首页新闻手机家电数码电脑财经大模型直播

数据安全威胁日益严峻信通院发布数据安全风险及应对策略报告

2022-01-18/11:47

正文

1月17日，中国信息通信研究院(以下简称：信通院)云计算与大数据研究所联合奇安信集团在京发布《数据安全风险分析及应对策略研究报告(2022年》(以下简称：《报告》)。《报告》认为，国内数据安全已进入合规合法的强监管新阶段，但仍存在几大突出问题，分别是APP对用户信息的过度采集、账号弱口令的现象普遍存在、数据权限分配使用不透明、API接口成为新型攻击手段、数据安全的持续状态难以保持等。2022年企业亟待有序建设、分步实施落地数据安全能力，加速开展数据安全体系化建设。

数字安全威胁与日俱增存在三大痛点

《报告》认为，数字经济已成为全球经济增长主要驱动力。但近年来数据泄漏、数据破坏、数据滥用等数据安全事件频发，对国家安全、公众权益、组织权益、个人隐私带来严重危害。权威机构数据显示，2020年数据泄露呈现爆炸式增长，仅公开报告的全球数据泄漏就达360亿条，创历史新高。数据泄漏所造成的代价也极为惨重，据IBM Security最新发布的《2021年数据泄露成本报告》指出，每次数据泄露事件平均为公司带来424万美元的损失，为17年来报告统计之最。

来源：IBM Security《Cost of a Data Breach Report 2021》

图：最常见的初始化攻击路径

《数据安全法》中指出，数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。这也对应了数据安全当前的三大痛点：合法利用、有效保护和保障持续。

《报告》认为，数据安全的第一痛点是个人信息保护监管应对难度增加。数字经济时代的数据价值挖掘，必须符合日渐趋严的合规监管要求，如何在个人信息收集、使用过程中保障个人信息主体的自决权利，并平衡数字化发展需求与保障个人信息安全之间的矛盾，成为亟待解决的问题。

第二痛点是账号、权限、API成为数据保护的脆弱环节。这其中，包括了特权账号成为最严重的“安全漏洞”之一，以及IT新环境下权限问题成为安全严峻挑战，API防护被忽视已成数据安全最大风险敞口等等。

来源：Imvision：《Enterprise API Security Survey》报告

图：不同场景下API使用情况

第三痛点是数据安全状态持续保障难以落地。 包括数据分布广泛、规模海量，数据资产难以梳理，数据流转快速场景复杂，安全防护遇到空前挑战，以及数据访问来源多范围广，联防联控难以实施，只能采取传统的堆砌式的数据安全单品防护来实现“头痛医头脚痛医脚”，全局化的、体系化的联防联控沦为纸上谈兵。

五大关键举措解决数据安全痛点

围绕这三大痛点，《报告》梳理了五大关键举措，分别要解决个人信息保护合规的问题、身份账号安全问题、复杂访问场景下的权限控制问题，以及面向整体数据的安全态势及运营问题。

首先，在面向隐私方面，需要管理与技术结合助力个人信息保护合规落地。 《报告》认为，企业的个人信息保护合规建设工作不仅仅是编制隐私政策文件，简单修改公司产品，增加提醒和通知等内容，个人信息保护合规建设工作将是一个复杂而持续的过程，技术将发挥不可或缺的作用。

其次，面向特权方面，需要特权账号安全治理持续强化安全内控。 特权账号的管理作为数据资产防护极为关键的环节，已经在2018年、2019年连续两年被Gartner评为十大安全项目之首。特权账号的治理，需要建立管控机制覆盖特权账号生命周期，通过技术手段持续监控特权账号各类潜在风险，确保账号安全可知、可管、可控、可查。

第三，面向权限方面，需要基于零信任数据动态授权，来赋能精细化管控。 数据安全访问的痛点是信任问题，而动态授权体系是数字化时代解决信任问题的手段，需要从实体安全、身份可信、业务合规三个目标出发，进行动态细粒度授权及访问控制，实现对应用和数据的、服务，API接口、大数据平台、数据库行、列等级别的精准管控。其中零信任数据动态授权体系，则是授权能力的落地。

来源：奇安信科技集团股份有限公司

图：基于属性的数据动态授权机制

第四，面向接口方面，需要搭建安全闭环完善API安全防护体系。 通过将API的安全能力和组件，并嵌入到业务体系，构建自适应的内生安全机制，并按照持续“发现”、“监测”、“防护”、“响应”的安全模型进行整体的API安全体系建设。

最后，在持续保障方面，围绕数据安全态势感知来统筹数据安全运营。 数字化时代的信息化环境是动态的，数据资产的分布是广泛的，数据流动的路径是复杂的，数据违规的风险也是隐蔽的，数据安全管理的需求是可扩展的，因此需要用体系化，全局化的安全思路来应对这些新需求、新挑战，而建立一套完整的，全面的数据安全运营态势感知中心来指导数据安全体系建设。