2022數(shù)據(jù)安全風(fēng)險(xiǎn)分析及應(yīng)對(duì)策略_第1頁
2022數(shù)據(jù)安全風(fēng)險(xiǎn)分析及應(yīng)對(duì)策略_第2頁
2022數(shù)據(jù)安全風(fēng)險(xiǎn)分析及應(yīng)對(duì)策略_第3頁
2022數(shù)據(jù)安全風(fēng)險(xiǎn)分析及應(yīng)對(duì)策略_第4頁
2022數(shù)據(jù)安全風(fēng)險(xiǎn)分析及應(yīng)對(duì)策略_第5頁
已閱讀5頁,還剩22頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

數(shù)據(jù)安全風(fēng)險(xiǎn)分析及應(yīng)對(duì)策略(2022年)前言數(shù)據(jù)作為一種新興生產(chǎn)要素,已成為經(jīng)濟(jì)社會(huì)發(fā)展的核心驅(qū)動(dòng)力,與此同時(shí)日益嚴(yán)峻的數(shù)據(jù)安全風(fēng)險(xiǎn)為數(shù)字化轉(zhuǎn)型的持續(xù)深化帶來嚴(yán)重威脅。為保障數(shù)字經(jīng)濟(jì)的健康有序發(fā)展,提高數(shù)據(jù)安全風(fēng)險(xiǎn)防控能力,國家、行業(yè)、地方相繼出臺(tái)多項(xiàng)數(shù)據(jù)安全法律法規(guī),并接連開展相應(yīng)的審查整治行動(dòng)??傮w來說,國內(nèi)數(shù)據(jù)安全已進(jìn)入合規(guī)合法的強(qiáng)監(jiān)管新階段。面對(duì)日益嚴(yán)格的合規(guī)要求及數(shù)字化場(chǎng)景下的新型安全威脅,本報(bào)告梳理了當(dāng)前數(shù)據(jù)安全面臨的幾個(gè)突出問題:APP對(duì)用戶信息的過度采集不僅滋生數(shù)據(jù)濫用等安全風(fēng)險(xiǎn),也帶來合規(guī)問題。二是賬號(hào)弱口令的使用普遍。低成本的攻擊門檻,容易導(dǎo)致特權(quán)賬號(hào)被盜取,帶來內(nèi)部管理難題的同時(shí)引入數(shù)據(jù)安全風(fēng)險(xiǎn)。越權(quán)訪問、數(shù)據(jù)濫用等問題將無法管控。API接口成為新型攻擊手段。API作為應(yīng)用與數(shù)據(jù)服務(wù)的五是數(shù)據(jù)安全的持續(xù)狀態(tài)難以保持。一方面,應(yīng)用數(shù)字化改造及數(shù)據(jù)消費(fèi)場(chǎng)景較為復(fù)雜;另一方面,管理要求和技術(shù)落地存在一定脫節(jié),導(dǎo)致持續(xù)的數(shù)據(jù)安全狀態(tài)難以保障。針對(duì)以上問題,本報(bào)告結(jié)合實(shí)戰(zhàn)化攻防演習(xí)的實(shí)踐經(jīng)驗(yàn),提出數(shù)據(jù)安全體系建設(shè)的行動(dòng)思路和關(guān)鍵舉措,旨在為組織開展數(shù)據(jù)安全體系化建設(shè)提供參考和建議。目錄一、數(shù)字化時(shí)代數(shù)據(jù)安全發(fā)展現(xiàn)狀 1(一)數(shù)據(jù)安全進(jìn)入法治化的強(qiáng)監(jiān)管時(shí)代 1(二)數(shù)據(jù)安全事件頻發(fā)安全威脅日益嚴(yán)峻 2(三)技術(shù)架構(gòu)演進(jìn)伴生數(shù)據(jù)使用場(chǎng)景改變 3二、數(shù)字化時(shí)代下的數(shù)據(jù)安全痛點(diǎn) 4(一)個(gè)人信息合規(guī)合法使用的監(jiān)管應(yīng)對(duì)難度增加 4(二)賬號(hào)、權(quán)限、API成數(shù)據(jù)保護(hù)脆弱環(huán)節(jié) 5(三)數(shù)據(jù)安全狀態(tài)持續(xù)保障成落地難點(diǎn) 8三、解決數(shù)據(jù)安全痛點(diǎn)問題行動(dòng)思路 8(一)明確數(shù)據(jù)安全總體戰(zhàn)略 9(二)建立數(shù)據(jù)安全管理機(jī)構(gòu) 9(三)落實(shí)安全策略精準(zhǔn)管控 9(四)持續(xù)保障數(shù)據(jù)安全運(yùn)營 10四、解決數(shù)據(jù)安全痛點(diǎn)問題關(guān)鍵舉措 11(一)管理與技術(shù)結(jié)合助力個(gè)人信息保護(hù)合規(guī)落地 (二)特權(quán)賬號(hào)安全治理持續(xù)強(qiáng)化安全內(nèi)控 12(三)零信任數(shù)據(jù)動(dòng)態(tài)授權(quán)賦能精細(xì)化管控 15(四)完善API安全防護(hù)體系的閉環(huán)建設(shè) 17(五)圍繞數(shù)據(jù)安全態(tài)勢(shì)感知統(tǒng)籌數(shù)據(jù)安全運(yùn)營 20五、數(shù)據(jù)安全建設(shè)發(fā)展建議 22(一)聚焦關(guān)鍵環(huán)節(jié)完善數(shù)據(jù)安全能力建設(shè) 22(二)結(jié)合業(yè)務(wù)流程深化數(shù)據(jù)安全工作開展 23(三)高度重視技術(shù)創(chuàng)新破局作用 23圖目錄圖1最常見的初始化攻擊路徑 5圖2不同場(chǎng)景下API使用情況 7圖3API業(yè)務(wù)發(fā)展流程 7圖4基于屬性的數(shù)據(jù)動(dòng)態(tài)授權(quán)機(jī)制 16圖5API安全防護(hù)體系 17圖6數(shù)據(jù)安全運(yùn)營總體架構(gòu) 20 數(shù)據(jù)安全風(fēng)險(xiǎn)分析及應(yīng)對(duì)策略研究(2022數(shù)據(jù)安全風(fēng)險(xiǎn)分析及應(yīng)對(duì)策略研究(2022年)PAGEPAGE10一、數(shù)字化時(shí)代數(shù)據(jù)安全發(fā)展現(xiàn)狀數(shù)字化時(shí)代,數(shù)據(jù)已成為數(shù)字經(jīng)濟(jì)發(fā)展的核心生產(chǎn)要素。2020年全球47個(gè)國家數(shù)字經(jīng)濟(jì)增加值規(guī)模達(dá)到32.6萬億美元,我國數(shù)字5.4萬億美元1成為事關(guān)國家安全與經(jīng)濟(jì)社會(huì)發(fā)展的重大問題。(一)數(shù)據(jù)安全進(jìn)入法治化的強(qiáng)監(jiān)管時(shí)代國家層面9120211了國家、社會(huì)、個(gè)人對(duì)個(gè)人信息保護(hù)的關(guān)切。行業(yè)監(jiān)管層面,2021930日工業(yè)和信息化部發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理(試行征求意見稿202214日,國家營者開展數(shù)據(jù)處理活動(dòng)影響或者可能影響國家安全等情形納入網(wǎng)絡(luò)地方政府層面2021629日《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》2021930(草案體系。(二)數(shù)據(jù)安全事件頻發(fā)安全威脅日益嚴(yán)峻根據(jù)風(fēng)險(xiǎn)基礎(chǔ)安全(RiskBasedSecurity)2的數(shù)據(jù)顯示,2020年360API接口攻擊等方面。弱口令成數(shù)據(jù)泄漏爆發(fā)點(diǎn)20213分析,61%的數(shù)據(jù)泄露與憑證數(shù)據(jù)泄漏有關(guān)。API成熱門攻擊入口成為業(yè)務(wù)API接口成為新型2021452019API5.3億用戶。權(quán)限濫用仍是數(shù)據(jù)安全事件的重要觸發(fā)點(diǎn)20202月,港股某上市公司VPN登入服務(wù)器,對(duì)線上生產(chǎn)環(huán)境進(jìn)行惡意刪庫,造成旗1.5億元4。隱私泄露成為數(shù)據(jù)安全的重要威脅Canalys統(tǒng)計(jì),202015年總和,成為影響個(gè)人權(quán)益、組織發(fā)展甚至國家安全的重要因素5。(三)技術(shù)架構(gòu)演進(jìn)伴生數(shù)據(jù)使用場(chǎng)景改變20213142035年遠(yuǎn)景目標(biāo)綱要》全文發(fā)布,就數(shù)字經(jīng)濟(jì)、數(shù)組織內(nèi)組織間目標(biāo)。二、數(shù)字化時(shí)代下的數(shù)據(jù)安全痛點(diǎn)。(一)個(gè)人信息合規(guī)合法使用的監(jiān)管應(yīng)對(duì)難度增加國外因違規(guī)向數(shù)據(jù)分析公司提500050億美元的罰金,是歷史上最大的隱私違規(guī)罰款6。國內(nèi),《APP違法違規(guī)收集使用個(gè)人信息監(jiān)測(cè)分析報(bào)告》7顯示,20215月以來,被通報(bào)的12351APP257款由于存在“違反必要原則,收集與其的重大議題。(二)賬號(hào)、權(quán)限、API成數(shù)據(jù)保護(hù)脆弱環(huán)節(jié)賬號(hào)憑證泄漏是導(dǎo)致數(shù)據(jù)泄露的主要因素限賬號(hào)的共享及弱口令設(shè)置等問題日益突出。IBMSecurity發(fā)布的《2021年數(shù)據(jù)泄露成本報(bào)告》8指出,數(shù)據(jù)泄漏事件中最常見的初始化攻擊路徑就是直接竊取憑證,如圖1所示。來源:IBMSecurity《CostofaDataBreachReport2021》圖1最常見的初始化攻擊路徑庫、刪表等高危操作,達(dá)到破壞或竊取敏感數(shù)據(jù)的目的。(如:BYOD及各類人員的接入也帶來了更多不可控因素,增加了數(shù)據(jù)風(fēng)險(xiǎn)暴露面。APIAPI作為數(shù)據(jù)連接利器,其安全風(fēng)險(xiǎn)重視程度有待提高2所示,Imvision發(fā)布的《EnterpriseAPISecuritySurvey》9報(bào)告展示了APIAPI71%。也成為攻擊者竊取數(shù)據(jù)的重點(diǎn)APIAPI通信中的重視。

來源:Imvision:《EnterpriseAPISecuritySurvey》報(bào)告圖2不同場(chǎng)景下API使用情況API3API在廣泛應(yīng)用的同時(shí),也引入了大量數(shù)據(jù)安全挑戰(zhàn)。201912APISecurity10的安全風(fēng)險(xiǎn)10,其中失效的對(duì)象級(jí)別API面臨的重API來源:奇安信科技集團(tuán)股份有限公司圖3API業(yè)務(wù)發(fā)展歷程(三)數(shù)據(jù)安全狀態(tài)持續(xù)保障成落地難點(diǎn)數(shù)據(jù)資產(chǎn)梳理不全面導(dǎo)致安全保障不徹底PB據(jù)存儲(chǔ)在分散的數(shù)據(jù)載體中。這給組織的數(shù)據(jù)資產(chǎn)梳理造成了困難,而建立在數(shù)據(jù)資產(chǎn)梳理基礎(chǔ)之上的持續(xù)安全保障更是難以實(shí)施。數(shù)據(jù)快速流轉(zhuǎn)增加數(shù)據(jù)安全持續(xù)保障難度數(shù)據(jù)流轉(zhuǎn)過程中的安一是安全域的變化二是數(shù)據(jù)載體的變化三是數(shù)據(jù)主體的變化三、解決數(shù)據(jù)安全痛點(diǎn)問題行動(dòng)思路為解決以上數(shù)據(jù)安全痛點(diǎn)問題,本報(bào)告從戰(zhàn)略規(guī)劃、機(jī)構(gòu)管理、精準(zhǔn)管控、安全運(yùn)營等方面提出數(shù)據(jù)安全建設(shè)行動(dòng)思路。(一)明確數(shù)據(jù)安全總體戰(zhàn)略(二)建立數(shù)據(jù)安全管理機(jī)構(gòu)任與意識(shí),推動(dòng)數(shù)據(jù)安全戰(zhàn)略的有效執(zhí)行與充分協(xié)同。一是決策層,二是管理層三是執(zhí)行層四是監(jiān)督層11。(三)落實(shí)安全策略精準(zhǔn)管控座。通過發(fā)現(xiàn)、識(shí)別數(shù)據(jù)資產(chǎn),進(jìn)行資產(chǎn)盤點(diǎn),開展數(shù)據(jù)分類分級(jí),(四)持續(xù)保障數(shù)據(jù)安全運(yùn)營持續(xù)運(yùn)營保障的目的一是看清數(shù)據(jù)流轉(zhuǎn)關(guān)系SQLAPI二是識(shí)別發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)實(shí)現(xiàn)對(duì)數(shù)據(jù)安全威脅的及時(shí)預(yù)警和處置。三是實(shí)現(xiàn)常態(tài)化安全運(yùn)營。保障運(yùn)營。四、解決數(shù)據(jù)安全痛點(diǎn)問題關(guān)鍵舉措API(一)管理與技術(shù)結(jié)合助力個(gè)人信息保護(hù)合規(guī)落地常的業(yè)務(wù)活動(dòng)和產(chǎn)品管理中,從根本上建立個(gè)人信息保護(hù)合規(guī)體系,保障數(shù)據(jù)價(jià)值。工作重心、工作方法和計(jì)劃,與業(yè)務(wù)發(fā)展進(jìn)行平衡;協(xié)調(diào)安全、IT、人信息保護(hù)現(xiàn)狀開展合規(guī)評(píng)審活動(dòng),重點(diǎn)關(guān)注APP超范圍收集個(gè)人信息、誤導(dǎo)收集個(gè)人信息、SDK越權(quán)收集問題等熱點(diǎn)難點(diǎn)問題,提升整體個(gè)人信息保護(hù)工作的合規(guī)落地有效性。APP研發(fā)階段規(guī)問題能極大降低合規(guī)風(fēng)險(xiǎn)帶來的成本,可通過合規(guī)培訓(xùn)、SDK準(zhǔn)發(fā)布階段APP違規(guī)行為進(jìn)行檢測(cè),運(yùn)營階段(二)在賬號(hào)存儲(chǔ)階段明確特權(quán)憑證的安全策略管理在賬號(hào)使用階段明確特權(quán)賬號(hào)使用的安全管控措施在賬號(hào)銷毀階段建立賬號(hào)刪除/回收/凍結(jié)機(jī)制。需重點(diǎn)關(guān)注第三/凍結(jié)/刪除,防止因管理的疏忽造成特權(quán)賬號(hào)變成幽靈賬號(hào)。特權(quán)賬號(hào)自動(dòng)發(fā)現(xiàn)能力號(hào)、幽靈賬號(hào)造成的安全隱患。特權(quán)憑證安全保管能力加強(qiáng)對(duì)特權(quán)異常行為監(jiān)測(cè)預(yù)警能力在監(jiān)測(cè)管控之下,一是能夠針對(duì)操作指令進(jìn)行解析,識(shí)別操作指令;二是OCR文字識(shí)別等方式識(shí)別圖形協(xié)議,審計(jì)特權(quán)用戶操作內(nèi)三是IP加強(qiáng)特殊場(chǎng)景特權(quán)賬號(hào)安全治理能力通常會(huì)出現(xiàn)應(yīng)用系統(tǒng)將賬號(hào)及密碼明文寫在代碼或配置文件中的現(xiàn)(三)零信任數(shù)據(jù)動(dòng)態(tài)授權(quán)賦能精細(xì)化管控字化時(shí)代解決信任問題的手段。什么地方、因?yàn)槭裁慈蝿?wù)、訪問了什么數(shù)據(jù)里的什么字段”的問題?;跀?shù)據(jù)視圖、身份視圖構(gòu)建動(dòng)態(tài)訪問策略。在零信任架構(gòu)下,采用基于屬性的訪問控制機(jī)制(AttributeBasedAccessControl,簡(jiǎn)稱ABAC),從實(shí)體安全、身份可信、業(yè)務(wù)合規(guī)三個(gè)目標(biāo)出發(fā),依賴數(shù)據(jù)視圖、身份視圖等內(nèi)容,如圖4所示,通過角色、訪問主體所在地精細(xì)化管控。來源:奇安信科技集團(tuán)股份有限公司圖4基于屬性的數(shù)據(jù)動(dòng)態(tài)授權(quán)機(jī)制一是二是三是(四)完善API安全防護(hù)體系的閉環(huán)建設(shè)API安全問題的最佳解決方案是在API的設(shè)計(jì)過程嵌入安全思想,API安全建設(shè)的落地需要結(jié)合現(xiàn)狀需求以及實(shí)戰(zhàn)化的APIAPI的安全照“發(fā)現(xiàn)”、“檢測(cè)”、“防護(hù)”、“響應(yīng)”的安全模型進(jìn)行API5所示。來源:奇安信科技集團(tuán)股份有限公司圖5API安全防護(hù)體系A(chǔ)PIAPIAPI的資產(chǎn)發(fā)現(xiàn)與管理能力API部署情API類型、活躍接口數(shù)量、失活接口數(shù)API解不同應(yīng)用程序使用的API以及API對(duì)應(yīng)的業(yè)務(wù)屬性。API漏洞發(fā)現(xiàn)能力。隨著攻擊面和攻擊手段的變化,應(yīng)APIAPI濫用發(fā)現(xiàn)能力API在運(yùn)行時(shí)的外部風(fēng)險(xiǎn)感知API的濫用情況,并阻斷攻擊者的進(jìn)一步行動(dòng)。API加強(qiáng)API安全檢測(cè)能力一是API漏洞的攻擊行二是API調(diào)用鏈可視化能三是強(qiáng)化數(shù)據(jù)異常流轉(zhuǎn)及泄露檢測(cè)能力。一是開展敏感數(shù)據(jù)識(shí)別,APIAPI訪問的數(shù)API二是開展三是構(gòu)建威脅APIAPI接口的安全防護(hù)能力建設(shè),包括但不限于:認(rèn)證授權(quán)體系,API訪問控制數(shù)據(jù)加解密能力API中敏感信息的交互進(jìn)行加密或脫敏,減少敏感信息的泄露風(fēng)險(xiǎn);API限流限速,需考慮系統(tǒng)的處理能力,對(duì)APIAPIDDoSAPI請(qǐng)求上。首先應(yīng)建立威脅預(yù)警能力前預(yù)防。其次是構(gòu)建漏洞管理與響應(yīng)機(jī)制API攻擊面及隱秘多變的攻擊手段。最后是建立威脅分析與處置能力,API的統(tǒng)一監(jiān)控與威脅事(五)圍繞數(shù)據(jù)安全態(tài)勢(shì)感知統(tǒng)籌數(shù)據(jù)安全運(yùn)營6所示。來源:奇安信科技集團(tuán)股份有限公司圖6數(shù)據(jù)安全運(yùn)營總體架構(gòu)警上報(bào)通道,并結(jié)合具體的數(shù)據(jù)安全防護(hù)組件,統(tǒng)一下發(fā)安全策略,及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)是開展數(shù)據(jù)安全運(yùn)營工作的重要一環(huán)。數(shù)據(jù)安全風(fēng)險(xiǎn)分析基于在數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)環(huán)節(jié)中對(duì)數(shù)據(jù)使用場(chǎng)景的精真正實(shí)現(xiàn)可控的風(fēng)險(xiǎn)管理。開展數(shù)據(jù)安全評(píng)估工作是安全合規(guī)的需要,也是組織自身數(shù)據(jù)保護(hù)的需求。數(shù)據(jù)安全評(píng)估工作需充分考慮監(jiān)管要求、數(shù)據(jù)安全現(xiàn)狀、風(fēng)險(xiǎn)分析結(jié)果等因素,其評(píng)估內(nèi)容包括但不限于

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論