本篇是《数据安全体系【数据绿洲】建设指南》系列文章第六期,将介绍数据共享开放场景潜藏的多维安全风险,并给出相对应的防范建议及落地解决方案。
随着新一代IT技术与实体经济的融合,各行业机构业务的数字化转型逐步深入,城市建设向新型智能化发展,国家围绕数字中国建设、数据要素化和数据交易等新型基础设施建设的投入不断加大,各种创新数字化应用场景不断涌现,网络安全也随之进入数字化安全时代。
数字经济加速发展,对数据全生命周期治理提出刚性需求。数据共享开放作为数据全生命周期中发挥价值的关键基础一环,其安全重要性不言而喻。
数据共享开放场景安全风险
当前数据共享开放场景安全风险主要表现以下几个方面:
1、在数据共享开放前:数据拥有者应充分识别、评估数据共享的范围,并按照相关法律法规和技术标准进行共享。如未进行安全评估,或防护措施不到位,则容易发生数据被未授权访问、使用,进而引发数据泄露或滥用。
2、在数据共享开放中:敏感数据因自身特征及价值,容易作为攻击者攻击目标或内部人员获利目标。各业务口在向交换平台数据中心发起请求时,如数据平台API接口没有审核机制控制,则很难进行数据共享审计,且在发生问题时也无法进行溯源。此外,数据平台API接口在应用部署和管理时,应警惕API漏洞导致数据被非法获取、网络爬虫通过API爬取大量数据、API请求参数被非法篡改等风险。
3、在数据共享开放后:如数据脱敏、审计监控等方面存在安全缺陷,则容易导致数据失控。一旦发生敏感数据泄漏,如何回溯泄露源头、追踪泄露路径、实施调查取证将成为重要安全挑战。
数据共享开放场景解决方案
启明星辰针对数据共享开放安全,通过数据分类分级与风险合规系统DSMP-CRCS、API接口网关、数据库审计、数据水印、数据脱敏及相关数据安全能力组件、数据安全服务的配合,帮助建立完整、常态化数据安全管理体系,防范数据共享开放安全风险,把控数据共享开放全链条。
1、数据共享开放前:可利用数据分类分级与风险合规系统DSMP-CRCS解决数据分类分级及数据安全风险评估等问题。
启明星辰数据分类分级与风险合规系统DSMP-CRCS创新性的将数据安全分类分级、数据合规检查与风险评估融为一体,包含数据源统一管理、数据自动分类分级与人工复核、多个行业的数据分类分级知识库,提供数据安全合规检查与整体风险评估服务,为数据安全防护体系建设提供基石。
2、在数据共享开放中、后:可利用API接口网关、数据库审计、数据水印、数据脱敏等技术能力解决数据泄漏及溯源问题。
通过API接口网关对API请求进行认证控制,保证所有API请求是经过审批通过的,未认证API无法进行数据获取;并对API接口业务行为进行记录,方便管理人员进行查询。
通过数据库审计系统针对数据库操作行为进行细粒度审计,将源数据提取转换和同步整合给目标数据的能力。它通过各类数据库访问行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,同时加强内外部行为监管、促进核心资产的正常运营。
通过数据水印系统将水印标记嵌入到原始数据中,数据进行分发后能实现泄露数据溯源,具有高隐蔽性、高易用性、高管理融合性等特点。通过系统外发数据行为流程化管理,对数据外发行为事前数据发现梳理、自动生成水印、外发过程中嵌入水印、数据源追溯等功能,避免了内部人员外发数据泄露无法对事件追溯,提高了数据传递的安全性和可追溯能力。
通过部署数据库脱敏系统,可以对数据共享交换过程中,第三方开发,数据分析以及教学时所抽取的敏感数据信息(如姓名、证件号、地址、金额等等)进行遮蔽、替换等处理,保护客户敏感数据不被泄露。
除以上解决方案以外,还可通过隐私计算服务提供的联邦学习、多方安全计算等数据安全保护技术,在保障数据隐私与合规的前提下,促进数据共享安全,实现“原始数据不出域、数据可用不可见”以及“数据使用可控可计量”等安全目标,有效避免数据泄露、数据滥用等安全问题。
启明星辰集团深耕数据安全产业二十余载,沉淀了深厚的数据安全技术经验,形成了完整的数据安全产品生态,广泛地部署于各行业的业务当中,帮助用户构建全方位、多层次的数据安全防控体系,助力我国数据安全产业健康发展。
Copyright © 启明星辰 版权所有 京ICP备05032414号 京公网安备11010802024551号