数据安全风险分析及应对策略 研究 (2022年) 中国信息通信研究院云计算与大数据研究所 奇安信科技集团股份有限公司 2022年1月 版权声明 本报告版权属于中国信息通信研究院和奇安信科技集 团股份有限公司,并受法律保护。转载、摘编或利用其它 方式使用本报告文字或者观点的,应注明 “来源:中国信 息通信研究院 和奇安信科技集团股份有限公司 ”。违反上 述声明者, 编者将追究其相关法律责任。 前 言 数据作为一种新兴生产要素,已成为经济社会发展的核心驱动 力,与此同时日益严峻的数据安全风险为数字化转型的持续深化带 来严重威胁。为保障数字经济的健康有序发展,提高数据安全风险 防控能力,国家、行业、地方相继出台多项数据安全法律法规,并 接连开展相应的审查整治行动。总体来说,国内数据安全已进入合 规合法的强监管新阶段。面对日益严格的合规要求及数字化场景下 的新型安全威胁,本报告梳理了当前 数据安全面临的几个突出问题: 一是 APP对用户信息的过度采集 。大量非必要的个人信息聚集, 不仅滋生数据滥用等安全风险,也带来合规问题。 二是账号弱口令的使用普遍 。低成本的攻击门槛,容易导致特 权账号被盗取,带来内部管理难题的同时引入数据安全风险。 三是数据权限分配、 使用不透明 。当数据权限管理成为 “黑盒”, 越权访问、数据滥用等问题将无法管控。 四是 API接口成为新型攻击手段 。API作为应用与数据服务的 通信接口, 应用场景广泛, 已成为攻击者窃取数据的重点攻击对象。 五是数据安全的持续状态难以保持 。一方面,应用数字化改造 及数据消费场景较为复杂;另一方面,管理要求和技术落地存在一 定脱节,导致持续的数据安全状态难以保障。 针对以上问题,本报告结合实战化攻防演习的实践经验,提出 数据安全体系建设的行动思路和关键举措,旨在为组织开展数据安 全体系化建设提供参考和建议。 目 录 一、 数字化时代数据安全发展现状 ................................ ................................ ...... 1 (一) 数据安全进入法治化的强监管时代 ................................ .................... 1 (二) 数据安全事件频发安全 威胁日益严峻 ................................ ................ 2 (三) 技术架构演进伴生数据使用场景改变 ................................ ................ 3 二、 数字化时代下的数据安全 痛点 ................................ ................................ ...... 4 (一) 个人信息合规合法使用的监管应对难度增加 ................................ .... 4 (二) 账号、权限、 API成数据保护脆弱环节 ................................ ............. 5 (三) 数据安全状态持续 保障成落地难点 ................................ .................... 8 三、 解决数据安全痛点问题行动思路 ................................ ................................ .. 8 (一)明确数据安全总体战略 ................................ ................................ ......... 9 (二)建立数据安全管理机构 ................................ ................................ ......... 9 (三)落实安全策略精准管控 ................................ ................................ ......... 9 (四)持续保障数据安全运营 ................................ ................................ ........ 10 四、 解决数据安全痛点问题关键举措 ................................ ................................ .11 (一)管理与技术结合助力个人信息保护合规落地 ................................ ..... 11 (二)特权账号安全治理持续强化安全内控 ................................ ................. 12 (三)零信任数据动态授权赋能精细化管控 ................................ ................. 15 (四)完善 API安全防护体系的闭环建设 ................................ .................... 17 (五)围绕数据安全态势感知统筹数据安全运营 ................................ ......... 20 五、 数据安全建设发展建议 ................................ ................................ ................. 22 (一)聚焦关键环节完善数据安全能力建设 ................................ ................. 22 (二)结合业务流程深化数据安全工作开展 ................................ ................. 23 (三)高度重视技术创新破局作用 ................................ ................................ 23 参考文献 ................................ ................................ ................................ ................. 24 图 目 录 图 1 最常见的初始化攻击路径 ................................ ................................ ............... 5 图 2 不同场景下 API使用情况 ................................ ................................ .............. 7 图 3 API业务发展流程 ................................ ................................ ............................ 7 图 4 基于属性的数据动态授权机制 ................................ ................................ ..... 16 图 5 API安全防护体系 ................................ ................................ .......................... 17 图 6 数据安全运营总体架构 ................................ ................................ ................. 20 数据安全风险分析及应对策略研究( 2022年) 1 一、数字化时代数据安全发展现状 数字化时代,数据已成为数字经济发展的核心生产要素。 2020 年全球 47个国家数字经济增加值规模达到 32.6万亿美元,我国数字 经济规模位居世界第二接近 5.4万亿美元1。在此背景下,数据安全已 成为事关国家安全与经济社会发展的重大问题。 (一)数据安全进入法治化的强监管时代 法律制度是数据安全的重要保障。 当前我国数据安全法律法规建 设取得突飞猛进的进展。 国家层面 ,2021年9月1日《数据安全法》 施行,首次从法律层面明确数据安全保护义务,为开展数据处理活动 的组织和个人提供了行为指引, 填补了我国数据安全保护立法的空白。 2021年11月1日《个人信息保护法》施行,立足于数据产业发展实 践和个人信息保护的迫切需求,更全面地保障了个人权利,及时回应 了国家、社会、个人对个人信息保护的关切。 行业监管层面 ,2021 年9月30日工业和信息化部发布《工业和信息化领域数据安全管理 办法(试行)(征求意见稿)》并公开征求意见,旨在

pdf文档 2021-信通院-数据安全风险分析及应对策略研究

文档预览
中文文档 30 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共30页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
2021-信通院-数据安全风险分析及应对策略研究 第 1 页 2021-信通院-数据安全风险分析及应对策略研究 第 2 页 2021-信通院-数据安全风险分析及应对策略研究 第 3 页
下载文档到电脑,方便使用
本文档由 思安2023-10-18 22:00:40上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言