新形势下的数据保护思考

2019-04-03 447954人围观 ,发现 2 个不明物体 数据安全

*本文原创作者:haiczh,本文属FreeBuf原创奖励计划,未经许可禁止转载

近年来,我国政府高度重视数据在新常态中推动国家现代化建设的基础性、战略性作用。2015 年 9 月国务院印发的《促进大数据发展行动纲要》指出,「数据已成为国家基础性战略资源,大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。」2016 年 3 月发布的「十三五规划纲要」还专章提出「实施国家大数据战略」,明确我国将「把大数据作为基础性战略资源,全面实施促进大数据发展行动,加快推动数据资源共享开放和开发应用,助力产业转型升级和社会治理创新。」2017 年 6 月 1 日,正式实施《网络安全法》的网络安全法,对数据安全和个人数据保护也给予了足够的关注。

维度 条文
数据安全 第十条建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
第二十七条任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
个人数据保护 第 40 至 44 条
国家层面的数据保护 第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
第五十一条国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。
第五十二条负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。

欧盟 GDPR(一般数据保护条例)已于 2018 年 5 月 25 日正式生效,这更是一部专门针对数据保护所制定的条例。根据规定,它的影响将不仅限与整个欧盟(EU)范围内。而是适用于所有处理和持有欧盟居民个人资料的公司,而不论公司地理位置。以上这些国家战略和法律法规无疑对金融行业数据保护提出了新的要求。

另一方面,近年来随着金融行业业务拓展,企业及用户规模不断上涨。为配合业务的大数据战略的需求,在数据收集维度和颗粒度方面与过去相比都更加的全面和精细,造成了数据存储规模达到 PB 或 ZB 级别。数据激增,导致数据的存储方式随之变化,从传统的集中式存储、关系型数据库转向云端存储、大数据平台、分布式存储、采集器端点存储等多个位置和多种方式,存储方式及位置异常分散。这种新模式的发展,导致我们现在已经很难像以前那样清晰的理清我们业务系统的数据流,带来的直接后果就是传统数据保护方法的落后和失效。

未来如何在满足业务发展的同时,满足监管要求,又能很好的保护住企业所收集和存储的海量数据,是摆在金融行业客户面前一大难题。笔者根据自身数据保护从业经验提出几点思考,供企业参考。

一.  关注云上数据安全

无论是 2016 年百度云盘设计缺陷,导致大量用户照片等个人信息的泄露,还是 2017 年亚马逊 AWSS3 服务器配置错误造成的美国加州数据分析公司 Alteryx 泄露了 1.23 亿美国家庭的敏感数据,以及 180 万个注册投票者个人信息泄露。都在一定程度上反映了近年来由于企业业务或数据上云而引起的一些数据安全问题。

因此,企业在上云过程中应关注数据安全性,而不是一味的追求业务增长和便利性。针对这种情形,企业可以采用云端加密存储,应用侧解密使用等技术来解决这种问题。

如图所示:企业通过在本地应用与云端数据交互途径中部署代理工具来实现数据的加解密,身份管理等工作,保护企业云端数据的安全性。这种工作模式也适用于目前使用互联网邮箱来作为企业邮箱的中小企业。通过对邮件内容或附件进行加密存储,收信人通过客户端或特定工具来进行解密使用而防止互联网邮箱的原因而导致的公司机密泄露。

二.  关注大数据存储安全

随着企业大数据战略的落地,以 Hadoop 平台为例,大量数据被存放在 Hadoop 平台,就形成「鸡蛋放在一个篮子里」引起的数据集中风险。Hadoop 生态系统的核心是 HDFS,虽已开始支持原生静态数据加密,但是这种应用层加密,在大规模使用时,密钥很难管理,并且对平台的速度和性能、对 Hadoop 的支持程度、管理都提出了很大的难度。企业可以考虑使用数据单元(cell)加密和细粒度访问权限控制组件来弥补原生静态加密的不足,如开源的 Rhino 等。

再者,仅仅对静态数据加密改造还远远不够,数据在平台各组件间传输时的动态安全也需要关注,需要把 Hadoop 当前所拥有的一堆网络协议,如 RPC、TCP/IP、HTTP,使用其对应的动态加密协议来进行替换,防止这些数据被镜像或嗅探。同样,还需要关注各种与 Hadoop 交互的系统上或流转的中间数据存在的安全问题,包括 MySQL、oracle 甚至临时文件、日志、元数据,以及数据提取和客户端访问。这些都需要企业在未来设计数据安全架构或保护方案时进行考虑和设计。

三.  关注数据使用安全

3.1   提高数据使用者安全意识

多好的数据安全技术方案,如果数据使用者缺乏安全意识,在数据使用,流转,存储,销毁以及再生产等众多过程中仍然会产生数据的泄露;这些都必将给企业造成损失。例如快递公司投入大量的技术和资金来推广和使用隐私面单,但是派送人员为了自己的方便,在派送之前,将所有隐私面单上的电话号码进行了补充,这最后而又最关键的一个小「失误」,使得所有的努力的付出都失去了意义。

另外,根据 Verision 数据泄露研究报告指出,在泄露的数据中高达 55% 的数据泄露事件与内部数据使用人员有关,而这 55% 中有 40% 与企业特权账户失控有关。例如过大的数据访问权限甚至无限制的访问权限,失控的特权帐户等都有可能造成一切安全事故,使得所有的数据安全策略失效。例如某管理员,既拥有数据防泄露系统的 admin 权限,又拥有某系统的 root 用户;其就可以通过关闭数据防泄漏系统来躲避数据使用审计,也可以将系统数据全盘进行拷员,这都将为企业数据安全造成致命伤害。

55% 的数据泄露事件与内部数据使用人员 

数据使用者造成的数据泄露事件中 40% 与特权账户有关 

3.2   关注低敏感数据 

还有数据使用过程中多种低敏感数据的泄露造成重大后果。例如:最近暴出的某应用平台公布其用户运动数据,导致多国军事基地意外暴露的事件就是一个很好的例子。当众多不敏感或低敏感数据泄露后,经过组合分析,就很有可能造成一个意想不到的后果。因此,在金融行业未来数据安全建设过程中,除了保护自己现有数据不被泄露外,还需要通过技术手段来跟踪和分析以前已经泄露的数据,必要时采取一定的技术手段,对以前泄露数据可能造成的后果进行改善和弥补。

朝鲜平壤没有地面建筑,地下「隐蔽的」慢跑路线暴露其地下军事基地

美国内华达州 51 区空军基地

3.3   重视数据治理

数据治理简单来讲,就是提高用户三个能力,即数据资产挖掘能力,数据资产跟踪能力,以及数据资产价值评估能力。

3.3.1  数据资产挖掘能力

数据资产挖掘能力,就是得知道你拥有哪些类型的数据,他们是什么,都存在哪里。针对不同的数据类型,有不同的技术手段可以来实现或完成。例如可以通过对线上数据库抽样扫描、大数据仓库的元数据分析、dlp 的本地扫描等来实现。在未来,这种挖掘和搜集不是应该固化为企业数据保护的一种能力,并且可以通过数据态势感知平台做到可索引,可下钻。例如发生了大面积的客户密码信息泄露,数据挖掘能力能够迅速从全量数据中找到所含有客户密码信息的数据元。

3.3.2  数据跟踪能力

现有的数据保护模式大多采用「栅栏式」式防护。这种防护的最大弊端在于栅栏永远不可能无限度的高和密,总有数据可以从中泄露出去。基于低敏感数据来推敲,分析,组合出高敏信息的前提下,数据保护就是一个伪命题。因此,企业需要建立企业内部数据跟踪能力,从数据产生到数据销毁,全生命周期的跟踪。数据跟踪提高企业对自有数据资产的管控能力,也可以帮助企业聚焦数据保护的重点。例如基于某应用系统产生的数据,对其进行数据传播,再生产,直到销毁的跟踪。同时,也结合对应用系统的生命周期跟踪,当应用下架后,数据管理员就会清楚的了解之前该应用系统产生的数据在哪里,是需要进行归档或销毁。而避免在应用下线后,导致数据孤立而被泄露。

当以上两者能力具备后,按照网络安全法或 GDPR,当用户认为你导致数据泄露而要求你进行数据删除时,你必须在 72 小时内作出响应动作来证明自己是清白的。你便可以立刻知道,关于他的数据散布在哪里,在什么时间什么地点被谁访问过,然后根据这些上下游分析异常,如果情况更理想,系统会直接根据自动的风险规则来查出异常,并突出显示。

3.3.3  数据价值定义能力

数据保护不可能无止境的投入或细化,因此,企业在数据保护和追踪过程中,肯定是优先对价值较大的数据优先进行保护。这里就涉及一个企业对自身数据价值定义的一个能力,企业对自己数据价值的定义和预判越准确,数据保护成果就越显著,工作也会越轻松。例如 2016 年某银行在进行营业网点搬家的过程中,将大量的贷款用户资料当作废品进行便买和处理。反映了该公司在数据价值定义和判断存在严重误差。这种情形下,多好的数据保护技术和多大的资金投入都无济于事。根据 GDPR,你还要能够服从客户的意愿,假设客户要求你立刻删除所有与他相关的信息。这就需要强制性的响应措施,从不同节点修改/删除数据。

四.  总结

文章主要偏重与数据保护方面的一些思路介绍,较少涉及到具体的数据保护技术和产品。近年来,业界也在不断探索一些新的方法来解决问题特定情形下的数据保护问题,在 forrester 的报告中,描述了这些年在数据安全上的各种防范的探索,感兴趣的读者可以选取其中的技术进行重点了解。

注:图中横轴表示各技术的成长性,纵轴表示该技术的价值。

红色这条线看起来是比较失败的,既没有技术价值,也没有成长性也不强,表示已经被淘汰的技术,主要有企业权限管理。

灰色这条线上,有区块链、安全通信、应用层加密、密钥管理、数据分类、各种文件磁盘加密,再到 DLP。

蓝色都是眼下炙手可热的技术,包括数据分类和 flow mapping,数据隐私管理、数据主体权利管理、数据访问治理、大数据加密、令牌化技术、云数据保护。这一阶段的很多解决方案还在摸索实践中,相对于前面两条线,蓝色线技术更顺应大数据、云时代的潮流。

作者简介:张海仓,绿盟科技金融事业部安全顾问,CISSP 人称「仓」老师

边调设备边咨询、边搞培训边规划、能说会道却从不忽悠

钻研 27000,也看 NIST,偶尔学学 SDe(软件定义 everthing) 

懂漏洞,知修复,可应急,至今没挖过一个洞

苟全性命于「乱世」,不求闻达于江湖

仓老师是绿盟的,我的作品是世界的

欢迎分享,交流

*本文原创作者:haiczh,本文属FreeBuf原创奖励计划,未经许可禁止转载

发表评论

已有 2 条评论

取消
Loading...
css.php