数据安全风险分析及应对策略研究 （2022年）中国信息通信研究院云计算与大数据研究所 奇安信科技集团股份有限公司 2022年1月 版权声明本报告版权属于中国信息通信研究院和奇安信科技集团股份有限公司，并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的，应注明“来源：中国信息通信研究院和奇安信科技集团股份有限公司”。违反上述声明者，编者将追究其相关法律责任。 前 言 数据作为一种新兴生产要素，已成为经济社会发展的核心驱动力，与此同时日益严峻的数据安全风险为数字化转型的持续深化带来严重威胁。为保障数字经济的健康有序发展，提高数据安全风险防控能力，国家、行业、地方相继出台多项数据安全法律法规，并接连开展相应的审查整治行动。总体来说，国内数据安全已进入合规合法的强监管新阶段。面对日益严格的合规要求及数字化场景下的新型安全威胁，本报告梳理了当前数据安全面临的几个突出问题： 一是APP对用户信息的过度采集。大量非必要的个人信息聚集，不仅滋生数据滥用等安全风险，也带来合规问题。 二是账号弱口令的使用普遍。低成本的攻击门槛，容易导致特权账号被盗取，带来内部管理难题的同时引入数据安全风险。 三是数据权限分配、使用不透明。当数据权限管理成为“黑盒”，越权访问、数据滥用等问题将无法管控。 四是API接口成为新型攻击手段。API作为应用与数据服务的通信接口，应用场景广泛，已成为攻击者窃取数据的重点攻击对象。 五是数据安全的持续状态难以保持。一方面，应用数字化改造及数据消费场景较为复杂；另一方面，管理要求和技术落地存在一定脱节，导致持续的数据安全状态难以保障。 针对以上问题，本报告结合实战化攻防演习的实践经验，提出数据安全体系建设的行动思路和关键举措，旨在为组织开展数据安全体系化建设提供参考和建议。 目 录 一、 数字化时代数据安全发展现状 ...................................................................... 1 （一） 数据安全进入法治化的强监管时代 .................................................... 1 （二） 数据安全事件频发安全威胁日益严峻 ................................................ 2 （三） 技术架构演进伴生数据使用场景改变 ................................................ 3 二、 数字化时代下的数据安全痛点 ...................................................................... 4 （一） 个人信息合规合法使用的监管应对难度增加 .................................... 4 （二） 账号、权限、API成数据保护脆弱环节 ............................................. 5 （三） 数据安全状态持续保障成落地难点 .................................................... 8 三、 解决数据安全痛点问题行动思路 .................................................................. 8 （一）明确数据安全总体战略 ......................................................................... 9 （二）建立数据安全管理机构 ......................................................................... 9 （三）落实安全策略精准管控 ......................................................................... 9 （四）持续保障数据安全运营 ........................................................................10 四、 解决数据安全痛点问题关键举措 .................................................................11 （一）管理与技术结合助力个人信息保护合规落地 ..................................... 11 （二）特权账号安全治理持续强化安全内控 .................................................12 （三）零信任数据动态授权赋能精细化管控 .................................................15 （四）完善API安全防护体系的闭环建设 ....................................................17 （五）围绕数据安全态势感知统筹数据安全运营 .........................................20 五、 数据安全建设发展建议 .................................................................................22 （一）聚焦关键环节完善数据安全能力建设 .................................................22 （二）结合业务流程深化数据安全工作开展 .................................................23 （三）高度重视技术创新破局作用 ................................................................23 参考文献 .................................................................................................................24 图 目 录 图 1 最常见的初始化攻击路径 ............................................................................... 5 图 2 不同场景下API使用情况 .............................................................................. 7 图 3 API业务发展流程 ............................................................................................ 7 图 4 基于属性的数据动态授权机制 ..................................................................... 16 图 5 API安全防护体系 .......................................................................................... 17 图 6 数据安全运营总体架构 ................................................................................. 20 数据安全风险分析及应对策略研究（2022年） 1 一、数字化时代数据安全发展现状 数字化时代，数据已成为数字经济发展的核心生产要素。2020年全球47个国家数字经济增加值规模达到32.6万亿美元，我国数字经济规模位居世界第二接近5.4万亿美元1。在此背景下，数据安全已成为事关国家安全与经济社会发展的重大问题。 （一）数据安全进入法治化的强监管时代 法律制度是数据安全的重要保障。当前我国数据安全法律法规建设取得突飞猛进的进展。国家层面，2021年9月1日《数据安全法》施行，首次从法律层面明确数据安全保护义务，为开展数据处理活动的组织和个人提供了行为指引，填补了我国数据安全保护立法的空白。2021年11月1日《个人信息保护法》施行，立足于数据产业发展实践和个人信息保护的迫切需求，更全面地保障了个人权利，及时回应了国家、社会、个人对个人信息保护的关切。行业监管层面，2021年9月30日工业和信息化部发布《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》并公开征求意见，旨在加快推动工业和信息化领域数据安全管理工作制度化、规范化，提升工业、电信行业数据安全保护能力，防范数据安全风险。2022 年1月4日，国家互联网信息办公室颁布《网络安全审查办法》修订版，将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查。地方政府层面，积极落实国家政策和上位法精神，陆续出台相关地方法律法规。2021年6月29日《深圳经济特区数据条例》 1 数据来源：中国信息通信研究院《全球数字经济新图景（2020年）——大变局下的可持续发展新动能》 数据安全风险分析及应对策略研究（2022年） 2 出台，率先就数据保护和利用开展地方立法，规范数据要素市场化行为，推动数据的有序流动和数据产业的健康发展。2021年9月30日《上海数据条例（草案）》公开征求意见，征求意见稿在《数据安全法》等上位法的框架下，结合上海实际，建立了全面的数据安全治理体系。 （二）数据安全事件频发安全威胁日益严峻 根据风险基础安全（Risk Based Security）2的数据显示，2020年全球数据泄漏达到360亿条，创历史新高。对比传统的网络安全威胁，数据安全威胁更加多样化，不再局限于利用安全漏洞、恶意流量、病毒木马等攻击手段，数据安全问题集中爆发在特权账号弱口令、数据权限滥用、API接口攻击等方面。 弱口令成数据泄漏爆发点。由于弱口令账号的低攻击成本和高命中效果，通过盗取弱口令账号以横向渗透获得特权账号，进而破坏或泄露重要数据资源的攻击行为，给数据安全管理带来很大挑战。根据Verizon发布的《2021年数据泄露调查报告》3分析，61%的数据泄露与凭证数据泄漏有关。 API成热门攻击入口。由于应用架构的快速演变，API成为业务应用与数据服务之间的主要通信方式，这导致利用API接口成为新型攻击手段。2021年4月，Facebook 5亿用户数据在暗网公开售卖，起因为2019年某在线业务的API遭到误用，导致数据泄露，影响约5.3亿用户。 2 安全内参：历史新高！2020年数据泄露数量突破360亿条 https://www.secrss.com/articles/26712 3 Verizon 2021年5月发布https://www.verizon.com/ 数据安全风险分析及应对策略研究（2022年） 3 权限滥用仍是数据安全事件的重要触发点。不规范的数据权限管理以及缺失的技术防护手段，极易发生由于权限滥用而引起的数据资源被破坏、篡改、删除等安全事件。2020年2月，港股某上市公司员工通过VPN登入服务器，对线上生产环境进行恶意删库，造成旗下数百万用户业务中断，直接赔付人民币1.5亿元4。 隐私泄露成为数据安全的重要威胁。由于个人隐私泄露导致的数据诈骗、大数据杀熟以及个人生物特征信息滥用等问题，已经严重危害了个人信息主体的合法权益。据市场调研公司Canalys统计，2020年全球个人信息泄露事件超出过去15年总和，成为影