新冠肺炎疫情防控期间数据安全工作分析和建议
作者: 日期:2020年02月11日 阅:9,154

作者:思维世纪

1、背景

新冠肺炎疫情防控正在进入“逐户逐人式”定点清除感染源阶段。当前,清查瞒报和漏报,划分疑似感染病例等取得显著成果;其中,大数据分析技术支撑得到党和国家认可。显然,在下一阶段感染人数进入平台期、回落期,大数据分析技术亦将发挥出不可缺失作用。

尽管如此,疫情数据和用户数据分析与共享存在风险不容忽视。

(一) 在防疫期间,政府机关、疾控机构等组织与运营商合作开展疫情大数据分析,实现对全国疫情相关的人员流动、发展态势等分析挖掘及预警,对疫情防控工作起到重要支撑作用。但在当前特殊时间,数据的使用、结果的共享等操作难以有效实施明示知告以获得数据主体的授权同意,数据在也可能存在多方共享使用的情况。在当前法律法规未明确针对突发公共卫生事件等进行授权或数据安全免责的情形下,相关工作可能存在潜在的法律合规性风险。《网络安全法》、《个人信息安全规范》等法规条例都对数据保护提出明确要求,疫情后续的数据安全泄露风险突显。

(二) 在防疫期间,政府和企业内部管理将有网络与信息安全管理松懈和漏洞风险发生。目前,大专院校严禁学生提前返校并规模化使用“雨课堂”教学,中小学使用“钉钉课堂”,非必要机关关闭服务窗口,企业亦不可特立独行,远程办公、移动办公以及轮班制极有可能维持较长时间。那么,疫情之前常规安全规范、审批流程等必然受到挑战,加之,不可避免的“必要绕过、便宜行事”都将掩埋下新安全隐患。

(三) 在防疫期间,由于资源调整,监管机关、疾控主管、医疗机构等单位网络与信息防护极有可能出现防护空洞风险,如数据操作日志、安全入侵日志得不到及时审核;如访问控制系统临时关闭;如系统和组件得不到及时升级等等。

如上风险客观且可预知,同时在“全民抗疫”情况下,安全工作似乎天然需要退让。其实不然,安全工作远不止作用当下,更加为了服务未来。安全事业诸多同仁仍然通过“适当勤勉”,把安全工作做实做细就是平衡安全与发展。以下内容第二章节进行风险中,数据泄露途径分析和数据泄露影响分析;第三章节给出安全工作建议。

2、风险分析

第一部分,即背景部分提出风险可总结为数据泄露风险,特别注意的是:是将来数据泄露风险。

2.1、数据泄露途径分析

针对当前疫情防控工作中涉及数据,可能泄露途径如下:

1)数据接收方管理不当

本次防疫工作中,政府机关、疾控中心、支撑单位等数据接收方可能由于安全管理不当、技术防护手段未及时跟上,从而造成数据泄露,此途径可行性较高。

(1)合作数据接收方未建立有效的数据安全管理制度,数据在大数据分析平台等系统未有效落实技术防护手段防护,造成数据在系统上存储使用过程中被窃取或泄露。

(2)合作数据接收方未限制传播数据,即数据接收方向受控或不受控第三方人员传播数据;

(3)合作数据接收方未尽到数据保护职责,造成数据遗失,如使用不受控使用存取介质传递数据,或应用系统安全防护级别较低(医疗线条业务系统安全性一直较低)。

2)合作方截留访问权限

随着疫情发展,企业要求合作尽量远程办公,如此必然会给合作开放更多权限,如VPN账号创建、从账号提权、授权时间延长、较敏感资源分配等。

历史经验表明,可能访问控制管理很少实现闭环管理,即“开放-授权-提权-降权-回收-关闭”,会有较多不合规身份、账号会或短期或长期存在于网络和应用。

针对本次疫情,第三方有意或无意,截留临时账号或高权限账号,并在后期进行有意或无意非法数据访问,此途径可行性高。

3)内部人员“混水摸鱼”

一方面,企业管理工作较为完善,安全系统部署完整,简单的数据窃取很难实施;另一方面,内部员工威胁管理一直是管控重点。但随着网络地下交易市场不断提高数据收售价格,内部人员泄露数据风险居高不下。

针对本次疫情,内部人员利用便利条件,拷贝数据或借机超范围提取数据,并掩藏痕迹,此途径可行性较高。

4)服务器被非法入侵

网络犯罪一直与社会活动如影随形,本次疫情极有可能成为网络犯罪高发期。一方面,“脚本小子”可能利用安全策略调整“契机”,发起新的数据窃取;另一方面,重点企业应用服务器一直被攻击重点对象。

针对本次疫情,应用服务器有可能被攻破,造成数据丢失,此途径可行性一般。

5)接口被非法调用

本次防疫工作中,可能涉及对多部门多单位开放数据接口。需要注意的是,开放的数据接口定由一些专业编码人员或架构人员调试和使用。故,接口白名单管理、接口参数过滤、接口访问权限控制等应实现细粒度管理。

针对本次疫情,开放接口很可能被非法拼接参数、非法归属地、超频访问、Token重复提交等攻击,非法获取超范围数据,此途径可行性较高。

2.2、数据泄露影响分析

数据泄露可能影响需要进行细致分析,以便我们开展下一步行动:

1)数据泄露事件

针对舆情发展规律,在可预期将来,数据泄露事件可能来自:

(1)互联网媒体\自由撰稿人可能引爆负面舆论;

(2)病患用户可能主动维权;

(3)地下交易市场可能出现数据买卖。

2)数据泄露隐患

(1)数据版本模糊不可溯源,即无法确认数据泄露源头。

(2)50%安全责任变成100%安全责任,作为数据控制者数据泄露必然承受50%责任。尽管如此,如果无可证安全保护措施的情况下,可能导致数据控制方100%承担责任,即发生责任不合理转移。

3)数据泄露影响

(1)品牌价值降低。数据泄露可能造成品牌力降低。

(2)主要负责人将被追责。当前,多数社会舆论事件爆发很难预知和控制。针对事件进行追责往往主要管控手段。

(3)影响社会稳定,破坏民族团结。数据安全以及个人信息保护一直存在很深社会效应和伦理效应,引爆的舆情社会极有可能对社会发展造成负面影响。如,个人信息的泄露可能导致千万用户被骚扰欺诈等不良事件发生。

(4)影响国家安全。由于大数据量大、数据精准。如果管理不当,会使大量数据、甚至大量个人信息泄露,可能形成重要数据泄露安全事件,影响国家安全。

3、工作建议

疫情防控工作危急且艰难,故,针对数据安全不宜全覆盖、系统化地开展,建议“有侧重,分缓急”,落地重点管控点,甚至可考虑着力工作小技巧。

3.1法律风险控制

法务部门牵头,安全部门、党群部门、综合部配合进一步研讨数据安全、客户个人信息安全法律法规,对新版网络和信息安全领域法律法规进行汇编和解读,形成控制矩阵,并保持对本次疫情相关安全舆情高度关注。

特别是,各部门充分了解并分析疫情期间大数据支撑综合分析、数据共享、数据使用过程中存在的法律及合规性风险,并提出相应的储备方法与措施,形成分析报告上报公司领导。

3.2、内部人员管理

针对涉及疫情期间数据共享交换相关人员,要求形成开展背景调查(留存记录),最大化降低员工因为经济原因(经济窘迫、家庭困难等)、政治原因、技术原因造成故意非故意数据或客户信息泄露,如经济窘迫、家庭困难员工可能铤而走险参与数据买卖;如关键数据管理岗位落实党员责任制;如着手替换专业不符、技术不合格关键技术人员。

多维度强化数据安全和客户个人信息保护教育(并留存记录),包含但不限于:

1)办公OA\业务系统添加法律推送,维护终端\办公终端设置警示语,办公室、电梯间、会议室进行信息安全犯罪案例分享。

2)全员网络安全、数据安全知识有奖竞答,通过自设定竞赛题,潜移默化提升安全意识。

3)进行安全知识和技术集中学习,特别地侧重数据安全事件发现和识别。如数据安全窃取场景,数据安全事件早期特征,数据泄露事件回溯等。

4)要求数据安全领域关键合作方开展数据保护培训,并向主管单位报备教育\培训记录。

3.3、数据访问管理

在疫情期间,数据访问管理缺位是数据泄露风险重要来源之一。访问控制是重要且有效防护手段,本阶段务必做到访问管理措施不失位。

1)复核并更新涉敏系统清单、涉敏人员库,并分析敏感账号申请流程,杜绝关键环节控制不到位情况。

2)在疫情期间,所有在线平台可能来自合作单位、互联网用户规模化访问与回流,操作日志和访问日志量可能指数级增长,故在保证业务系统正常运行情况下,应按日开展涉敏系统审计工作。

3)依托安全管理平台平台,规范业务支撑系统开发建设、维护过程、敏感数据使用,针对开发人员、运维人员和使用人员对于敏感数据的操作行为进行审计。

4)做好堡垒机日志、防火墙日志异地转储,并实现按日审核,隔日排查;做好其他安全设备和系统策略变更日志管理,亦要求实现按日审核,隔日排查。

5)阻断所有来自境外、异常请求连接;关停来自可疑合作渠道,以及可能造成批量数据泄露接口和功能模块。
其他宜开展工作,酌情实施,包含但不限于:

(1)互联网暴露面安全检查,如漏洞扫描、渗透测试、逆向分析等常规安全作业。

(2)业务安全检查,可重点排查设备组件安全漏洞、业务逻辑缺陷、弱口令等可导致敏感数据泄漏的安全风险。

(3)做好“撞库攻击”、“邮件欺诈”等社会工程攻击的风险防控。

3.4、数据共享管理

数据共享看似存在完全不可管控风险,但可以结合前述“勤勉原则”,确保可能安全事件发生后,有声可发,有迹可循。

1)共享管理流程

(1)要求做好数据管理流程内部管控,即“该审核,审核”、“该签字,签字”,内部流程不得绕行,不得代替。

(2)做好数据交换确认书签署准备工作,即在疫情过后,着手与防疫部门和其他合作方签署书面文件。

2、共享管理技巧

本次数据共享十分必要但风险亦不低。应特别重视数据共享管理技巧,包含但不限于如下措施:

(1)要求所有共享交换数据留存备份,且备份永久加密逻辑隔离保存。加密密钥及数据按最高敏感级实施保护。

(2)所有共享交换数据保存数据特征,如时间、格式、大小、哈希值,形成数据目录,数据目录互备存储。

(3)所有共享数据通过加密通道或文件加密形式传递,密钥生成包含数据接收方特征。

(4)针对文件格式共享数据,要求增加在文件属性字段增加冗余数据,如标题、标记、备注、用途、版本等。

(5)针对数据库文件、标准格式文件要求根据数据分发对象、分发时间添加冗余字段。

(6)针对所有打包数据要求添加数据摘要信息文件、安全保护要求文件等。

(7)针对可读写可视文件,要求添加不影响阅读数字水印。

3)防护技术支撑

针对防疫期间数据共享,可考虑如下关键技术支持:

(1)流转溯源水印

针对数据对外数据共享所可能发生安全事件后带来的泄露路径难以定位、安全事件定责困难等,考虑实现数据库水印技术、文档水印等技术手段,技术手段由安全部门牵头,党群部门、综合部协同。技术手段可对泄露后取证的数据技术验证以实现安全定责。

对于通过文件导出共享的场景,可以通过对文件头及文件内的记录嵌入水印的技术,对于通过接口共享的场景,可以采用数据库记录嵌入水印的技术。对记录嵌入水印可以采用冗余行、列、记录置换、字符变换等方法实现。

对于公司内部敏感文件的使用,可考虑联动办公系统实现公司网络范围、物理范围内实现文档水印管理。

(2)数据脱敏

更新本阶段数据共享脱敏策略,包含但不限于:

  • 脱敏数据接收单位提供查询条件字段,保证用户一定匿名性。如,数据接收单位提供电话号码,则运营商提供文件为脱敏电话号码;如数据接收单位提供身份证号码,则运营商提供数据为脱敏后身份证号码。
  • 提供数据中精确数据(如家庭地址、姓名、身份证号码、时间)要求50%以上数据字段实现脱敏。
  • 灵活使用脱敏算法,如替换不定位数,删除或前或后特征数据,采用加密等。
  • 安全部门做好脱敏处理技术安全评估,业务部门留存操作记录,做好数据脱敏处理安全审计。

(3)身份认证

针对在线数据交换传输场景,在接口调用,数据块传输前,引入人脸识别,采集并留存接收端责任人身份特征。

(4)数据加密

部署密码管理体系,全面落地密钥的生成、分发、验证、更新、存储、备份、有效期、销毁,实现场景化加密策略,要求在线传输100%加密通道,要求实现线下敏感文件加密交换功能。

3.5、互联网&暗网情报监测

根据前期工作经验,80%安全事件来源于互联网爆料和暗网情报。故,针对互联网和暗网情报监测,应常态化开展,建议至少维持到疫情结束后起6个月外。监测工作包含但不限于:暗网交易市场、漏洞平台、境外不良网站、网络舆情、网络投诉和被黑网站。

3.6、数据治理体系建设刻不容缓

当然,可以看出数据可能将在未来很长时间成为新业务增长点,数据保护亦将成为新挑战。针对性数据(安全)治理工作才是综合的解决方案。

应该督导安全部门、数据管理部门开展本地化数据治理,可以想像,成熟的完备的数据资产管理、数据风险检测手段、数据安全监测技术、数据安全防控平台会更好应对类似于本次数据管理风险。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章