1月17日,中国信息通信研究院(以下简称:信通院)云计算与大数据研究所联合奇安信集团在京发布《数据安全风险分析及应对策略研究报告(2022年》(以下简称:《报告》)。《报告》认为,国内数据安全已进入合规合法的强监管新阶段,但仍存在几大突出问题,分别是APP对用户信息的过度采集、账号弱口令的现象普遍存在、数据权限分配使用不透明、API接口成为新型攻击手段、数据安全的持续状态难以保持等。2022年企业亟待有序建设、分步实施落地数据安全能力,加速开展数据安全体系化建设。
数字安全威胁与日俱增 存在三大痛点
《报告》认为,数字经济已成为全球经济增长主要驱动力。但近年来数据泄漏、数据破坏、数据滥用等数据安全事件频发,对国家安全、公众权益、组织权益、个人隐私带来严重危害。权威机构数据显示,2020年数据泄露呈现爆炸式增长,仅公开报告的全球数据泄漏就达360亿条,创历史新高。数据泄漏所造成的代价也极为惨重,据IBM Security最新发布的《2021年数据泄露成本报告》指出,每次数据泄露事件平均为公司带来424万美元的损失,为17年来报告统计之最。
《数据安全法》中指出,数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。这也对应了数据安全当前的三大痛点:合法利用、有效保护和保障持续。
《报告》认为,数据安全的第一痛点是个人信息保护监管应对难度增加。数字经济时代的数据价值挖掘,必须符合日渐趋严的合规监管要求,如何在个人信息收集、使用过程中保障个人信息主体的自决权利,并平衡数字化发展需求与保障个人信息安全之间的矛盾,成为亟待解决的问题。
第二痛点是账号、权限、API成为数据保护的脆弱环节。这其中,包括了特权账号成为最严重的“安全漏洞”之一,以及IT新环境下权限问题成为安全严峻挑战,API防护被忽视已成数据安全最大风险敞口等等。
第三痛点是数据安全状态持续保障难以落地。包括数据分布广泛、规模海量,数据资产难以梳理,数据流转快速场景复杂,安全防护遇到空前挑战,以及数据访问来源多范围广,联防联控难以实施,只能采取传统的堆砌式的数据安全单品防护来实现“头痛医头脚痛医脚”,全局化的、体系化的联防联控沦为纸上谈兵。
五大关键举措解决数据安全痛点
围绕这三大痛点,《报告》梳理了五大关键举措,分别要解决个人信息保护合规的问题、身份账号安全问题、复杂访问场景下的权限控制问题,以及面向整体数据的安全态势及运营问题。
首先,在面向隐私方面,需要管理与技术结合助力个人信息保护合规落地。《报告》认为,企业的个人信息保护合规建设工作不仅仅是编制隐私政策文件,简单修改公司产品,增加提醒和通知等内容,个人信息保护合规建设工作将是一个复杂而持续的过程,技术将发挥不可或缺的作用。
其次,面向特权方面,需要特权账号安全治理持续强化安全内控。特权账号的管理作为数据资产防护极为关键的环节,已经在2018年、2019年连续两年被Gartner评为十大安全项目之首。特权账号的治理,需要建立管控机制覆盖特权账号生命周期,通过技术手段持续监控特权账号各类潜在风险,确保账号安全可知、可管、可控、可查。
第三,面向权限方面,需要基于零信任数据动态授权,来赋能精细化管控。数据安全访问的痛点是信任问题,而动态授权体系是数字化时代解决信任问题的手段,需要从实体安全、身份可信、业务合规三个目标出发,进行动态细粒度授权及访问控制,实现对应用和数据的、服务,API接口、大数据平台、数据库行、列等级别的精准管控。其中零信任数据动态授权体系,则是授权能力的落地。
第四,面向接口方面,需要搭建安全闭环完善API安全防护体系。通过将API的安全能力和组件,并嵌入到业务体系,构建自适应的内生安全机制,并按照持续“发现”、“监测”、“防护”、“响应”的安全模型进行整体的API安全体系建设。
最后,在持续保障方面,围绕数据安全态势感知来统筹数据安全运营。数字化时代的信息化环境是动态的,数据资产的分布是广泛的,数据流动的路径是复杂的,数据违规的风险也是隐蔽的,数据安全管理的需求是可扩展的,因此需要用体系化,全局化的安全思路来应对这些新需求、新挑战,而建立一套完整的,全面的数据安全运营态势感知中心来指导数据安全体系建设。
《报告》最后对数据安全建设提出了三方面建议,包括聚焦关键环节完善数据安全能力建设、结合业务流程深化数据安全工作开展、高度重视技术创新破局作用等。
在《报告》发布的同时,奇安信还发布了对应五大举措落地的数据安全整体解决方案——数据卫士套件,分别为特权卫士、权限卫士、API卫士、隐私卫士和数据安全态势感知运营中心,简称“一中心四卫士”,旨在帮助企业解决当下最迫切的痛点问题,稳步有序落地体系化建设,提升整体数据安全能力。