诸子云 | 活动：4.15杭州企业网络与数据安全线下研讨会

网络安全和数据安全是当前企业关注的重点。目前，国际网络空间安全局势愈发复杂，各种安全事件此起彼伏，给企业信息化建设和数字化转型带来巨大挑战。与此同时，新技术发展的越来越快，从大数据、云计算再到当下火热的ChatGPT等也给企业应用和实践带来冲击，如何应用和选择才能使组织发展快人一步也是很多安全从业者考虑的话题。

在此背景下，4月15日，诸子云杭州分会举办了“企业网络与数据安全线下研讨会”，三位专家分别以“企业安全网络实践”、“科技助力数据可视化治理和运营”、“数字化时代背景下的数据安全隐患”为题，针对企业网络安全及数据安全展开了深入讨论。

本次线下会议由诸子云杭州分会主办。活动有幸邀请杭州萧山国际机场、杭州银行、中国电信股份有限公司仙居分公司、浙江移动、连通（杭州）技术服务有限公司、浙江天权智能科技有限公司、仙居移动、货拉拉、金中广有线信息网络有限公司、药名生物、安恒信息、红途科技等企业的安全专家参与。

浙江移动集成安全专家张曾油、安恒信息安全专家胡梁嘉、数据安全专家叶翔三位专家分别进行了分享。

此次分享共分为三个阶段：背景介绍、现状需求分析及目标以及总体框架及设计方案。背景介绍方面，目前企业数字化转型已经成为主流趋势，在技术的推动下，包括网络强国、数字中国、智慧社会等名词逐渐兴起，越来越多的新场景出现在企业与社会发展之中。

我国目前正在实行等级保护制度，分等级实行安全保护、管理以及响应和处置。在安全保护方面，我国对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护。在管理方面，对信息系统中使用的信息安全产品实行按等级管理，在响应与处置方面，对信息系统中发生的信息安全事件分等级响应、处置。

在现状需求分析以及目标环节中，首先要了解当下越来越复杂的网络空间环境。2017年5月，永恒之蓝勒索攻击全球100多国家，利用NSA泄漏的“永恒之蓝”黑客武器传播，可远程攻击Windows的445端口，如果系统没有安装最新的微软补丁，无需用户任何操作，就能感染勒索病毒。2018年8月，台积电三大芯片生产工厂感染永恒之蓝勒索病毒，生产线被迫停产。次事故台积电约损失5.84亿元。2019年1-3月，LockerGoga勒索软件袭击了四家全球化工巨头企业，造成网络和系统中断，受害企业工厂运营受影响损失惨重。2019年3月，据国家网络与信息安全信息通报中心监测，GandCrab V5.2自3月11日开始在中国攻击了上千台政府、企业以及相关科研机构的电脑。

上述这些案例证明了，在面对“有组织”的攻击面前，没有过不去的墙。所以可以得出一个结论，目前网络安全已经落后于信息化发展。目前网络安全采用的是“局部整改”为主的建设模式，体系化缺失、碎片化严重，和信息化的系统化发展不匹配，为网络安全建设，需要体系化、全局化、实战化的网络安全架构，以“内生安全”理念建立数字化环境内部无处不在的“免疫力”，构建出动态综合的网络安全防御体系。

从信息化角度，以系统工程的思路进行网络安全规划设计。行动以获得组织所需要的“能力”为目标；重点关注“巨系统、构成系统”的完整性、联系性、协同性；功能分配、系统对接、数据互通、平行扩展。

要把安全建设的目标放在满足等保2.0合规要求、完善网络安全技术体系、完善安全管理体系以及完善安全运营体系。满足等保2.0合规要求方面，要做到识别安全区域边界，准确对重要系统分级定级，完成安全计算环境、安全区域边界和安全通信网络的等保建设，对网络环境提供全面防护。完善网络安全技术体系方面要做到，依据国家相关法律法规，结合海关实际，完善基础安全，形成系统网络安全纵深防御基础，提升纵深防御能力，提升对未知威胁检测能力。完善安全管理体系要做到覆盖网络安全组织管理、人员管理、建设管理、运维管理、应急响应和监督检查等各项工作，为威胁及时处置提供制度保障。完善安全运营体系要做到有效对安全威胁事件进行综合研判、及时处置，不断闭环对运营体系进行优化，建立以安全运行平台为核心的安全管理中心。

总而言之，就是要按照国家网络安全等级保护要求及相关标准规范，建立高标准的信息安全防护体系，落实安全责任，确保企业IT系统全流程信息安全可控。

数据安全的火热离不开中国共产党的指挥和领导。党的十八大以来，习近平总书记高度重视网络安全和信息化工作，先后就网络安全和信息化工作发表了一系列重要讲话，形成了一系列网络空间治理的新思路新战略新要求。2015年以来，我国针对网络安全工作已颁布或印发近30项法律法规和政策要求，主要涉及习总书记讲话、国家战略、顶层规划、法律法规、安全责任制、专项工作6大类11个方面的工作要求。目前，国家数据安全法律法规及相关标准正在逐步完善，地方、行业数据安全法规与保护制度正在日益健全，我国的数据安全保障体系已然建立。

除此之外，很多数据安全的案例也充分证明了当下数据安全的重要性。首先是“滴滴被罚80.26亿元，存在16项违法事实”这一事件。根据网络安全审查结论及发现的问题和线索，国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实，滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。2022年，7月21日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

经查明，滴滴公司共存在16项违法事实，归纳起来主要是8个方面：

一是违法收集用户手机相册中的截图信息1196.39万条；

二是过度收集用户剪切板信息、应用列表信息83.23亿条；

三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；

四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条；

五是过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；

六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条；

七是在乘客使用顺风车服务时频繁索取无关的“电话权限”；

八是未准确、清晰说明用户设备信息等19项个人信息处理目的。

除此之外， 2020年4月9日出台的《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》正式将数据列为与土地、劳动力、资本、技术并立的第五大生产要素。2022年6月22日下午，习总书记主持召开中央全面深化改革委员会第二十六次会议，审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》。会议指出，数据作为新型生产要素，是数字化、网络化、智能化的基础，已快速融入生产、分配、流通、消费和社会服务管理等各个环节，深刻改变着生产方式、生活方式和社会治理方式。会议指出，要建立数据产权制度，推进公共数据、企业数据、个人数据分类分级确权授权使用，建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制，健全数据要素权益保护制度。会议指出，要把安全贯穿数据治理全过程，守住安全底线，明确监管红线，加强重点领域执法司法，把必须管住的坚决管到位。

实际上，数据安全实践的难点有以下几点：

数据安全管理体系缺失：数据安全体系建设起步晚，相关组织、制度不健全，部门职责不清、人员意识薄弱等造成的数据安全管理风险。

敏感数据未识别：数据采集、数据存储、数据共享等场景中，数据未分级分类导致敏感数据无法有效识别，无法做到针对性防护。

账号管理：账号的弱口令、共享账号、特权账号等带来的数据安全风险。

明文传输与存储：数据传输过程、数据存储过程由于缺乏加密措施，导致明文传输或存储，极大增加数据泄漏、被篡改的风险。

API接口：API是业务对接、数据共享、数据采集的重要手段，在提供数据交换便捷的同时，API的安全给数据安全带来极大挑战。

访问环境：终端、服务器以及云环境等各类基础设施的基线配置风险极易造成数据泄漏、数据不可用、数据篡改等风险。

数据库漏洞：数据库漏洞被利用，APT攻击、SQL注入、远程端口爆破等外部攻击，导致数据篡改、数据删除、数据泄漏等安全风险。

开发测试环节：开发测试环节因为人员数据安全意识薄弱、能力缺乏带来的数据泄露风险。

权限失控：权限滥用、越权访问、权限过大、权限被恶意使用等带来的数据安全风险。

数据安全审计：数据流转、使用过程中缺乏完善的审计手段，无法有效的进行数据风险预警；在发生数据安全事件之后，导致定责模糊、取证困难。

目前，数据驱动新生产力发展的同时，企业也面临着数据合规监管在不断演进的技术环境中如何落地的挑战。这主要体现在以下三个方面：数字经济蓬勃发展，战略地位愈发重要；法律法规密集出台，凸显国家管控意志；技术持续演进，管控视角变化。

在实践过程中，红途科技发现客户痛点和解决方案主要集中在以下几个方面：

API资产难以梳理清楚：随着业务不断发展，越来越多的业务对外提供线上服务，API作为连接应用和数据的核心通道其资产数量呈爆炸式增长。由于应用系统庞杂，数据调用量大，数据流转关系复杂，要想梳理清楚API资产是一件非常困难的事情。

缺乏持续动态监管能力：业务是不断发展和变化的，API同样具有动态特性。由于API的开发、维护和安全管控分属不同的部门负责，信息的不对称或人为疏忽，导致API缺乏持续动态监管能力。

API风险难以有效识别：随着API资产急剧增加，大量暴露在互联网上的API面临越来越多的外部威胁，而且部分新兴威胁变得愈发复杂、多样和隐蔽导致企业数据安全面临极大挑战。

全量API资产自动发现：自动发现全量API资产，结合应用和服务进行API资产归集，基于API的请求和响应内容，实现API资产标签、分类分级处理，比如用户登录API、用户访问API、数据库访问API、文件上传/下载API，外网/内网API和敏感/非敏感API等。

全生命周期动态监管：强化API全生命周期动态监管能力，当其发生变化时能够及时有效感知，如新API上线，存量API变更 (由非敏感API变为敏感API) 和API失活 (调用频次降低或长期未调用)。

API风险多场景识别：基于语义分析、周期性分析和异常行为基线分析，构建风险识别规则模型库，针对API请求参数和响应内容进行实时检测，有效发现API访问行为中的资产脆弱性风险、数据暴露风险和数据泄露风险。

活动相关资料欢迎大家在知识星球下载~