中國信通院聯合奇安信發布《數據安全風險分析及應對策略研究（2022年）》

VSole2022-01-18 16:45:10

1月17日，中國信息通信研究院（以下簡稱：信通院）云計算與大數據研究所聯合奇安信集團在京發布《數據安全風險分析及應對策略研究報告（2022年》（以下簡稱：《報告》）。

《報告》認為，國內數據安全已進入合規合法的強監管新階段，但仍存在幾大突出問題，分別是APP對用戶信息的過度采集、賬號弱口令的現象普遍存在、數據權限分配使用不透明、API接口成為新型攻擊手段、數據安全的持續狀態難以保持等。2022年企業亟待有序建設、分步實施落地數據安全能力，加速開展數據安全體系化建設。

數字安全威脅與日俱增存在三大痛點

《報告》認為，數字經濟已成為全球經濟增長主要驅動力。但近年來數據泄漏、數據破壞、數據濫用等數據安全事件頻發，對國家安全、公眾權益、組織權益、個人隱私帶來嚴重危害。

權威機構數據顯示，2020年數據泄露呈現爆炸式增長，僅公開報告的全球數據泄漏就達360億條，創歷史新高。數據泄漏所造成的代價也極為慘重，據IBM Security最新發布的《2021年數據泄露成本報告》指出，每次數據泄露事件平均為公司帶來424萬美元的損失，為17年來報告統計之最。

來源：IBM Security《Cost of a Data Breach Report 2021》

圖最常見的初始化攻擊路徑

《數據安全法》中指出，數據安全，是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。這也對應了數據安全當前的三大痛點：合法利用、有效保護和保障持續。

《報告》認為

數據安全的第一痛點是個人信息保護監管應對難度增加。

數字經濟時代的數據價值挖掘，必須符合日漸趨嚴的合規監管要求，如何在個人信息收集、使用過程中保障個人信息主體的自決權利，并平衡數字化發展需求與保障個人信息安全之間的矛盾，成為亟待解決的問題。

第二痛點是賬號、權限、API成為數據保護的脆弱環節。

這其中，包括了特權賬號成為最嚴重的“安全漏洞”之一，以及IT新環境下權限問題成為安全嚴峻挑戰，API防護被忽視已成數據安全最大風險敞口等等。

來源：Imvision：《Enterprise API Security Survey》報告

圖不同場景下API使用情況

第三痛點是數據安全狀態持續保障難以落地。

包括數據分布廣泛、規模海量，數據資產難以梳理，數據流轉快速場景復雜，安全防護遇到空前挑戰，以及數據訪問來源多范圍廣，聯防聯控難以實施，只能采取傳統的堆砌式的數據安全單品防護來實現“頭痛醫頭腳痛醫腳”，全局化的、體系化的聯防聯控淪為紙上談兵。

五大關鍵舉措解決數據安全痛點

圍繞這三大痛點，《報告》梳理了五大關鍵舉措，分別要解決個人信息保護合規的問題、身份賬號安全問題、復雜訪問場景下的權限控制問題，以及面向整體數據的安全態勢及運營問題。

首先，在面向隱私方面

需要管理與技術結合助力個人信息保護合規落地。

《報告》認為，企業的個人信息保護合規建設工作不僅僅是編制隱私政策文件，簡單修改公司產品，增加提醒和通知等內容，個人信息保護合規建設工作將是一個復雜而持續的過程，技術將發揮不可或缺的作用。

其次，面向特權方面

需要特權賬號安全治理持續強化安全內控。

特權賬號的管理作為數據資產防護極為關鍵的環節，已經在2018年、2019年連續兩年被Gartner評為十大安全項目之首。特權賬號的治理，需要建立管控機制覆蓋特權賬號生命周期，通過技術手段持續監控特權賬號各類潛在風險，確保賬號安全可知、可管、可控、可查。

第三，面向權限方面

需要基于零信任數據動態授權，來賦能精細化管控。

數據安全訪問的痛點是信任問題，而動態授權體系是數字化時代解決信任問題的手段，需要從實體安全、身份可信、業務合規三個目標出發，進行動態細粒度授權及訪問控制，實現對應用和數據的、服務，API接口、大數據平臺、數據庫行、列等級別的精準管控。其中零信任數據動態授權體系，則是授權能力的落地。

來源：奇安信科技集團股份有限公司

圖基于屬性的數據動態授權機制

第四，面向接口方面

需要搭建安全閉環完善API安全防護體系。

通過將API的安全能力和組件，并嵌入到業務體系，構建自適應的內生安全機制，并按照持續“發現”、“監測”、“防護”、“響應”的安全模型進行整體的API安全體系建設。

最后，在持續保障方面

圍繞數據安全態勢感知來統籌數據安全運營。

數字化時代的信息化環境是動態的，數據資產的分布是廣泛的，數據流動的路徑是復雜的，數據違規的風險也是隱蔽的，數據安全管理的需求是可擴展的，因此需要用體系化，全局化的安全思路來應對這些新需求、新挑戰，而建立一套完整的，全面的數據安全運營態勢感知中心來指導數據安全體系建設。

來源：奇安信科技集團股份有限公司

圖數據安全運營總體架構

《報告》最后對數據安全建設提出了三方面建議，包括聚焦關鍵環節完善數據安全能力建設、結合業務流程深化數據安全工作開展、高度重視技術創新破局作用等。

在《報告》發布的同時，奇安信還發布了對應五大舉措落地的數據安全整體解決方案——數據衛士套件，分別為特權衛士、權限衛士、API衛士、隱私衛士和數據安全態勢感知運營中心，簡稱“一中心四衛士”，旨在幫助企業解決當下最迫切的痛點問題，穩步有序落地體系化建設，提升整體數據安全能力。

信息安全數據安全

撤稿糾錯

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接

關于第38次全國計算機安全學術交流會征文的通知

2023-03-21 10:48:19

本次年會由公安部網絡安全保衛局指導，中國計算機學會主辦，計算機安全專業委員會承辦。網絡安全作為網絡強國、數字中國的底座，將在未來的發展中承擔托底的重擔，是我國現代化產業體系中不可或缺的部分。為辦好本次大會，充分發揮專委會在服務國家網絡安全戰略發展需要，促進學術成果交流，提升學術研究水平的作用，本次會議的主題為“夯實網絡安全防線，構建中國式現代化網絡強國”。

信查查8月網絡安全宣傳月：網安則國安，國安則民安

2022-08-01 10:04:14

信查查通過多年在網絡安全行業的耕耘，成為了眾多單位、電信、銀行、電商、高等院校、醫院、企業等單位的長期合作伙伴。從個人層面來看，網安問題會帶來私人信息泄露，進而威脅生命、財產安全。從政企層面來看，關鍵數據資產的泄露可能招致國家網絡信息系統被攻擊的危險，尤其是針對關鍵性基礎設施的網絡攻擊會導致重大國家安全事故。

天融信獨家承辦的2022年中國工業信息安全大會數據安全分論壇成功舉行！

2023-01-11 10:13:11

構建安全數據底座，護航數字經濟發展。數據已成為數字經濟時代最為活躍的新型生產要素。

數據安全能力建設實施指南

2021-10-02 13:45:24

本指南依據《信息安全技術 數據安全能力成熟度模型》（簡稱DSMM）制定，以數據為核心，重點圍繞數據生命周期，從組織建設、制度流程、技術工具和人員能力等四個方面，提供數據安全能力建設的具體實施指南，為組織數據安全能力建設提供參考。

證券期貨行業如何做好數據安全管理與保護

2022-12-06 07:21:59

指引制定背景隨著近年來相關法律法規與行業標準相繼出臺，數據安全體系建設的監管要求日趨嚴格。基本原則在過程域劃分原則上，指引中的數據存儲階段涵蓋了數據刪除和數據銷毀兩個環節，進行了部分環節的合并與調整。同時指引還針對數據安全管理部門、合規風控部門、業務管理部門、信息技術部門和內部審計部門明確了各部門的數據安全管理職責的責任劃分，建立了數據安全工作分工協作的機制。

數據安全需求全面升級下的市場機遇和挑戰

2022-07-19 11:18:29

遇到的考驗與挑戰數據安全治理咨詢現狀數據安全治理指的是數據安全分類分級、個人數據風險評估等與數據安全相關的咨詢服務。為解決客戶的數據安全分類分級及數據風險評估，明朝萬達提供了一整套的底層基礎能力，支撐對客戶的數據安全分類分級和數據風險評估的數據安全領域的咨詢團隊、專用工具集、方法論和經驗沉淀、數據安全產品及研發團隊和駐場人員。

工業互聯網數據安全治理實踐

2022-12-06 09:18:51

數據時代，數據自身安全以及數據保護的安全成為關注的重點，工業化互聯網數據安全成為工業互聯網發展的重要基礎，隨著《數據安全法》的正式頒布，數據在安全體系中占據了核心地位。其中，數據信息安全強調保護數據資產不受意外或未經授權的訪問、更改或破壞，確保其可用性、完整性和機密性。流入控制系統的信息必須受到充分保護，同時還要保護物理過程的安全性和彈性。

電信領域數據安全標準體系現狀與思考

2022-05-18 13:15:38

數據安全問題涉及公眾利益、社會穩定與國家安全，亟需規范安全管理，加強安全防護。而數據安全標準是開展數據安全管理、規范行業數據安全要求、指導企業提升數據安全能力的重要抓手。

數據安全治理現狀研究與分析

2022-04-03 07:29:01

近年來，國內外數據泄露事件頻發，大量企業的商業利益、聲譽受損。數據安全法律法規相繼頒布，監管力度不斷升級，企業逐漸意識到數據安全治理的重要性與緊迫性。通過對2021年開展的企業數據安全治理能力評估現狀進行整理，總結企業數據安全治理工作在組織建設、人才培養、技術工具等方面的現狀與趨勢，提供能力提升思路，以供業界參考。

《數據安全法》指導下的數據安全發展

2021-11-29 14:50:44

作為我國數據安全領域的基礎性法律、國家安全領域的重要法律，《數據安全法》的出臺體現了當前數字經濟發展對安全的關鍵需求，為我國數據安全的發展之路提供了指引。

VSole

網絡安全專家