中国信通院：数据安全风险分析及应对策略研究（2022年）（28页）.pdf

1、数据安全风险分析及应对策略数据安全风险分析及应对策略研究研究 （2022 年）年）中国信息通信研究院云计算与大数据研究所中国信息通信研究院云计算与大数据研究所 奇安信科技集团股份有限公司奇安信科技集团股份有限公司 20222022 年年 1 1 月月 前前 言言 数据作为一种新兴生产要素，已成为经济社会发展的核心驱动力，与此同时日益严峻的数据安全风险为数字化转型的持续深化带来严重威胁。为保障数字经济的健康有序发展，提高数据安全风险防控能力，国家、行业、地方相继出台多项数据安全法律法规，并接连开展相应的审查整治行动。总体来说，国内数据安全已进入合规合法的强监管新阶段。面对日益严格的合规要求及数字

2、化场景下的新型安全威胁， 本报告梳理了当前数据安全面临的几个突出问题： 一是 APP 对用户信息的过度采集。 大量非必要的个人信息聚集，不仅滋生数据滥用等安全风险，也带来合规问题。 二是账号弱口令的使用普遍。低成本的攻击门槛，容易导致特权账号被盗取，带来内部管理难题的同时引入数据安全风险。 三是数据权限分配、 使用不透明。 当数据权限管理成为 “黑盒” ，越权访问、数据滥用等问题将无法管控。 四是 API 接口成为新型攻击手段。API 作为应用与数据服务的通信接口， 应用场景广泛， 已成为攻击者窃取数据的重点攻击对象。 五是数据安全的持续状态难以保持。一方面，应用数字化改造及数据消费场景较为复

3、杂；另一方面，管理要求和技术落地存在一定脱节，导致持续的数据安全状态难以保障。 针对以上问题，本报告结合实战化攻防演习的实践经验，提出数据安全体系建设的行动思路和关键举措，旨在为组织开展数据安全体系化建设提供参考和建议。 目目 录录 一、 数字化时代数据安全发展现状 . 1 （一） 数据安全进入法治化的强监管时代 . 1 （二） 数据安全事件频发安全威胁日益严峻 . 2 （三） 技术架构演进伴生数据使用场景改变 . 3 二、 数字化时代下的数据安全痛点 . 4 （一） 个人信息合规合法使用的监管应对难度增加 . 4 （二） 账号、权限、API 成数据保护脆弱环节 . 5 （三） 数据安全状态持

4、续保障成落地难点 . 8 三、 解决数据安全痛点问题行动思路 . 8 （一）明确数据安全总体战略 . 9 （二）建立数据安全管理机构 . 9 （三）落实安全策略精准管控 . 9 （四）持续保障数据安全运营 .10 四、 解决数据安全痛点问题关键举措 .11 （一）管理与技术结合助力个人信息保护合规落地 . 11 （二）特权账号安全治理持续强化安全内控 .12 （三）零信任数据动态授权赋能精细化管控 .15 （四）完善 API 安全防护体系的闭环建设 .17 （五）围绕数据安全态势感知统筹数据安全运营 .20 五、 数据安全建设发展建议 .22 （一）聚焦关键环节完善数据安全能力建设 .22 （

5、二）结合业务流程深化数据安全工作开展 .23 （三）高度重视技术创新破局作用 .23 参考文献 .24 图图 目目 录录 图 1 最常见的初始化攻击路径 . 5 图 2 不同场景下 API 使用情况 . 7 图 3 API 业务发展流程 . 7 图 4 基于属性的数据动态授权机制 . 16 图 5 API 安全防护体系 . 17 图 6 数据安全运营总体架构 . 20 数据安全风险分析及应对策略研究（2022 年） 1 一、数字化时代数据安全发展现状 数字化时代，数据已成为数字经济发展的核心生产要素。2020年全球 47 个国家数字经济增加值规模达到 32.6 万亿美元，我国数字经济规模位居世

6、界第二接近 5.4 万亿美元1。 在此背景下， 数据安全已成为事关国家安全与经济社会发展的重大问题。 （一）（一）数据安全进入法治化的强监管时代数据安全进入法治化的强监管时代 法律制度是数据安全的重要保障。 当前我国数据安全法律法规建设取得突飞猛进的进展。国家层面，2021 年 9 月 1 日数据安全法施行，首次从法律层面明确数据安全保护义务，为开展数据处理活动的组织和个人提供了行为指引， 填补了我国数据安全保护立法的空白。2021 年 11 月 1 日个人信息保护法施行，立足于数据产业发展实践和个人信息保护的迫切需求，更全面地保障了个人权利，及时回应了国家、社会、个人对个人信息保护的关切。行