中国信通院联合奇安信发布《数据安全风险分析及应对策略研究》

1月17日，中国信息通信研究院（以下简称：信通院）云计算与大数据研究所联合奇安信集团在京发布《数据安全风险分析及应对策略研究报告（2022年》（以下简称：《报告》）。

 

 

《报告》提到，数据作为一种新兴生产要素，已成为经济社会发展的核心驱动力，与此同时日益严峻的数据安全风险为数字化转型的持续深化带来严重威胁。为保障数字经济的健康有序发展，提高数据安全风险防控能力，国家、行业、地方相继出台多项数据安全法律法规，并接连开展相应的审查整治行动。

 

《报告》认为，国内数据安全已进入合规合法的强监管新阶段，但仍存在几大突出问题，如APP对用户信息的过度采集、账号弱口令的现象普遍存在、数据权限分配使用不透明、API接口成为新型攻击手段、数据安全的持续状态难以保持等。2022年企业亟待有序建设、分步实施落地数据安全能力，加速开展数据安全体系化建设。

 

 

《数据安全法》中指出，数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。这也对应了数据安全当前的三大痛点：合法利用、有效保护和保障持续。

 

《报告》认为，数据安全的第一痛点是个人信息保护监管应对难度增加。过度收集的个人信息，一旦结合大数据分析能力，能够使匿名化处理的数据被还原，导致数据脱敏技术“失灵”，直接威胁用户的隐私安全。数字经济时代的数据价值挖掘，必须符合日渐趋严的合规监管要求，如何在个人信息收集、使用过程中保障个人信息主体的自决权利，并平衡数字化发展需求与保障个人信息安全之间的矛盾，成为亟待解决的问题。

 

第二痛点是账号、权限、API成为数据保护的脆弱环节。账号凭证泄漏是导致数据泄露的主要因素。账号作为主体访问客体的重要凭证，在通过安全验证后可以直接访问数据库、数据仓库等载体的数据资源，因此保障账号安全是组织数据安全工作的重要目标之一。

 

特权账号是最直接、最快速的攻击入口。基于近年来的数据安全事件以及攻防演练的实践分析，特权账号作为访问资源、配置策略的最直接入口，其安全问题一直是困扰各组织的痛点。

 

此外，API作为数据连接利器，其安全风险重视程度有待提高。作为最重要的数据传输方式之一，API也成为攻击者窃取数据的重要攻击对象。然而组织对外开放了哪些API、对谁开放、API通信中携带了哪些敏感数据、对方如何使用这些数据等问题却并未得到应有的重视。

 

不同场景下API使用情况

 

第三痛点是数据安全状态持续保障难以落地。包括数据分布广泛、规模海量，数据资产难以梳理，数据流转快速场景复杂，安全防护遇到空前挑战，以及数据访问来源多范围广，联防联控难以实施，只能采取传统的堆砌式的数据安全单品防护来实现“头痛医头脚痛医脚”，全局化的、体系化的联防联控沦为纸上谈兵。

 

围绕这三大痛点，《报告》提出，从个人信息保护合规、身份账号安全控制、复杂访问场景下的权限控制问题、API安全防护以及面向全局的数据安全运营五个方面着手解决数据安全建设的迫切需求。

 

首先，在面向隐私方面，需要管理与技术结合助力个人信息保护合规落地。《报告》认为，企业的个人信息保护合规建设工作不仅仅是编制隐私政策文件，简单修改公司产品，增加提醒和通知等内容，个人信息保护合规建设工作将是一个复杂而持续的过程，技术将发挥不可或缺的作用。

 

其次，面向特权账号方面，需要特权账号安全治理持续强化安全内控。特权账号的管理作为数据资产防护极为关键的环节，已经在2018年、2019年连续两年被Gartner评为十大安全项目之首。特权账号的治理，需要建立管控机制覆盖特权账号生命周期，通过技术手段持续监控特权账号各类潜在风险，确保账号安全可知、可管、可控、可查。

 

第三，面向权限方面，需要基于零信任数据动态授权，来赋能精细化管控。数据安全访问的痛点是信任问题，而动态授权体系是数字化时代解决信任问题的手段，需要从实体安全、身份可信、业务合规三个目标出发，进行动态细粒度授权及访问控制，实现对应用和数据的、服务，API接口、大数据平台、数据库行、列等级别的精准管控。其中零信任数据动态授权体系，则是授权能力的落地。

 

基于属性的数据动态授权机制
 

第四，面向接口方面，需要搭建安全闭环完善API安全防护体系。通过将API的安全能力和组件，并嵌入到业务体系，构建自适应的内生安全机制，并按照持续“发现”、“监测”、“防护”、“响应”的安全模型进行整体的API安全体系建设。

 

最后，在持续保障方面，围绕数据安全态势感知来统筹数据安全运营。数字化时代的信息化环境是动态的，数据资产的分布是广泛的，数据流动的路径是复杂的，数据违规的风险也是隐蔽的，数据安全管理的需求是可扩展的，因此需要用体系化，全局化的安全思路来应对这些新需求、新挑战，而建立一套完整的，全面的数据安全运营态势感知中心来指导数据安全体系建设。

 

数据安全运营总体架构

 

本文来源：《数据安全风险分析及应对策略研究（2022年）》

中国信息通信研究院和奇安信科技集团股份有限公司