第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南
The following article comes from 隐私护卫队 Author 李玲 尤一炜
4月28日,第十一期的数据保护官(DPO)沙龙迎来技术专场。本期沙龙在中国信息通信研究院举行,主题聚焦“网络与数据安全防护”。
从信息安全的基本概念及理论方法,到网络防护的技术措施和方案,三位主讲嘉宾中国信息通信研究院的专家陈湉、赵相楠和全知科技CEO方兴为沙龙成员们作了详细的介绍。
专家指出,当下数据已成为重要的生产资料,数据因流通而产生价值。企业在进行数据安全风险评估时,应重点考虑数据资产和数据应用场景的问题,通过可接受的成本达到安全的最大化。
数据应用场景是识别安全风险的主线
“攻城狮”眼中,信息安全是什么样的?
“在技术人员看来,没有绝对安全的系统,所有的防护措施都可以被攻破,只是时间成本问题。”中国信息通信研究院安全研究所数据安全研究部副主任陈湉说。
在承认这样的前提下,对组织进行信息安全风险评估则显得尤为重要。陈湉表示,“风险评估的目的是帮助组织发现系统的弱点,所面临的威胁,以及判断到底要采取什么样的安全措施,”
大数据时代,数据即资产。传统的信息安全理论应用于数据安全领域,又表现出哪些不同?
陈湉认为,传统的信息安全风险评估,更多关注的是系统资产的安全,数据安全风险评估更多关注数据资产本身的安全性,呈现出围绕数据资产、强调数据应用场景的特点。
具体而言,数据资产识别是一个“摸清家底”、对数据进行分级分类管理的过程,目的是为了知道组织有哪些数据类型、数据量是多少、数据所在的位置、数据由谁负责管理等。
需要注意的是,数据因流通而创造价值,这意味着数据资产在不断变化,数据在不同信息系统流转过程中,每个应用场景背后数据所处环境会发生变化,潜在的安全和合规风险也在变化。
陈湉指出,数据应用场景是识别数据安全风险的主线。数据的应用场景与数据生命周期息息相关,不仅包括数据收集、传输等过程,还包括数据调取,加工分析、外发等处理活动。
“风险评估的最终目的,是用最为可接受的成本来达到安全的最大化。”陈湉说。
数据已成生产资料,绝对安全将影响效率
“在绝对安全的环境下,数据将不能被有效使用,此时也无生产效率而言。” 作为网络安全领域的资深从业者,方兴对数据安全有着自己的深刻理解。
在他看来,传统信息安全是站在资产的维度考虑安全问题,因为人们认为计算机系统中最有价值的部分是存储知识、情报的系统,但现在随着人工智能和大数据的发展,数据已然成为基本的生产资料。
方兴说,一旦数据投入生产过程,企业面临的安全风险可能完全不一样。除了从资产角度考虑安全,企业还应从生产、业务、生态等视角顾及安全问题。
他进一步解释,在生产视角下,企业需要考虑资产安全、生产效率、社会影响三个维度,它们之间存在冲突,如果一个维度达到极致,另外两方可能出现问题。
“生产角度是效率和可控之间的平衡,在保证效率的情况下,企业所制定的最佳安全策略应该是,当出现问题时,能够溯源分析,然后调整、改进、迭代,最后不断演进成最佳的安全体系。”
方兴把数据在各个组织交换传递分为两类,一是逻辑层的数据流动,二是物理层的数据流动。
在他看来,逻辑层的数据流动强调,数据在不同责任主体间或用于不同目的上的流动,比如以数据采集为目的的活动,采集方和被采集方是不同的数据主体。
物理层的数据流动则强调数据的存储方式、访问数据的技术手段等更多偏向技术层面的风险,比如数据访问权限的设置、系统是否存在漏洞等。
“基于数据安全的风险评估,更多的是物理层上的技术评估,但逻辑层会提出策略要求。”方兴表示,在弄清楚哪些应用场景及责任主体之后,就需要考虑合规问题,采取涉敏系统分级等措施。
他还表示,在这样场景中进行风险评估时,首先可以寻找所有的敏感数据暴露面,对此进行脆弱性分析;同时针对数据流向,为每个系统制定不同的访问权限,监测数据是否被异常主体访问,是否存在大量数据流向一个账号等等。此外,还需考察合规和管理的遵从性,确保制定的策略和规定是否落实。
企业数据安全关乎用户隐私
某基础电信企业的个人用户位置信息被窃取,且长期未被发现;某企业的二次短信验证机制存在逻辑绕过的情况,致使用户的敏感通话详单可被浏览;某互联网公司客服查询乘客订单信息的验证机制存在问题,导致相关人员可绕过认证批量任意查询客户的订单信息……
在当天的数据保护官沙龙上,结合具体测评案例,中国信息通信研究院西部分院安全业务部主任赵相楠提到了数据安全与用户个人信息保护的关系。
据赵相楠介绍,在为企业做风险评估时,一般围绕平台安全、主机安全、应用安全、日志安全和接口安全等方面,而实施的方式则包括人员访谈、资料查阅、系统调取和测试评估等。
他表示,人员访谈、资料查阅可生成系统的全景视图,了解业务的基本情况、网络安全防护情况等,实现对资产识别、数据应用场景的分析等。
在此基础上,赵相楠称,下一步则是进行系统调取、测试评估等主动性风险探测。比如,进入企业数据库和业务系统的后台,调取、查看运行结果、系统日志,或者采用人工或自动化测试工具进行技术测试,收集、查看输出的结果等。通过这样的方式,可检测人员访谈、资料调取获得信息的准确性,并且可对整个系统的安全防护能力,或数据安全防护手段的有效性进行验证。
据隐私护卫队了解,始办于去年6月的数据保护官沙龙,目前已举办了十一期。过去一年里,围绕国内外数据立法、网络爬虫、数据融合和隐私条款评审等热点话题,沙龙的学员们展开了研讨。
本期沙龙之所以开设数据安全的技术专场,据主办方介绍,这是为了帮助沙龙成员了解网络安全的基本概念和理论方法,从技术层面理解网络安全与数据安全的关系。
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点