查看原文
其他

从生产安全体系视角看数据安全(DPO社群成员观点)

The following article comes from 全知科技 Author 方兴 全知科技CEO

编者按:


DPO社群最大的特色就是法律、合规、技术等不同专才的人齐聚。此次,DPO社群首席技术专家方兴第二次给我们从技术角度带来了对数据安全保护的深刻理解,非常值得大家仔细揣摩。方兴的个人简介见文末。


正文始:



引子:互联网的发展一日千里,安全技术随着互联网的发展,出现的新场景、新技术、新名称都越来越多;从GDPR到AI安全,从物联网安全到大数据安全;但对网络安全整个体系的阐述,基本还是沿用着最早的信息安全的理念,如CIA三要素来描述我们在网络空间的安全体系;但对于很多新型的网络安全问题,信息安全体系已有局限,我们如何来去思考未来的网络空间的体系呢?同时,这些新的变化带来挑战的同时也带来新的机会,作为安全从业人员,我们如何能看到未来安全的终局,洞悉这个快速变化的时代的方向?


一、由信息安全到网络安全再到网络空间安全



现代意义的网络安全,从19世纪开始,利用电子技术来传输信息的技术就逐步产生,随之用在了军事和国家事务等领域。由之带来了最早的电子通讯的信息安全问题,在这个阶段,是围绕传统的信息存储和传输时的机密性问题,核心技术是加密技术。



20世纪四十年代,计算机出世,第一代计算机以计算为核心,第二代计算机是以事务处理为核心,第三代计算机是以信息处理(文字、图片)为核心,第四代计算机以各种场景的信息交互为核心。传统信息安全由以前电子信息传输时代的信息安全的机密性要求,结合计算、事务、信息处理和信息交互的需求,扩展为机密性、完整性、可用性(CIA)3要素、以及后来的抗抵赖性、真实性、可靠性、可控性等要素。目前我们传统计算机网络安全都是基于这个模型体系来构建的。这些安全要素的核心是把计算机网络系统看做一种资产,强调如何保护而资产所有者对计算机网络系统拥有信息与计算机网络系统的所有权与控制权。本质而言,是围绕着资产形成相应的保护边界,防御外部对信息和计算机&网络进行未经授权的访问、控制和使用。如下图就是一种经典的网络安全边界保护体系:物理安全,网络和传输安全、主机系统安全、应用安全、主机和应用使用&存储的信息载体的安全。


 

从21世纪开始,我们进入到网络空间时代。由于互联网的渗透,网络作为信息沟通基础设施,把越来越多的人、越来越多的物链接在一起,很多个人的生活也开始依赖互联网,而组织/企业、国家也越来越多的利用互联网来开展组织与国家的行为。这个时候,产生的各种新型的网络安全问题,已经很难用信息安全的体系(即使是向IT设施扩展后的信息安全的内涵)来解决,比如利用舆论诱导、网络暴力、黄牛刷单、薅羊毛,利用数据分析影响选民政治投票等等。


这些新的网络安全是什么?为什么我们用传统的信息安全体系应对这些问题时无能为力呢?无论信息安全,还是扩展到IT设施的网络安全,都是在强调信息或者信息相关的计算机网络系统作为一个有价值的事物,作为合法所有者对其的所有权与控制权,本质而言是一种资产/财产安全。然后网络空间把人类和人类组织活动映射上来之后,这些新的安全问题,其实还是人类和人类组织在实体世界就已经存在的安全问题,很多安全问题并不一定是一种资产安全视角。我们需要从更本质的角度去理解人类和人类组织在物理世界的安全,才能理解在网络空间的新形势的安全,以及思考未来网络空间安全的演化路径。

     


二、用不变思考变化/从过去思考未来



世界上的一切发展与变化,都可以用一些更基础的不变的东西去理解和思考。变化的往往是新的场景、新的技术,但不变的是人性、以及围绕着人性形成的认知体系和商业价值;掌握了不变的东西,我们在面对变化的不确定未来时,可以掌握变化之中不变的脉路。


安全是指人或事物没有受到威胁、没有危险、危害、损失的发生的状态。但我们首先需要理解所有的安全问题都和某个主体的利益有关,一亿光年外的超新星爆发把他周围的物质都炸没了我们也不会认为是一个安全问题。也就是说只有危险、危害、损失影响到某个人或人组成的组织、种族、国家的主体利益时,才成为一个特定的安全问题。


因此我们可以站在不同的维度的主体利益维度去看个体安全、组织安全、国家或种族的安全、人类共同体安全。


2.1 个体安全


个体的安全核心包含3层,第一层是个人的人身安全,包括生命、身体、健康、人身自由并由此拓展的相关影响人身安全的生活环境的安全。第二层则是个人拥有的财产安全,第三层则是个人作为社群物种的社会心理安全,包括隐私、受尊重等。


2.2 组织安全


一个组织是围绕特定价值主张实现自身价值的。组织的安全也包括3层,第一层是组织的财务安全/组织存续安全,任何组织的正常运转都以资金为基础,财务状况则决定了组织的生死。第二层则是组织的价值实现安全,组织需要通过一系列的活动,来实现自身价值的。需要保障组织自身价值实现的过程。第三层则是组织的社会安全,组织是一个社会性团体,能否存在和正常运转,并获得社会认同,需要具备一定的社会安全基础。


2.3 国家或种族安全


国家代表了一个更加整体的利益,包含了领土和主权的安全、对外利益(如国家贸易、国家投资)的安全、对内的社会秩序(社会、经济、金融)的安全,以及国家发展空间(资源、科技)的安全。


2.4 人类共同体安全


这一块很少提及,但随生物技术、AI技术的发展,人类作为一些共同体,会形成一些安全共识。

 

我们从人类在实体世界的安全需求视角去看,安全的种类很多。当我们把信息和计算机网络系统作为一种财产时,信息安全或网络安全这种财产视角的安全体系是匹配的,但当人和组织在网络空间活动,会把其他层次的安全问题也带到这个网络空间,就可能超出资产这种维度的。

     


三、由组织的安全需求维度去思考企业安全体系



回归到具体的企业安全的思考。企业是组织最常见的形态之一,因此企业的安全也包括三个层次:


3.1 企业财务安全,这个略去不谈。


3.2 企业价值实现安全


企业的核心目标是围绕合法为第三方提供产品或服务来实现自身价值,并获取利润。企业实现自己的价值的核心过程可以用企业价值链来表达:



 围绕企业的价值链,我们可以理解更细化的四类企业价值实现的安全:


3.2.1 资产安全


企业的目标是通过对第三方提供有价值的服务或产品来获得合法的利润。这个过程当中,企业需要有资金运营,把资金转化成企业资产、生产资料、设备,又转化为产品或服务。对有有价值的实体资金、资产、生产资料、设备,产品,他们都可能遭受危害或损失:


  • 可能因内部外部的恶意行为带来的损失。

  • 可能因内部管理不善带来的损坏。


一般从安全角度,我们更关注第一种情形,这种情形下,我们可以看到威胁来源与内外部的恶意人员,希望通过非法的行为,达到对企业的资金、资产、设备、生产资料非法侵占(所有权),或非法利用其牟利(非法使用权)或破坏的目的,从安全的视角,则会根据资产的价值维度,设计访问资产的信任体系,检查和识别非法对资产的受控使用和操作,来达到保全资产安全的目的。

 

3.2.2 业务安全


     企业实现自己价值的过程中,不免要与客户或合作伙伴进行各类业务行为,这里面可能存在着安全风险,主要包括:

  • 恶意客户或合作伙伴可能采用欺诈的方式给企业带来损失。

  • 部分客户通过不公平的方式获得更大利益给企业其他客户带来不公平导致企业遭受危害。

  • 恶意人员通过业务行为中获得的信息,伪冒企业或企业产品相关人员身份欺诈第三方给企业带来危害。

  • 在高风险环境里发生业务行为,给企业、客户或合作伙伴带来的危害。

 

3.2.3 生产安全


企业需要通过提供自己的产品和服务能呈现自己的价值。在生产和提供服务的过程中,可能面临很多生产安全风险,主要包括:


  • 需要在一个危险的环境下作业,危险环境可能给企业的资产、企业的员工、周边环境相关的第三方带来危害或损失。

  •  需要使用具备一定危险度生产设备和生产资料来作业,由于对生产设备安全属性的质量问题,或者对生产设备和生产资料的管理或操作不善,可能给企业的资产、企业的员工、相关的第三方带来危害或损失。

  • 需要多道工序加工,对产出有安全属性(有毒、易爆、非绝缘等)的产品质量管控存在缺陷,导致输出的产品给企业的客户、企业的合作伙伴、相关的第三方带来危害或损失。

 

3.2.4 生态安全


在现代化生产过程中,很难靠一个企业独立完成从最初的原料直到产品再到交付给客户的所有价值链过程。需要有合作伙伴一起来进行分工协作。这里面可能存在着安全风险,主要包括:


  • 合作伙伴交付的用于生产用途的产品、设备、原料可能存在有安全属性(有毒、易爆、非绝缘等)的质量问题,最后传导为生产安全问题。

  •  合作伙伴交付的用于企业的产品、设备或服务,可能本身就有可被恶意人员利用的安全问题,最后传导为资产安全问题。

  • 合作伙伴通过为企业提供服务,可以获得企业运营相关的数据、信息、知识和情报。合作伙伴可能将这些数据和信息交付给其他未被企业许可的第三方如竞争对手,可能会给企业带来危险。(企业竞争情报里,有企业通过成立一家供应链公司给竞争对手以低一点的价供货方式去获得竞争对手经营和重大订单的情报信息的案例)

 

3.2.5 总结


资产安全:核心关注被保护用户拥有所有权或保管责任的财物自身价值的被危害和被损失的情况。


业务安全:核心关注在业务过程中带来的对业务的危害和损失。


生产安全:核心关注在企业生产过程中,由于对生产环境、生产资料和设备、生产工艺环节的问题,可能给企业、员工、外部第三方带来的危害和损失。


生态安全:核心关注企业的上下游供应链和合作伙伴,由于供应链和合作伙伴交付的产品与服务传导导致的生产安全问题,以及供应链和合作伙伴获取在合作中获取的信息和数据的安全。



总结如下:


威胁来源

威胁行为

受威胁对象

资产安全

内外部恶意人员

窃取和入侵行为

企业财物

业务安全

恶意客户

业务环境相关的外部恶意人员

欺诈行为

 

企业业务

生产安全

内部人员和外包人员

操作失误

缺乏保护环境

缺乏质控环节

企业财物

企业员工

企业业务

其他第三方

生态安全

合作伙伴

交付产品和服务缺陷

将获取的企业信息给第三方

企业财物

企业员工

企业业务

其他第三方

 

以上几者的视角是有很大区别的:


资产安全的核心是以保护资产的当前价值为最优,为了保护资产价值,可以一定程度上牺牲其他关联者的利益,如易使用性,可能给其他第三方带来的危害等等。所以以资产安全视角发展起来的安全体系,一般都是以限制资产流动性的保险柜模式为主,通过边界控制和减少危险访问来保护资产。


业务安全的核心是以保护业务价值最大化为最优,所以识别恶意用户概率的同时需要保证真实客户的体验与公平。所以以业务安全视角发展起来的安全体系,一般以业务相关因素(业务对象、设备、行为)的风险/可信识别和控制模式为主,以不降低合法交易/业务的同时降低不可信或欺诈交易/业务来控制风险。


生产安全的核心是以保护企业投资实现未来潜在价值的过程为最优,确保生产效率的同时,减少在生产过程可能对其他资产和第三方的损失。所以以生产安全视角发展起来的安全体系,一般以生产过程中的相关因素(生产资料、设备、生产人员、产品)的行为规范控制、高危物质识别和监控、全流程溯源为主的管理和监控体系为主,保证生产效率的同时,降低对外部的损失的概率,并能在发生安全事故后快速定位和处置。



四、企业安全在网络空间中的安全需求映射



          如何用物理生活中的安全体系来思考企业在网络空间中的安全需求呢?抛开企业财务安全这个点,我个人认为针对一个企业的网络空间安全可以按照如下的架构来设计:

 

4.1  计算机和网络基础安全


无论虚拟的网络空间人类行为如何复杂,支撑他们的物理基础还是计算机网络体系,这个体系可以给之上的资产、业务、生产、生态、社会都带来影响。因此这是一切的基础,这个基础核心是抛开其他层的视角,单纯以计算机和网络实现的各种基础安全能力(如协议安全、链路安全、身份认证)和底层基础系统的安全漏洞为核心。

 

4.2  网络空间下的企业资产安全


网络空间下,最重要的资产有企业业务经营的各类信息和相应的各类信息应用的业务系统、信息背后所代表的企业或企业客户实际和虚拟的资产或享有对等利益的权益(如账户余额、房屋产权、学分)。同时保障企业的业务信息系统的安全以更加外延的保护信息,以及企业对信息系统的使用和控制能力,以便为企业的生产和企业的客户提供服务。

  •  信息安全关注信息不被非法的窃取,篡改,能有效的提供给合法业务和人员使用,并能证实其真实性和抗抵赖性。

  •  信息系统安全围绕信息安全,关注对信息系统的可用性、可靠性、可控性。以保障信息系统可以按照企业的意图正确高效率无后顾之忧的为企业价值链实现提供服务。


4.3  网络空间下的企业业务安全


企业未来会越来越依赖互联网,将自己业务(为第三方提供产品和服务以及相关的商业过程)在线化,这将面临越来越多的网络空间下的业务安全问题。

  •  在线业务风控:关注使用产品和服务的客户或商务过程的客户的行为和属性,分析其身份的真实性、行为的目的,判断其业务行为是符合企业商业预期,且不会利用非公平性手段获得利益,或利用获取的信息欺诈第三方。

  •  IT交易环境安全,关注基于在线化的交易场景中,保证自己和与自己合法交易的对手在安全可靠的环境中,或能够识别不安全的环境与来自环境的恶意欺骗的信息或行为。如搜索引擎给官方网站打标。

  • 大数据业务风险分析:即使业务行为在线下展开,如果有较多的线上数据,也可以针对具体的业务行为对象进行业务风险分析,不过这个容易牵涉隐私保护问题。

  • 信息欺诈保护:对于潜在容易被欺诈欺骗的客户和场景,需要做好相关的提醒,以及对相关的业务信息做好保护,同时和国家相关部门配合,打击相关的团伙。

 

4.4  网络空间下的企业生产安全


几种场景已经开始让生产安全进入到网络空间的视野:传统企业的生产过程逐步IT化,IT系统之间的生产流程化(SOA),数据作为新能源的业务化。


  • 传统生产的生产过程IT化:典型的如工控安全,站在攻防视角是资产安全,站在安全生产管理则是生产安全视角,关注操作的。

  •  IT系统之间的生产流程化(SOA):上下游系统成为一种产出依赖,如数据服务、技术能力输出服务、管理节点,每个节点的问题,都会带来生产安全问题。

  • 云计算、云SAAS服务,让我们越来越多的需要把在线的业务系统和数据放在第三方的不可控的环境中运营,一方面是一个生态安全管理问题,但更多时候公司的不对等性让企业没有更好的选择,就演变成一个需要在高危环境中保护企业生产安全的问题。不止是资产安全视角的数据加密问题,而且要保证在非安全环境上可以继续安全的生产和运营。

  • 数据作为新能源,围绕数据本身就包含了很多生产的过程。比较大的需求场景有:


 ☉数据包含了敏感性要素,可能包括人的标识信息、国家安全的信息,因此,数据在价值挖掘使用和发布的场景中可能会给个人、第三方和国家带来危害和损失,因此对隐私和重要数据的处理、使用、操作、发布、交换等生产流通环节都有安全与合规的要求。

 ☉数据需要多方的多维度融合才能创造价值,但往往每方都有自己数据的产权保护、个人数据和重要数据的合规责任,因此需要能发现更安全的多方数据融合的环境下,即能产出数据 的价值,也降低数据泄露给其他方带来的安全风险。

 ☉数据本身作为一个业务的产出,成为各个系统之间(多个工艺环节)的加工链条,数据本身的质量问题和合规风险,会传递给下一个环节,可能触发后续环节的数据质量损失事件或隐私侵犯事件、国家信息安全泄露事件。因此需要对数据生产的每个环节的产出进行相应安全控制。


4.5  网络空间下的企业生态安全


 最早谈的供应链安全,是企业生态安全的一部分,但是往往忽视了在网络空间下,合作伙伴还有更大的一重风险,是信息和数据在生态的流动安全。


  • 供应链安全:合作伙伴交付的IT产品,提供的IT服务如数据服务、IT能力服务、SDK、IT产品,可能存在较大的安全问题(如后门)、对安全问题响应的能力问题。


  • 信息和数据在生态的流动安全:一方面,传统的供应链本身就能获得很多企业的信息,业务的在线化加深了企业向供应链服务厂商提供的商业信息和数据问题,比如做APP加固服务的可以拿到很多企业的用户信息。比如某大厂提供过一个电话号码小号识别服务(很多业务的黑灰产会购买专门用于黑灰产的电话号码来作案避免溯源时溯源到真实身份,网络上会有人专门收集购买和收集一些号码来提供小号服务),一些厂商的业务风控缺乏大厂这样的能力,会使用大厂的服务,来鉴别自己业务中的客户的电话号码是否小号来做业务风控,但这样,大厂就能清楚知道这些小厂的新增客户情况包括具体的客户,如果大厂把这些数据卖给竟对或者广告公司,就带来了生态安全问题。另一方面,业务协作生态在线化:比如淘宝下单,物流派送,让企业之间的数据必须打通。使得企业和供应链厂商之间,存在大量的信息和数据流动,这些都带来了安全和合规的挑战。但目前认识到这些问题的企业并不太多(国外我听说过一些大银行的供应链安全核心是梳理数据流向问题)

 

4.6网络空间下的企业社会安全


     对于互联网社交和平台属性的企业,客户产生的内容,客户在平台上的行为,可能都会带来社会安全问题,同时一些传统行业的企业业务在线化后,如果提供了客户内容生产或交易平台,也会带来这些社会安全问题,当然企业品牌在网络空间上的传播,也是一个社会安全问题。


  • 内容安全:客户提交的可以呈现给大众的信息内容,需要保证符合相关的法律法规。

  • 平台安全:客户在平台上的行为,如售卖假货、毒品,发起赌博,需要对这些行为进行管理和控制。

  • 企业品牌网络空间传播安全:恶意的竟对,恶意的人员,可能利用网络空间发起恶意的舆论攻击,比如某些做空公司,通过舆论影响企业声誉达到做空牟利。

 


五、用生产安全的视角来思考数据安全



 以上认知,我们可以用生产安全的体系映射到数据安全的技术路线来印证一下。我们可以知道生产安全的3大类别,除了外部生产环境安全外,都可以归纳出一些体系框架,如下:


5.1 针对危险设备和危险生产资料的安全体系


针对危险设备和危险生产资料的安全体系,我们

1)首先需要建立一个安全的生产环境,减少高危环境引发的意外事件。

2)对危险的生产资料分类存储,避免高危物质发生风险,对高危生产设备日常也需要进行管理。

3)在高危生产资料运输和使用过程中,我们会研发一些降解其危险性的技术,如惰性添加剂,减少危险发生的概率。

4)在高危作业操作时,我们需要严格按照安全操作的流程进行控制。

5)对高危作业操作行为做到实时监控。

6)提供感知技术,及时发现高危物质的泄露、感知危险环境。

7)对高危生产资料的去向进行追踪和控制。

 

5.2 针对安全属性质量保障生产的安全体系


针对安全属性质量保障生产的安全体系,我们

1)首先需要建立一个安全的生产环境,减少高危环境可能影响对安全属性质量的保障。

2)对影响安全属性质量的保障的生产资料的物质进行分类(如食品安全可能是某原料的坤含量过高,高压锅易爆可能是钢铁中某杂质过高)

3)针对这些影响安全属性的杂质,我们会研发一些提取或降解高危物质的技术。

4)在作业操作时,我们需要严格按照保证质量的操作流程进行控制。

5)对产出的阶段性产品,对留存的高危物质进行检测,同时进行安全属性的破坏性质量实验。

6)对操作的过程进行记录和追踪,确保操作行为路径可溯源提供感知技术。

7)对产品对外流通后的路径可追踪溯源。

 

5.3 作为生产安全视角的数据安全


 

我们把这些生产安全体系进行归总,可以看到数据安全涌现出来的很多新的方向和技术,正好映射在这些生产安全体系内。其实内在说明,从生产安全维度去看待数据安全的必要性,也可能可以指引我们去思考和创新的维度。


数据安全生产环境:


  • 大数据分析平台安全:当数据汇集在一起分析加工时,需要一个更加可控的安全环境,来控制人为故意的或非人为故意的安全风险。原生的如HADOOP大数据分析平台这块很少有相应的安全保护体系,一些大数据平台厂商如阿里云的ODPS,增加了一些安全特性。数据的分析需要一个更安全的环境。


  • 密文检索/同态加密:业务系统和数据越来越多存储于第三方云平台,如果只是存储还可以用加密存储,但是如果还需要在第三方平台使用和运算,该怎么办呢?通过密文检索/同态加密,在保证数据秘密性的同时还具备业务可用性。不过目前性能和支持的运算种类还需要进一步工程化改进。

  • 多方计算:同态计算的变种;场景是如果两方都有有价值的数据,需要进行共同计算,但是互相都不希望对方拿到自己的数据,通过密文态的数据运算来实现,这里产生了很多中变形:单方计算:A有数据,B有需求,B的模型在A的数据环境里跑,这种情况A的数据无需加密,主要审计模型和模型携带出的结果信息。但工程上,多方计算并不成熟,实践中多用引入第三方信任的SGX模式替代:A和B的数据分别加密,然后加载进可信任的服务商C的具备SGX的内存设备中再解密运算,运算出结果后销毁解密数据。

  • 隐私交集:隐私交集主要针对查询类业务,A有数据,B有查询需求,如保险公司希望在医疗数据中查找客户是否已有心脏病就诊记录。保险公司不希望自己有那些客户都被医疗数据的拥有者知道,医疗数据的拥有者也不希望被保险公司去查询到更多的用户隐私记录如具体就诊的日期医院等等。因此利用加密和集合运算,保险公司提交一批查询名单和希望查询的命中字段集合,医疗数据的拥有者控制能被查询的数据集合,通过集合运算给出交集命中部分,以此双向的保护保险公司和医疗数据的拥有者的数据。

  • 边缘计算:由于采集会隐私数据到数据中心进行分析可能带来的隐私风险,业界正在尝试新的体系,将模型分解到客户终端的设备进行运算返回运算结果,这样减少将客户的隐私数据采集回数据中心的数据安全风险。


高敏数据生产资料存储和使用管理:


  • 数据分类&分级:网安法都有明确的数据分级分类的要求,不过数据的种类如此之多,每个行业每个企业的差异性也很大。数据本身的分类还面临很多的挑战,但从生产安全角度去看,却是必须的一步。


  • 数据自动化识别:有了数据的分类分级,还需要有自动化智能的数据识别能力。比如语义性和数字型的数据类别识别,从算法上还有很多难点。

  • 数据存储安全:按照数据的类别和敏感程度,存储时需要考虑,一个是禁止中心化存储的数据或者必须要加一定措施才能中心化存储的数据,比如生物识别数据。一个是从敏感数据本身角度,应该分离不在一张表中的数据,是身份识别数据与具体的业务行为数据。当然一些敏感数据最好能加密或脱敏后存储。另外还有隐私数据授权到期后的销毁。


数据作业管理:


  • 隐私采集授权:采集个人数据时,必须获得被采集人的授权,才能采集。

  • 数据用途合规:数据采集后,使用和处理的用途,必须符合授权约定。一个方案是将数据做好授权分析之后,根据企业数据业务的用途,从合法数据集中清洗出符合授权要求的数据,再用于业务。

  • 细粒度权限管控数据分析的兴起,带来了内部大量的数据使用和处理人员,对这些人能接触的数据类型、脱敏级别、许可的数据加工和运算类型(比如是否允许统计、关联),都需要进行控制。

  • 数据发布、交换共享和出境合规:个人数据和重要数据的发布、交换共享和出境可能影响个人隐私安全和国家安全,需要按照国家相关要求要求进行作业。

  • 数据使用、处理、运维安全和合规:数据在处理和运维中可能会遭受相关的泄露风险,需要进行控制。

  • 数据主体权利保护:按照GDPR(其实国内个人信息安全规范也有部分),需要对个体提供很多数据主体权利保护,如知情权、控制权、更正权,需要企业通过设置特定的技术体系加以实现和保护。这样就赋予了在数据使用、处理、交换等环节的用户的控制能力,导致需要对应的生产流程去响应用户的权利主张。(比如数据在做某用途的融合时,用户提出异议,需要能快速把这个异议用户的数据从整个数据作业中抽取出来)。


高敏数据的全程监控与审计:


  • 高敏数据处理活动记录:按照GDPR和个人信息安全规范,涉及到个人数据的,需要记录下数据处理活动以用于合规审计,其实还有没有出来的重要数据的要求,也是一样。

  • 高敏数据交换共享出境全程留痕和审计:涉及到隐私和重要数据的交换共享出境,也是需要全程留痕和审计。


高敏数据降解技术:


  • 脱敏:遮掩、去标识等脱敏技术。

  • 差分隐私:从数据采集时,如何通过数据的失真扰动,使得采集的数据具备统计性,但无法定位到具体的个人。

  • K匿名:数据发布、数据使用、数据共享交换时,避免攻击者利用链接攻击(即使做了标识数据的去标识脱敏,但攻击者可以通过多个可链接的属性关联回来,比如身高、性别、区域、年龄组合在一起关联),需要对这些可链接的属性进行相关的模糊化,以减少被链接攻击的可能。

  • 数据域:如果数据所有者,需要把数据分拆给多个不可信的第三方(最典型的是数据分析外包,为了降低风险可以找几个外包团队分拆数据和工作)作业,同时为了防止这几个第三方勾结,把各自的数据拼接回完整的数据集,需要组合数据的脱敏以及防链接攻击的算法。


高危物质或环境感知监测:


  • 未脱敏数据和脱敏强度不够感知:在高危数据作业操作中如发布、交换、出境时,能感知可能不合规的高敏数据。

  • 敏感数据透出面风险感知:感知高敏数据的透出面(如可匿名拉取敏感数据的接口),对其进行监控。

  • 隐私数据用途违规操作或融合感知:自动化识别复杂的数据处理过程中是否存在数据用途违规。

  • 高敏数据泄露感知:敏感数据如果泄露到不应该有的环境中,如何快速感知到。


操作和流通可溯源性:


  • 数据血缘追踪:数据在数据存储环节(数据库、文件)的传递路径追踪。一般用于控制数据质量风险。

  • 数据操作路径溯源:数据在使用环节(如数据库到中间件、中间件到服务接口A,服务接口A再到应用B)的路径链路。一般用于控制和数据服务相关的数据质量风险。

  • 高敏数据去向溯源:高敏数据最后的去向,一般用于数据滥用、数据泄露事件溯源。

  • 数据外发溯源:数据通过非在线系统的外发流转出去,数据泄露后可以追查外发途径。一般用于数据泄露事件溯源。

  • 数据水印的研究,有别于文件水印,打在数据本体上,可以避免拷贝数据出文件的水印失效,但打在数据本体上的水印,可能会影响数据本身的使用,因此主要是研究如何不影响数据本身使用且对抗性强的水印。也可以用在很多路径追溯场景。


产品安全质量检测:


  • 产品发布时高敏数据透出脱敏质量检测

  • 数据接口质量检测

  • 数据抽取质量检测

     

5.4 总结


可以看到,很多新的数据安全技术方向面对的实际场景问题,其实是生产安全视角的问题。但整体而言,我们还缺乏颠覆性创新的技术,来解决这些问题。一个当然是对数据本身的相关技术研究很不成熟,计算机和数据科学都还很年轻,每个传统行业的生产安全体系也是经过多年研究才逐步成熟。另一个就是我们大多数的从业者,没有认知到数据安全的核心是需要一个生产安全的视角,从更加整体的视角去思考数据安全的体系。

     


六、关于全知科技



全知科技(杭州)有限责任公司,是在数据安全领域引领理念和技术变革性创新的初创公司,让数据在流通中作为生产资料创造应有价值的同时控制好数据带来的风险,需要从全新的视角去理解企业对数据安全的业务需求。我们通过提供在数据生产过程中的数据安全管理和保护、数据风险感知和溯源、数据合规等产品,帮助我们客户在数字化转型的浪潮中,一起保护数据的价值。


作者简介:



方兴,网络ID FLASHSKY。知名网络安全专家,历任启明星辰ADLAB副经理、EEYE高级研究员、微软全球特聘安全专家、翰海源CEO、阿里巴巴资深安全专家,现为网络安全初创公司全知科技的CEO。2003年世界首发MS03-026漏洞(冲击波使用漏洞)细节,引发全球安全体系变革,2004年世界第一个发布WINDOWS内核溢出远程利用技术,最早的漏洞自动化挖掘研究者,第一个BLUEHAT中国演讲者,被《WINDOWS利用技术的过去现在和将来》列为影响了WINDOWS安全技术发展进程里的唯一中国人。连续创业者,2010年和王伟联合创立翰海源,2015年翰海源被阿里巴巴全资收购。方兴创建的全知科技专注于以数据为中心的风险管理体系建立和相应的产品技术研发。


此前方兴在本公号发表的专论见

  1. 构建数据时代的数据安全体系

  2. 我看到的数据安全(DPO社群成员观点)




关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制 

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)




    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存