诸子云 | 活动：10.15杭州网络安全专题研讨会

随着数字化、智能化不断发展，网络安全创新技术层出不穷，网络安全产业发展如火如荼，网络安全形势趋势日新月异，作为网络安全从业者，岂能置身事外？

以此为背景，10月15日诸子云杭州分会举办了“网络安全专题研讨会”，现场专家对网络安全工作当前所面临的各类问题和挑战，分别从数据分类分级、App隐私检测、物联网、公共数据、网络安全保险等角度进行了探索与解读。

本次研讨会由诸子云杭州分会主办，会长叶翔担任主持。活动有幸邀请浙江省北大信息技术高等研究院、税友软件、聚光科技、每日互动、安路（杭州）汽车科技有限公司、中广有线信息网络有限公司、阿里巴巴、杭州快迪、杭州银行、众安科技、网易安全、浙江移动信息系统集成有限公司、大成律所、浙商银行等企业的安全专家参与。

大成律所合伙人孙鹏程、网易安全安全中心负责人沈明星、浙江移动信息系统集成有限公司项目经理张曾油、浙江省北大信息技术高等研究院安全大数据分析工程师俞弘毅、众安科技网络安全专家叶翔，五位专家分别进行了分享。

企业在进行数据分类分级的时候，可以参考不同行业的国家标准。以车企为例，涉及营销的部分，可以参考互联网行业的标准；涉及金融的部分，可以参考金融行业的标准；涉及具体的车联网数据，则需要参考车辆网行业的标准。也就说，一家企业在进行数据分类分级的时候，需要针对不同的业务线，灵活地参考不同的国家标准。

下面将介绍政务、金融、互联网、健康医疗、基础电信、工业以及车联网等几个行业具有代表性的数据分类分级标准。

按照《中华人民共和国数据安全法》要求，根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，将数据从低到高分成一般数据、重要数据、核心数据共三个级别。因此《网络安全标准实践指南——网络数据分类分级指引》正式稿取消了把核心数据和重要数据定义为5级、4级数据。

《DB11/T 1918-2021 政务数据分级与安全保护规范》中最特殊的点在于对数据分级的粒度进行了区分。从数据分级的粒度上分，可以对数据项进行分级，也可以对数据项集合进行整

体分级，还可以既对数据项集合整体进行分级，又同时对其中的数据项进行分级。

《DB33/T 2351-2021 数字化改革公共数据分类分级指南》从数据的重要程度等对公共数据资源目录中的数据进行安全保护维度分类，包括核心数据、重要数据和一般数据，数据安全级别共有4级。

《JR/T 0171-2020 个人金融信息保护技术规范》根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害，将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。主要内容涉及管控措施，脱敏示例可以作为参考。

《JR/T 0197-2020 金融数据安全 数据安全分级指南》根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度，将数据安全级别从高到低划分为5个等级，其中第5级为重要数据。

《GB/T 39725-2020 信息安全技术 健康医疗数据安全指南》将健康医疗数据可以分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据等类别。根据数据重要程度和风险级别以及对个人健康医疗数据主体可能造成的损害以及影响的级别进行分级，例如数据划分为5级。

《YD/T 2782-2014 电信和互联网服务 用户个人信息保护分级指南》表示，按照用户个人信息保护分级方法确定服务的用户个人信息保护级别后，服务提供方应按照对应级别所规定的要求在收集和使用个人信息过程中提供相应的保护机制。由于服务内容发生变化而导致收集、存储、转移和使用过程中涉及的用户个人信息发生变化时，应对该服务重新分级。

《工业数据分类分级指南（试行）》将工业数据分为3个级别。工业企业工业数据分类维度包括但不限于研发数据域、生产数据域、运维数据域、管理数据域、外部数据域。平台企业工业数据分类维度包括但不限于平台运营数据域和企业管理数据域。

《YD/T 3746-2020 车联网信息服务 用户个人信息保护要求》表示，车联网信息服务用户个人信息细分为用户身份证明类信息、车联网信息服务用户数据和服务内容信息、用户服务相关信息三大类。

《YD/T 3751-2020 车联网信息服务 数据安全技术要求》明确表示，车联网信息服务相关的数据基于其属性或特征，按照数据主题进行分类，可以分为六大类：基础属性类数据、车辆工控类数据、环境感知类数据、车控类数据、应用服务类数据和用户个人信息。

由于近年来个人信息泄漏事件频发，监管政策收紧，监管力度明显提高，使得App隐私安全检测的力度日趋严格，其结果轻则通报批评，重则直接下架。对于企业来说，App隐私安全监测工作在内部落地时往往会面临一些困难和挑战。

首先是业务无头绪，不知道如何合规，也没有专业的合规人员。针对这一点，应当联合GR/法务/业务成立App隐私合规专项工作组，通过安全BP建立1V1业务线，并开展相关的培训宣贯。其次，App数量多、版本多，难以全覆盖。为此安全部门需要深入业务，需求合理精减，并引入自动化脚本检测+检测工具+人工，1v1整改，同时还要引入自查系统，指导业务自查开展自查。此外，监管尺度不一，业务与合规相悖，也会导致完全合规的难度很大。所以我们需要联合 GR，紧密保持与监管的沟通，同时还要平衡业务逻辑与合规要求。

为了更好地落地App隐私安全监测，网易安全尝试进行了工具建设。首先对法律法规进行梳理和研究，依据政策指引，基于权威个人信息保护政策文件，覆盖政策要求所有场景，且符合隐私合规规范。其次，工具囊括括9大方向，共计29个检测项，同时适用于Android、iOS平台覆盖隐私信息获取、传输、存储等各类场景的检测项。此外，通过自动化与人工结合的检测方式，可以对检测结论进一步校准。

工具主要有几个功能。第一个是移动设备及应用运行监控，可以监控设备的运行状态，包括实时信息获取、权限申请、流量捕获等，还可以对设备进行操控，支持截屏/录屏、文本扫描、进程查询、重置/清空信息等设备操控动作。

第二个是隐私安全合规的标注。支持部分检测项自动检测与标注，通过人工把检测项中发现的问题填到标注项中，并保留堆栈、截屏等证据，检测完成后自动输出报告。

最后是检测任务管理。可以查看近一年的检测历史任务记录，显示结果总结，能够很好地帮助我们规避责任；还可以按照日期、应用名称检索检测任务，并通过日历设置，在特定时间触发检测工作，提醒检测人员；最后可以查看检测详情并一键下载报告。

当然，有了检测工具只是第一步，如何将工具真正在企业内部落地才是最重要的。因此网易安全总结了“三位一体”检测落地的方法论，主要包括随机抽检、应用市场上线前检测、整改复检等。

首先，我们要厘清相关部门，夯实责任，比如成立虚拟组织-App个人隐私保护专项工作组，将GR、法务部、业务和安全联合到一起。其次，对于检测部分，我们一是要做好上线前隐私检测，对应用进行尽职隐私检测（应用市场应尽义务），提单进行检测；二是在移动应用被通报、提示存在风险并进行问题检查，整改后，进行二次复检，以期问题修复；最后是利用爬虫，随机从各类应用市场App进行抽样，并对应用进行检测，发现问题及时报送业务。

为了更好地开展App隐私安全监测，我认为还需要在几个方面进行提升。

首先要提升自动化效果，减少人工工作量，降本增效。可以深挖现有合规检测工具，减少人工介入；及时解读各类政策，及时更新合规工具的checklist；在单个App发现的问题时，快速同步和匹配其他App。

其次要合规线上化，线上工单化，举一反三。可以把ICP备案、等保、ISO、App隐私合规等项目线上化，重复利用历年沉淀数据数据，并明确各个部门的职责边界；另外还应当提升流转效率以及闭环率。

从国家层面来看，物联网产业具备战略性地位，是政府扶持的重点。因此近年来，受到国家政策的积极推动，物联网产业蓬勃发展。但IoT设备快速增长的同时，各类安全问题也随之而来，众多物联网设备被攻击成为巨大僵尸网络中的节点，物联网设备安全威胁日益加重，且重点集中在应用层安全风险、通信网络安全风险、物联网终端安全风险等几个层面。

伴随物联网攻防技术的发展，物联网安全防护手段应当由“被动防御”向“主动防护”转移，对物联网应用系统可能存在的安全漏洞以及新型攻击手段给予主动防护，在物联网供给链条中寻找最佳防御点，采取针对性的防御技术，构建有效的物联网安全防护体系。

上图是常见的物联网体系架构。物联网系统所遇到的安全问题按照应用模型主要分为平台应用层、网络层、感知层。感知层侧重于安全控制，包括节点认证、准入控制等；网络层关注网络通信安全，防嗅探及防中间人攻击；应用层重点进行信息业务处理，确保整体业务的可靠性和安全性。

物联网安全框架主要涉及物理安全、信息采集安全、传输安全、信息处理安全，每一层都存在一定的安全风险。因此，需要从整体进行规划，分层解决，并最终形成有效的验证机制，才能更好地解决物联网安全问题。

首先是处理层安全架构，主要包括高强度数据机密性和完整性服务，入侵检测和病毒检测，可靠的高智能处理手段、密钥管理机制以及认证机制和密钥管理方案；另外还有密文查询、数据挖掘、安全多方计算、云计算等。处理层的安全需求在于尽量减少高智能自动化处理系统带来的不确定性，检测和预防人工恶意，减少损失，降低由设备丢失造成的危害。

其次是应用层安全架构，主要包括有效的数据库访问控制和内容筛选机制，不同场景的隐私信息保护技术，安全的数据销毁技术，有效的数据取证技术，叛逆追踪和其他信息泄露追踪机制，安全的电子产品和软件的知识产权保护技术等。其需求在于以安全方式处理信息，保护用户隐私以及处理信息管理方面的非技术性问题。

最后是传输层安全架构，要建立数据机密性、完整性机制，根据需求建立数据流保密机制，建立DDos攻击检测和预防机制；移动网中AKA机制的基于IMSI的兼容性或一致性、跨域/网络认证；相应的密码技术以及建立广播、组播通信的机密性、认证性和完整性机制等。

物联网终端安全重点关注硬件安全、接入安全、操作系统安全、应用安全等几个方面。

硬件安全要通过实现物联网终端芯片的安全访问、可信赖的计算环境、加入安全模块的安全芯片以及加密单元的安全等，确保芯片内系统程序、终端参数、安全数据和用户数据不被篡改或非法获取。

接入安全要利用轻量级、易集成的安全应用插件进行终端异常分析和加密通信等，实现终端入侵防护，从而避免发生借助终端攻击网络关键节点等行为。同时需要轻量化的强认证机制，阻止非法节点接入。

操作系统安全主要在安全调用控制和操作系统的更新升级过程中，通过对系统资源调用的监控、保护、提醒，确保涉及安全的系统行为始终是可控的。另外，操作系统自身的升级也应是可控的。

应用安全关键在于保证终端对要安装的应用软件进行来源识别，对已安装的应用软件进行敏感行为控制，同时确保终端中的预置应用软件无恶意吸费行为，无未经授权的修改、删除、窃取用户数据等行为。

浙江省大数据局在今年发布了《公共数据安全体系评估规范》，从国标数据安全能力成熟度模型DSMM演化而来，主要分为制度规范、技术防护、运行管理三个部分。

《规范》在实际工作中存在几个问题：难以落地，需要大量人力，部门情况难以监管，评估材料难以归类。基于这些问题，我们尽力萧山地区进行了一些尝试和落地，分别通过在系统中落实萧山细则和建议，半自动化赋分，部门能力画像以及台账管理来解决相应的问题。通过这些功能，我们基本实现了数据安全风险评估的智能化，主要包括安全评估、部门监管、结果分析和知识宣贯。

在具体能力上，首先是基于底层一体化数字资源系统（IRS）和地方政务云的架构，所有的数字化改革应用系统都是基于政务云的基础设施来做的，基于我们近年来的研究和落地，发现可以用通用的模式检查每一个系统本身的运行环境。

其次是IRS会提供公共的功能模块给各个系统申请使用，搭建自己的应用系统，这些功能模块中包含一系列数据安全相关的组件。基于这种情况，可以对应用是否进行安全建设进行检查，检查项主要包括应用是否使用了加密信道传输，应用是否调用了数据脱敏类组件以及应用是否调用了数据加密类组件。

由于评估体系里包含了制度规范和运行管理机制相关的文件要求，就需要用自然语言和图像识别来获取凭证内容，再通过文本识别和语义分析模型提取关键信息，并进行自动赋分。当然还需要人工复核来判断模型打分是否合理规范，并反馈到训练模块，不断地优化模型。

上图是数字化改革应用系统的数据使用方式。ODPS是公共数据的整体数仓，所有的公共及回流数据都会保存在数仓里。数据的使用有两种方式：如果数仓直接对外封装了接口，就可以直接在接口平台上注册，申请调用；如果数据比较特殊，没有公共接口，就需要先申请部分数仓，同步到自己申请的数据库RDS服务中，然后再通过应用系统封装接口进行调用和查询。

这个过程会存在几点隐患：由于应用人员权限过大，可以直接将数据出售；系统防护欠缺，导致因爬虫及其他攻击行为发生数据泄露；数据接口被申请人进行二次分装调用，从而导致数据外泄。

然而针对这些问题，我们目前难以做到完全监管，一是日志格式比较复杂，除技术和运维人员很难看懂；二是日至监管粒度较低，很多数据都无法关联实际用户；三是数据安全无法与业务完全剥离，从而使得数据访问与业务挂钩；最后则是政府部门一直关心监管闭环的问题，但是目前在整个架构里尚未得到形成。

因此我们认为可以在企业内部搭建数据访问可视化的监管系统，在数据来源上可以覆盖应用数据访问日志、接口访问日志、数据库审计日志等；在安全监管上可以关联用户数据访问行为，生成用户行为画像，并对高危数据操作进行告警、处置和分析。

数据访问可视化监控系统示例

这样一来，监管系统就可以分别从数据管理、探针管理、规则管理和告警处置四个方面发挥作用。最终我们的目标是对数据访问行为进行全面有效监管，明确：什么人，在什么时间，在什么位置，通过什么业务系统，对什么数据，进行了什么操作。这样一来就可以帮助我们在识别出数据滥用或泄漏的安全风险时，实时产生告警，提高监管效率。

此外，在防火墙优化方面，我们识别了冗余和危险的防火墙策略，提高了防火墙的安全性和管理效率，实现了防火墙策略审计与智能优化。而在主机安全管理方面，我们研发了一体化终端安全产品解决方案，集防病毒、终端安全管控等功能于一体，能够精准检测已知病毒木马、未知恶意代码，有效防御网络攻击，实现平台一体化、功能一体化、数据一体化的终端安全立体防护。

20世纪90年代 ，全球网络安全保险市场开始崭露头角，确立了保险公司合作安全企业的模式，但仍存在认可度与获客渠道的限制。

网络安全有三道防线，第一道，企业花费90%的钱购买网络安全产品，抵御大部分基础网络安全风险；第二道，企业花费9%的钱开展安全运营，有效配置和合理使用网络安全产品，及时为操作系统和应用软件升级持续增加安全投入；第三道，在安全运营上所付出的增量部分，可能抵消不了所挽救的预期损失的情况下，花费1%的钱购买网络安全保险，以转移残余风险，真正做到100%的安全保障。

网络安全保险是指投保人因使用互联网络而遭遇网络安全问题，由此造成的损失由保险人负责赔偿的一类保险。网络保险分为第一方责任和第三方责任。第一方责任包含应急响应、营业中断、勒索攻击、数据修复。其中勒索保险赔付相对简单，理论上勒索多少赔付多少，但超过企业应得保险额。第三方责任包含信息和隐私泄露责任险、网络安全责任险。需要注意的是赔付对象需以法院判决的金额为准。

众安科技致力于成为领先的数字化转型服务商，基于人工智能、大数据、云计算等前沿技术的探索与研发，融合众安生态优势，经过实际业务验证，打造了“科技+服务”的价值交付体系。

团队致力于打造网络安全保险科技的新生态，主动风险管理体系 （A R M S） Active Risk Management System 是以网络安全风险量化评估技术为核心，凭借海量网络风险数据的积累和动态监测，赋能企业洞察风险、量化风险和管理风险的主动风险管理能力。

众安会给企业提供风险评估，主要针对一些特别高危的漏洞，这相当于在保险这独到的领域里做出最合适的评估，虽不全面但实用。投保人或由其指定的安服公司需每季度提交每个等保系统的漏扫报告，漏扫范围和等保测评的扫描范围相同；有勒索保障的，还需要提供防病毒软件的管理日志。投保人应及时修补漏洞，以厂商发布补丁之日起90日之后尚未修补的漏洞，黑客或病毒通过该漏洞造成的损失，不予赔付。投保人应当确保保险范围内的主机均安装了防病毒软件，并及时更新特征库。对于未安装防病毒软件，或虽然安装但病毒库超过30日未更新的，感染病毒造成损失，不予赔付。

众安全链路网络安全保险科技能力主要分为六块，第一是产品设计，对投保用户的数据收集及分析，形成行业风险模型、风险场景模型、企业用户画像。第二是定价支撑，众安会和一些数据源、模型、算法一起合作，这也是众安最核心的科技。第三是核保评估，基于不同场景的风险评估及量化服务，帮助客户掌握潜在网络安全风险及损失，解决”是否可保” 、“如何承保”的问题。第四是承保监测，提供7*24小时的监测服务，管理数字资产安全情况，赋能风险预警和告警处置能力。第五是应急取证，对接专业安全厂商，提供专业系统、数据应急恢复服务，帮助企业快速恢复业务，并通过标准化采集的理赔数据，协助企业快速理赔。第六是运营服务，通过自研产品ARMS平台的六大引擎，提供客户交互、增值服务和主动风险管理服务。

众安科技还自研了两款产品，一款是等保一体机，其优势有三点，其一是保证能过等保；第二是保证稳定运行；第三是价格有优势。此外，众安科技还有一款DLP产品，对对重视数据安全的企业很有帮助。

现场花絮

齐心抗疫 与你同在