“十四五”时期,首要任务之一是加快数字化发展、建设数字中国。大力发展数字经济成为必然,数据安全则是保障数字经济高速高质前进的生命线。《数据安全法》、《个人信息保护法》的相继发布,为国家大数据战略提供了重要的法制基础,在数据攻击、滥用、泄露日益多样化的今天,数据安全建设亦成为政企单位数字化转型之路上必须攻克的难点。
9月26日-27日在成都举办的CCS 2021 成都网络安全大会期间,广州凌晨网络科技有限公司(腾讯安全网御联合实验室)承办“数据及业务安全分论坛”,多家专业网络安全企业与大数据服务企业共同探讨,如何在最大化释放数据价值的同时做好重要数据的安全可控管理,让政企数字业务在新时代插翅腾飞。
凌晨网络赵振海在主题为《内部威胁场景下的数据安全能力建设》的演讲分享中表示,企业数字化转型过程中,需确保在数据安全的前提下对数据进行合法、合理的使用。而在数据使用过程中,人是最关键、最薄弱的环节,各行业中的数据泄漏事件超80%以上与人为因素有关。
比如金融公司员工利用职权导出大量含有客户姓名、电话、身份证号码等内容的个人隐私敏感信息后贩卖给他人非法牟利;银行员工通过获取的征信系统查询账号登录银行内网,获取公民个人征信报告非法出售;快递公司员工将个人账号租给不法分子非法登内部系统获取客户信息,转卖给诈骗分子实施精准诈骗等等。诸如此类频繁发生的案件暴露出员工安全意识、法规意识淡薄,内部权限无限制、无边界,企业对内部威胁无感知、无管控等安全难点。
数据需要在流动中产生价值,目前国内专业的数据安全厂商通过提供各种各样的解决方案,来帮助企业建设数据安全能力。相关产品不计其数,较为通用的架构思维即为首先通过数据安全升级、数据脱敏、数据库加密等手段,保障不同行业用户的数据安全合规基本需求;再者通过数据安全治理,结合数据安全防护方案,保障行业用户的场景化数据安全管控需求;最后通过数据安全服务,结合前面的数据安全治理和防护方案,满足行业用户数据资产治理和安全管控需求。
随着9月1日《数据安全法》的实施,数据安全的合规保障成为企业进行数据安全建设的重要推动力。腾讯安全结合大量数据安全治理实践经验,在7月发布数据安全合规能力图谱,根据《数据安全法》的具体内容,将数据合规要求归纳成技术建设类、排查与整改类、机制建设类、管理完善类四类14项51个内容,方便企事业单位直观清晰地引入第三方的安全能力与服务,顺利开展数据安全合规工作。
值得大家重视的是,如前讨论的基础数据安全解决方案并没有纵深切入到不同行业不同企业具体的业务流程当中,满足合规并不代表着不会出现安全事故,那么如何以更低的成本、更快的这种方式来建设满足业务需要的数据安全能力,成为一个现实面临的迫切问题。凌晨网络对此提出了基于业务流的业务审计体系,据赵振海介绍,该方案支持全业务流程审计,通过对业务流程进行拆解与定义,将业务流程中涉及的人、业务系统、数据使用等相关日志整合分析,覆盖企业内部业务的传输、访问、使用等流程,根据业务具体场景进行行为建模,对整个业务流程进行风险监控。同时支持合法合规保护,根据各行业合规需求,参考行业标准制定业务安全审计策略,对重要性、敏感性不同的业务实施不同定级规则和风险监控规范。并且支持安全预警及风险溯源,可在事后对相关业务行为进行全流程关联溯源。
随后, 北京熠数信息技术有限公司方伟立足政府数据开放的生命周期,分析数据创建与采集、数据组织与处理、数据存储与发布、数据发现与获取、数据利用与增值各环节中存在的数据数据安全和隐私保护问题,从数据安全治理的角度提出若干对策和建议,包括:在法律层面上细化政府数据开放的安全与隐私政策指导和法律问题;在管理层面上加强机构的建设并成立专门的数据安全与隐私保护机构;在技术层面上建立数据安全和隐私风险评估及预警模型,加强政府数据开放相关系统的安全监测与商用密码应用;在教育上提升政府数据开放利益相关主题的数据安全素养。
广东征安智能科技有限公司梅比阐述了后个人信息保护法时代数据感知体系的研究与应用。利用移动设备感知融合人工智能、大数据分析技术,整合移动设备资产管控与安全分析能力,通过在指定区域部署符合隐私要求的蓝牙和Wi-Fi探针,对区域内移动终端设备进行活动行为分析。通过构建设备运动轨迹行为模型,实现定点定时打卡、敏感区域管控、异常轨迹分析、疑似设备汇聚等业务场景预警与回溯功能,为政府和企业进一步提升基于位置环境状态下的业务风险感知能力。
广东云智安信科技有限公司王健分享了一则从应急响应到发现全新APT的真实案例。通过在临检中发现的可疑受控内网机器,经取证分析判断其系统进程里有正在活跃的纯内存可执行代码,且有行为恶意的且带有合法数字签名的进程正在运行,该进程就是这次的恶意后门。通过二进制逆向分析工作,发现攻击者最早在2019年使用此类攻击手法,最晚到2021年中旬还在进行攻击活动。通过对该组织使用文件、诱饵文档进行推测,该组织持续对公民社会组织、金融、军火、网络安全、媒体等行业进行攻击,经综合研判后确定本次攻击是高级可持续威胁攻击(APT)。
神州网云(北京)信息技术有限公司宋超介绍了通过对多源异构情报数据进行分类聚类、关联分析和信誉度评价,形成高价值的“威胁情报”,利用威胁情报对关键信息基础设施、重要网络和数据运营单位安全人员提供准确的威胁信息及共享体制,快速有效地对网络威胁进行阻断。目的打造网络安全监管部门和企事业单位之间快速共享交换网络威胁和网络违法事件信息,以情报共享为核心能力,构建情报共享与协同平台,加强针对网络犯罪的应急响应,以更好地保护政府、企业、公民免受违法犯罪侵害,共同构建网络安全综合防控体系。
北京仁信证科技有限公司刘鹏分析了如何构建物联网信息安全防护基线。信息安全的技术和产品很多,针对物联网产品的特性,梳理出最急需解决的问题,急需满足的政策法规,且低成本、易实施的方案非常重要。基于国密算法,结合可信计算思想,打造可信身份与证书管理平台及丰富的物联网安全接入组件,提供安全合规、灵活易用、稳定可靠的物联网端到端安全能力。