数字化时代,数据安全事件已成为了全球关注的焦点。从大型企业到小型组织,从政府机构到私人企业,没有任何实体能够完全免受数据泄露的威胁。例如:
• 2023年8月,北海某网站存在数据泄露问题,网站约22万个人信息数据被挂在境外论坛售卖。该公司在日常工作中收集了个人和企业等大量公民信息,但未能按照《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及有关等级保护工作要求落实网络安全保护主体责任。广西北海公安机关根据《中华人民共和国网络安全法》第四十二条的规定,对公司及直接负责人员分别做出罚款20万元、3万元的行政处罚。
• 2023年5月,某提供导航服务的公司报案称,发现有人利用技术手段盗取公司服务器内全国的导航地图信息数据,并在论坛中售卖,导致公司直接经济损失约21万元。事件起因为犯罪嫌疑人非法爬虫盗取平台数据2000余万条,并私自将非法爬取的“盗版”数据于论坛售卖。
近年来越来越频繁的数据安全事件,也揭示了目前企业内部整体数据管理水平及数据安全防范能力还有待提高。
随着《数据安全法》、《个人信息保护法》等相关数据安全法律的颁布,各企业对数据安全保护工作逐步重视,采取了相应措施限制数据的泄露。
但从全局的角度来看,目前数据安全能力提升还处于起步阶段,伴随着数字化的深入开展,攻击及威胁手段的持续迭代升级,新问题与新风险也交织出现,需要重点关注的数据安全问题包括:
员工个人信息数据真实性强,随着数据量的不断增大,如果发生数据泄露事件可能发生重大影响。
数据访问权限模糊,数据流向不清晰,敏感信息散落各处,未落实差异化安全管控措施。
业务系统数据抽取和交换,多是通过API接口进行,未对敏感数据读取动作和数据安全风险进行监控和管理。
运维工作过于依赖第三方人员,并赋予特权账号,存在滥用访问权限故意泄露公司敏感信息风险。
攻击者可能通过口令爆破、钓鱼邮件等方式获取到员工账户,从而登录内部服务器进行数据窃取。
那么应该如何做好数据安全建设呢?Gartner在针对数据安全治理的完整理念和方法论方面提出:数据安全需要从上到下,从需求调研开始实施,梳理清楚目前整个业务系统的数据资产及业务数据流转流程后,开启分类分级体系建设;针对不同等级的数据划分相应策略,同时在数据流转过程中搭配使用加密、审计、脱敏、分析等技术手段;在技术侧落地后,建立员工意识培训、定期风险检查、违规事件处置等管理制度,最终形成整套数据安全体系建设。
参考Gartner的建设理念及从当前的数据安全现状出发,数据安全建设工作可分五步走:精细化梳理数据资产及业务数据、建立数据分类分级制度、精确划分数据使用权限、提高数据流转安全性、优化运营管理制度(部分步骤可以提前进行单独建设,提升部分数据安全能力)。
资产及业务梳理是数据安全建设的关键步骤,需要对企业所有数据资产进行全面的识别、分类和管理,全面盘点企业内各部门和系统的数据并识别具有商业价值、法律或合规要求、敏感性高的关键数据资产,同时创建并维护一份数据字典或数据目录,汇总数据的属性信息以及与数据相关的元数据信息。除数据资产外,同样还需对业务流程进行梳理,了解数据在业务流程中的流动路径及数据是如何被手机、处理、存储、共享和销毁的。当资产及业务数据都梳理完成后,才可以进行准确的敏感数据分类分级。
在数据安全建设过程中,建立数据的分类分级制度是确保数据得到恰当保护的关键一步,首先需根据数据的敏感性、对业务的重要性、法律和合规要求等方面的特点,定义一套清晰的分类标准,同时要确保分类标准遵循行业标准、法律法规和合规要求,针对特定类型的数据(如个人身份信息、财务信息等)可以明确特定的保护要求。根据制定的分类标准,对已识别的数据资产进行分类分级,针对敏感数据还需依据其敏感性进行特殊分类;由于数据的属性和价值可能随着时间的推移和业务的发展而发生变化,还需定期对数据进行审核和更新,确保数据分类分级的准确性和有效性,以便于数据使用权限的划分。
建立好数据分类分级制度后,精确划分数据使用权限是防止未经授权访问和数据泄露的关键环节。需要将根据组织结构和业务流程定义好的各种用户角色与分类分级制度结合起来,依据不同角色在数据处理和管理方面的责任及对应的权限需求,确立“最小化权限”,确保不同角色只拥有完成其工作所必须的权限,明确数据访问范围及针对数据的允许执行动作,同时还需定期重新审查和调整各个角色的数据访问权限,是否与当前业务需求相关。
数据使用权限划分清楚后,还需关注数据在流转过程中的安全性,在数据传输过程中采取加密手段,针对敏感数据实行端到端加密,即使被截获也无法被未授权者解读。采取详细的审计手段,记录数据访问及修改的具体时间及具体角色,确保用户行为符合安全政策,并且通过邮件告警、短信告警等方式,当高危操作发生时,第一时间通知管理员。在不影响业务流程的前提下,也可对数据进行脱敏处理,避免在数据流转过程中暴漏个人识别信息,匿名化处理敏感数据。重要数据同时需要进行定期备份及定期测试数据恢复流程,确保在发生极端情况时,业务可以迅速恢复。
针对数据安全的一系列技术手段建设落地后,企业内部针对数据安全的运营管理制度建设及优化也尤为重要,出于专人专责的考虑,需要明确数据保护职责,确保有专门的团队或个人负责推动数据安全政策的实施和监督,通过定期培训和教育,提高员工的数据安全意识;通过建立合理的数据安全审核和合规城西,快速发现并纠正日常审计过程中发现的任何问题;还需制定和维护事故响应计划,在数据安全事件发生时拥有明确的流程和措施,以便应对和恢复。在设计新业务流程时也需要将数据安全纳入考虑,通过定期评估和改进持续提升数据安全管理的质量。
基于以上数据安全建设方案,威努特推出了一站式数据安全解决方案,通过在服务器上部署数据安全管理平台,配合数据防泄漏、页面动态脱敏、数据库防火墙、零信任网关、终端沙箱等功能模块,满足用户在数据安全体系建设中各个环节的安全需求。
• 智能业务梳理
通过高度优化的接口服务能力,威努特数据安全统一管理平台可为企业提供精细化的业务数据处理,当用户在Web资源中导航并点击进入一个特定的功能模块时,该平台的API接口服务能力将自动激活,利用URL解析技术和数据流拦截技术对页面请求中的API路径及其载荷(Payload)内容进行深度解析,确保了对请求路径的准确识别和对传输数据的全面捕获。随后,平台中预置的智能API标签系统会利用自然语言处理技术(NLP)和机器学习算法对解析出的字段进行自动标注,明确数据流向及敏感信息分布,为后续的数据处理提供了精确的基础。
• 多维度数据分类分级
威努特数据安全统一管理平台采纳了多维度的数据分类分级体系,涵盖了国家级、行业规范以及可高度定制化的分类框架。平台的核心采用基于AI的API字段识别机制。当企业内部用户尝试访问Web系统时,管理平台实时介入,对经过的数据流进行深度解析。采用多维度的数据分析方法,基于数据在业务流程中的作用、所属的功能单元以及在遭受数据泄露时可能导致的影响程度,将解析的数据划分为不同类别。
管理平台可解析的数据包括与用户身份直接相关的数据、用户服务过程中产生的内容数据、服务产生的衍生数据以及企业内部的运营管理数据等,并进一步赋予不同的安全级别,通过将每个级别对应不同的安全措施和访问控制策略,加强数据安全管理,确保数据在传输、处理和存储过程中的安全性和完整性。
• 精细化数据操作权限划分
关于如何控制数据操作权限,具体包括两方面:划分不同人员针对业务数据的访问权限及严格限制敏感文件的传输。
针对人员访问的权限划分,威努特数据安全统一管理平台支持动态访问控制,对用户访问内网基于进行最小权限授权,管理员可以根据用户的身份和具体的需求,在后台合理限制用户可以访问哪些应用。例如,只允许人事部的员工访问考勤系统,不允许访问财务系统,其越权访问会被平台自动拦截。还可以对用户的访问时间,访问设备等维度进行限制,呈现多个维度的访问关系视图,帮助用户迅速、清晰的进行全网访问关系查询和梳理,避免权限混乱的管理问题。
• 安全工作空间
针对高敏感级别文件的传输,可在终端上安装威努特终端微隔离沙箱,通过下一代沙箱技术,在终端上构建独立的、隔离的安全工作空间,对于访问敏感数据的应用系统时,进行网络和数据拦截,实现敏感数据不落宿主机,防止数据泄漏。当应用在安全工作空间内运行时,应用的一切文件操作行为,都会被安全工作空间的管理驱动和重定向引擎所接管,重定向至不可见空间,保证了不可见空间数据与个人可见空间数据的隔离以及数据安全性。若有文件申请外发的需求,需管理员进行审批,才可实现工作空间向个人空间或高级别工作空间向低级别空间的数据传输。
• 无感知动态脱敏
威努特数据安全统一管理平台,以ID身份认证为核心,融合了多种精细化的数据脱敏技术,如数据混淆、内容替换、信息遮掩以及高级加密算法等,为各类数据字段提供定制化的保护方案。基于智能主动学习对多维度元数据特征向量进行字段梳理,结合分类分级规则、脱敏算法,实现智能归类相似字段,完成分类标注、脱敏算法选择等,提升效率,确保脱敏结果的准确性。平台不仅嵌入了智能化的规则引擎,还允许用户根据需求自行定制脱敏算法,可满足多样化的数据处理需求。
• 人员风险监测
防止数据泄露的关键一步是确保登陆的账号本身是安全的,而非攻击者或非授权人员使用高等级账号非法登录,为保证客户登录的安全性,威努特数据安全统一管理平台基于零信任安全访问模型,通过用户登录的历史和本次的地理位置信息、终端环境信息、历史风险事件、习惯信息等,根据系统内置的丰富的风险事件模型,综合分析出用户本次登录行为可能包含的风险,形成风险事件、用户安全画像等丰富的可视化展示,也可通过零信任客户端设备绑定功能,确保用户在正确的设备上使用正确的账号登录,同时可以对账户的登录时间、登录设备及IP地址进行严格控制,以防止非法人员非法接入业务系统。
威努特数据安全一站式解决方案,通过在服务器上部署数据安全统一管理平台,配合数据防泄漏、页面动态脱敏、数据库防火墙、零信任网关、终端沙箱等功能模块,可实现一台设备满足业务数据流转全流程的数据安全需求,可广泛应用于政府、能源、制造业等行业的安全访问及数据流转场景,满足各行各业对数据安全的建设要求。
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的6000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施安全为己任,致力成为建设网络强国的中坚力量!
