不知何時,你的手機暴響,一個曖昧或口氣渾濁的女音如同剛剛和你劈過腿的問你:大哥,你最近股票賺嗎?我拉你進一個免費的股票交流群吧!
你果斷掛掉電話,將其拉入黑名單,并將手機調成震動模式。不久,它又開始肆意地震蕩:先生,我是某P2P平臺客服,關注到您還有資金沒有退出,現在我們為您提供了快速退出通道,您可以加QQ號 ……
“MD,又是一個騙子!”你氣憤的掛斷電話,打開電腦準備查收工作郵件。這時,你的郵箱“砰砰砰”冒出十幾封未查看的郵件,有向你推薦保險的,有詢問你是否需要購買發票的,有賣茶葉的,還有向你介紹“保健產品”的 ……
“理財推薦”、“房屋中介”、“保險推薦”、“健康理療”……,我們的生活正在被這些無窮無盡的詢問、搭訕、騷擾、窺探、設置詐騙,所包圍!
還有讓你更驚恐的:當你剛買完房子,就有人問你要不要裝修;當你剛買完車子,就有人問你要不要買車險;當你剛生完孩子,就有人問你要不要母嬰用品……
大數據在給我們的工作生活帶來便利的同時,數據安全治理問題也依然迫在眉睫!
— 01 —什么是數據安全?
數據安全是數據的質量屬性,數據安全的目標是保障數據資產的保密性(Confidential)、完整性(Integrity)和可用性(Availability),簡稱CIA,也被稱為數據安全三要素模型,可幫助企業保護其敏感數據免受未經授權的訪問和數據泄露。如圖1所示:
圖1:數據安全三要素模型
(1)保密性(Confidentiality)
數據保密性,又稱機密性,是指個人或組織的信息不為其他不應獲得者獲得,確保只有授權人員才能訪問數據。間諜或黑客有可能會造成數據的保密性問題,引發數據的泄露和濫用。
(2)完整性(Integrity)
數據完整性是指數據在傳輸、存儲信息或使用過程中,保障不被未授權的篡改或在篡改后能夠被迅速發現,確保信息可靠且準確。
(3)可用性(Availability)
數據可用性是一種以使用者為中心的設計概念,確保數據既可用又可訪問,以滿足業務需求,可用性重點在于讓產品的設計能夠符合使用者的習慣與需求。高并發的訪問或者DOS網絡攻擊,會引起網絡的堵塞,破壞數據的可用性,例如:2013年底的春運搶票造成了12306網站的癱瘓,嚴重影響了用戶的購票體現。
《一本書講透數據治理》書中提到的數據安全除了確保數據的保密性,可用性和完整性之外,還包括數據私密性(數據隱私)。數據隱私是指恰當、合規的使用數據。當企業或個人使用數據或信息時,應獲得授權,并且根據約定的目的使用數據,不得濫用數據。在某些情況下,企業未經事先批準就將大量消費者信息出售、披露或出租的給其他第三方,是違法的。
—?02?—數據安全風險來自哪里?
關于數據泄露及數據安全威脅,威瑞森(Verizon)數據泄露調查報告(DBIR)提供了重要的觀點。2019年版的DBIR報告顯示:69%的安全事件是外部人員所為;34%的違規行為涉及內部參與者;2%涉及合作伙伴參與;5%為多方當事人;39%的違法行為的幕后主使是有組織犯罪集團;23%的違規行為被確定為民族或國家的行為者參與了。
我們可以將導致數據泄露的問題分為四類:黑客(目標性攻擊的外部人員),惡意的內部人員,第三方(合作商、供應商),內部人員的失誤。
(1)有目標性攻擊的外部人員——黑客
數字化時代,數據是企業的寶貴資產能夠為企業創造經濟利益,這些數據資產在不法分子眼中同樣具有很高的利用價值。隨著有組織的網絡犯罪活動不斷的上升,目標性攻擊越來越傾向于竊取信息,以達到獲取經濟利益的目的。通過一定的網絡技術對信息或數據進行攻擊、篡改、竊取的行為者,我們一般稱之為“黑客”。黑客竊取信息的手段如表1所示:
表1:來自黑客的數據安全威脅
|
序號
|
攻擊類型
|
說明
|
|
1
|
惡意軟件
|
惡意軟件也叫做“流氓軟件”,是為了獲得未經授權的訪問或造成損害的目的開發的軟件。惡意軟件的形式多種多樣,惡意軟件的形式多種多樣,例如:行為紀錄軟件、瀏覽器劫持軟件、搜索引擎劫持軟件、欺詐性廣告軟件、自動撥號軟件、盜竊密碼軟件等。
|
|
2
|
網絡病毒
|
可以通過網絡傳播,同時破壞某些網絡組件(服務器、客戶端、交換和路由設備)的程序,例如病毒,蠕蟲,特洛伊木馬等違法犯罪軟件。一旦網絡病毒感染一臺計算機,它就可以在網絡中迅速傳播,對計算機系統造成非常大的傷害,甚至癱瘓服務器。
|
|
3
|
DDoS攻擊
|
DDoS攻擊全稱是分布式拒絕服務攻擊,它可以使很多的計算機在同一時間遭受到攻擊,使攻擊的目標無法正常使用。
|
|
4
|
電子郵件轟炸
|
電子郵件轟炸也就是通常所說的郵件炸彈,指的是用偽造的IP地址和電子郵件地址向同一信箱發送數以千計、萬計甚至無窮多次的內容相同的垃圾郵件,致使受害人郵箱被“炸”,嚴重者可能會給電子郵件服務器操作系統帶來危險,甚至癱瘓。
|
|
5
|
網絡欺詐
|
攻擊者佯稱自己為系統管理員(郵件地址和系統管理員完全相同),給用戶發送郵件要求用戶修改口令(口令可能為指定字符串)或在貌似正常的附件中加載病毒或其他木馬程序。
|
|
6
|
網絡監聽
|
網絡監聽是主機的一種工作模式,在這種模式下,主機可以接受到本網段在同一條物理通道上傳輸的所有信息,而不管這些信息的發送方和接受方是誰。
|
(2)惡意的內部人員
惡意的內部人員是指一些員工故意竊取數據或破壞系統,例如,使用該數據來建立競爭性業務,在黑市上出售所竊取的數據,針對真實或可感知的問題向雇主進行報復。根據Verizon數據泄露調查報告顯示有34%的數據泄露行為來自內部參與者。而國內《財經》曾報道稱,目前已有80%的數據泄露,都是企業內部員工所為,“黑客”攻擊,不過是數據泄露來源的冰山一角。
2020年4月,據搜狐網報道,投資失敗的民警肖某在苦尋投資之道時發現了“商機”——盜取公民信息出售。他利用工作便利,盜用同事的數字證書,登錄公安"云搜索",非法獲取公民行蹤軌跡、住宿信息、車輛軌跡等個人信息,并通過支付寶、QQ群打廣告,非法出售。不到兩年時間里,獲利180余萬元。日前,衡陽市中級人民法院二審審理了該起案件。
2018年12月,在大名鼎鼎的暗網上,60萬個賬號的12306旅客信息被出售,涉及410萬名旅客信息,包含姓名、身份證號、手機號、登錄賬號密碼等信息,并且賣方還免費公開了部分賬號,供買方驗證。這個事件一時吵得沸沸揚揚,12306官方還進行了辟謠,但很快警方通報,在暗網上售賣60萬個12306賬號的數據販子,就是北京某科技公司的職員。目前該案件還在審理中。
2012年8月,據《東方早報》報道:數十萬條新生兒信息遭倒賣,30歲的張某到案后,交代了其利用開發、維護市衛生局出生系統數據庫的職務便利,于2011年初至2012年4月,每月兩次非法登錄該數據庫,下載新生兒出生信息累計達數十萬條,并出售給李某非法獲利3萬余元。
注:以上數據安全事件均來自于公開的新聞報道。
企業數據泄露的一個重要威脅是來源于企業內部,來自內部人員的數據泄露往往造成的破壞和影響是巨大的并且讓人防不勝防。盡管很多企業都意識到了這一點,對能夠接觸到數據的員工簽訂了保密協議,并進行了數據安全的教育和培訓,然而在利益的驅使下,還是會有人鋌而走險。
(3)來自第三方的威脅
缺乏足夠網絡安全性的合作伙伴和承包商也可能是企業數據泄露的一個重要渠道。無論是由于服務提供者所管理的在線資源配置不當、還是不安全的第三方軟件,或是與第三方不安全通信渠道,如果企業并未有足夠地關注與防范,那么與第三方合作可能會使企業面臨巨大的數據安全風險。
2018年3月,Facebook的5000萬用戶信息被泄露和濫用事件,據報道就是被第三方合作伙伴劍橋分析公司泄露和濫用的。
2018年6月,賽門鐵克的身份保護服務Lifelock的網站上一個程序漏洞暴露了數百萬客戶的電子郵件信息,而問題就出在由第三方負責管理的網站頁面。
2018年5月,為醫療機構提供醫療轉錄服務的語音識別軟件供應商Nuance,因系統漏洞,導致包括舊金山衛生局和加州大學圣迭戈分校在內的客戶信息泄露,曝光了4.5萬份患者記錄。
注:以上數據安全事件均來自于公開的新聞報道。
(4)內部人員的失誤
企業缺乏數據安全管理體系或對數據不關心,從而導致的數據破壞;企業人員缺乏數據安全意識有有效的數據安全培訓而無意泄露數據;缺乏數據安全的專項技能,不具備崗位技術要求導致的數據泄露或被盜。疏忽和意外是造成企業數據安全事件的一個主要原因。使用數據的用戶或系統管理員的造成的意外失誤雖然無辜但代價高昂,例如,將文件復制到其個人設備,不小心將包含敏感數據的文件通過電子郵件發送給了非授權的收件人等。
數據安全風險是數據安全治理的起點,正是由于有了風險、有了特定威脅動機的威脅源,使用各種攻擊方法、利用信息系統的各種脆弱性、對信息資產造成各種影響,才引起了數據安全問題。
—?03 — 數據安全治理的定義
根據國際標準化組織(ISO)對計算機系統安全防護的定義:“為數據處理系統建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因遭到破壞、更改和泄露”。
由此我們可以將數據的安全理解為:通過采用各種技術和管理措施,使網絡系統正常運行,從而確保數據的可用性、完整性和保密性。換句話說,數據安全管理就是確保數據未被未經授權的個人或組織使用或訪問所有策略和流程。
在Gartner 2017安全與風險管理峰會上,分析師Marc發表《2017年數據安全態勢》演講,提及了“數據安全治理(Data Security Governance)”,Marc將其比喻為“風暴之眼”,以此來形容數據安全治理(DSG)在數據安全領域中的重要地位及作用。
Gartner對數據安全治理的基本定義:“數據安全管理絕不僅僅是一套用工具組合的產品級解決方案,而是從決策層到技術層,從管理制度到工具支撐,自上而下貫穿整個組織架構的完整鏈條。組織內的各個層級之間需要對數據安全治理的目標和宗旨取得共識,確保采取合理和適當的措施,以最有效的方式保護信息資源。”
筆者認為:數據安全治理是從企業戰略、企業文化、組織建設、業務流程、規章制度、技術工具等各方面提升數據安全風險的應對能力的過程,控制數據安全風險或將風險帶來的影響降至最低。
通過采用一系列數據安全策略,應用系統和技術來保護網絡上的數據文件,數據庫中的敏感信息。數據安全策略和技術可以識別數據集信息敏感性、重要性、合規性等要求,然后應用適當的保護措施來保護這些數據資源。
數據安全治理涉及多種技術,流程和實踐,以確保數據的安全和防止未經授權的非法訪問。同時,數據安全治理還應專注于保護個人敏感數據,例如:個人身份及聯系信息或關鍵業務知識產權。
—?04 — 數據安全治理的體系
數據安全治理主要是圍繞著數據安全的脆弱性,針對面臨的各種風險,制定針對性的策略,將風險減少至可以接受的程度。在整個數據安全治理的過程中,最為重要是通過制定合適數據安全策略。
企業數據安全治理體系是一個以風險和策略為基礎,以運維體系為紐帶,以技術體系為手段,將三者和數據資產基礎設施進行有機結合的整體,貫穿于數據的整個生命周期。通過將技術、管理、制度和人員的要求等措施相互結合,最終實現數據安全治理目標。如圖2所示:
圖2:數據安全治理體系構成企業數據安全治理體系主要包含以下五個部分:
數據安全治理目標:重點強調安全目標與業務目標的對其;
數據安全管理體系:主要包括:組織與人員,數據安全認責策略,數據安全管理制度等;
數據安全技術體系:主要包括:數據全生命周期的敏感數識別,數據分類與分級,數據訪問控制,數據安全審計等;
數據安全運維體系:主要包括:定期稽核策略、動態防護策略、數據備份策略、數據安全培訓等;
數據安全基礎設施:重點強調數據所在宿主機的物理安全和網絡安全。
圖3:數據安全治理各體系之間的關系如上圖,數據安全治理體系架構中,數據安全策略是核心,數據安全管理體系是基礎,數據安全技術體系為支撐,數據安全運維體系是應用。數據安全策略通過管理體系制定,通過技術體系創建,通過安全運維體系執行。數據安全治理從戰略和戰術層面支撐數據治理的開展,通過實施安全訪問、分級分類、合規使用的數據安全策略,以實現業務的目標,例如:滿足法律法規要求,保護消費者隱私等。注:本文摘自《一本書講透數據治理》,機械工業出版社。本文重點介紹了數據安全的定義,數據安全威脅的來源,并給出了數據安全治理的框架,下篇我們將重點分享數據安全治理的策略和相關技術。??
(部分內容來源網絡,如有侵權請聯系刪除)
