《中国信通院:新形势下的数据安全风险治理思考与建议(2023)(18页).pdf》由会员分享,可在线阅读,更多相关《中国信通院:新形势下的数据安全风险治理思考与建议(2023)(18页).pdf(18页珍藏版)》请在三个皮匠报告上搜索。
1、新形势下的数据安全风险治理思考与建议中国信息通信研究院 云计算与大数据研究所龚诗然国家战略:“数据要素化”走向“要素市场化”2014年3月2015年8月国务院印发促进大数据发展的行动纲要2016年3月中国大数据政策元年2019年3月2017年12月“大数据”开始成为热点国家层面开始“大数据”顶层设计2017年10月十九大报告提出“推动大数据与实体经济深度融合”大数据首次写入政府工作报告十三五规划纲要第二十七章“实施国家大数据战略”大数据上升国家战略中央政治局就实施国家大数据战略进行集体学习大数据连续6年写入政府工作报告2016年12月工信部发布大数据产业发展规划(2016-2020年)国家大数
2、据战略2019年10月十九届四中全会首次公开提出“数据可作为生产要素按贡献参与分配”关于构建更加完善的要素市场化配置体制机制的意见数据被正式列为新型生产要素2020年4月数据要素市场化配置上升国家战略2020年5月全国人大第十四个五年规划预热阶段起步阶段落地阶段深化阶段从“数据大国”迈向“数据强国”关于新时代加快完善社会主义市场经济体制的意见提出“加快培育发展数据要素市场”2021年3月国务院办公厅要素市场化配置综合改革试点总体方案2022年1月中共中央 国务院关于加快建设统一大市场的意见2022年4月加强数据管理,释放数据要素价值,已经成为各个行业高度重视的基础性工作思考1:数据安全风险防范
3、与治理刻不容缓网络数据安全关键技术研发、产业化规范、促进风险评估等信息安全服务提升重要信息系统和工业系统的安全可靠水平十三五:注重数据安全流动与保护,为要素化奠基十二五:加强网络数据安全技术研发,打造良好开端以边界安全保数据安全,重点关注关键基础设施和重要领域安全国家安全法(2015)网络安全法(2017)等级保护(2018)逐步聚焦数据在全行业领域、全生命周期的安全注重数据安全保护,加强数据全生命周期安全保护数据加解密等数据安全技术研发应用建立跨境数据流动安全监管制度十四五:强化数据全生命周期保护,加速数字化进程加强国家、商业、个人隐私数据安全保护加快推进数据安全、个人信息保护等领域立法强化
4、数据资源全生命周期安全,推动数据跨境安全有序数据安全、隐私保护与网络安全保障体系衔接,形成“大安全”体系数安法、个保法等(2021)数据滥用事件层出不穷大数据“杀熟”、不当自动化决策2021年全年,351款违法违规收集使用个人信息的App遭到通报,平均每月1000+违规获取权限的App上线应用商店数据泄露事件井喷式增长2013-2021 年,全 球 数 据 泄 露 记 录 达981.03亿条,泄露事件达44000余起其中,2020年数据泄漏记录较前年增长140.9%数据破坏事件防不胜防2018年,顺丰工程师误删数据库,关键业务停摆10小时2018年,链家9TB财务数据被删2020年,微盟核心运
5、维泄私愤删库7天影响300万客户,损失30亿未区域隔离数据泄露运维权限过高服务器拒绝访问请求明文传输敏感数据管理缺陷接口攻击传输链路不安全窃听弱口令密码缺乏多重校验检测失灵明文存储敏感数据系统漏洞加密程度低数据破坏副本不可用数据滥用违规传输非法访问数据投毒过度画像合作方数据泄露国家战略高度重视数据安全,数据安全威胁来源多样,数据安全事件严重危及社会公众安全国家战略布局不断演进,持续聚焦数据安全数据泄露、破坏、滥用已成社会问题威胁源头相互衍生、作用1国际研究覆盖数据安全风险管理“前中后”三阶段,仅聚焦风险事前评估或将与组织数据安全管理“脱节”思考2:数据安全风险理论研究尚有探索空间NIST SP
6、 1800-11数据完整性:从勒索软件和其他破坏性事件中恢复关键词:数据破坏 数据恢复ISO/IEC 29134信息技术 安全技术 隐私影响评估指南关键词:隐私风险 风险评估ISO/IEC 20889隐私增强数据去标识化技术关键词:去标识化 防重识别ITU X.sgBDIP大数据基础设施和平台安全指南关键词:风险评估NIST SP 800-53联邦信息系统和组织的安全和隐私控制措施关键词:隐私风险 风险控制ITU X.sgtBD电信大数据生命周期管理的安全指南关键词:大数据安全 风险管理ITU X.1040电子商务业务数据生命周期管理的安全参考体系结构关键词:大数据安全 风险管理事前事中事后注
7、:管理类技术实施类国际标准、理论研究兼顾技术管理,覆盖“三道防线”国内标准、理论研究侧重事前评估及实施信息安全技术 大数据安全管理指南关键词:风险评估实施电信网和互联网数据安全风险评估实施方法关键词:风险评估实施互联网新技术新业务安全评估要求 大数据技术应用与服务关键词:风险评估实施 安全保障基线数据安全治理之数据安全风险评估白皮书关键词:风险评估实施事前数据资产探测识别数据全生命周期安全风险合法合规风险数据处理安全风险威胁脆弱性分析风险评估实施安全保障措施基线参考自动化检测业务安全风险数据安全风险识别风险评估原理风险评估流程自动化检测威胁脆弱性分析数据全生命周期相关研究关键词览2国内治理实践
8、侧重“清单式”缺陷挖掘思考3:数据安全风险治理能力提升亟需体系化指引95%5%已开展未开展数据处理载体数据资产弱点业务应用前端业务管理未进行访问控制用户鉴权数据保护缺失业务配置漏洞在线数据管理系统数据处理未进行脱敏数据处理未进行安全防护在线数据库数据未分类分级标识数据未加密存储基于数据载体的缺陷排查管理措施管理弱点组织保障未设置数据安全管理部门人员数据保护意识不足规章制度未建立数据分类分级制度未建立数据安全事件预案未建立数据安全审计制度业务管理未落实数据分类分级要求未对用户数据开展有效保护向数据安全管理的漏洞排查已开展,但主要侧重于“清单式”的缺陷挖掘与数据、风险、业务的动态属性不相适应极大依
9、赖组织、人员能动性仍属于“点对点”的模式国际治理实践强调动态、全面治理,预防风险暴露合规导向步入风险导向:检测、分析、响应、监控整体攻击面,实现风险导向管理闭环降低技术成本:兼容传统网络安全方法论(PDCA、ASA等)Gartner(2022)攻击面管理框架Gartner(2022)动态风险治理动态风险治理:定义风险管理角色和责任,定制适当的风险治理处于处于技术萌芽技术萌芽期期需需2 2-5 5年进入成熟期年进入成熟期平衡业务需求与风险、威胁、合规(风险评估)将自动化工具纳入风险治理实时监测:提供关键业务流程的最新风险信息持续改进:定义风险管理得关键绩效指标国际实践强调数据安全风险管理闭环,静
10、态缺陷挖掘方法与风险动态属性不相适应,组织风险治理缺乏调优参考3数据安全风险受威胁、缺陷等影响,且以形态识别风险具有滞后性,故通过关键要素实现数据安全风险识别、管理信息安全风险评估方法(2022)信息安全风险是特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。注:它以事态的可能性及其后果的组合来度量风险是指不确定性的影响。ISO9001:质量管理体系(2015)风险是指不确定性对目标的影响。ISO31000:风险管理原理及指导纲要(2018)一组对组织实体可能受到潜在情况或事件威胁程度的衡量方式,通常是以下因素的函数(i)如果情况或事件发生将会产生的不利影响;(ii)发生的
11、可能性。NIST:隐私框架1.0风险概念、管理理论成熟加强数据安全风险监测,发现数据安全缺陷、漏洞等风险重要数据处理者对其数据处理活动定期开展风险评估工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(2021)“数据安全风险信息,是指通过检测、评估、信息搜集、授权监测等手段获取的,包括但不限于数据泄露、数据篡改、数据滥用、违规传输、非法访问、流量异常等数据安全风险”数据安全法(2021)“缺陷论”还是“形态论”?11%34%55%缺陷论形态论两者融合数据安全风险界定方式尚未明确中国信通院整理来源:数据资产价值评估与定价:研究综述和展望数据流转安全如何守护信息安全技术 大数据安全管理指
12、南安全需求受损保密性、完整性、可用性需求处理合规需求流动有序需求数据本体受损质量(真实性、完整性、可用性等)风险(合法、合规)应用(稀缺性、时效性等)数据安全风险影响程度数据安全风险发生概率全生命周期存在安全缺陷采集、传输、存储、使用、共享、销毁处理活动安全目标失灵流动可见、关联可知、威胁可控数据全生命周期内,威胁数据及其安全需求(数据资产、已有安全措施)的行为或机制(威胁、脆弱性),最终导致数据泄露、破坏、滥用等情形概率、损失共同作用,形成数据安全风险建议1:基于关键要素识别数据安全风险4建议2:开展数据安全风险评估关联已识别的数据安全风险要素,把握评估实施的关键环节针对单个系统,从系统管理
13、安全、系统数据安全、系统应用安全三方面入手,发现系统的数据安全风险,明确风险的管理需求,进行差距分析根据数据安全保障措施的有效性、风险影响范围,评估数据安全风险的级别;根据数据安全风险级别与其整改方案的难度,评估整改优先级,助力风险闭环处置风险评估分析风险处置解决建议3:数据安全风险治理需要框架主线(1)IDC全球应急响应调研报告(2021)80%0%20%需要不需要不确定受监管合规驱动,目前企业数据安全风险治理普遍存在痛点,治理需求激增,亟需落地指引数据安全风险治理亟需提出通用框架国内数据安全风险治理需求激增数据安全风险管理将成焦点全球31%的用户将在未来一年增加安全风险管理相关投入,数据安
14、全风险管理将成为重点投入内容受合规需求推动,中国用户对于数据安全风险管理的重视程度也在逐步提高数据资产不清人员类型冗杂合规管理盲点缺乏风险实战经验业务连续性要求高人员行为不可控缺乏风险治理实施参考缺乏技术支撑业务连续性要求高设备老旧缺乏框架指导未开展风险评估合规盲点威胁脆弱性识别能力弱数据安全风险治理痛点频词汇企业数据安全风险治理落地存在痛点需要应建立由风险驱动的数据安全治理框架,明确风险治理的思路不确定不确定现有数据安全治理是否可以满足风险治理需求识别-评估-处置-监控:基于风险管理基础理论“知识控察行”数据资产识别与分布、合规要求差距分析、技术手段控制、监控审计与策略下发、运营持续优化识别
15、-评估-处置-监控参考Risk Management Framework(NIST),在框架内明确风险治理的环节(识别-评估-处置-监控)识别-评估-处置-监控基于ISO31000,从识别-评估-处置-监控的角度制定数据安全风险治理框架,并进一步完善实操性措施数据安全风险治理框架设计思路览5建议3:数据安全风险治理需要框架主线(2)风险准则确立风险治理需求关键业务数据资产关键数据处理活动风险评估分析风险处置解决规划执行风险要素识别风险治理改进威胁脆弱性已有安全措施评估依据评估实施结果分析技能提升资源规划项目管理处置策略处置效率处置监控检查处置大数据平台数据业务系统数据库终端人员行为风险识别风险
16、治理需求网络数据流转关键业务关键数据资产关键数据处理活动威胁脆弱性已有安全措施风险评估风险处置风险监控与改进识别检测监测防护规划制度流程人员数据安全风险治理框架强调多方多维协同,兼顾技术与管理,与现有理论相互支撑、互为补充6数据安全风险治理全图生命周期数据安全风险采集非法获取、数据伪造等传输网络监听、数据窃取、明文传输等存储非法访问、非法窃取、跨域存储等处理再生文件、批量下载等共享明文交互等销毁超期存储、删除不彻底、未授权销毁等建议3:数据安全风险治理需要框架应用将全生命周期面临的威胁、脆弱性嵌入数据安全风险治理通用框架,提升框架在应用层面的可行性8人员安全管理数据安全流通数据安全防护安全体系
17、建设数据资产管理建议2:数据安全风险治理需要框架技术释放数据生产力数据资产管理敏感数据分布敏感数据流转数据容灾备份人员安全管理反欺诈访问控制数据安全流通数据脱敏数据水印隐私计算数据安全防护基于内容感知的防泄漏关键技术的应用有效支撑数据安全风险治理的目标与核心需求降低数据安全风险影响程度降低数据安全风险发生概率数据安全风险治理目标重构数据生产关系保护数据要素价值满足数据安全需求保密性、完整性、可用性处理合规流动有序防范数据本体受损质量(真实、完整、可用等)风险(合法、合规)应用(稀缺、时效等)识别全生命周期安全缺陷采集、传输、存储、使用、共享、销毁实现处理活动安全目标流动可见、关联可知、威胁可控
18、数据安全风险治理的核心需求数据安全风险治理相关的关键技术安全体系建设集中管控平台零信任数据防泄漏反欺诈模型UEBAAPI管控零信任加密行为监测管控平台访问控制网关威胁建模态势感知机器学习数据库安全脱敏自动嗅探分类分级聚类分析关联分析安全审计数据关系地图容灾备份数据水印9理论优点劣势DSMM能力等级清晰框架大实操性弱DSG能力等级清晰实施更易行强调数据安全建设ISO/IEC31000基于风险的管理偏理论实操性弱82%3%15%需要不需要不确定需要利于组织整体风险治理能力持续提升改进不确定不确定是否可依托既有理论评价数据安全风险治理的能力DSG数据安全能力成熟度模型DSMMISO31000安全运营
19、能力成熟度模型数据安全治理能力评估方法ISO27001SOMM电信和互联网行业数据安全风险评估个人信息安全规范模型适用于组织层面适用于风险治理适用于能力提升能力成熟度模型项目管理成熟度模型流程和企业成熟度模型成熟度模型具备全面、系统、可量化的特点,适用于数据安全风险治理能力的评价与提升建议4:数据安全风险治理能力需要评价(1)数据安全风险治理的能力需要评价数据安全风险治理的能力需要评价数据安全风险治理成熟度评价模型风险要素识别识别数据安全风险要素判断数据及其处理活动资产面临的威胁与缺陷风险评估分析开展数据安全风险评估分析风险评估结果研判数据安全风险形势风险处置解决制定数据安全风险处置策略、措施
20、检验风险处置措施的效率检验风险处置策略的有效性并持续改进风险监控改进跟踪、监督数据安全风险处置措施识别、分析残余风险或衍生风险检验风险管理的有效性并持续改进11成熟度模型具备全面、系统、可量化的特点,适用于数据安全风险治理能力的评价与提升建议4:数据安全风险治理能力需要评价(2)12建议4:数据安全风险治理能力需要评价(3)风险治理 5 大阶段,实现企业数据安全风险治理视图 全面覆盖1数据安全风险治理2风险要素识别风险准则建立目标:明确风险治理的业务对象和范围关键活动:分析数据安全风险需求,识别关键业务及数据处理活动,制定数据安全风险治理准则目标:识别数据资产在数据处理活动过程中面临的威胁、缺
21、陷、漏洞关键活动:基于数据安全风险准则,开展数据安全风险要素识别活动风险评估分析目标:判断数据安全风险发生的可能性与影响程度关键活动:关联已识别的风险要素,进行定性或定量分析,开展风险评估活动354风险治理改进目标:持续优化风险治理能力关键活动:建立风险治理改进机制,加强培训与考核,规范资源规划与项目管理风险处置解决目标:降低风险可能性或损失影响程度关键活动:建立风险处置原则、策略、流程并进行实施与监控13初始级:被动开展风险治理相关工作基础级:开始实施风险治理已定义级:全面开展风险治理量化级:量化风险治理工作卓越级:动态、持续优化风险治理5等级第5级:卓越级组织的数据安全风险治理成为行业标杆
22、并推广至行业。第1级:初始级组织的数据安全风险治理主要依靠突发事件或临时需求驱动,具有明显的滞后性缺乏数据安全风险治理的目标、规划、依据、资源保障。第2级:基础级组织的数据安全风险治理主要体现在个别业务活动或项目活动中,能主动识别法律法规与外部监管要求,使个别业务活动或项目活动中可以满足组织的数据安全保护与合规需求。第3级:已定义级组织的数据安全风险治理主要体现在组织整体层面,考虑了法律法规和外部监管要求,兼顾了组织内部发展需求,建立了覆盖数据安全风险识别、评估、处置、监控等标准化管理机制、技术和运营体系,能够保障组织数据安全风险治理工作的有序开展与规范化落地。第4级:量化级组织的数据安全风险治理效率、效果能量化分析和监控。数据安全风险治理成熟度评价模型建议4:数据安全风险治理能力需要评价(4)划分数据安全风险治理 5 级水平,推动企业数据安全风险治理 能力提升14展望信通院-腾讯携手梳理数据安全治理与实践白皮书 结合国内外数据安全治理态势,分析数据安全治理面临的问题和挑战 从法律合规,组织保障,流程体系,技术体系,安全基础设施5个方面梳理,通过简单有效的分析和评估方法,帮助企业快速落地 输出典型案例场景,帮助企业指导和解决在实际数据安全治理过落地过程中的常见问题流程体系法律法规组织保障体系技术体系安全基础设施数据安全治理流程体系感谢聆听感谢聆听