創新方案，如何更有效地預防數據泄露？

一、背景概述

現代人類世界正處于一個高速發展的信息化時代，而數據作為信息化時代中的核心，已經融入到了社會中的點點滴滴，手機、微信、淘寶等信息化產物已貫穿于每個人的生活。信息化時代引領人類世界進步的同時，數據的副作用也慢慢顯示出了它的威力。

近些年來電話詐騙、網絡欺詐等事件層出不窮，不法分子利用個人隱私信息（如電話號、身份證號、銀行卡號等）來進行詐騙，導致無數人的生命和財產安全收到損害。從國家層面上來看，國家關鍵基礎設施單位、重要部門的敏感數據一旦泄露，更會對國家安全造成嚴重影響。鑒于數據泄露的巨大危害，我國分別在2021年9月1日和2021年11月1日實施了《數據安全法》[1] 和《個人信息保護法》[2]。在我們享受信息化時代帶來的便捷同時，數據安全也值得引起我們的重視。

下文我們首先會介紹部分數據泄露事件，隨后我們會介紹預防數據泄露的兩個創新解決方案（“源代碼暴露核查服務”和“綠盟隱私計算平臺”），最后我們會進行一個總結。

二、數據泄露事件

近些年來境外黑客對我國展開的網絡攻擊不勝枚舉。自2021年10月以來，一個名為AgainstTheWest（ATW）的境外黑客組織，便通過SonarQube平臺的未授權訪問漏洞對我國多家關鍵信息基礎設施單位發起攻擊，竊取其系統的數據，并在國外黑客論壇RaidForums上進行非法售賣。

2022年1月20日，該組織又發起了更大規模的攻擊，這次ATW利用了Gitlblit自建代碼倉庫中的未授權訪問漏洞竊取了我國多家重要單位系統的數據，并在同樣的論壇RaidForums上進行了非法售賣。

圖1  ATW黑客組織在RaidForums地下論壇進行非法售賣

三、源代碼暴露核查服務

盡管許多企業和機構非常重視數據安全，也購買了諸多數據安全相關的產品，但是上述數據泄露事件還是屢見不鮮。對此，綠盟科技創新研究院進行了大量的研究，我們發現上述重大數據泄露案例都與源代碼泄露相關，一個系統的源代碼往往會由多個開發人員進行編寫，而個別開發人員可能因安全意識不強，將代碼放置在了暴露的網絡環境，從而造成了源代碼泄露。

基于我們深厚的云上風險研究積累，綠盟科技推出了源代碼暴露核查服務。通過該服務，我們可以深度發現互聯網上與企業和機構自身相關的暴露代碼倉庫，綠盟科技也是行業首個針對非開源資產代碼倉庫（如：Gitblit、Gogs、Gitea）提供暴露核查服務的廠商。

截至目前，我們已經發現了我國多個重要單位相關系統暴露的源代碼倉庫，目前已幫助其中約100家單位進行了處理，部分示例如下：

圖2  某銀行預售款監控系統

圖3  某重要部門黨史系統

圖4  某地水利系統

圖5  某醫院管理系統

圖6  某地鐵系統

在我們研究的同時，我們發現此類代碼倉庫暴露事件90%以上屬于外包供應鏈暴露模式（甲方單位將項目外包給專門開發某系統的公司，外包公司因為安全意識不強將代碼放在有未授權訪問漏洞的倉庫之中進行管理），關系如圖7所示。

圖7  系統代碼暴露關系圖

由于外包關系，相關單位更難發現自身相關系統的源代碼是否暴露，因此進行代碼暴露核查顯得更為關鍵。

圖8  綠盟科技源代碼暴露核查服務功能點

四、綠盟隱私計算平臺

源代碼暴露核查服務可以幫助用戶發現與自身相關的暴露源代碼，從而核查數據相關信息是否有暴露，但是如果希望更徹底地降低數據暴露面，這時候便需要一個新興的技術——隱私計算。

隱私計算是指在提供隱私保護的前提下，實現數據價值的挖掘。借助隱私計算技術，我們可以保證重要數據不出本地，同時我們也可以利用這部分數據完成對應的機器學習和多方安全計算等任務。有了隱私計算，在不影響數據使用的同時，數據的暴露風險面會大大減少，數據安全也會得到一個質的飛躍。

憑借著多年數據安全研究的積累，綠盟科技創新研究院推出了綠盟隱私計算平臺。綠盟隱私計算平臺為客戶提供“數據可用不可見”的數據價值共享和流動，基于同態加密和密碼學底層協議，實現“原始數據不出庫，模型和結果多跑路”效果。該平臺目前支持聯邦學習、安全多方計算和機密計算（TEE）三種主要的隱私計算能力，并擁有功能全、實施易、成本低、安全高等優勢，平臺示例見圖9。

圖9  綠盟隱私計算平臺

五、總結

隨著全球信息化時代的推進，數據變得越來越重要、數據安全也得到了越來越多人的關注。盡管許多單位在數據安全方面花了大量的資金，但是依舊沒有躲過黑客的入侵與破壞。綠盟科技創新研究院結合前沿創新研究，推出了“源代碼暴露核查服務”和“綠盟隱私計算平臺”兩種新型解決方案。從理論研究和多個重要單位的實踐來看，我們認為這兩個創新解決方案可以更有效地預防數據的泄露，真正地降低實際案例下數據泄露的風險。如需進一步了解、咨詢或試用，歡迎各位后臺留言與我們取得聯系。