級(4 級):重要等級資料依照核准的授權清單嚴格管理,僅能在受控範圍內經過嚴格審批、評估後才可分享或傳播。此等級的資料一旦遭到竄改、破壞、外洩或非法取得、非法利用,可能對個人合法權益、組織合法權益造成特別嚴重危害,可能對公共利益造成嚴重危害,或對國家安全造成輕微或一般危害;
- 核心級(5 級):核心級資料禁止對外共享或傳播。此等級的資料一旦遭到竄改、破壞、外洩或非法取得、非法利用,可能對國家安全造成嚴重或特別嚴重危害,或對公共利益造成特別嚴重危害。
此外,從資料傳播視角,也可將資料分為公共傳播資料和非公共傳播資料。公共傳播資料是指具有公共傳播屬性,可對外公開發布、轉發傳播的資料。公開級資料屬於公共傳播資料。非公共傳播數據,是指不具有公共傳播屬性,僅在授權的限定範圍傳播或禁止進行傳播的數據,如國家秘密、重要數據、商業秘密、個人資訊、有條件或禁止共享開放的公共數據、未經同意的智慧財產權作品等。內部級、敏感級、重要級、核心級資料均屬於非公共傳播資料。
資料分類分級基本架構如下:
2.數據哪裡來
需要知道資料從哪裡進行採集,以此來解決下列安全性問題:
- 採集的過程是否合法合規?需嚴格遵守《資料安全法》、《常見類型行動互聯網應用程式必要個人資訊範圍規定》、GDPR等;
- 採集的終端和採集的過程是否安全的?終端的安全偵測,安全鍵盤保障輸入安全等;
- 採集資料到雲,傳輸是否安全?傳輸通道的加密。
3.數據在哪裡
需要解決資料儲存在哪裡,解決儲存環境的安全。
- 資料的儲存:加密、脫敏、浮水印;
- 儲存媒體的安全性:實體媒體、作業系統等,傳統的網路安全範疇,避免中勒索病毒、竊密密碼等;
- 資料的備份:多重副本、多重資料中心等。用於受災後快速的復原。
4.誰在用數據
需要解決資料使用過程中的安全性問題:
- 使用者的身份和權限驗證
- 資料API介面安全
- DLP,防止資料外洩
- 資料的存取場景和頻率
- 數據的再加工
因此,基於以上的理念,需要建立可見、可控制、可營運、可溯源、可恢復的資料安全營運體系。具體的下一節再談。
六、資料安全營運框架
本文提出的一個資料安全營運框架,是一個基於零信任和DataSecOps的資料安全營運框架。
首先來談零信任。零信任是一個安全理念或框架,目前在網路安全領域已經在廣泛的使用。事實上,在資料安全領域,同樣可以採用零信任的理念。理念的核心是:永不信任,始終驗證。在資料安全領域,零信任的基本原則依然為:
- 以身分為基礎
- 最小權限原則
- 動態、策略的驗證與策略
事實上,在《美國國防部零信任參考架構》(Department of Defense (DOD) Zero Trust Reference Architecture)中就提到,資料是零信任的目標支柱之一:
其餘的包括身分、設備、網路、應用。因此,保護資料安全為零信任的終極目標。
因此,零信任的框架可以分為以下幾個順序和階段:
1.零信任網路存取(ZTNA,Zero Trust Network Access ),為目前大部分零信任產品所在的階段,主要用來針對訪問業務系統進行零信任訪問,主要使用SDP的架構;
2.零信任應用程式存取(ZTAA,Zero Trust Application Access ),為目前大部分零信任產品所在的階段,主要以微隔離為核心來建置;
3.零信任資料存取和零信任資料保護(ZTDA,Zero Trust Data Access和ZTDP,Zero Trust Data Protection),為資料安全主要要建置的。
因此,資料存取作為網路和應用的下一階段,對應的框架圖可以為:
零信任1.0
零信任2.0
幾個組成部分如下:
- 資料存取代理:所有基於資料的訪問,無論是直接資料庫操作還是API介面化,都不直接進行存取和操作。而是在透過代理進行中轉。預設的資料庫存取、操作權限都為禁止。在代理處,經過身分、權限等策略驗證後,方給予存取的權限,再進行相關資料庫的操作。
- 決策中心:決策中心為零信任體系的大腦,決定哪些使用者、哪些應用程式可以對哪些資料進行操作。決策中心採用基於身分為基礎的控制體系。可以使用RBAC、ABAC等來進行存取控制。控制的維度可以包括:身分、設備、網路、APP、行為等。另外還可以分場景、分時段等進行動態策略的調整。
- 資料中心:資料的儲存可以根據資料的類別、等級等分開儲存。做到各個資料之間是互相隔離的。包括儲存目錄、機房、權限等。
當然,要實現零信任的資料防護方案,也要跟DataSecOps結合。 DataSecOps 作為DevSecOps 理念在資料領域的延展,同樣強調在資料的開發、操作、儲存過程中,需要內嵌安全的屬性,而不是事後去做資料的防護。
如要建立一個聯合團隊,在安全工程、資料工程和其他相關利益相關者之間進行持續協作;需要建立最小權限原則,進行單元級、行列級的權限控制;在保持安全性的同時簡化資料訪問流程中。如:
最後,光有設備和架構還不夠,還需要擁有一個完善的,富有網路安全彈性的資料營運中心。做到資料的可見、可控制、可運作、可溯源、可恢復。
- 可見:做好資料資產的盤點,明確資料的類別與分級,使用者所需的權限,資料的使用記錄等;
- 可控制:細粒度的身份和權限管控、資料脫敏、資料加密儲存、媒體網路安全監控(終端、防火牆等)、DLP等;
- 可運作:日誌的審計、行為異常監控等;
- 可溯源:資料增加數位浮水印,如資料染色、圖片的隱形/顯性的浮水印等;
- 可恢復:容災措施,如備份等。
七、總結
目前,資料安全問題依然嚴峻,建置安全的資料中心刻不容緩。保障國家、公民的資料安全不受侵害已成為全社會的共識。
必須指出,網路安全、資料安全攻防,最關鍵的依然是人與人之間的攻防,人始終都是木桶中最短的那一環。零信任架構可以最大的透過體系來彌補人存在的一些不足,提升整個安全能力。
當然也必須指出,零信任也不是萬能的,依然無法解決全部的安全問題。因此也必須建造一個成熟度很高的資料安全營運中心,才能更好的保障資料安全。
值得注意的是,目前資料安全是網路安全融資賽道熱度最高的一個領域,以資料安全為核心的新創公司和安全產品也越來越多:
我們相信,隨著國家在資料安全上的法規、制度的越來越完善,各機關單位和企業對資料安全的越來越重視,對資料安全的投入越來越大,我國的資料安全建設一定會越來越好。
八、參考鏈接
1.資料安全問題升級:關鍵領域的影響、對策與機會:http://n1.sinaimg.cn/finance/9b213f90/20210826/ShuJuAnQuanBaoGao20210823.pdf
2.網路安全標準實務指南—資料分類分級指引:https://www.tc260.org.cn/upload/2021-09-30/1633014582064034019.pdf
3、中国网络安全产业分析报告(2021年):http://www.mogesec.com/%e4%b8%ad%e5%9b%bd%e7%bd%91%e7%bb%9c%e5%ae%89%e5%85%a8%e4%ba%a7%e4%b8%9a%e5%88%86%e6%9e%90%e6%8a%a5%e5%91%8a%ef%bc%882021%e5%b9%b4%ef%bc%89/
4、Department of Defense (DOD) Zero Trust Reference Architecture(国防部零信任参考架构):http://www.mogesec.com/department-of-defense-dod-zero-trust-reference-architecture%ef%bc%88%e5%9b%bd%e9%98%b2%e9%83%a8%e9%9b%b6%e4%bf%a1%e4%bb%bb%e5%8f%82%e8%80%83%e6%9e%b6%e6%9e%84%ef%bc%89/
原创文章,作者:FANG, FANG,如若转载,请注明出处:https://cncso.com/tw/building-data-security-operational-capability-html