资源描述
数据安全风险分析及应对策略数据安全风险分析及应对策略研究研究 (2022 年)年)中国信息通信研究院云计算与大数据研究所中国信息通信研究院云计算与大数据研究所 奇安信科技集团股份有限公司奇安信科技集团股份有限公司 20222022 年年 1 1 月月本报告来自互联网公开渠道,版权归属原作者所有。更多报告,请扫描二维码如有疑问,请联系进入找报告小程序添加微信lycj002邀请您进入更多行业分类群群内每日分享更多深度报告!版权声明版权声明本报告版权属于中国信息通信研究院和奇安信科技集本报告版权属于中国信息通信研究院和奇安信科技集团股份有限公司,并受法律保护。转载、摘编或利用其它团股份有限公司,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明方式使用本报告文字或者观点的,应注明“来源:中国信来源:中国信息通信研究院息通信研究院和奇安信科技集团股份有限公司和奇安信科技集团股份有限公司”。违反上。违反上述声明者,述声明者,编者编者将追究其相关法律责任。将追究其相关法律责任。前前 言言 数据作为一种新兴生产要素,已成为经济社会发展的核心驱动力,与此同时日益严峻的数据安全风险为数字化转型的持续深化带来严重威胁。为保障数字经济的健康有序发展,提高数据安全风险防控能力,国家、行业、地方相继出台多项数据安全法律法规,并接连开展相应的审查整治行动。总体来说,国内数据安全已进入合规合法的强监管新阶段。面对日益严格的合规要求及数字化场景下的新型安全威胁,本报告梳理了当前数据安全面临的几个突出问题:一是 APP 对用户信息的过度采集。大量非必要的个人信息聚集,不仅滋生数据滥用等安全风险,也带来合规问题。二是账号弱口令的使用普遍。低成本的攻击门槛,容易导致特权账号被盗取,带来内部管理难题的同时引入数据安全风险。三是数据权限分配、使用不透明。当数据权限管理成为“黑盒”,越权访问、数据滥用等问题将无法管控。四是 API 接口成为新型攻击手段。API 作为应用与数据服务的通信接口,应用场景广泛,已成为攻击者窃取数据的重点攻击对象。五是数据安全的持续状态难以保持。一方面,应用数字化改造及数据消费场景较为复杂;另一方面,管理要求和技术落地存在一定脱节,导致持续的数据安全状态难以保障。针对以上问题,本报告结合实战化攻防演习的实践经验,提出数据安全体系建设的行动思路和关键举措,旨在为组织开展数据安全体系化建设提供参考和建议。目目 录录 一、数字化时代数据安全发展现状.1(一)数据安全进入法治化的强监管时代.1(二)数据安全事件频发安全威胁日益严峻.2(三)技术架构演进伴生数据使用场景改变.3 二、数字化时代下的数据安全痛点.4(一)个人信息合规合法使用的监管应对难度增加.4(二)账号、权限、API 成数据保护脆弱环节.5(三)数据安全状态持续保障成落地难点.8 三、解决数据安全痛点问题行动思路.8(一)明确数据安全总体战略.9(二)建立数据安全管理机构.9(三)落实安全策略精准管控.9(四)持续保障数据安全运营.10 四、解决数据安全痛点问题关键举措.11(一)管理与技术结合助力个人信息保护合规落地.11(二)特权账号安全治理持续强化安全内控.12(三)零信任数据动态授权赋能精细化管控.15(四)完善 API 安全防护体系的闭环建设.17(五)围绕数据安全态势感知统筹数据安全运营.20 五、数据安全建设发展建议.22(一)聚焦关键环节完善数据安全能力建设.22(二)结合业务流程深化数据安全工作开展.23(三)高度重视技术创新破局作用.23 参考文献.24 图图 目目 录录 图 1 最常见的初始化攻击路径.5 图 2 不同场景下 API 使用情况.7 图 3 API 业务发展流程.7 图 4 基于属性的数据动态授权机制.16 图 5 API 安全防护体系.17 图 6 数据安全运营总体架构.20 数据安全风险分析及应对策略研究(2022 年)1 一、数字化时代数据安全发展现状 数字化时代,数据已成为数字经济发展的核心生产要素。2020年全球 47 个国家数字经济增加值规模达到 32.6 万亿美元,我国数字经济规模位居世界第二接近 5.4 万亿美元1。在此背景下,数据安全已成为事关国家安全与经济社会发展的重大问题。(一)(一)数据安全进入法治化的强监管时代数据安全进入法治化的强监管时代 法律制度是数据安全的重要保障。当前我国数据安全法律法规建设取得突飞猛进的进展。国家层面,2021 年 9 月 1 日数据安全法施行,首次从法律层面明确数据安全保护义务,为开展数据处理活动的组织和个人提供了行为指引,填补了我国数据安全保护立法的空白。2021 年 11 月 1 日个人信息保护法施行,立足于数据产业发展实践和个人信息保护的迫切需求,更全面地保障了个人权利,及时回应了国家、社会、个人对个人信息保护的关切。行业监管层面,2021年 9 月 30 日工业和信息化部发布工业和信息化领域数据安全管理办法(试行)(征求意见稿)并公开征求意见,旨在加快推动工业和信息化领域数据安全管理工作制度化、规范化,提升工业、电信行业数据安全保护能力,防范数据安全风险。2022 年 1 月 4 日,国家互联网信息办公室颁布网络安全审查办法修订版,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查。地方政府层面,积极落实国家政策和上位法精神,陆续出台相关地方法律法规。2021 年 6 月 29 日深圳经济特区数据条例 1 数据来源:中国信息通信研究院全球数字经济新图景(2020 年)大变局下的可持续发展新动能 数据安全风险分析及应对策略研究(2022 年)2 出台,率先就数据保护和利用开展地方立法,规范数据要素市场化行为,推动数据的有序流动和数据产业的健康发展。2021 年 9 月 30 日上海数据条例(草案)公开征求意见,征求意见稿在数据安全法等上位法的框架下,结合上海实际,建立了全面的数据安全治理体系。(二)(二)数据安全事件频发安全威胁日益严峻数据安全事件频发安全威胁日益严峻 根据风险基础安全(Risk Based Security)2的数据显示,2020 年全球数据泄漏达到 360 亿条,创历史新高。对比传统的网络安全威胁,数据安全威胁更加多样化,不再局限于利用安全漏洞、恶意流量、病毒木马等攻击手段,数据安全问题集中爆发在特权账号弱口令、数据权限滥用、API 接口攻击等方面。弱口令成数据泄漏爆发点。由于弱口令账号的低攻击成本和高命中效果,通过盗取弱口令账号以横向渗透获得特权账号,进而破坏或泄露重要数据资源的攻击行为,给数据安全管理带来很大挑战。根据Verizon 发布的2021 年数据泄露调查报告3分析,61%的数据泄露与凭证数据泄漏有关。API 成热门攻击入口。由于应用架构的快速演变,API 成为业务应用与数据服务之间的主要通信方式,这导致利用 API 接口成为新型攻击手段。2021 年 4 月,Facebook 5 亿用户数据在暗网公开售卖,起因为 2019 年某在线业务的 API 遭到误用,导致数据泄露,影响约 5.3亿用户。2 安全内参:历史新高!2020 年数据泄露数量突破 360 亿条 https:/ 3 Verizon 2021 年 5 月发布 https:/ 年)3 权限滥用仍是数据安全事件的重要触发点。不规范的数据权限管理以及缺失的技术防护手段,极易发生由于权限滥用而引起的数据资源被破坏、篡改、删除等安全事件。2020 年 2 月,港股某上市公司员工通过 VPN 登入服务器,对线上生产环境进行恶意删库,造成旗下数百万用户业务中断,直接赔付人民币 1.5 亿元4。隐私泄露成为数据安全的重要威胁。由于个人隐私泄露导致的数据诈骗、大数据杀熟以及个人生物特征信息滥用等问题,已经严重危害了个人信息主体的合法权益。据市场调研公司 Canalys 统计,2020年全球个人信息泄露事件超出过去 15 年总和,成为影响个人权益、组织发展甚至国家安全的重要因素5。(三)(三)技术架构演进伴生数据使用场景改变技术架构演进伴生数据使用场景改变 2021 年 3 月 14 日,中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要全文发布,就数字经济、数字社会、数字政府、数字生态建设做了重要部署。传统信息技术开始向以数据和业务为核心的新一代信息技术转变。组织内普遍通过采用大数据、云计算等新技术,帮助组织提升决策水平,构建新型业务模式,实现产业升级;组织间则大幅增加信息化交互,合作关系也更加密切,通过业务协同、数据共享实现流程优化、合作共赢已经成为共识。由此可见,数据应用场景和参与主体的日益多样化,使得数据伴随业务及应用在不同载体间流动和留存,贯穿于信息化和业务系统的各层面、各环节。因此,在复杂应用环境下,保证重要数据、核心数 4 https:/ 5 安全内参:2020 年全球个人信息泄漏超过去 15 年总和 数据安全风险分析及应对策略研究(2022 年)4 据以及用户个人隐私数据等敏感数据不发生外泄,是数据安全的首要目标。二、数字化时代下的数据安全痛点 数据安全法作为数据领域的纲领性和基础性法律,以准确定义数据、数据处理、数据安全为出发点,明确了数据安全的目的,即确保数据处于有效保护和合法利用的状态,使其具备保障持续安全状态的能力。(一)(一)个人信息合规合法使用的监管应对难度增加个人信息合规合法使用的监管应对难度增加 过度收集的个人信息,一旦结合大数据分析能力,能够使匿名化处理的数据被还原,导致数据脱敏技术“失灵”,直接威胁用户的隐私安全。近年来,全球范围内的数据安全执法案例基本围绕个人信息的过度收集、滥用等主题。国外,Facebook 因违规向数据分析公司提供 5000 万个人信息,被美国联邦贸易委员会(FTC)处以 50 亿美元的罚金,是历史上最大的隐私违规罚款6。国内,APP 违法违规收集使用个人信息监测分析报告7显示,2021 年 5 月以来,被通报的12 类 351 款 APP 中,有 257 款由于存在“违反必要原则,收集与其提供的服务无关的个人信息”问题,被公开通报并责令限期整改,对未在规定时限内整改的依法采取了相关处罚措施。面对不断加大的个人信息保护监管力度,如何建立符合组织现状及发展需求的个人信息保护管理体系,确保个人信息在安全合法使用的同时充分发挥对组织发展的积极推动作用,已成为各行业发展面临 6 安全内参:Facebook 认罚 50 亿创记录 https:/ 7 http:/ 数据安全风险分析及应对策略研究(2022 年)5 的重大议题。(二)(二)账号、权限、账号、权限、API 成数据保护脆弱环节成数据保护脆弱环节 1.特权账号隐藏严重安全风险 账号凭证泄漏是导致数据泄露的主要因素。账号作为主体访问客体的重要凭证,在通过安全验证后可以直接访问数据库、数据仓库等载体的数据资源,因此保障账号安全是组织数据安全工作的重要目标之一。但由于系统和应用程序的不断增加,账号尤其是高数据访问权限账号的共享及弱口令设置等问题日益突出。IBM Security 发布的2021 年数据泄露成本报告8指出,数据泄漏事件中最常见的初始化攻击路径就是直接窃取凭证,如图 1 所示。来源:IBM SecurityCost of a Data Breach Report 2021 图 1 最常见的初始化攻击路径 特权账号是最直接、最快速的攻击入口。基于近年来的数据安全事件以及攻防演练的实践分析,特权账号作为访问资源、配置策略的最直接入口,其安全问题一直是困扰各组织的痛点。从攻击者视角进行切入,与其穿透层层的组织内网防护设施窃取数据,不如窃取账号,通过内网横向移动,最终攻破特权账号,再利用特权账号权限执行删 8 https:/ 数据安全风险分析及应对策略研究(2022 年)6 库、删表等高危操作,达到破坏或窃取敏感数据的目的。2.IT 环境演变导致权限问题成数据安全严峻威胁 边界弱化、场景演变,导致数据资源暴露面增加。随着新一代
展开阅读全文