IT互联网行业的 数据安全 风险评估 参考案例 -摘录数据安全风险评估白皮书

最新推荐文章于 2024-07-08 17:09:11 发布
最新推荐文章于 2024-07-08 17:09:11 发布
阅读量1.1k 收藏 4
点赞数 2
文章标签: java big data 人工智能
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/securitypaper/article/details/125415085
版权

本文基于学习数据安全治理之数据安全风险评估白皮书 2021 的内容进行整理,希望加深自身对数据安全评估体系的认识,也希望对不了解数据安全风险评估的任何人有所帮助,如存在版权问题,请及时联系我进行删除

背景

IT互联网行业由于自身业务发展的需要,会收集、存储、加工和使用大量个人数据。面对国家法律法规和监管机构相关的要求,个人数据在数据处理活动过程中合法合规的满足情况,是IT互联网企业当前面临的重要问题。特别是《网络数据安全管理条例(征求意见稿)》中对互联网平台运营者义务的要求,是IT互联网企业在数据安全管理工作中的重点。
互联网企业信息化程度高,新技术运用充分,其中大量使用个人数据来处理相关业务。大型互联网平台在发展的过程中,对于个人数据的使用和处理,已经融入用户的日常生活中。

面临的挑战

伴随着IT信息化建设和互联网企业的高速发展,互联网企业利用海量个人数据,进行业务分析与业务运营的工作已经成为了互联网行业高速发展的推进剂。但其中也不乏,前期法律法规不完善与行业高速发展过程中,遇到的违规问题,造成大量损害互联网用户的行为,如:大数据杀熟、用户数据滥用等行为。《网络数据安全管理条例(征求意见稿)》中第五十四条,“互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理
活动的,应当按照国家有关规定进行安全评估。”

数据安全风险评估实施

参照大型互联网企业数据安全管理实践经验与本白皮书提供的数据安全风险评估方法,针对“互联网企业数据使用”数据处理活动场景实施数据安全风险评估工作。

核心要素分析

  • 数据处理角色:
    数据主体:互联网企业C端自然人用户;
    数据控制者:互联网企业;
    数据处理者:互联网企业内执行数据处理工作的组织或员工。
  • 数据处理过程:
    数据处理环境:互联网企业内部使用数据的环境,包括:数据查询平台、数据提取平台、客户端App用户数据展示等。
  • 数据处理方式:
    通过数据服务API接口执行相关数据操作;
    通过内部数据提取流程获取用户相关数据。
  • 数据处理操作:
    互联网企业内部员工通过数据查询API接口,执行用户数据查询操作,获取用户数据,开展业务活动;
    互联网企业内部员工通过数据提取流程,提交用户数据获取申请,审批后通过数据提取平台获取用户数据,执行业务活动;
    客户端App软件,通过数据服务API接口,获取用户数据,展示
    在App显示页面上,供互联网企业C端用户使用数据。
  • 处理范围:
    数据类型:个人信息、业务信息;
    数据量级:依据业务开展的用户数决定;
    数据主体范围:中华人民共和国境内用户信息;成人信息或者未成年人信息;
  • 处理目的和结果
    处理目的的实现:
    互联网企业内部员工通过数据服务API接口,执行数据相关操作,使用相关数据开展业务活动;
    互联网企业内部员工,通过数据提取流程,获取到数据后,在
    本地终端中执行相关数据分析和存储后,使用相关数据执行业务活动;
    互联网企业C端客户,通过客户端软件,执行个人数据查询操作,获取存储在互联网企业内的用户个人数据。
    数据状态发生变化:可能存在使用范围状态(超范围使用)、使用目的状态(超目的使用)、时间状态(过期使用)、地域状态(跨境使用)、内容状态(脱敏或加密到明文)、物理状态(服务器存储-终端存储)等发生变化。

数据处理活动合法合规评估

互联网企业数据管理部门,需要记录企业内部员工获取数据的操作请求等,需要对数据使用目的进行合法合规性校验,需要对数据使用种类、数量、范围等进行最小原则校验,需要对数据是否需要跨境使用执行审计,需要对数据使用场景是否与用户同意使用场景相符合,执行检查操作等;
互联网企业内部员工,需要依法依规依据业务需求最小原则,使用数据。使用数据过程中,不允许出境使用,不允许擅自变更用户同意使用场景,不允许将获取的用户数据转作其他目的使用;
互联网企业C端客户,向互联网企业申请使用个人数据时,需提供具有可鉴别身份和目的的数据主体相关信息。数据使用过程中,须符合国家法律法规的要求。

数据处理活动安全性评估

处理方式安全评估:
使用权限安全风险:使用方式提权、使用范围提权、使用类型提权等;
使用角色安全风险:角色冒用等;
使用服务可用性安全风险:查询服务被拒绝服务攻击等;
数据传输安全风险:数据窃取和监听、数据明文传输等;
API数据服务接口安全风险:接口未鉴权、接口存在水平越权等;
处理操作安全评估:
操作越权安全风险:数据使用未授权、数据使用范围未授权;
操作抵赖安全风险:数据操作行为冒充;
操作滥用安全风险:数据被滥用、数据操作冒充他人等;
操作泄漏安全风险:数据使用过程中恶意留存、恶意篡改数据等。

解决方案:

在互联网企业数据使用场景下,依据上面评估识别的数据安全风险情况,具体的解决方案分为合法合规解决方案和安全性解决方案。

  • 合法合规解决方案
    针对内部数据使用场景的合法性风险,需要采取一系列审批、监控、审计等手段,对使用数据的内部员工的处理行为进行监测。包括:数据获取请求审批、数据使用合法性审批、数据跨境使用审批、数据超范围使用审批等。
    针对使用过程中,需要执行全程监测和事后审计,包括:使用范围、使用场景、使用目的、是否存在出境访问等。针对使用服务的C端客户,需校验客户身份的有效性,保证不出现非授权访问的情况。
  • 安全性解决方案
    针对互联网企业数据使用场景下的安全性风险,主要包括:处理环境、处理方式、处理操作等安全性风险。以上风险需要与已有安全防护措施相结合,需要考虑的数据安全技术手段包括但不限于:
    传统终端安全与Web网络安全;
    文件交换安全;
    数据使用身份鉴权;
    数据分类分级;
    数据服务接口鉴权;
    数据脱敏/加密后应用(消除个人身份特征);
    数据传输加密;
    数据使用操作监控和审计,并保存相关操作记录;
    做好自身服务的网络安全防控,预防服务被攻击不可用的风险;
    终端需要App加固、反破解反爬虫。

实践总结

互联网企业在利用新技术、大数据分析等高新技术方面,促进了互联网业务的极大发展,但也不可忽视高速发展过程中,对于数据安全管理的要求,特别是在内部数据使用和第三方数据共享与使用过程中,需要密切关注国家、行业等监管合规机构的要求,在切实提升用户服务质量的同时,减少对用户的影响,特别是用户个人数据滥用以及违法违规业务经营上的问题。
本文基于学习数据安全治理之数据安全风险评估白皮书 2021 的内容进行整理,希望加深自身对数据安全评估体系的认识,也希望对不了解数据安全风险评估的任何人有所帮助,如存在版权问题,请及时联系我进行删除

securitypaper
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
信息安全案例
08-25
该文档收集了近几年来的信息安全案例,可作为信息安全培训之用。
数据安全标准化白皮书(2018版)
09-02
大数据已经上升为国家战略 ,数据 被视为国家 基础性 战略资源 ,各行业的大数据应用 风起云涌 ,大 数据在国民经济发展中挥的作用越来。伴随着大数 据的广泛应用,据安全问题也日益凸显,大数标准作为保障的重要抓...
医疗行业数据安全风险评估 典型案例
securitypaper的博客
06-22 1074
随着医疗行业数字信息化的大力发展,为医患提供便捷的医疗服务,进而会产生大量的医疗数据。特别是借助互联网的应用、提供的小程序,导致大量医疗数据的流转,如电子挂号、电子病历、电子诊断信息的传输,加大了数据泄露的风险,关乎国家和人民的利益。...
电信行业数据安全风险评估案例 - 数据安全治理之数据安全风险评估白皮书
securitypaper的博客
06-21 2969
本文基于学习[数据安全治理之数据安全风险评估白皮书 2021 ](http://www.github5.com/view/882) 的内容进行整理,希望加深自身对数据安全评估体系的认识,也希望对不了解数据安全风险评估的任何人有所帮助,如存在版权问题,请及时联系我进行删除 ...
案例】金融行业数据安全风险评估-数据安全治理之数据安全风险评估白皮书
securitypaper的博客
06-21 2616
由于金融数据的重要性,国家、行业等相关机构与监管部门,提供了一系列可参照的规范标准《金融数据安全 数据分类分级指南》、《金融数据安全 数据生命周期规范》等;另一方面,相关机构也在探索如何科学有效的指导从业企业,防控数据安全事件风险,通过体系化的方式提供有效保障。...
数据安全风险评估在IT领域案例研究笔记
m0_73803866的博客
09-21 529
互联网企业在利用新技术、大数据分析等高新技术方面,促进了互联网业务的极大发展,但也不可忽视高速发展过程中,对于数据安全管理的要求,特别是在内部数据使用和第三方数据共享与使用过程中,需要密切关注国家、行业等监管合规机构的要求,在切实提升用户服务质量的同时,减少对用户的影响,特别是用户个人数据滥用以及违法违规业务经营上的问题。本文基于学习数据安全治理之数据安全风险评估白皮书 2021。
《中国医院信息化发展研究报告2008-2013(白皮书)》摘录四.pdf
07-15
3. 外部环境对医疗行业信息安全的威胁增加:随着网络攻击的增多,医院需要更加重视信息安全,采取措施保障患者数据和医院运营的安全。 4. 新技术所带来的信息安全风险日益加剧:云计算、大数据等新技术的引入,也给...
数据安全标准化白皮书(2018版)
05-28
白皮书中提出的大数据安全标准体系的建立,是基于对大数据安全需求的深入分析,包括但不限于对数据的分类、分级、访问控制、加密传输、风险评估等方面的标准制定。 针对大数据安全标准化工作,白皮书给出了多项建议...
《中国医院信息化发展研究报告2008-2013(白皮书)》摘录二.pdf
07-15
临床信息系统与电子病历是现代医院信息系统中至关重要的组成部分,它们的建设和应用程度直接关系到医疗服务质量、医疗安全以及医疗效率。根据《中国医院信息化发展研究报告2008-2013(白皮书)》中关于临床信息系统...
《中国医院信息化发展研究报告2008-2013(白皮书)》摘录三.pdf
07-15
- 强化信息系统的安全与隐私保护,确保患者信息的安全。 - 提高医护人员的信息素养,加强信息化系统的培训和使用。 - 引入先进的技术,如人工智能、大数据分析等,以推动医院管理的创新发展。 - 加强与其他医疗机构...
数据安全风险评估方法及实施指南.zip
08-02
信息安全风险评估理论 风险评估数据安全风险管理的起点 风险评估关注的安全要素 风险评估基本过程 基于风险控制的数据安全管理体系 新形势催生以数据为中心的安全风险评估 数据资产识别是数据安全风险评估的基础 数据应用场景是识别数据安全风险的主线 数据安全风险评估结果支撑实施数据安全分类分级管理 数据安全风险评估方法 数据安全风险评估实施指南 数据安全评估实施流程 风险处置 残余风险评估
数据安全风险评估总结.docx
09-14
数据安全风险评估总结.docx
数据安全风险评估方法及实施指南(深圳).pdf
08-09
网络安全,风险评估方法,策略,以及欧美建立此规则的经验
信息安全风险评估报告(模板).pdf
04-11
目 录 报告声明 ...................................................................................... 错误!未定义书签。 委托方信息 .................................................................................. 错误!未定义书签。 受托方信息 .................................................................................. 错误!未定义书签。 风险评估报告单 .......................................................................... 错误!未定义书签。 1. 风险评估项目概述 ................................................................ 错误!未定义书签。 1.1. 建设项目基本信息 .......................................................... 错误!未定义书签。 1.2. 风险评估实施单位基本情况 .......................................... 错误!未定义书签。 1.3. 风险评估活动概述 .......................................................... 错误!未定义书签。 1.3.1. 风险评估工作组织过程 ............................................ 错误!未定义书签。 1.3.2. 风险评估技术路线 .................................................... 错误!未定义书签。 1.3.3. 依据的技术标准及相关法规文件 ............................ 错误!未定义书签。 2. 评估对象构成 ........................................................................ 错误!未定义书签。 2.1. 评估对象描述 .................................................................. 错误!未定义书签。 2.2. 网络拓扑结构 .................................................................. 错误!未定义书签。 2.3. 网络边界描述 .................................................................. 错误!未定义书签。 2.4. 业务应用描述 .................................................................. 错误!未定义书签。 2.5. 子系统构成及定级 .......................................................... 错误!未定义书签。 3. 资产调查 ................................................................................ 错误!未定义书签。 3.1. 资产赋值 .......................................................................... 错误!未定义书签。 3.2. 关键资产说明 .................................................................. 错误!未定义书签。 4. 威胁识别与分析 ...................................................................................................... 3 4.1. 关键资产安全需求 ............................................................................................ 3 4.2. 关键资产威胁概要 ............................................................................................ 7 4.3. 威胁描述汇总 .................................................................................................. 20 4.4. 威胁赋值 .......................................................................................................... 22 第 2 页共 94 页 5. 脆弱性识别与分析 ................................................................................................ 25 5.1. 常规脆弱性描述 .............................................................................................. 25 5.1.1. 管理脆弱性 ................................................................................................ 25 5.1.2. 网络脆弱性 ................................................................................................ 25 5.1.3. 系统脆弱性 ................................................................................................ 25 5.1.4. 应用脆弱性 ................................................................................................ 25 5.1.5. 数据处理和存储脆弱性 ............................................................................ 25 5.1.6. 灾备与应急响应脆弱性 ............................................................................ 25 5.1.7. 物理脆弱性 ................................................................................................ 25 5.2. 脆弱性专项检查 .............................................................................................. 25 5.2.1. 木马病毒专项检查 .................................................................................... 25 5.2.2. 服务器漏洞扫描专项检测 ........................................................................ 26 5.2.3. 安全设备漏洞扫描专项检测 .................................................................... 37 5.3. 脆弱性综合列表 .............................................................................................. 40 6. 风险分析 ................................................................................................................ 47 6.1. 关键资产的风险计算结果 .............................................................................. 47 6.2. 关键资产的风险等级 ...................................................................................... 51 6.2.1. 风险等级列表 ............................................................................................ 51 6.2.2. 风险等级统计 ............................................................................................ 52 6.2.3. 基于脆弱性的风险排名 ............................................................................ 52 6.2.4. 风险结果分析 ............................................................................................ 54 7. 综合分析与评价 .................................................................................................... 55 7.1. 综合风险评价 .................................................................................................. 55 7.2. 风险控制角度需要解决的问题 ...................................................................... 56 8. 整改意见 ..............................................
2021数据安全治理白皮书.pdf
06-15
2021数据安全治理白皮书.pdf
数据安全风险评估白皮书
elevn的博客
07-16 579
风险分析:完成了资产价值识别、处理活动要素识别、合法合规性识别、已有安全措施识别、威胁识别和脆弱性识别后,通过采取适当的方法与工具,可得出企业所面临的合法合规性风险、数据安全事件发生的可能性以及数据安全事件发生对组织的影响度,从而得到数据安全风险值。3)数据安全风险处置,基于数据安全风险评估结果,依据不同的发展阶段和生产经营中解决问题的优先级,参照国家法律法规、行业规范等要求,通过数据安全管理、数据本体保护、数据安全管控、数据风险监测等手段,提高企业履行保护管理责任和保障持续安全状态能力。
网络安全实例,你学习了吗?
2401_84466325的博客
04-28 1456
在网络安全领域,典型案例不仅揭示了攻击者的手法和动机,还展示了企业和组织如何应对这些威胁,以及从中学到的教训。以下是几个网络安全的典型案例,它们各自突出了不同的安全问题和应对策略。
2011年重大IT安全事件回顾
安全小站
12-17 2174
在2010年新年前夜,由于无人知道密码,旧金山无法获取其紧急行动中心上运行的备份系统,这或许可以被视为一个不祥的预兆。2011年即将过去,我们需要回顾并盘点一下这一年中发生的重大IT安全事件。其中的一些事件甚至可能被定性为2011年度高级持续性威胁。 3.15黑客攻击事件       RSA执行总裁ArtCoviello在3月15日称,RSA遭到黑客攻击,获取认证的SecurID相关信
网络信息安全典型案例_公安机关网络安全行政执法十大典型案例_0基础信息安全技巧
最新发布
程序员三九的博客
07-08 1408
案例一 泸州某医院不履行网络安全保护义务案简要案情:2021年6月,泸州某医院遭受网络攻击,造成全院系统瘫痪。泸州公安机关迅速调集技术力量赶赴现场
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值