网安 - 专业的网络安全产业、社区、知识平台

中国信通院联合奇安信发布《数据安全风险分析及应对策略研究(2022年)》

VSole2022-01-18 16:45:10

1月17日,中国信息通信研究院(以下简称:信通院)云计算与大数据研究所联合奇安信集团在京发布《数据安全风险分析及应对策略研究报告(2022年》(以下简称:《报告》)。

《报告》认为,国内数据安全已进入合规合法的强监管新阶段,但仍存在几大突出问题,分别是APP对用户信息的过度采集、账号弱口令的现象普遍存在、数据权限分配使用不透明、API接口成为新型攻击手段、数据安全的持续状态难以保持等。2022年企业亟待有序建设、分步实施落地数据安全能力,加速开展数据安全体系化建设。

数字安全威胁与日俱增 存在三大痛点

《报告》认为,数字经济已成为全球经济增长主要驱动力。但近年来数据泄漏、数据破坏、数据滥用等数据安全事件频发,对国家安全、公众权益、组织权益、个人隐私带来严重危害。

权威机构数据显示,2020年数据泄露呈现爆炸式增长,仅公开报告的全球数据泄漏就达360亿条,创历史新高。数据泄漏所造成的代价也极为惨重,据IBM Security最新发布的《2021年数据泄露成本报告》指出,每次数据泄露事件平均为公司带来424万美元的损失,为17年来报告统计之最。


来源:IBM Security《Cost of a Data Breach Report 2021》

图 最常见的初始化攻击路径

《数据安全法》中指出,数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。这也对应了数据安全当前的三大痛点:合法利用、有效保护和保障持续。

《报告》认为

数据安全的第一痛点是个人信息保护监管应对难度增加。

数字经济时代的数据价值挖掘,必须符合日渐趋严的合规监管要求,如何在个人信息收集、使用过程中保障个人信息主体的自决权利,并平衡数字化发展需求与保障个人信息安全之间的矛盾,成为亟待解决的问题。

第二痛点是账号、权限、API成为数据保护的脆弱环节。

这其中,包括了特权账号成为最严重的“安全漏洞”之一,以及IT新环境下权限问题成为安全严峻挑战,API防护被忽视已成数据安全最大风险敞口等等。


来源:Imvision:《Enterprise API Security Survey》报告

图  不同场景下API使用情况

第三痛点是数据安全状态持续保障难以落地。

包括数据分布广泛、规模海量,数据资产难以梳理,数据流转快速场景复杂,安全防护遇到空前挑战,以及数据访问来源多范围广,联防联控难以实施,只能采取传统的堆砌式的数据安全单品防护来实现“头痛医头脚痛医脚”,全局化的、体系化的联防联控沦为纸上谈兵。

五大关键举措解决数据安全痛点

围绕这三大痛点,《报告》梳理了五大关键举措,分别要解决个人信息保护合规的问题、身份账号安全问题、复杂访问场景下的权限控制问题,以及面向整体数据的安全态势及运营问题。

首先,在面向隐私方面

需要管理与技术结合助力个人信息保护合规落地。

《报告》认为,企业的个人信息保护合规建设工作不仅仅是编制隐私政策文件,简单修改公司产品,增加提醒和通知等内容,个人信息保护合规建设工作将是一个复杂而持续的过程,技术将发挥不可或缺的作用。

其次,面向特权方面

需要特权账号安全治理持续强化安全内控。

特权账号的管理作为数据资产防护极为关键的环节,已经在2018年、2019年连续两年被Gartner评为十大安全项目之首。特权账号的治理,需要建立管控机制覆盖特权账号生命周期,通过技术手段持续监控特权账号各类潜在风险,确保账号安全可知、可管、可控、可查。

第三,面向权限方面

需要基于零信任数据动态授权,来赋能精细化管控。

数据安全访问的痛点是信任问题,而动态授权体系是数字化时代解决信任问题的手段,需要从实体安全、身份可信、业务合规三个目标出发,进行动态细粒度授权及访问控制,实现对应用和数据的、服务,API接口、大数据平台、数据库行、列等级别的精准管控。其中零信任数据动态授权体系,则是授权能力的落地。


来源:奇安信科技集团股份有限公司

图  基于属性的数据动态授权机制

第四,面向接口方面

需要搭建安全闭环完善API安全防护体系。

通过将API的安全能力和组件,并嵌入到业务体系,构建自适应的内生安全机制,并按照持续“发现”、“监测”、“防护”、“响应”的安全模型进行整体的API安全体系建设。

最后,在持续保障方面

围绕数据安全态势感知来统筹数据安全运营。

数字化时代的信息化环境是动态的,数据资产的分布是广泛的,数据流动的路径是复杂的,数据违规的风险也是隐蔽的,数据安全管理的需求是可扩展的,因此需要用体系化,全局化的安全思路来应对这些新需求、新挑战,而建立一套完整的,全面的数据安全运营态势感知中心来指导数据安全体系建设。

来源:奇安信科技集团股份有限公司

图 数据安全运营总体架构

《报告》最后对数据安全建设提出了三方面建议,包括聚焦关键环节完善数据安全能力建设、结合业务流程深化数据安全工作开展、高度重视技术创新破局作用等。

在《报告》发布的同时,奇安信还发布了对应五大举措落地的数据安全整体解决方案——数据卫士套件,分别为特权卫士、权限卫士、API卫士、隐私卫士和数据安全态势感知运营中心,简称“一中心四卫士”,旨在帮助企业解决当下最迫切的痛点问题,稳步有序落地体系化建设,提升整体数据安全能力。

信息安全数据安全
本作品采用《CC 协议》,转载必须注明作者和本文链接
关于第38次全国计算机安全学术交流会征文的通知
2023-03-21 10:48:19
本次年会由公安部网络安全保卫局指导,中国计算机学会主办,计算机安全专业委员会承办。网络安全作为网络强国、数字中国的底座,将在未来的发展中承担托底的重担,是我国现代化产业体系中不可或缺的部分。为办好本次大会,充分发挥专委会在服务国家网络安全战略发展需要,促进学术成果交流,提升学术研究水平的作用,本次会议的主题为“夯实网络安全防线,构建中国式现代化网络强国”。
信查查8月网络安全宣传月:网安则国安,国安则民安
2022-08-01 10:04:14
信查查通过多年在网络安全行业的耕耘,成为了众多单位、电信、银行、电商、高等院校、医院、企业等单位的长期合作伙伴。从个人层面来看,网安问题会带来私人信息泄露,进而威胁生命、财产安全。从政企层面来看,关键数据资产的泄露可能招致国家网络信息系统被攻击的危险,尤其是针对关键性基础设施的网络攻击会导致重大国家安全事故。
天融信独家承办的2022年中国工业信息安全大会数据安全分论坛成功举行!
2023-01-11 10:13:11
构建安全数据底座,护航数字经济发展。数据已成为数字经济时代最为活跃的新型生产要素。
数据安全能力建设实施指南
2021-10-02 13:45:24
本指南依据《信息安全技术 数据安全能力成熟度模型》(简称DSMM)制定,以数据为核心,重点围绕数据生命周期,从组织建设、制度流程、技术工具和人员能力等四个方面,提供数据安全能力建设的具体实施指南,为组织数据安全能力建设提供参考。
证券期货行业如何做好数据安全管理与保护
2022-12-06 07:21:59
指引制定背景随着近年来相关法律法规与行业标准相继出台,数据安全体系建设的监管要求日趋严格。基本原则在过程域划分原则上,指引中的数据存储阶段涵盖了数据删除和数据销毁两个环节,进行了部分环节的合并与调整。同时指引还针对数据安全管理部门、合规风控部门、业务管理部门、信息技术部门和内部审计部门明确了各部门的数据安全管理职责的责任划分,建立了数据安全工作分工协作的机制。
数据安全需求全面升级下的市场机遇和挑战
2022-07-19 11:18:29
遇到的考验与挑战数据安全治理咨询现状数据安全治理指的是数据安全分类分级、个人数据风险评估等与数据安全相关的咨询服务。为解决客户的数据安全分类分级及数据风险评估,明朝万达提供了一整套的底层基础能力,支撑对客户的数据安全分类分级和数据风险评估的数据安全领域的咨询团队、专用工具集、方法论和经验沉淀、数据安全产品及研发团队和驻场人员。
工业互联网数据安全治理实践
2022-12-06 09:18:51
数据时代,数据自身安全以及数据保护的安全成为关注的重点,工业化互联网数据安全成为工业互联网发展的重要基础,随着《数据安全法》的正式颁布,数据在安全体系中占据了核心地位。其中,数据信息安全强调保护数据资产不受意外或未经授权的访问、更改或破坏,确保其可用性、完整性和机密性。流入控制系统的信息必须受到充分保护,同时还要保护物理过程的安全性和弹性。
电信领域数据安全标准体系现状与思考
2022-05-18 13:15:38
数据安全问题涉及公众利益、社会稳定与国家安全,亟需规范安全管理,加强安全防护。而数据安全标准是开展数据安全管理、规范行业数据安全要求、指导企业提升数据安全能力的重要抓手。
数据安全治理现状研究与分析
2022-04-03 07:29:01
近年来,国内外数据泄露事件频发,大量企业的商业利益、声誉受损。数据安全法律法规相继颁布,监管力度不断升级,企业逐渐意识到数据安全治理的重要性与紧迫性。通过对2021年开展的企业数据安全治理能力评估现状进行整理,总结企业数据安全治理工作在组织建设、人才培养、技术工具等方面的现状与趋势,提供能力提升思路,以供业界参考。
《数据安全法》指导下的数据安全发展
2021-11-29 14:50:44
作为我国数据安全领域的基础性法律、 国家安全领域的重要法律,《数据安全法》的出台体现了当前数字经济发展对安全的关键需求,为我国数据安全的发展之路提供了指引。
VSole
网络安全专家