数据安全 & 个人信息保护

  领导九月就布置的任务被博主拖到了国庆（红豆泥斯密马赛😂）要把一份五百页的白皮书，整理成五十页的 PPT，实在无法下手，不过数据安全和个人信息保护法本身也是博主喜欢的方向，正好借此契机，整理一篇笔记，供各位学习交流。

前言

  数字经济是继农业经济、工业经济之后的主要经济形态，事关国家发展大局，而数据安全作为促进数据开发利用和产业发展的基础支撑，是推动以数据为关键要素的数字经济高质量发展的基石。数字时代，如何构建数据安全体系，增强数据保护能力，提升数据治理水平，成为事关企业生存发展的重大战略问题。

  国家高度重视数据安全发展。2021 年 9 月 1 日，我国第一部数据安全领域的专门法律《数据安全法》正式施行。该法与《网络安全法》《密码法》《个人信息保护法》等一起构建了数据安全法治化发展的基本体系，引导和鼓励各行业完善数据安全工作机制，推动数据安全技术产品、应用范式、商业模式协同创新，健全数据安全生态体系，不断壮大数据安全产业规模。

业务风险驱动数据实战保护

数据开发利用支撑行业数字转型

数据要素价值释放赋能高质量发展

  在数据时代，以大数据为代表的信息资源向生产要素形态演进，数据已同其他要素一起融入经济价值创造过程。与其他资源要素相比，数据资源要素具有如下特征

1. 数据体量巨大
2. 数据类型复杂
3. 数据处理快，时效性要求高
4. 数据价值密度低

数据安全威胁影响企业生存发展

数据安全能力建设有待加强

  当前，信息技术快速演进，数字经济蓬勃发展，促使海量数据资源汇聚融合、开发利用，推动数据价值的正向发挥，但也带来了严峻的数据安全挑战。着眼于国外，数据潜在价值的凸显，使得各国高度重视并围绕数据开展战略博弈，全球数据安全形势日益严峻；着眼于国内，高价值数据泄漏、个人信息贩卖情况突出，新技术迭代衍生出新的风险，针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新，经济、政治、社会等各领域遭受巨大影响。其背后凸显出的是，数据安全整体管控不足、安全建设滞后于业务建设、数据安全能力建设有待提升的产业现状。

  安全本身就是一种业务需求，通过实现“不希望发生什么”，从而确保“发生什么”。但在实际调研中，企业出现安全投入比例不足、安全建设与业务功能建设不同步等情况，大多源于数据安全需求被企业管理者放在“次要地位”。安全需求重视程度不够可用两个经济学原理来解释：一是安全需求本身具备经济学的外部效应特征，即消费方与受益方不一致。以化工厂为例，如果没有《环境保护法》等法律法规制约，在不考虑社会责任的情况下，其最经济的选择是就地排污排废。就数据保护而言，如果没有外部的合规要求，数据泄露最直接的受害者就是老百姓，而对企业等数据处理者的自身利益没有实质损害。二是管理者的行为遵从 Prospect Theory（前景理论），意味着人对损失和获得的敏感程度是不同的，损失的痛苦要远远大于获得的快乐，映射到数据安全就是：“管理者往往认为自己是幸运儿，数据泄露等风险不会发生在自己身上”。因此，对数据的服务者提出基础性的安全保障要求，如将密码应用保障数据安全的要求通过法定程序转化为国家意志，对于提升国家安全具有积极意义。

个人信息泄露呈现三高特征

  在电信业务流转中的个人信息，涵盖身份信息、网络偏好、位置信息、社交特征、消费账单、通信使用状况、手机终端型号等数据，在真实性、规模性、多样性等方面具有独特优势，被赋予了高附加值属性。这些个人不仅是各行业的核心资产，也成为实现分析服务、智能决策的有效抓手，并在有效利用中进一步凸显价值属性。

  由于高附加值属性引发蓄意持续的攻击，以及针对安全攻击能够带来高回报率，目前我国个人信息的安全状况相当严峻，个人信息安全事件呈现出大幅上升的势头。掌握大量个人信息的商业银行、电信运营商、电商平台、交通旅游业企业等成为案发重灾区，相关案例屡屡见诸媒体。总体来看，个人信息泄漏呈现出“高损化”“高频化”“高显化”三大特征。

1. “高损化”体现在不论是丢失或泄露客户个人信息，还是涉及核心商业秘密的敏感数据，不仅给企业造成的损失难以估量，甚至会引发用户不满、社会动荡，乃至国家安全；
2. “高频化”体现在企业正在遭受有针对性的大规模高频率攻击，这些攻击不仅能够快速找到防御体系中潜藏的漏洞和薄弱区，还能模拟合法行为模式以绕开和躲避安全工具，让运营商防不胜防；
3. “高显化”体现在自媒体的快速传播下，数据泄露事件常常跻身头条、影响巨大，企业将面临品牌声誉受损、用户不信任、舆论压力谴责等严重影响。

  2021 年 11 月 1 日，《中华人民共和国个人信息保护法》正式施行。《个人信息保护法》就“个人信息处理规则”、“个人信息跨境提供的规则”、“个人在个人信息处理活动中的权利”、“个人信息处理者的义务”、“履行个人信息保护职责的部门”等，以及相关各方的“法律责任”作出了明确界定。该法统筹私人主体和公权力机关的义务与责任，兼顾个人信息保护与利用，为个人信息保护工作提供了清晰的法律依据。《个人信息保护法》是我国保护个人信息的基础性法律，奠定了我国网络社会和数字经济的法律之基。个人信息受到应有的保护是社会文明进步的重要标志之一，也是我国法制建设与国际接轨的有力举措。基于此，与个人信息相关的行业企业，需要提高对个人信息保护工作重视程度，依照个人信息保护法要求，建立起行之有效的保护体系。基本措施包括：

1. 建立和完善相关的组织机构
2. 加强个人信息保护技术的应用
3. 落实个人信息处理者责任

数据安全市场发展空间巨大

  根据 IDC 发布的《数据时代 2025》报告，到 2020 年，全球数据量达到了 60ZB，2025 年将达到 175ZB，接近 2020 年数据量的 3 倍。同时，IDC 预测中国数据量增速最为迅猛，预计 2025 年将增至 48.6ZB，占全球数据圈的 27.8％，成为全球最大的数据圈。

  据海外市场研究机构 VMR 统计，2019 年全球数据安全市场规模约为 173.8 亿美元，且预计到2027年全球数据安全市场规模将达到572.9亿美元，年复合增长率约为17.35%。而中商产业研究院统计数据显示，2019 年我国数据安全市场规模仅为 38 亿元，仅占全球数据安全市场规模的 3.4%，与我国整体数据量在全球 27.8％的占比仍有较大差距。由此可见，未来中国数据安全市场容量仍有较大增长空间，而考虑到中国数据安全市场整体发展节奏慢于美国，所以中期来看中国数据安全市场存在千亿市场空间，长期看市场空间可达万亿。

业务数据处理面临多重安全风险

防范业务处理各环节安全薄弱点

1. 数据收集“合法、正当、必要”：在数据收集环节，风险威胁涵盖保密性威胁、完整性威胁等，以及超范围采集用户信息等。保密性威胁指攻击者通过建立隐蔽隧道，对信息流向、流量、通信频度和长度等参数的分析，窃取敏感的、有价值的信息；完整性威胁指数据伪造、刻意篡改、数据与元数据的错位、源数据存在破坏完整性的恶意代码。
2. 数据存储“加密、控制、审计”：在数据存储环节，风险威胁来自外部因素、内部因素、数据库系统安全等。外部因素包括黑客脱库、数据库后门、挖矿木马、数据库勒索、恶意篡改等，内部因素包括内部人员窃取、不同利益方对数据的超权限使用、弱口令配置、离线暴力破解、错误配置等；数据库系统安全包括数据库软件漏洞和应用程序逻辑漏洞，如：SQL 注入、提权、缓冲区溢出；存储设备丢失等其他情况。
3. 数据使用“告知、监督、检测”：在数据使用环节，风险威胁来自外部因素、内部因素、系统安全等。外部因素包括账户劫持、APT 攻击、身份伪装、认证失效、密钥丢失、漏洞攻击、木马注入等；内部因素包括内部人员、DBA 违规操作窃取、滥用、泄露数据等，如：非授权访问敏感数据、非工作时间、工作场所访问核心业务表、高危指令操作；系统安全包括不严格的权限访问、多源异构数据集成中隐私泄露等。
4. 数据加工“内控、风险、响应”：在数据加工环节，泄露风险主要是由分类分级不当、数据脱敏质量较低、恶意篡改/误操作等情况所导致。
5. 数据传输“加密、脱敏、约定”：在数据传输环节，数据泄露主要包括网络攻击、传输泄露等风险。网络攻击包括 DDoS 攻击、APT 攻击、通信流量劫持、中间人攻击、DNS 欺骗和 IP 欺骗、泛洪攻击威胁等；传输泄露包括电磁泄漏或搭线窃听、传输协议漏洞、未授权身份人员登录系统、无线网安全薄弱等。
6. 数据提供“评估、保护、监督”：在数据提供环节，风险威胁来自政策因素、外部因素、内部因素等。政策因素主要指不合规的提供和共享；内部因素指缺乏数据拷贝的使用管控和终端审计、行为抵赖、数据发送错误、非授权隐私泄露/修改、第三方过失而造成数据泄露；外部因素指恶意程序入侵、病毒侵扰、网络宽带被盗用等情况。
7. 数据公开“危害、分析、影响”：在数据公开环节，泄露风险主要是很多数据在未经过严格保密审查、未进行泄密隐患风险评估，或者未意识到数据情报价值或涉及公民隐私的情况下随意发布的情况。
8. 数据删除“约定、委托、主动”：在数据删除环节，主要风险是违约删除和未履约删除。一方面对于不应删除的个人信息，服务提供者未按时限留存、设备事故误操作等进行了删除，就造成了违约删除，给用户带来人身财产或精神损失；另一方面对于应删除的个人信息，没有删除或删除不及时、不彻底，因漏洞、攻击、撞库等形式外泄，会造成未履约删除的风险，危及用户隐私和信息安全。

法规监管划定数据安全基线

安全建设围绕一实战双合规

数据安全思路模型的新演进

  传统的网络安全经典模型是 DR（检测/响应）模型，并进行不断完善如 PDR（防护/检测/响应）、P2DR2（策略/防护/检测/响应/恢复）模型等。其特征是，其中 PDR 安全模型是基于时间的动态安全模型，如果信息系统的防御机制能抵御入侵时间，能超过检测机制发现入侵的时间和响应机制有效应对入侵时间之和，那么这个系统就能有安全保障。然而，在数字时代，5G、物联网、云服务等技术大量应用，入侵检测时间和响应机制不足满足数据和数据价值保护时间。

  而对于数据安全新思路和新模型，则是在对数据的防护能力顺序、空间颗粒度、数据状态等多个维度上，采用面向失效的安全理念，协同联动的叠加多种安全保护机制。故本文重点考虑了在数据安全实现中的新思路和新安全模型。

  “密评”全称“商用密码应用安全性评估”，是指在采用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。从《商用密码应用与安全性评估》看，密评于 2007 年提出，经过十几年的积累，密评制度体系不断完善成熟，其发展历程大致可分为奠定、集结、建设、试点、推广 5 个阶段

  密评体现了强合规与政策特性。首先，开展密评，是国家相关法律法规提出的明确要求，是网络安全运营者的法定责任和义务；可以说，开展密评，是广大网络安全运营者落实法律法规要求，履行网络安全义务的一项重要责任。其次，通过密评可以及时发现在密码应用过程中存在的问题，为网络和信息安全提供科学的评价方法，逐步规范密码的使用和管理，从根本上改变密码应用不广泛、不规范、不安全的现状，确保密码在网络和信息系统中得到有效应用，切实构建起坚实可靠的网络安全密码保障。再次，密码应用是否合规、正确、有效，涉及密码算法、协议、产品、技术体系、密钥管理、密码应用多个方面。因此，需委托专业机构、专业人员，采用专业工具和专业手段，对系统整体的密码应用安全进行专项测试和综合评估，形成科学准确的评估结果，以便及时掌握密码安全现状，采取必要的技术和管理措施。最后，密码应用需要强监管来保证。重点面向网络安全等级保护第三级及以上系统，落实密码应用安全性评估制度。因此，针对重要领域网络与信息系统开展密评，是网络运营者和主管部门的法定责任。

  2022 年 6 月 9 日，国家市场监督管理总局和国家互联网信息办公室联合发布了“关于开展数据安全管理认证工作的公告”（以下简称 18 号文）。

  18 号文明确要求参照国家标准《GB/T 41479-2022 信息安全技术 网络数据处理安全要求》，开展数据安全管理认证（DSM）。其中，《网络数据处理安全要求》结合了《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《GB/T 35273-2020 个人信息安全规范》等规定，从数据处理安全总体要求、数据处理安全技术要求、数据处理安全管理要求三个方面规定了网络运营者开展数据处理活动的安全要求。

  在数据处理安全总体要求中，数据识别、分类分级、风险防控、审计追溯形成了基本防护闭环。在数据处理安全技术要求中，开展数据处理时应进行影响分析和风险评估，采取风险控制是前提，同时，严格把关、收集、存储、使用、加工、传输、提供、公开是全生命周期技术要求，满足个人信息处理权利和权益保障，做好访问控制与审计，落实数据删除和匿名化是增强要求。在数据处理的管理要求中，数据安全责任人、人力资源保障与考核、事件应急处置俱是最基本管理落地。

数据保护演进新框架新战法

典型技术理念

1. 零信任
2. 内生安全（拟态防御）
3. 内置式安全（主动防御）
4. 安全平行切面
5. 边界防御体系
6. 纵深防御体系
7. 河防体系
8. 塔防体系

典型技术架构

1. GARTNER 架构
2. 信通院架构

数据安全建设的发展演进

1. 第一阶段：单点防御阶段
2. 第二阶段：体系建设阶段
3. 第三阶段：以数据为中心的安全体系建设阶段

数据安全多维递进式设防

  在传统网络安全防护中，边界是非常重要的概念，边界上可以构建防火墙或 IDS 等规则。但数据防护过程中，数据没有边界，如果应用密码技术，则可以起到一种虚拟边界的作用，从而在虚拟边界基础上对数据实施保护，形成有效保护作用。在数据存储和使用态的切换中，如果不经过数据加密，只进行访问控制和身份认证，当明文数据在数据库或归档备份时，数据访问容易被绕过。但当我们在数据流转的关键节点上，对数据进行加解密，并结合用户的身份信息和上下文环境做访问控制，可以构建防绕过的访问控制、高置信度的审计，进而在数据存储、使用形态上形成防护纵深，构建出密码安全一体化的数据防护体系。

  企业传统的城防式安全防护是将数据一层层地保护在中心，为了保护核心数据，在多个层面进行控制和防御，比如安全制度建设（安全意识培训）、物理安全防护（服务器加锁，安保措施等）、边界安全措施（使用防火墙等）、应用安全系统防御（访问控制、日志审计等）以及对数据本身的保护（数据加密等）。实际上任意层漏洞都可能直接造成数据的泄漏，导致之前建设的所有的安全手段就会瞬间瓦解。

  上图列举了 10 种数据存储加密技术，在应用场景以及优势挑战方面各有侧重：DLP 终端加密技术侧重于企业 PC 端的数据安全防护；CASB 代理网关、应用内加密（集成密码 SDK）、应用内加密（AOE 面向切面加密）侧重于企业应用服务器端的数据安全防护；数据库加密网关、数据库外挂加密、TDE 透明数据加密、UDF 用户自定义函数加密则侧重于数据库端的数据安全防护；TFE 透明文件加密、FDE 全磁盘加密则侧重于文件系统数据安全防护。其中，覆盖全量数据的 FDE 技术可作为基础设施层安全标配，进一步的，针对特别重要的数据再叠加 AOE 等技术实施细粒度加密保护，两者的结合可以面向技术栈构建出数据防护纵深。

技术框架覆盖事前事中事后

数据安全落地分阶段抓效果

行业案列提供数据保护参考

政务大数据交换共享场景

1. 在前置适配服务器上部署多版本支持的检测模块（软件模块），实现文档内容合规扫描，列数据安全扫描，恶意程序检测等。
2. 在管理系统中部署 AOE 加密模块（软件模块），解析业务 SQL，数据库入库前即加密，实现字段级密文存储。
3. 在接口服务器上部署接口安全管控模块，实施接口非法调用，接口异常访问，接口传输管控等。

  增强点上实现软部署，所有软模块由策略平台统一管理或驱动。

互联网金融数据安全使用场景

民航业数据安全存储场景

企业办公终端数据安全使用场景