移动互联网数据安全技术能力科普(一)

移动互联网数据安全技术能力都有哪些

数据识别

企业应该采用数据识别技术，对企业数据资产自动数据识别及标识，并定期进行敏感数据扫描，识别未标识的数据，实现数据的分类分级管理。
建立及维护脱敏规则，对数据进行分类分级管理，如：敏感数据为 L4 默认脱敏展示及导出；（平台实现脱敏的敏感数据包括：手机号、固定电话、证件号、邮箱、通讯地址、身份证、银行卡号等。）
接收到用户进行业务数据下载请求后，脱敏模块根据脱敏策略自动化识别文件中的数据，如果与数据的特征与脱敏策略中的规则相匹配，则对数据进行脱敏处理，脱敏完成后将数据文件发送给数据使用者。
定期对数据库进行敏感数据扫描，针对未标识的数据进行确认并手工更新数据标签等级，对数据的使用进行监控，实现对敏感数据使用的审计，并根据国家对数据保护的合规要求、企业的业务拓展、公司安全合规的要求，持续优化及扩大脱敏数据的范围，通过新建或编辑脱敏规则，以实现对脱敏规则的维护，保证企业敏感数据的安全防护，降低敏感数据外泄后的风险。对企业业务系统敏感接口进行实时扫描，自动识别接口传输中的敏感数据，将扫描结果同步至溯源系统，实现敏感接口调用数据溯源管理。
对业务系统进行敏感数据统一加解密服务，自动对敏感数据进行加密，并进行权限控制及调用日志审计，确保敏感数据的调用得到有效保证及可追溯。（敏感数据包括：手机号、固定电话、证件号、邮箱、通讯地址、身份证、银行卡号等。）定期查验业务系统的数据场景，确保各类数据处理场景中数据脱敏的有效性和合规性，并根据国家对数据保护的合规要求、企业的业务拓展及安全合规的要求，持续优化及扩大脱敏数据的范围，保证企业敏感数据的安全防护，降低敏感数据外泄后的风险。

操作审计

国内外很多研究表明大部分的网络安全事故是由企业员工造成的，《2020 Securonix 内部威胁报告》调查则显示 62%的内部威胁涉及敏感数据的泄露，内部人员通过无意或恶意的操作造成的数据安全风险的问题，受企业对内部安全监控能力限制，以及属于单一场景下的授权可信操作，或以内部设施为跳板的攻击，通常难以被及时发现和有效处置，在此情境下对来自内部员工或系统的操作行为进行有效审计，将成为对内部安全风险的预警、处置、追责、威慑的必要手段。
操作审计,监控并记录系统账户的活动，包含控制台、API 接口、技术人员工具对操作系统服务和应用的访问和使用行为。可以将以上行为数据以日志或录像等多种形式保存到存储空间中进行事件记录、安全分析、资源配置变更追踪及行为合规性审计等操作。
应当跟踪记录当前到预定一定期限内的操作记录；应当可以通过特定的应用将操作记录转换为日志服务可解析的形式，以便分析、检索、查询、管理；应支持从操作时间、用户名称、资源类型、资源、操作指令等多维度查询分析操作历史

数据防泄漏

数据作为信息系统中的核心资产，需要符合安全 CIA 原则，即机密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。
随着互联网、大数据、AI 等应用的爆发，数据本身成为可以产生价值的资源，其资源属性不仅会给企业主体造成较大的经济损失、信用损失，甚至可能引发恶性的社会影响。数据防泄露技术主要用于保护数据机密性和完整性，确保数据不会被非法获取，不会被非法篡改。

数据泄漏的途径

一是内部人员利用职权之便有意或无意行为造成的数据暴漏在外部环境或脱离管理
离职人员泄密：权限管理疏忽造成人员离职时带走用户数据。
内部人员泄密：由于权限管理不到位、安全意识薄弱或因为利益关系内部员工有意或无意的泄漏了用户数据。
二是通过网络攻击等非法手段窃取企业数据攻击者通过漏洞链接到目标服务器并获得操作相关数据的权限，造成数据泄露。
通过网络攻击获取数据，如：xss 攻击、csrf 攻击、sql 注入、第三方软件漏洞等。
网络传输安全措施不到位导致数据泄漏：通过 HTTP、FTP、SMTP、POP3、IMAP 等明文协议发数据时被截获。
三是失密
权限划分不合理或审核不严格，导致低权限账号能够查看高权限数据。使用明文存储数据或者使用了不安全的加密方式。
员工误将数据安全信息上传到公共网络中或在 qq、微信、邮件、网盘等软件中传播。
有权限的设备丢失或被盗窃

防止数据泄漏的技术方案

在数据泄露防护方面，传统方式倾向于认为内网是相对安全的，所以重点会放在对黑客及外部攻击的威胁防护上，内部则通过 OA系统、审批流、DLP 等技术手段对数据进行管理。传统领域的技术解决方案相对比较成熟，主要有如下几种：
一是网络隔离技术。通过虚拟专有网络（Virtual Private Network,VPN）等网络隔离技术，配合防火墙、安全组、网络流量分析等综合手段，将数据库等核心资产保护在可信任网络区域内。外发流量则通过白名单等方式对目标 IP 地址及端口进行控制。对生产环境与开发测试环境进行有效隔离，开发、测试环境不应使用真实的生产环境数据。
二是数据加密技术。数据加密作为数据泄露防护的基本技术之一，包含磁盘加密、文件加密、传输加密等技术方案。可以从数据泄露的源头对数据进行保护，在数据离开企业内部之后也能有效防止数据泄露，但对加密所使用的秘钥管理要求较高，一旦秘钥丢失或加密数据损坏将使原始数据无法恢复。
三是权限控制。权限控制技术按照黄金法则对数据进行管理，即认证（Authentication）、授权（Authorization）、审计（Audit），有时还会加上问责（Accounting）、身份识别（Identification），组成“，组成“if 法则”，权限控制技术一般会通过设置安全策略、安全主体及客体，在受保护数据生成、存储、访问时实现控制，防止数据被非法复制和扩散。
四是基于数据内容的防泄露保护。基于数据内容的防泄漏保护(Data Loss Prevention,DLP)，主要用于对企业内部敏感数据外发进行防护。DLP 以内容识别为核心，基于敏感数据内容策略定义，监控数据的外发通道，对敏感数据传输进行审计或控制。通过灵活的策略配置，可以实现阻断式、审计式等不同防护等级。

数据防泄漏的新技术

传统的数据防泄露技术在应对外部威胁时效果比较理想，大部分企业对外部威胁也会比较重视，尤其网络隔离、数据加密、权限控制等防护技术，其普及程度相对较高，基本成为企业安全体系建设的必选项。但在应对内部威胁时，传统数据防泄露技术则面临诸多挑战，而内部威胁已经成为数据泄露的主要途径，且呈现出手段多样化、隐蔽化的趋势。以传统 DLP 产品为例，其使用场景是防止内部人员有意或无意识的造成数据泄露，解决了快速响应、及时阻止的问题。但在应对新型数据泄露手段时则存在不足，不能达到准确溯源和提前预防的效果。为应对上述挑战，目前数据防泄露技术已经开始跳出固有框架，寻找新的技术路线，综合来看，呈现如下发展趋势：
一是数据分类分级。对数据进行分类分级已逐渐成为合规落地的最佳实践，并被各行业监管规范与合规指南广泛采用。传统方式虽然也会对数据进行分类，并赋予不同的密级，但依靠人的经验，或是关键字、指纹、正则表达式等简单逻辑描述。新的技术路线则倾向于使用人工智能、自然语言处理技术对数据进行梳理，训练模型并生成机器学习规则，实时感知关键数据的分布和使用情况，为数据治理提供基础支撑。
二是数据生命周期安全防护。解决数据分类分级之后，配合不同部署方式和技术路线，可以覆盖整个数据生命周期的各个环节。尤其是以人为中心的内部威胁防护，如对用户行为的分析与意图预测、风险用户象限图等。分析模型实现流程一般如下：1）利用 DLP技术对敏感数据进行追踪；2）为用户建立行为基线，采集用户行为信息，依据策略对用户行为进行加权打分；3）分析引擎对用户行为进行关联分析与意图预测；4）结合数据风险等级，利用机器学习算法对威胁等级进行综合计算。通过上述分析模型，常见风险场景可被提前预知并进行监测，例如频繁打开大量敏感数据、突然下载共享服务器大量数据、用户终端短时间积累大量数据等。
三是数据云化。通过桌面云等技术手段，实现数据不落地、终端零数据的数据架构，通过桌面管理平台自身的多重认证、外设管控、录屏审计、拷贝控制、防截屏、屏幕水印等技术和策略设置，实现涵盖终端、接入、网络、数据、平台多层面的安全设计，从而有效防范通过网络、邮件、FTP、USB 等渠道的数据泄露。
数据防泄漏技术属于数据安全中一个细分领域，目前基于深度内容识别、自然语音处理的数据防泄漏技术已经日趋成熟，并发展出一些适应国内市场的特色方向，但是也应注重传统数据防泄漏技术的运用，通过渐进式发展来构建立体化的企业数据防护体系