“十四五”時期,首要任務之一是加快數字化發展、建設數字中國。大力發展數字經濟成為必然,資料安全則是保障數字經濟高速高質前進的生命線。《資料安全法》、《個人資訊保護法》的相繼釋出,為國家大資料戰略提供了重要的法制基礎,在資料攻擊、濫用、洩露日益多樣化的今天,資料安全建設亦成為政企單位數字化轉型之路上必須攻克的難點。
9月26日-27日在成都舉辦的CCS 2021 成都網路安全大會期間,
廣州凌晨網路科技有限公司(騰訊安全網禦聯合實驗室)承辦“資料及業務安全分論壇”
,多家專業網路安全企業與大資料服務企業共同探討,如何在最大化釋放資料價值的同時做好重要資料的安全可控管理,讓政企數字業務在新時代插翅騰飛。
凌晨網路趙振海
在主題為《內部威脅場景下的資料安全能力建設》的演講分享中表示,企業數字化轉型過程中,需確保在資料安全的前提下對資料進行合法、合理的使用。而在資料使用過程中,人是最關鍵、最薄弱的環節,各行業中的資料洩漏事件超80%以上與人為因素有關。
比如金融公司員工利用職權匯出大量含有客戶姓名、電話、身份證號碼等內容的個人隱私敏感資訊後販賣給他人非法牟利;銀行員工透過獲取的徵信系統查詢賬號登入銀行內網,獲取公民個人徵信報告非法出售;快遞公司員工將個人賬號租給不法分子非法登內部系統獲取客戶資訊,轉賣給詐騙分子實施精準詐騙等等。諸如此類頻繁發生的案件暴露出員工安全意識、法規意識淡薄,內部許可權無限制、無邊界,企業對內部威脅無感知、無管控等安全難點。
資料需要在流動中產生價值,目前國內專業的資料安全廠商透過提供各種各樣的解決方案,來幫助企業建設資料安全能力。相關產品不計其數,較為通用的架構思維即為首先透過資料安全升級、資料脫敏、資料庫加密等手段,保障不同行業使用者的資料安全合規基本需求;再者透過資料安全治理,結合資料安全防護方案,保障行業使用者的場景化資料安全管控需求;最後透過資料安全服務,結合前面的資料安全治理和防護方案,滿足行業使用者資料資產治理和安全管控需求。
隨著9月1日《資料安全法》的實施,資料安全的合規保障成為企業進行資料安全建設的重要推動力。騰訊安全結合大量資料安全治理實踐經驗,在7月釋出資料安全合規能力圖譜,根據《資料安全法》的具體內容,將資料合規要求歸納成技術建設類、排查與整改類、機制建設類、管理完善類四類14項51個內容,方便企事業單位直觀清晰地引入第三方的安全能力與服務,順利開展資料安全合規工作。
值得大家重視的是,如前討論的基礎資料安全解決方案並沒有縱深切入到不同行業不同企業具體的業務流程當中,滿足合規並不代表著不會出現安全事故,那麼如何以更低的成本、更快的這種方式來建設滿足業務需要的資料安全能力,成為一個現實面臨的迫切問題。凌晨網路對此提出了基於業務流的業務審計體系,據趙振海介紹,該方案支援全業務流程審計,透過對業務流程進行拆解與定義,將業務流程中涉及的人、業務系統、資料使用等相關日誌整合分析,覆蓋企業內部業務的傳輸、訪問、使用等流程,根據業務具體場景進行行為建模,對整個業務流程進行風險監控。同時支援合法合規保護,根據各行業合規需求,參考行業標準制定業務安全審計策略,對重要性、敏感性不同的業務實施不同定級規則和風險監控規範。並且支援安全預警及風險溯源,可在事後對相關業務行為進行全流程關聯溯源。
隨後,
北京熠數資訊科技有限公司方偉
立足政府資料開放的生命週期,分析資料建立與採集、資料組織與處理、資料儲存與釋出、資料發現與獲取、資料利用與增值各環節中存在的資料資料安全和隱私保護問題,從資料安全治理的角度提出若干對策和建議,包括:在法律層面上細化政府資料開放的安全與隱私政策指導和法律問題;在管理層面上加強機構的建設併成立專門的資料安全與隱私保護機構;在技術層面上建立資料安全和隱私風險評估及預險模型,加強政府資料開放相關係統的安全監測與商用密碼應用;在教育上提升政府資料開放利益相關主題的資料安全素養。
廣東征安智慧科技有限公司梅比
闡述了後個人資訊保護法時代資料感知體系的研究與應用。利用移動裝置感知融合人工智慧、大資料分析技術,整合移動裝置資產管控與安全分析能力,透過在指定區域部署符合隱私要求的藍芽和Wi-Fi探針,對區域內移動終端裝置進行活動行為分析。透過構建裝置運動軌跡行為模型,實現定點定時打卡、敏感區域管控、異常軌跡分析、疑似裝置匯聚等業務場景預警與回溯功能,為政府和企業進一步提升基於位置環境狀態下的業務風險感知能力。
廣東雲智安信科技有限公司王健
分享了一則從應急響應到發現全新APT的真實案例。透過在臨檢中發現的可疑受控內網機器,經取證分析判斷其系統程序裡有正在活躍的純記憶體可執行程式碼,且有行為惡意的且帶有合法數字簽名的程序正在執行,該程序就是這次的惡意後門。透過二進位制逆向分析工作,發現攻擊者最早在2019年使用此類攻擊手法,最晚到2021年中旬還在進行攻擊活動。透過對該組織使用檔案、誘餌文件進行推測,該組織持續對公民社會組織、金融、軍火、網路安全、媒體等行業進行攻擊,經綜合研判後確定本次攻擊是高階可持續威脅攻擊(APT)。
神州網雲(北京)資訊科技有限公司宋超
介紹了透過對多源異構情報資料進行分類聚類、關聯分析和信譽度評價,形成高價值的“威脅情報”,利用威脅情報對關鍵資訊基礎設施、重要網路和資料運營單位安全人員提供準確的威脅資訊及共享體制,快速有效地對網路威脅進行阻斷。目的打造網路安全監管部門和企事業單位之間快速共享交換網路威脅和網路違法事件資訊,以情報共享為核心能力,構建情報共享與協同平臺,加強針對網路犯罪的應急響應,以更好地保護政府、企業、公民免受違法犯罪侵害,共同構建網路安全綜合防控體系。
北京仁信證科技有限公司劉鵬
分析瞭如何構建物聯網資訊保安防護基線。資訊保安的技術和產品很多,針對物聯網產品的特性,梳理出最急需解決的問題,急需滿足的政策法規,且低成本、易實施的方案非常重要。基於國密演算法,結合可信計算思想,打造可信身份與證書管理平臺及豐富的物聯網安全接入元件,提供安全合規、靈活易用、穩定可靠的物聯網端到端安全能力。
