当前位置:首页 > 消费新闻 > 热点快报 > 数据安全威胁日益严峻 信通院发布数据安全风险及应对策略报告

数据安全威胁日益严峻 信通院发布数据安全风险及应对策略报告

时间:2022-01-18 来源:消费快报

  1月17日,中国信息通信研究院(以下简称:信通院)云计算与大数据研究所联合奇安信集团在京发布《数据安全风险分析及应对策略研究报告(2022年》(以下简称:《报告》)。《报告》认为,国内数据安全已进入合规合法的强监管新阶段,但仍存在几大突出问题,分别是APP对用户信息的过度采集、账号弱口令的现象普遍存在、数据权限分配使用不透明、API接口成为新型攻击手段、数据安全的持续状态难以保持等。2022年企业亟待有序建设、分步实施落地数据安全能力,加速开展数据安全体系化建设。

  数字安全威胁与日俱增 存在三大痛点

  《报告》认为,数字经济已成为全球经济增长主要驱动力。但近年来数据泄漏、数据破坏、数据滥用等数据安全事件频发,对国家安全、公众权益、组织权益、个人隐私带来严重危害。权威机构数据显示,2020年数据泄露呈现爆炸式增长,仅公开报告的全球数据泄漏就达360亿条,创历史新高。数据泄漏所造成的代价也极为惨重,据IBM Security最新发布的《2021年数据泄露成本报告》指出,每次数据泄露事件平均为公司带来424万美元的损失,为17年来报告统计之最。

图片1.jpg

  来源:IBM Security《Cost of a Data Breach Report 2021》

  图: 最常见的初始化攻击路径

  《数据安全法》中指出,数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。这也对应了数据安全当前的三大痛点:合法利用、有效保护和保障持续。

  《报告》认为,数据安全的第一痛点是个人信息保护监管应对难度增加。数字经济时代的数据价值挖掘,必须符合日渐趋严的合规监管要求,如何在个人信息收集、使用过程中保障个人信息主体的自决权利,并平衡数字化发展需求与保障个人信息安全之间的矛盾,成为亟待解决的问题。

  第二痛点是账号、权限、API成为数据保护的脆弱环节。这其中,包括了特权账号成为最严重的“安全漏洞”之一,以及IT新环境下权限问题成为安全严峻挑战,API防护被忽视已成数据安全最大风险敞口等等。

图片2.jpg

  来源:Imvision:《Enterprise API Security Survey》报告

  图: 不同场景下API使用情况

  第三痛点是数据安全状态持续保障难以落地。包括数据分布广泛、规模海量,数据资产难以梳理,数据流转快速场景复杂,安全防护遇到空前挑战,以及数据访问来源多范围广,联防联控难以实施,只能采取传统的堆砌式的数据安全单品防护来实现“头痛医头脚痛医脚”,全局化的、体系化的联防联控沦为纸上谈兵。

  五大关键举措解决数据安全痛点

  围绕这三大痛点,《报告》梳理了五大关键举措,分别要解决个人信息保护合规的问题、身份账号安全问题、复杂访问场景下的权限控制问题,以及面向整体数据的安全态势及运营问题。

  首先,在面向隐私方面,需要管理与技术结合助力个人信息保护合规落地。《报告》认为,企业的个人信息保护合规建设工作不仅仅是编制隐私政策文件,简单修改公司产品,增加提醒和通知等内容,个人信息保护合规建设工作将是一个复杂而持续的过程,技术将发挥不可或缺的作用。

  其次,面向特权方面,需要特权账号安全治理持续强化安全内控特权账号的管理作为数据资产防护极为关键的环节,已经在2018年、2019年连续两年被Gartner评为十大安全项目之首。特权账号的治理,需要建立管控机制覆盖特权账号生命周期,通过技术手段持续监控特权账号各类潜在风险,确保账号安全可知、可管、可控、可查。

  第三,面向权限方面,需要基于零信任数据动态授权,来赋能精细化管控。数据安全访问的痛点是信任问题,而动态授权体系是数字化时代解决信任问题的手段,需要从实体安全、身份可信、业务合规三个目标出发,进行动态细粒度授权及访问控制,实现对应用和数据的、服务,API接口、大数据平台、数据库行、列等级别的精准管控。其中零信任数据动态授权体系,则是授权能力的落地。

图片3.jpg

  来源:奇安信科技集团股份有限公司

  图 :基于属性的数据动态授权机制

  第四,面向接口方面,需要搭建安全闭环完善API安全防护体系。通过将API的安全能力和组件,并嵌入到业务体系,构建自适应的内生安全机制,并按照持续“发现”、“监测”、“防护”、“响应”的安全模型进行整体的API安全体系建设。

  最后,在持续保障方面,围绕数据安全态势感知来统筹数据安全运营。数字化时代的信息化环境是动态的,数据资产的分布是广泛的,数据流动的路径是复杂的,数据违规的风险也是隐蔽的,数据安全管理的需求是可扩展的,因此需要用体系化,全局化的安全思路来应对这些新需求、新挑战,而建立一套完整的,全面的数据安全运营态势感知中心来指导数据安全体系建设。

图片4.jpg

  来源:奇安信科技集团股份有限公司

  图:数据安全运营总体架构

  《报告》最后对数据安全建设提出了三方面建议,包括聚焦关键环节完善数据安全能力建设、结合业务流程深化数据安全工作开展、高度重视技术创新破局作用等。

  在《报告》发布的同时,奇安信还发布了对应五大举措落地的数据安全整体解决方案——数据卫士套件,分别为特权卫士、权限卫士、API卫士、隐私卫士和数据安全态势感知运营中心,简称“一中心四卫士”,旨在帮助企业解决当下最迫切的痛点问题,稳步有序落地体系化建设,提升整体数据安全能力。


关于消费头条 | 联系方式 | 发展历程 | 消费帮助 | 商务QQ:一八三1143408

备案号:沪ICP备13015512号-5 技术支持:苏州欢美科技 致力于信息传播并不代表本网赞同其观点,若有任何不当请联系。