數(shù)據(jù)安全治理關(guān)鍵技術(shù)之數(shù)據(jù)庫脫敏技術(shù)詳解
數(shù)據(jù)安全治理之API監(jiān)測系統(tǒng) ,解決API接口安全問題【安華金和】
新一代數(shù)據(jù)庫脫敏技術(shù),為敏感數(shù)據(jù)建立保護盾!
數(shù)據(jù)庫脫敏系統(tǒng)與金融行業(yè)案例解讀
數(shù)據(jù)安全治理建設思路的著力點——數(shù)據(jù)安全咨詢服務【安華金和】
數(shù)據(jù)庫防火墻功能有哪些?-數(shù)據(jù)安全-安華金和
數(shù)據(jù)安全關(guān)鍵技術(shù)之數(shù)據(jù)庫脫敏技術(shù)詳解【安華金和】
中國數(shù)據(jù)安全治理落地指導書籍《數(shù)據(jù)安全治理白皮書5.0》正式發(fā)布(附下載)
如今,APP應用已經(jīng)融入我們生活的方方面面,社交、出行、工作、閱讀……,似乎生活上的任何需求,透過APP應用都可以有求必應,APP在方便人們生活的同時,通過強制授權(quán)、過度索權(quán)、超范圍收集個人信息等現(xiàn)象,導致App用戶個人信息安全保護形勢極其嚴峻。
App個人信息收集與保護現(xiàn)狀
5月24日,App專項工作組發(fā)布了“百款常用App申請收集使用個人信息權(quán)限情況”,并公開了“百款常用App申請收集使用個人信息權(quán)限列表”,受到了廣泛關(guān)注。其結(jié)果表明存儲、位置、相機、麥克風等權(quán)限被申請的百分比大于90%,讀取通訊錄申請百分比大于70%,以上權(quán)限申請幾乎成為App的標配。83%的APP“強制”申請開啟5個以下“與收集個人信息相關(guān)權(quán)限”。申請和強制收集的大部分信息屬于個人敏感信息,對企業(yè)來說,意味著較高的商業(yè)價值,對個人來說,一旦泄露,將導致個人信息主體及收集、使用個人信息的組織和機構(gòu)喪失對個人信息的控制能力,造成個人信息擴散范圍和用途的不可控,可能對個人信息主體人身和財產(chǎn)帶來重大風險。
中國消費者協(xié)會發(fā)布的《100款App個人信息收集與隱私政策測評報告》也揭示多達91款App列出的權(quán)限涉嫌“越界”過度收集用戶個人信息。在繁榮的APP市場中對于個人信息保護的水平卻極低。
App個人信息保護相關(guān)法律法規(guī)
目前,國內(nèi)外均沒有專門針對App個人信息保護的法規(guī),相關(guān)個人信息保護要求包含在對網(wǎng)絡運營者的數(shù)據(jù)安全保護義務和責任中。
1996年香港制定個人資料(隱私)條例,成為亞洲第一個對個人信息專門立法保護的司法區(qū),2012年香港對個人隱私條例進行了大幅度更新,旨在個人資料方面保障個人隱私的安全,對“數(shù)據(jù)用戶”(即數(shù)據(jù)使用者),獲取、持有、處理個人資料提出了規(guī)范性要求。該條例明確了在香港,個人信息資料獲得法律保護。個人資料的搜集須以“合法及公平”方式進行;除非獲得當事人同意,否則對個人資料的使用“只可按當時所述明的用途”,違反規(guī)定者最高可被罰款50萬港元及監(jiān)禁3年。
2015年,歐盟發(fā)布的《通用數(shù)據(jù)保護條例》(GDPR),圍繞個人數(shù)據(jù)的收集、使用、保存、分享、轉(zhuǎn)移等,對數(shù)據(jù)控制者和處理者、數(shù)據(jù)主體的權(quán)利義務進行了全面規(guī)定。
2017年6月1日起施行的《中華人民共和國網(wǎng)絡安全法》是國內(nèi)首部關(guān)于網(wǎng)絡安全的基礎性法律,其中對個人信息保護提出專門要求。明確要求網(wǎng)絡運營者必須建章立制,擔負用戶信息“保管員”的職責,確保對所收集的用戶信息在不泄露的前提下進行使用,同時強化了個人信息保護的知情同意和特定目的原則。
2018年,加利福尼亞州頒布《加州消費者隱私保護法案》(CCPA),被認為是美國國內(nèi)最嚴格的個人信息立法。指明,個人就其個人信息的使用和出售的控制能力對于隱私權(quán)而言具有基礎性意義并對違規(guī)行為設定了較重的處罰。
App個人信息保護需要數(shù)據(jù)安全治理
2019年1月25日,中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局四部門聯(lián)合發(fā)布《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》,將對超千款App進行評估,規(guī)??涨?,展現(xiàn)對亂象重拳治理的決心。但正如美國的《大數(shù)據(jù)與隱私報告》指出:信息所具有敏感性,以及與一般商業(yè)活動、政府行政或者來自公共場合的收集中的大量數(shù)據(jù)的難以分割性,使得規(guī)制這些信息的使用比規(guī)制收集更合適。如果能在合理收集數(shù)據(jù)的基礎上對數(shù)據(jù)進行有效的數(shù)據(jù)安全治理,則會對個人信息數(shù)據(jù)提供更深層次的安全保障。
數(shù)據(jù)安全治理不僅僅是一套用工具組合的產(chǎn)品級解決方案,而是從決策層到技術(shù)層,從管理制度到工具支撐,自上而下貫穿整個組織架構(gòu)的完整鏈條。可以以最有效的方式保護個人隱私信息的安全,又能夠讓企業(yè)發(fā)揮出共享數(shù)據(jù)應有的價值,數(shù)據(jù)安全治理體系建設可以從能力維度、執(zhí)行維度、場景維度三個層面開展:
能力維度
完善的組織機構(gòu)、有針對性和可行的管理制度和規(guī)范、全面和先進的數(shù)據(jù)安全技術(shù),是構(gòu)建數(shù)據(jù)安全治理體系的基礎。
●組織建設:組織的職責可劃分為數(shù)據(jù)安全策略的決策、數(shù)據(jù)的安全管理、數(shù)據(jù)安全使用的監(jiān)督三類,根據(jù)不同職責分配角色和人員。
●治理評估:組織在進行規(guī)劃過程中,應定期通過業(yè)務合規(guī)性評估手段開展咨詢評估工作,對業(yè)務系統(tǒng)和數(shù)據(jù)安全進行全面檢測,并對評估結(jié)果進行安全能力分析,從而形成業(yè)務系統(tǒng)數(shù)據(jù)安全能力評估報告。
●制度建設:將制度、規(guī)范按照方針政策、制度規(guī)范、操作明細、基礎模板四類進行分類,形成樹狀結(jié)構(gòu),便于管理。
●技術(shù)建設:數(shù)據(jù)安全技術(shù),支撐制度規(guī)范的執(zhí)行與監(jiān)控,技術(shù)工具建議使用標準的數(shù)據(jù)安全產(chǎn)品或平臺,也可以是自主開發(fā)的組件或工具;技術(shù)工具應覆蓋數(shù)據(jù)使用的各個場景中的數(shù)據(jù)安全需求。
執(zhí)行維度
針對數(shù)據(jù)使用的各個場景,需要通過梳理來了解數(shù)據(jù)資產(chǎn)狀況和風險;配合制度規(guī)范要求,采用不同的安全技術(shù)手段進行數(shù)據(jù)使用過程中的管控,同時要監(jiān)控使用過程,對訪問行為進行稽核,并不斷完善。
此過程是數(shù)據(jù)安全治理全維度的基礎,因為,只有摸清資產(chǎn)使用部門和角色、數(shù)據(jù)資產(chǎn)的分布、數(shù)據(jù)量級、訪問權(quán)限、數(shù)據(jù)使用狀況,才能夠有效的針對數(shù)據(jù)進行精細化的安全管控。
●行為管控
此過程是結(jié)合業(yè)務流程,在數(shù)據(jù)流轉(zhuǎn)中的數(shù)據(jù)訪問、數(shù)據(jù)運維、數(shù)據(jù)傳輸外發(fā)、數(shù)據(jù)存儲等各環(huán)節(jié)做到內(nèi)外兼顧,并對數(shù)據(jù)處理/使用環(huán)節(jié)中的數(shù)據(jù)進行安全保護。
●治理稽核
稽核是保證數(shù)據(jù)安全治理規(guī)范落地的關(guān)鍵,也是信息安全管理部門的重要職責。因此,此環(huán)節(jié)是保障數(shù)據(jù)安全治理的策略和規(guī)范能否被有效執(zhí)行和落地,以及最終實現(xiàn)數(shù)據(jù)安全治理全流程的閉環(huán)。
場景維度
數(shù)據(jù)安全治理涵蓋數(shù)據(jù)在日常使用過程中面臨的各種場景,具體包含開發(fā)測試、運維、共享、分析、應用訪問、內(nèi)部特權(quán)訪問等場景。在做數(shù)據(jù)安全建設時必須首先分析業(yè)務場景,包含但不限于如:開發(fā)測試、數(shù)據(jù)運維、數(shù)據(jù)分析、應用訪問、特權(quán)訪問等場景,然后按照能力維度中所梳理的資產(chǎn)、數(shù)據(jù)、用戶、權(quán)限等內(nèi)容導入到場景化,包括早期策略制定前的數(shù)據(jù)梳理工具,數(shù)據(jù)訪問過程控制中,采用什么樣的技術(shù)手段幫助實現(xiàn)數(shù)據(jù)的安全管理過程,以及在后期對數(shù)據(jù)安全治理工作進行稽核的過程中采用什么樣的技術(shù)工具進行輔助監(jiān)管。結(jié)合數(shù)據(jù)安全治理工具幫助完成數(shù)據(jù)安全治理工作。
在APP融入并改變?nèi)藗兩畹娜缃瘢渲械挠脩魝€人隱私信息安全問題備受關(guān)注,合理收集、適度開發(fā)、系統(tǒng)保護將會是長期的工作。