一、PA14 数据导入导出安全
1.充分定义级能力描述
组织建设
1)组织机构设立统一的数据导入导出安全管理岗位和人员,负责制定规则和提供技术能力,并推动在组织机构内业务场景落地执行。
制度流程
1)依据数据分类分级要求建立符合业务规则的数据导入导出安全策略,如授权策略、流程控制策略、不一致处理策略等
2)建立数据导出安全评估和授权审批流程,评估数据导出的安全风险,并对大量或敏感数据导出进行授权审批。
3)如采用存储介质导出数据,需建立针对导出介质的标识规范,明确介质的命名规则、标识属性等重要信息,定期验证导出数据的完整性和可用性。
4)制定导入导出审计策略和日志管理规范,并保存导入导出过程中的出错数据处理记录。
技术工具
1)记录并定期审计组织内部的数据导入导出行为,确保未超出数据授权使用范围。
2)对数据导入导出终端、用户或服务组件执行有效的访问控制,实现对其身份的真实性和合法性的保证。
3)在导入导出完成后对数据导入导出通道缓存的数据进行清除,以保证导入导出过程中涉及的数据不会被恶意恢复。
人员能力
1)负责数据导入导出安全工作的人员能够充分理解组织机构的数据导入导出策略,并根据数据导入导出的业务场景执行相应的风险评估,从而提出实际的解决方案。
2. 标准解读
数据导入导出广泛存在于数据交换过程中,通过数据导入导出,数据被批量化流转,加速数据应用价值的体现。如果没有安全保障措施, 非法人员可能通过非法技术手段导出非授权数据,导入悉意数据等,带来数据镇改和数据泄漏的重大事故,由于一般数据导入导出的数据量都很大,因此相关安全风险和安全危害也会被成倍放大。在该过程域中,需要采用有效的制度和工具控制数据导入导出的安全风险。对数据导入导出过程中数据的安全性进行管理,可以有效地防止在数据导入导出过程中对数据自身的可用性和完整性构成危害,以及降低可能存在的数据泄露风险。
3. 组织机构和制度流程
组织机构应建立数据导入导出安全规范,以及相应的权限审批和授权流程,同时还需要建立导出的数据存储介质的安全技术标准,保障导出介质的合法合规使用。
建立数据导入导出的安全制度规范,对各业务中的导入导出场景进行了充分合理的安全需求分析,能够依据不同的场景,并基手数据分类分级要求定义数据导入导出安全策略,例如访 问控制策略、不一致处理策略、流程控制策略、 审计策略、日志管理策略等。
建立规范的数据导入导出的安全車核和授权流程,流程中包括但不限手数据导入导出的业务方、数据在组织机构内部的管理方、相应的安全管理团队,以及根据组织机构数据导入导出的规范要求所需参与具体风险判定的相关方,如法律团队、对外公关团队、财务数据对外管 理团队等其他重要的与数据价值保护相关的团队。
建立针对导出数据介质的标识规范,明确介质的命名规則、标识属性等重要信息,定期验证 导出数据的完整性和可用性。
案例《XXX公司导入导出安全管理规范》关键内容:
总体说明 (目的)
导 入导出场景
安全要求(包含工具、介质等) 岗位职贡说明
导入导出工具
导入导出流程
4. 技术工具
建立独立的数据导入导出安全控制平台,或者与在统一的用户认证平台、权限管理平台,流程审批平台,监控审计平台中支持数据导入导出的安全控制功能。具体核心功能下:
数据导入导出权限管理:权限管理设置数据目录或者数据资产的导入导出访问权限,包括但不限于访问范围、访问人员分组、访问时间,访问频次等。
数据导入导出审批人管理: 支持设置数据访问权限的审核人和审批人,支持设置多级审批人。
数据导入导出工作流管理:建立数据导入导出工作流机制,对于数据导入导出进行审核和授权。
数据操作人员通过工作流申请数据导入导出权限,通过审核和授权后,遵循数据导入导出权限管理的数据导入导出才能被允许执行。
数据导入导出身份认证:对手数据导入导出的操作人员进行多重身份鉴定,包括双因子认证等,确保操作人员身份的合法性。
数据导入导出完整性验证:为了防止数据在导入导出过程中被篡改,数据导入导出增加完整性保护,在导入导出完成后需要进行完整性效验,确保数据合法性。
数据导入导出日志事计和风险控制:对于数据导入导出的所有操作和行为进行日志记录,并对高危行为进行风险识别。在安全事件发生后,能通过安全日志快速进行回溯分析。
导入导出通道缓存数据清除:在导入导出完成后对数据导入导出通道缓存的数据进行清除,以保证导入导出过程中涉及的数据不会被恶意恢复。
数据导入导出流程
数据导入导出的流程一般包括明确导入导出的数据,提供数据导入导出的申请,评估数据导入导出的范围及内容,审批授权,数据导入导出,明确导出的数据存储介质安全要求,审计及溯源等步骤。
明确导入导出的数据:
识别和记录需要导入或导出的具体数据,包括文件、数据库记录、数据集等。确保了解数据的敏感性和价值。最好是对数据进行标识,包括数据的范围,内容和格式等,以便后续对数据的访问和导入导出操作进行跟踪和监督。数据的标识方法应该确保数据的标识信息能够随数据导入导出操作一起流动,并且不易于删除和篡改,从而可以对数据导入导出记录进行有效跟踪,应支持静态数据和动态流数据的敏感标识。
提供数据导入导出的申请:
为数据导入和导出建立一个标准化的申请流程,允许相关人员提交导入和导出请求。向数据导入导出安全管理部门提交《数据导入导出申请表》,表中的内容应包括申请人信息,所在部门,岗位,申请理由,申请内容等。
评估数据导入导出的范围及内容:
对导入和导出申请进行审查,确定请求是否合理,是否符合组织政策和合规性要求。
评估数据的敏感性,确定是否需要特别的安全措施。
确保数据导入导出的目的是明确的,并且与组织的业务需求相关。
审批授权:
设立一个审批流程,确保每个导入和导出请求都经过适当的审批。满足最小授权原则,
在审批中考虑安全风险和合规性要求。
数据导入导出:
一旦获得批准,执行数据导入或导出操作。这可能包括将数据从一个系统迁移到另一个系统,复制数据到可移动介质,或将数据提供给合作伙伴。
确保数据传输的安全性,可以使用加密或其他安全措施。明确一下数据导入导出规范:
数据导入导出安全管理部门需要设置专门负责数据导入导出工作的专职人员,并对数据导入导出安全负责。
对数据导入导出的专职人员采取必要的认证措施,防止假冒。身份认证是数据安全防护的基础。
对导入导出的数据采取必要的安全技术措施,如木马检测,加密传输,加密存储,完整性校验等,以确保导入导出数据的安全性。
对导入导出的数据进行机器和人工双重校验,以保证数据的完整性和可用性。
明确导出的数据存储介质安全要求:
如果数据导出到存储介质(如USB驱动器、硬盘等),明确安全要求,例如加密存储介质、访问控制密码等。
确保存储介质能够追溯数据的来源和目的。
明确介质标识、存放环境和防泄密措施。
审计及溯源:
建立数据导入导出的审计机制,确保记录数据移动的详细信息,包括时间、地点、人员和目的。
使用安全信息和事件管理(SIEM)系统或日志审计工具来跟踪数据流动。
可以使用数据水印溯源技术来标识数据
数据导入导出安全的技术工具应从两个方面来设计,一方面是数据导入安全,其作用是防止导入恶意数据,造成数据被篡改或破坏;另一方面是数据导出安全,其作用是防止导出未授权的数据,造成敏感信息泄露。完整的数据导入导出安全工具应该同时包含两个方面。其次,由于导入导出作业的数据量一般都比较大,因此数据导入导出安全的技术工具还需要具备对导入导出的数据进行可用性和完整性校验的功能。
保证数据导入导出安全必备流程包括:
身份认证:只有通过身份认证的用户才可以使用数据导入导出管理平台/工具,进行后续的数据导入导出作业,身份认证应为多因素认证(强制多因素和动态多因素)
访问控制:不同的身份访问数据导入导出管理平台/工具,会获得不同的数据导入导出权限,权限分配应遵循“最小够用”原则。
作业审批:在访问控制流程中控制不同身份发起的数据导入导出作业,发起作业后,只有经过一级以上的人工审批,才能正式执行数据导入导出作业。
数据校验:在执行数据导入操作时,在进行最终的导入之前,需要对数据的格式,安全性和完整性等进行校验,只有通过校验的数据,才允许执行最终的导入动作;在执行数据导出操作时,需要对导出的数据先进行完整性校验,校验通过后才能结束导出作业。
日志审计:以上四个流程的全部操作都需要进行日志记录,日志审计需要覆盖数据导入导出的全生命周期。
数据预处理技术
对于数据导入导出安全来说,数据预处理是很关键的一步,预处理操作中包含了在进行最终的数据导入导出作业之前,对数据进行的所有事先处理和校验等工作。
由于数据导入作业是从外部将数据导入到内部系统中,所以数据导入的安全性校验尤为重要。数据导入作业的数据预处理操作一般是先对数据的格式进行校验,若数据格式不正确,或者与导入目标不兼容,则在预处理阶段就不会通过此次数据导入作业了;如果格式校验没有问题,则会进行数据的恶意代码检测,以防止攻击者在数据中夹带恶意代码;如果格式校验和安全性校验都没有问题,那么最后还要进行完整性校验,防止攻击者通过中间人攻击等方式篡改数据。当格式、安全性和完整性校验全部通过之后,流程才会进行最后的数据导入操作。
相对于数据导入作业来说,数据导出作业的预处理要简单不少。因为在经过身份认证和访问控制之后,数据导出时要确保的就是导出的数据是可用的、完整的,所以数据导出作业的预处理操作通常只需要进行完整性校验即可。
数据导入导出的预处理技术是确保数据在传输过程中的质量和完整性的关键部分。以下是一些常见的数据导入导出用到预处理方法:
数据清洗:在数据导入之前,对数据进行清洗以删除不完整、重复、错误或无效的数据。这可以包括去重、填充缺失值、验证数据格式等。
数据转换:如果数据的格式不匹配或不一致,需要进行数据转换。这可能包括数据类型转换、日期格式标准化、单位转换等。
数据加密:对于敏感数据,应该使用适当的加密技术,以确保数据在传输期间保持机密性。这可以包括TLS/SSL加密或其他加密协议。
数据压缩:在导出和导入过程中,可以使用数据压缩技术来减小数据传输的大小,提高效率。压缩技术通常会减少数据传输的带宽要求。
数据格式规范:确保导入和导出的数据遵循特定的数据格式和结构,以确保互操作性。这包括使用标准数据标记语言(如XML、JSON)或CSV格式。
数据校验和验证:在导入和导出之前,执行数据校验和验证,以确保数据的完整性和准确性。这包括检查数据是否符合预期的数据模式和值范围。
数据分片和分批次处理:对于大量数据,可以将数据分片为较小的块,并进行分批次处理,以减少数据导入和导出的负载和风险。
二、PA15数据共享安全
1.充分定义级能力描述
组织建设
1)组织机构设立统一的数据共享交换安全管理的岗位和人员,负责相关原则和技术能力的提供,并推广相关要求在相关业务场景的落地执行。
制度流程
1)制定数据共享的原则和安全规范,明确数据共享内容范围和数据共享的管控措施,及数据共享涉及机构或部门相关用户职责和权限。
2)明确数据提供者与共享数据使用者的数据安全责任,确保共享数据使用者具备与数据提供者足够或相当的安全防护能力。
3)制定数据共享审计策略和审计日志管理规范,明确审计记录要求,为数据共享安全事件的处置、应急响应和事后调查提供帮助。
4)使用外部软件开发包/组件/源码前应进行安全评估,获取的数据符合组织机构的数据安全要求。
技术工具
1)采取多种措施确保个人信息在委托处理、共享、转让等对外提供场景的安全合规,如数据脱敏、数据加密、安全通道、共享交换区域等。
2)对共享数据集数据共享过程进行监控审计,确保共享的数据属于共享业务场景需求且没有超出数据共享使用授权范围。
3)建立共享数据格式规范,如提供机器可读的格式规范。
人员能力
1)负责该项工作的人员能够充分理解组织机构的数据共享策略,并根据数据共享的业务场景执行相应的风险评估,从而提出实际的解决方案。
2. 标准解读
在数据交换环节中,业务系统将数据共享给外部组织机构,或者以合作方式与第三方合作伙伴交换数据,数据在共享后释放更大价值,并支撑数据业务的深入开展。数据共享过程中面临巨大安全风险,数据本身存在敏感性,共享保护措施不当将带来敏感数据和重要数据的泄漏。因此,在本过程域中,需要采取安全保护措施保障数据共享后数据的完整性、保密性和可用 性,防止数据丢失、篡改、假冒和泄露。
3. 组织机构和制度流程
组织机构应明确数据共享的安全规范,该要求从国家安全、组织机构的核心价值保护、个人信息保护等方面的数据共享的风险控制提出了要求,明确数据共享涉及机构或部门的相关职责和权限,明确共享数据相关的使用者的数据保护责任,确保数据使用的相关方具有对共享数据足够的保护能力,从而保障数据共享安全策略的有效性。
组织机构在原则要求的基础上根据组织机枸对数据共享涉及的数据类型、数据内容、数据格 式 、以及对数据共享的常见场景制定了细化的规范要求,以满足数据共享业务需求范围,提高数据共享效率,指导具体数据共享场景的风险把控。
组织机构建立了规范的数据共享的审核流程,审校流程中包括但不限于数据共享的业务方、共享数据在组织机构内部的管理方、数据共享的安全管理团队,以及根据组织机构数据共享 的規范要求所需参与具体风险判定的相关方,如法律团队、对外公关团队、财务数据对外管 理团队等其他重要的与数据价值保护相关的团队,确保共享的数据未超出投权范围。
组织机构制定了数据共享审计策路和审计日志管理规范,明确审计记录要求,为数据共享安全事件的处置、应急响应和事后调查提供帮助。
针对数据交换过程中涉及到第三方的数据交换加工平台的场景,组织机构制定了明确的安全评估的要求和流程,以保证该数据交换加工平台己符合组织机构对数据交换过程中的数据安全要求。
4. 技术工具
在数据交换环节,由于业务需要,往往需要进行数据共享作业,而在数据共享过程中又可能会面临巨大的安全风险,一旦共享保护措施不当就会带来敏感数据和重要数据的泄露。因此,在数据共享过程中,需要采取安全保护措施以保障共享后数据的完整性、保密性和可用性,防止数据丢失、篡改、假冒和泄露。数据共享的过程包含了数据共享前的审批、脱敏,共享过程中的加密操作,以及对共享过程的日志记录和审计等。数据共享安全的三种方式:
在线服务浏览:主要是面向弱需求应用部门,通过浏览器直接访问平台门户网站,应用可以在线查看平台提供的各类数据资源服务,如各类地理信息和专题信息浏览、地名查找、地址定位、空间查询、地点标绘、数据选取等。
使用在线服务接口:主要是面向具有开发能力的应用部门。针对平台提供的在线服务接口,应用部门可以进行二次开发,建设自身的业务应用系统。服务接口包括数据服务接口和功能服务接口。通过数据服务接口,应用部门可以获得平台最新的数据成果,同时也可以获得其他节点上发布的专题共享信息数据。通过功能服务接口,应用部门可以获得各类服务功能,如统计功能。
离线服务:主要是面向不具备网络接入条件或省级平台在线服务方式不能满足需求的部分应用部门。离线服务模式是一种非在线服务模式,通过硬盘复制方式,数据提供者将数据提供给应用部门,应用部门再依托离线数据建设自身的业务系统。数据提供者需要定期更新离线数据,以确保数据的同步更新。
数据共享安全管理平台应主要包含以下核心功能:
用户认证功能:用于对数据共享的操作人进行身份认证,确保发起数据共享的人员已通过认证。
权限管理功能:用于建立数据共享目录,确认工作流,对共享数据的目录进行审核,确保没有超出数据服务提供者的数据所有权和授权使用范围。
数据共享目录审核确认工作流:建立了数据共享审核流程确认工作流,对共享数据的目录进行审核,确保没有超出数据服务提供者的数据所有权和授权使用范围。
数据共享权限审批人管理功能:支持设置数据共享权限的审校人和审批人,支持设置多级审批人。
敏感数据保护功能:如果共享数据中包含重要数据、个人隐私数据等敏感数据,支持对手共享数据进行加密、脱敏等数据保护工具处理后再共享,有效保护敏感数据。
数据共享日志审计和风险控制:对于数据共享的所有操作和行为进行日志记录,并对高危行为进行风险识别。在安全事件发生后,能通过安全日志快速进行回溯分析。
数据安全交换功能:如果共享数据中包含重要数据、个人隐私数据等敏感数据,因为数据有效性不能对数据进行匿名化处理,需要支持数据进行安全交换,做到数据 “ 可用不可见”。在用户不直接按触原始数据的情况下,依然可以使用共享数据进行计算分析得到结果。如电话信息可不见但是可以直接拨打、身份信息不可见,但是可以进行比对认证等。
那么对于提到的数据交换学习主要如下:主流的数据安全交换方法主要包含基于物理存储介质的摆渡交换技术、基于电路开关的交换技术、基于内容过滤的交换技术、基于协议隔离的交换技术、基于物理单向传输的交换技术和基于密码的交换技术。
基于物理存储介质的摆渡交换技术
基于物理存储介质的摆渡交换技术是指借助光盘或U盘等物理存储介质,通过人工操作的方式实现交换数据的“摆渡”,从而实现不同信息系统之间的数据交换功能,该交换技术也称为人工交换。
在不同信息系统之间进行数据交换的时候,先由指定人员将需要交换的数据刻录成光盘或复制到移动存储介质上,再复制到目标系统中,这种解决方案可以实现网络的安全隔离,安全性较高,但数据的交换是由人工操作来实现的,工作效率较低,两个系统之间的数据交换比较困难,安全性完全依赖于人为因素,可靠性无法保证。
基于电路开关的交换技术
基于电路开关的交换技术是指利用单刀双掷开关使得内、外部网络分时访问临时缓存器来完成数据的交换,从而实现在空气缝隙隔离情况下的数据交换。传统网闸主要是基于该技术来实现内、外网的物理隔离和数据交换的。
基于电路开关的交换设备通常由三部分组成:内网处理单元、外网处理单元和隔离交换单元。内网处理单元与内网口相连,外网处理单元与外网口相连。当发生数据交换时,单刀双掷开关分时与内、外网处理单元相连接,通过隔离交换单元来完成内网处理单元和外网处理单元之间的数据交换。隔离交换单元不仅要实现内、外网络处理单元的隔离,同时还要完成对数据的剥离,以及对物理连接的断开。
基于电路开关的交换技术的主要特点是通过电路开关切换不同的网络,使得内网与外网永不连接,内网和外网在同一时间最多只有一个网络与隔离交换单元建立数据连接。每一次数据交换都要经历数据写入和数据读出两个过程。基于电路开关的交换技术其优势是构建方式比较简单,可以保证在任意时刻内网与外网间都不会存在链路层通路,从而实现网络的物理隔离。基于电路开关的交换技术能够在一定程度上解决数据交换和安全隔离的需求,但这种隔离方式仅仅是时间逻辑上的错觉,如果延长时间,压缩时间轴,那么我们所看到的信息交互量曲线与网线相连无异,因此如果交换数据中存在非法信息或敏感信息,那么当一端网络连接时,非法信息或敏感信息依然会扩散或泄露。除此之外,基于电路开关的交换技术其数据传输是非实时的,因此该方式不够便捷。
基于内容过滤的交换技术
基于内容过滤的交换技术是指通过对网络内网进行关键字(如基于HTTP的网页内容关键字,SMTP和POP3协议的邮件主题、邮件内容关键字等)匹配和内容过滤来实现数据的交换。基于内容过滤的交换技术可以实现对网络内容的监控,对应用数据的提取与安全审查,可以保护网络中的各种敏感资源和数据,防止在交换过程中传输某些特定内容,从而达到杜绝基于协议层的攻击和增强应用安全的目的。基于内容过滤的交换技术可以通过软件方式或硬件方式来实现,其主要工作过程是首先进行网络数据包的捕获与解析,然后对数据包进行检测和文档提取,最后针对关键词(字)进行检索,按照匹配的原理,对传输的数据进行过滤和检查。
该技术的主要特点是可以抵抗来自传输层的攻击,这种基于内容过滤的交换技术可以解决诸如非法参数、缓冲区溢出漏洞等网络攻击问题,但也只能降低被攻击的风险,依然会存在安全隐患,因为内容检测并不能过滤掉所有的攻击和病毒。
基于协议隔离的交换技术
协议隔离又称为逻辑隔离,基于协议隔离的交换技术是指处于不同安全域的网络具有物理上的连接,通过协议转换可以保证受保护的信息在逻辑上是隔离的,只有满足系统要求、允许传输的信息才可以通过连接进行传输,从而实现数据交换。
进行数据交换时,内、外网应将待交换的数据发送到内网数据处理单元,之后再通过数据交换单元完成数据交换,在数据交换单元中剥离数据包的TCP/IP头部结构,对裸数据进行重新编码,并通过不可路由的私有协议进行传输,从而完成数据交换。
基于协议隔离的交换技术的主要特点是通过剥离数据包的TCP/IP头部结构,对裸数据重新编码,并通过私有协议传输的方式来切断内、外网络之间建立的TCP/IP连接,阻止了针对TCP/IP的所有攻击。但该技术的安全性依赖于私有化协议和应用设计的保密性。除此之外,虽然所交换的数据单元是用户所使用的原始数据(即数据文件),但是攻击者如果将非法的病毒和木马文件伪装成合法的文件,并设法将这些文件放在进行数据交换的服务器上,或者伪装成合法的服务器,依然也能将这些非法文件交换到内网中,导致无法实现数据的安全交换。
基于物理单向传输的交换技术
基于物理单向传输的交换技术是指数据传播在约定的时间范围内(通常是无限长),单方向上不存在任何介质形式的有效通路。内、外网处理单元分别与内、外网相连,内网处理单元与外网处理单元之间通过专用的光或电单向器件连通来进行单向数据传输,而不能反向传输数据,从而在物理隔离的两个网络之间真正实现安全的单向导通功能。
基于物理单向传输的交换技术的主要特点是发生数据交换时,其通过硬件实现一条“只读”的单向传输通道来保证内、外网的安全隔离,严格限制数据传输流向,从而实现数据的安全交换。这种技术多用于解决工业控制系统与外网之间的单向数据交换,或者不同密级的网络之间的单向数据交换。
基于密码的交换技术
基于密码的交换技术是指使用专用密码通信协议来实现数据的安全交换。基于该技术实现数据安全交换的主要过程是:采用两台不同的设备,通过通用的网络接口,分别与内网和外网的网络接口相连,而这两台设备之间需要使用专用密码通信协议的专用接口卡进行互联,通常情况下内、外网之间是断开的,只有在进行数据交换时,内、外网才会通过这两台设备及专用密码通信协议进行连通。
在密码技术的支持下,该技术采用专用安全通信协议来实现不同网络之间的隔离与交互。其主要优势是对那些程序性穿透攻击设置了一道不可逾越的障碍,使得破坏者无法通过攻击程序来盗取内网的信息。不过,由于专用通信协议往往需要专用硬件设备的支持,因此基于密码的交换技术往往成本比较高、设备的费用通常比较昂贵。
数据共享中格式要求:
建立共享数据的机器可读格式规范是非常重要的,因为它可以确保数据在不同系统之间能够被正确解释和使用。以下是一些常见的机器可读格式规范:
JSON(JavaScript Object Notation):
JSON是一种轻量级的数据交换格式,易于人类阅读和编写,同时也易于机器解析和生成。
采用键值对的形式,支持数组和嵌套结构。
示例:
jsonCopy code
{"name":"John Doe","age":30,"city":"New York"}
XML(eXtensible Markup Language):
XML是一种可扩展的标记语言,用于存储和传输数据。
支持层次结构和嵌套元素。
示例:
xmlCopy code
<person><name>John Doe</name><age>30</age><city>New York</city></person>
CSV(Comma-Separated Values):
CSV是一种简单的文本格式,通过逗号将数据字段分隔开。
适用于表格形式的数据。
示例:
csvCopy code
name,age,city John Doe,30,New York
Protobuf(Protocol Buffers):
Protobuf是一种二进制格式,由Google开发,用于序列化结构化数据。
具有紧凑的表示和高效的解析速度。
示例:
protobufCopy code
message Person { required string name = 1; required int32 age = 2; required string city = 3; }
Avro:
Avro是一种二进制序列化格式,具有紧凑和快速的特点。
支持动态数据类型和架构演化。
示例:
jsonCopy code
{"type":"record","name":"Person","fields":[{"name":"name","type":"string"},{"name":"age","type":"int"},{"name":"city","type":"string"}]}
在选择机器可读格式规范时,要考虑数据的复杂性、性能要求、易用性以及所涉及系统的技术栈。还可以考虑使用标准化的数据模型,如JSON Schema或XML Schema,以进一步定义数据的结构和约束。此外,确保文档和元数据的良好定义也是实施机器可读格式规范的一部分。
三、PA16 数据发布安全
1.充分定义级能力描述
组织建设
1)组织应指定专人或设立相关岗位人员,负责组织机构的数据公开发布信息,并且对数据披露人员进行安全培训。
制度流程
1)应明确数据公开发布的审核制度,严格审核数据发布符合相关法律法规要求。
2)应明确数据公开内容、适用范围及规范,发布者与使用者权利和义务。
3)定期审查公开发布的数据资源中是否含有非**信息,并采取相关措施确保发布数据使用的合规性。
4)应采取必要措施建立数据公开事件应急处理流程
技术工具
1)应建立数据发布系统,实现公开数据登记、用户注册等发布数据和发布组件的验证机制。
人员能力
1)负责数据发布安全管理工作的人员应充分理解数据安全发布的制度和流程,通过了岗位能力测试,并能够根据实际发布要求建立相应的应急方案。
2. 标准解读
数据发布是指组织内部数据通过各种途径向外部组织公开的一个过程,如数据开放、企业宜传、网站 内容发布、社交媒体发布、PT资料对外宣讲等。数据发布安全管理的目的是避免由于违规对外披露而对组织机构造成名誉损害和资产损失等不良影响。数据发布安全管理可用于保障发布内容的真实性,正确性,时效性和准确性。
3. 组织建设和制度流程
数据发布管理制度是建立在数据分类分级的基础上,针对可对外公开和发布的数据进行发布前、发布中、发布后安全管理过程,包括发布前的数据内容、发布范围等审核,发布中的定期审查,以及发布后可能出现不良影响的应急处理机制。
《XXXX单位数据安全发布管理制度》重点包括以下内容:
明确数据发布的肉容和适用范围
数据发布相关人员职责和分工
数据发布的管理和审核流程
数据发布事件应急处理流程数据发布的监管要求
《XXXX单位数据发布审核管理规范》重点包括以下内容:
数据发布安全管理部门负责完成对发布信息的审核,签署并及时反馈审核意见;对于不能确定是否可以公开的数据,应当依照国家法律法规及行业有关规定,上报给相关主管部门或同级保密工作部门确定。
数据发布安全管理部门不得公开涉及国家秘密、商业秘密和个人隐私的数据。但是,经权利人同意公开,或者数据发布安全管理部门认为不公开可能会对公共利益造成重大影响的、涉及商业秘密或个人隐私的数据,可以予以公开。
任何人都不得利用数据发布平台从事危害国家安全、泄露国家秘密的活动,不得侵犯国家、社会、集体的利益和其他公民的合法权益。
对于经过审核后确认同意发布的数据,负责数据发布的人员应及时在数据发布平台上将其发布,以确保发布数据的及时性和准确性。发布后,数据发布人员应及时保存原数据文档,并在数据发布平台上完成对信息内容的检查和校对,确定数据无误,同时上传和登记数据发布人员、发布时间等信息。
凡有关信息采集、审核、发布和上传登记的信息,都应该形成档案资料妥善保存,档案内容主要包括所有人员签名、审核意见、发布过程等内容;发布的文件、数据、文字及图像等资料均由数据发布安全管理部门统一管理。
4. 技术工具
数据发布系统,常见的类似工具像各省市政务数据公开服务平台、数据开放平台等。
建立数据资源公开数据库、数据发布平台和应急处理平台,实现公共数据资源登记、数据资源发布和数据发布事件应急响应功能。
建立数据资源公开数据库,实现公开数据资源登记、发布用户注册、发布数据和发布组件验证互认机制等功能
建立数据发布平台,实现数据服务相关数据资源公告、资格审查、成交信息、履约信息等数据发布功能 。
建立数据资源公开事件应急处理平台,对于各类安全事件进行有效应急处置,例如数据发布出现非法言论时的应急处理措施、黑客攻击时的应急处理措施和病毒安全应急处理措施。
对发布数据进行安全处理的技术是数据发布安全工具的基础和核心。处理的目标在于发布数据的“可验证性”和“抗联系攻击性”,一个比较典型的例子就是投票数据的公布,“可验证性”就是投票者可以验证自己的参与是否被正确计票,“抗联系攻击性”就是从已公布的投票数据中并不能推导出投票者的选择。联系攻击是一种通过分析和关联多个数据源来推断个体隐私信息的攻击。一般可通过差分隐私、匿名化、数据脱敏和限制访问查询等措施提高抗联系攻击性。
数据发布是数据交换和数据共享中很重要的环节。数据发布中的隐私保护(PPDP,Privacy Preserving in Data Publishing)。PPDP的主要任务是解决隐私保护和数据发布后的数据可用性之间矛盾的问题,与之对应的主要目标是在保证发布数据可用性的前提下,适当变动原始数据所包含的信息,以提高发布数据的安全性,从而达到隐私保护与信息可用性之间的平衡。常见PPDP技术如下
基于匿名的隐私保护数据发布技术
基于匿名的隐私保护数据发布技术,也称为基于限制的发布技术,主要是采用数据匿名算法对所发布的数据进行处理,一般包括抑制(即不发布该数据项)和泛化(即对数据进行更概括、抽象的描述)等操作。
基于限制的发布技术,是指为了实现对数据隐私的保护,根据情况有选择地发布原始数据和较低精度的敏感数据,或者不发布数据。“数据匿名化”是当前基于限制的发布技术的主要方法和研究热点,是对敏感数据进行选择性发布,以达到数据隐私保护和数据可用性的平衡。除了设定好能够平衡数据隐私保护和可用性的匿名化原则之外,数据匿名化研究还要针对特定的匿名化原则设计有效的匿名化算法,并将其应用在现实的数据发布中。
抑制和泛化是数据匿名化采用的两种基本操作。数据抑制是指抑制特定数据项的发布,如部分发布或者不发布,数据抑制可以很好地避免特定记录的隐私泄露。数据泛化是指使用更概括、更抽象的信息代替原始数据,这样就可以在不泄露数据的精确信息的前提下保留数据的统计特征和相关信息。例如,在发布个人的年龄信息时,可以用婴幼儿、少年、青年、中老年、老年等概念性描述来代替具体的年龄。数据匿名化技术研究时常用的技术有“K-匿名”策略和“L-多样性”策略。
基于加密的隐私保护数据发布技术
在某些场景中,如分布式隐私保护场景,数据在发布或传输的过程中,首先要解决的是通信的安全性问题。基于数据加密的隐私保护技术的原理是使用加密技术,在数据通信过程中对数据进行加密,从而隐藏敏感信息。基于数据加密的隐私保护技术多用在分布式应用中,如分布式数据挖掘、分布式安全查询、几何计算、科学计算等应用。由于数据加密技术多适用于分布式应用和数据值的加密隐藏,因此在面向聚类的隐私保护数据发布场景中,该技术没有得到广泛应用。
基于失真的隐私保护数据发布技术
在面向聚类应用的隐私保护数据发布研究中,最常用的是基于数据失真的隐私保护技术。数据失真技术通过扰动修改原始数据来实现隐私保护和信息隐藏,扰动修改后的数据应同时满足以下两个要求。第一个要求是攻击者无法找到真正的原始数据,即攻击者通过扰动后的数据不能恢复或重构真实和完全的原始数据。第二个要求是扰动后的数据其聚类可用性保持不变,即从原始数据中和从发布后的数据中得到的聚类信息是相同的。
在基于数据失真的隐私保护技术中,数据扰动是目前比较常用的一种方法,其主要思想是通过对原始数据的修改实现对微数据隐私的保护,这种扰动很容易造成数据个体差异的改变,数据扰动在使敏感数据失真的同时,能够维持某些数据或某些数据的属性保持不变,但也可能会带来一定程度的信息丢失。面向聚类应用的数据扰动研究,主要采用几何变换、数据交换及数据替换等扰动方法对数据实施隐私保护。
四、PA17 数据接口安全
1.充分定义级能力描述
组织建设
1)组织应设立统一负责数据接口安全管理的岗位和人员,由该岗位人员负贲制定整体的规则并推广相关流程的推行。
2)在数据权限的申请阶段,由相关人员评估使用真实数据的必要性,以及确定该场景下适用的数据脱敏规则及方法。
制度流程
1) 应明确数据接口安全控制策略,明确规定使用数据接口的安全限制和安全控制措施,如身份鉴别、访问控制、授权策略、签名、时间戳、安全协议等;
2 ) 应明确服务接口安全规范,包括接口名称、接口参数、接口安全要求等 ;
3)应与数据接口调用方签署了合作协议,明确数据的使用目的、供应方式、保密约定、数据安全责任等。
技术工具
1)应具备对接口不安全输入参数进行限制或过滤的能力,为接口提供异常处理能力。
2)应具备服务接口访问的审计能力,并能为大数据安全审计提供可配置的数据服务接口。
3)应对跨安全域间的服务接口调用采用安全通道、加密传输、时间戳等安全机制。
人员能力
1)负责数据接口安全工作的人员应充分理解数据接口调用业务的使用场景,具备充分的数据接口调用的安全意识、技术能力和风险控制能力。
2. 标准解读
在数据共享交换的过程中,通过数据接口获取数据是一种很常见的方式,如果对数据接口进行攻击,则将导致数据通过数据接口泄露的安全问题。组织机构通过建立对外数据接口的安全管理机制,可以有效防范在数据接口调用过程中发生的安全风险。相关可能攻击方式如下:
伪装攻击,例如:第三方有意或恶意的调用。
篡改玫击,例如:请求头/ 查询字符串/内容在传输过程被修改。
重放政击,例如:请求被截获,稍后被重放或多次重放。
数据信息监听,例如:截获用户登录请求,截获到账号、密码等敏感信息 。
3. 组织建设和制度流程
数据接口安全管理部门需要制定数据接口开发规范,对涉及的接口类型,编码格式,变量名称,变量类型,长度,大小等内容进行规范定义。同时也要采用不安全的参数限制,时间戳超时机制,令牌授权机制,签名机制,安全传输协议等安全措施,降低数据在接口调用过程中的安全风险。同时我们应该从接口身份认证、防重放、数据防算改、防泄漏角度制定数据接口的安全限制和安全防护措
施; 通过合作协议明确数据接口调用的目的、用途等内容, 对接又调口方的行为进行合法性和正当性约束。
《XXXX单位接口开发规范》,重点包括以下内容:
统一接入URL : https://openapi.domain.com
接入方式:支持http、https、get或post 方式
系统编码:UTF-8
接入认证: API Keys、OAuth、Token-Based、JWT
appkey: 应用key
secretkey:应用密钥
可以参考文献:GB/ T 32908-2016《非结构化数据访问接口规范》
4. 技术工具
一套完整的数据接口安全技术工具应具备安全访问、安全传输和安全审计的功能,具体如下:
安全访问:所谓安全访问是指通过认证及授权的身份以合法的方式对接口数据进行请求。为实现安全访问,首先需要进行身份认证,可以通过公私钥签名或加密机制提供细粒度的身份认证和访问、权限控制,以满足数据防篡改和数据防泄露的要求。对接口不安全数据参数应进行限制或过滤,为接口提供异常处理能力,防止由于接口特殊参数注入而引发的安全问题。在访问过程中,对用户身份认证信息采用时间戳超时机制,过期失效,以满足接口防重放要求。
安全传输:所谓安全传输是指通过接口进行的请求及数据返回都需要通过安全的通道进行传输。如通过HTTPS构建的可进行加密传输和身份认证的网络协议,以解决信任主机通信过程中的数据泄密和数据篡改的问题。
安全审计:在用户访问过程中或访问结束之后,数据接口安全技术工具应具备数据接口访问的审计能力,并能为数据安全审计提供可配置的数据服务接口,同时还可以通过接口调用日志的收集处理和分析操作,从接口画像、IP画像、用户画像等维度对接口的调用行为进行分析,并且通过告警机制对产出的异常事件进行实时通知。相较于其他安全域,这个阶段需要关注如何对数据接口进行安全访问的控制,主要涉及的技术手段有不安全数据参数的限制、时间戳超时机制等。
现在很多失眠工具已经实现主要功能:
通过HTTPS 协议构建的可进行加密传输、身份认证的网络协议,解决信任主机和通讯过程中的数据泄密和数据被纂改的问题。
通过公私钥签名或加密机制提供细粒度的身份认证和访问、权限控制,满足数据防篡改和数据防泄漏要求;
实现时间戳超时机制,过期失效,满足接口防重放要求;
通过接口参数过滤、限制,防止接口特殊参数注入引发的安全问题:
通过接口调用日志的收集、处理、分析,从接口面像、IP 画像、用户画像等维度进行接口调用行为分析,并且产出异常事件通过告警机制进行实时通知。
数据接口安全访问控制的技术手段:
不安全参数限制机制
不信任所有用户的输入是构建安全世界观的重要概念。绝大部分黑客攻击都会通过人为地构造一些奇特的参数值进行攻击探测,因此数据接口安全管理团队需要对用户的输入进行检测,以确定其是否遵守系统定义的标准。限制机制可能只是简单的一个参数类型的验证,也可能是复杂的使用正则表达式或业务逻辑去验证输入。目前主流的验证输入的方式共有两种:白名单验证和黑名单验证。白名单验证:是指只接受已知的不存在威胁的用户数据,即在接受输入之前首先验证输入是否满足期望的类型、长度或大小、数值范围及其他格式标准。常用的实现内容验证的方式是使用正则表达式。黑名单验证:是指只拒绝已知的存在威胁的用户输入,即拒绝已知的存在威胁的字符、字符串和模式。这种方法没有白名单验证的效率高,原因在于潜在的、存在威胁的字符数量庞大,因此存在威胁的输入清单也很庞大,扫描过程较慢,并且难以得到及时更新。常见的实现黑名单验证的方法也是使用正则表达式。
时间戳超时机制
时间戳超时机制是指用户每次请求都带上当前时间的时间戳(timestamp)。服务端接收到时间戳后,会与当前时间进行比对,如果时间差大于一定的时间(如5分钟),则认为该请求失效,时间戳超时机制可以有效防止请求重放攻击,DoS攻击等。
令牌授权机制
用户使用身份认证信息通过数据接口服务器认证之后,服务器会向客户端返回一个令牌,这个就是我们常说的(token,通常是UUID),并将token-userid以键值对的形式存放在缓存服务器中。服务端接收到请求后进行令牌验证,如果令牌不存在,则说明请求无效。令牌是客户端访问服务端的凭证。
签名机制
将令牌和时间戳加上其他请求参数,再用MD5或SHA-1算法(可根据实际情况进行加盐)进行加密,加密后的数据就是本次请求的签名(sign)。服务端接收到请求后,将以同样的算法得到签名,并将其与当前的签名进行比对,如果不一样,则说明参数已被更改过,将会直接放回错误标示。签名机制可以保证数据不会被篡改。
五、数据安全风险评估
| 数据导入导出 | a)数据导出安全评估和授权审批流程建设情况; |
| b)导入导出审计策略和日志管理机制建设情况; | |
| c)是否进行严格的导出权限管理并记录了完整的导出操作; | |
| d)是否对导出数据的存储介质提出了严格的加密、使用、销毁要求并进行落实; | |
| e)定期对个人信息和重要数据导出行为进行安全审计情况。 |
| 数据提供合法正当必要性 | a)数据对外提供的目的、方式、范围的合法性、正当性、必要性; |
| b)数据提供的依据和目的是否合理、明确; | |
| c)数据提供是否遵守法律法规和监管政策要求,是否存在非法买卖、提供他人个人信息或重要数据行为; | |
| d)对外提供的个人信息和重要数据范围,是否限于实现处理目的的最小范围。 | |
| 数据提供管理 | a)数据提供安全策略和操作规程的建设落实情况; |
| b)数据对外提供的审批情况; | |
| c)对外提供数据前,数据安全风险评估情况和个人信息保护影响评估情况; | |
| d)与接收方签订合同协议情况,是否在合同协议中明确了处理数据的目的、方式、范围、数据安全保护措施、安全责任义务及罚则; | |
| e)开展共享、交易、委托处理、向境外提供数据等高风险数据处理活动前的安全评估情况; | |
| f)向境外执法机构提供境内数据的情况; | |
| g)核心数据跨主体流动前是否经国家数据安全工作协调机制评估和批准。 | |
| 数据提供技术措施 | a)对外提供的敏感数据是否进行加密及加密有效性; |
| b)对共享数据及数据共享过程的监控审计情况; | |
| c)对外提供数据时采取签名、添加水印等安全措施情况; | |
| d)跟踪记录数据流量、接收者信息及处理操作信息情况,记录日志是否完备、是否能够支撑数据安全事件溯源; | |
| e)数据对外提供的安全保障措施及有效性; | |
| f)多方安全计算、联邦学习等安全技术应用情况。 | |
| 数据接收方 | a)数据接收方的诚信状况、违法违规情况、境外政府机构合作关系、被中国政府制裁等情况; |
| b)数据接收方处理数据的目的、方式、范围等的合法性、正当性、必要性; | |
| c)接收方是否承诺具备保障数据安全的管理、技术措施和能力并履行责任义务; | |
| d)是否考核接收方的数据保护能力,掌握其发生的历史网络安全、数据安全事件处置情况; | |
| e)对接收方数据使用、再转移、对外提供和安全保护的监督情况。 | |
| 数据转移安全 | a)是否向有关主管部门报告; |
| b)是否制定数据转移方案; | |
| c)接收方数据安全保障能力,是否满足数据转移后数据接收方不降低现有数据安全保护水平风险; | |
| d)没有接收方的,对相关数据删除处理情况。 | |
| 数据出境安全 | a)数据出境场景梳理是否合理、完整,是否覆盖全部业务场景和产品类别; |
| b)出境线路梳理是否合理、完整,是否覆盖公网出境、专线出境等情形; | |
| c)涉及数据出境的,按照有关规定开展数据出境安全评估、个人信息保护认证、个人信息出境标准合同签订的情况; | |
| d)针对公网出境场景,监测核查实际出境数据是否与申报内容一致。 | |
| 数据公开适当性 | a)数据公开目的、方式、范围的适当性; |
| b)数据公开目的、方式、范围与行政许可、合同授权的一致性; | |
| c)公开的数据内容与法律法规要求的符合程度; | |
| d)对公开的数据进行必要的脱敏处理、数据水印、防爬取、权限控制情况; | |
| e)数据公开是否会带来聚合性风险;基于被评估对象的已公开数据,结合社会经验、自然知识或其他GK信息,尝试是否可以推断出涉密信息、被评估对象其他未曾公开的关联信息,或其他对国家安全、社会公共利益有影响的信息。 | |
| 数据公开管理 | a)数据公开的安全制度、策略、操作规程和审核流程的建设落实情况; |
| b)数据公开的条件、批准程序,涉及重大基础设施的信息公开是否经过主管部门批准,涉及个人信息公开是否取得个人单独同意; | |
| c)数据公开前的安全评估情况,是否事前评估数据公开条件、环境、权限、内容等风险; | |
| d)因法律法规、监管政策的更新,对不宜公开的已公开数据的处置情况; | |
| e)对公开数据的脱敏处理、防爬取、数字水印等控制措施。 |
关于数据交换的风险评估可能更多是以专家访谈、现场演示和人工检查为主,涉及的管理规范、组织流程和技术工具绝大部分在DSMM交换安全都已提及,具体应该检查到落地文档和执行情况。这里补充一下部分学习内容:
1.多方安全计算、联邦学习等安全技术应用情况。
多方安全计算(MPC):
数据隐私保护:MPC允许多个参与方在不暴露各自私密数据的情况下进行计算。这种技术可应用于金融领域中的隐私保护、医疗数据处理、隐私统计等方面。
安全计算:MPC可确保多个参与方共同完成计算任务,同时保护各自的数据隐私。这种技术广泛应用于安全领域、云计算、密码学等方面。
联邦学习(Federated Learning):
分布式学习:联邦学习使得多个参与方可以共同训练机器学习模型,而无需将原始数据集集中在一处。这有助于在保护数据隐私的同时进行模型训练。
个性化服务:在联邦学习中,每个参与方都能在本地训练模型,从而实现个性化的服务,而无需将个人数据发送到中央服务器
2.数据转移方案;
数据转移方案指的是将数据从一个地方、系统或平台转移到另一个地方的方法和策略。这些方案可能因数据的性质、规模和转移的目的而有所不同。以下是一些常见的数据转移方案:
ETL(Extract, Transform, Load)过程:
提取(Extract):从源系统中获取数据。
转换(Transform):对提取的数据进行清洗、处理和转换,以满足目标系统的需求。
加载(Load):将经过处理的数据加载到目标系统中。
批量数据传输:
文件传输:将数据以文件的形式从一个地方传输到另一个地方,如使用FTP、SFTP等协议。
批处理:定期或按需将大量数据一次性传输。
实时数据传输:
消息队列和流处理:使用消息队列系统(如Kafka、RabbitMQ)或流处理平台(如Apache Flink、Apache Kafka Streams)实现实时数据传输和处理。
API和Web服务:
RESTful API:通过RESTful API接口或Web服务进行数据交换和传输。
GraphQL:使用GraphQL接口进行灵活的数据查询和传输。
云服务提供商工具:
数据迁移服务:云服务提供商(如AWS、Azure、Google Cloud)通常提供数据迁移工具和服务,帮助用户将数据从本地系统或其他云平台迁移到其云服务中。
数据同步和复制:
数据库同步:使用数据库复制工具或技术(如MySQL Replication、MongoDB Replica Sets)将数据同步到其他数据库实例。
文件系统同步:利用文件同步工具实现文件系统之间的数据同步。
物理介质传输:
硬盘、存储设备:在大规模数据迁移时,有时会选择通过物理硬盘或存储设备来传输数据,然后将其连接到目标系统进行导入。
3.数据出境评估;
重点参考《数据出境安全评估办法》,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。
触发条件有四种,达到其中之一即应当启动出境安全评估,分别为:
(1)向境外提供重要数据;
(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(4)国家网信部门规定的其他需要进行安全评估的情况
4.数据公开是否会带来聚合性风险;基于被评估对象的已公开数据,结合社会经验、自然知识或其他GK信息,尝试是否可以推断出涉密信息、被评估对象其他未曾公开的关联信息,或其他对国家安全、社会公共利益有影响的信息。
数据关联和推断:
通过结合已公开的信息和社会经验,可以对个人或实体的身份、行为模式、偏好、位置等进行推断,即使这些信息单独并不明显。
利用机器学习、数据挖掘技术或人工智能算法,可能会通过多个数据源之间的模式和关联性来推断出更多敏感信息。
隐私泄露:
聚合已公开的数据可能导致个人隐私暴露,例如,通过社交媒体信息、公开的生日、住址等个人信息的组合,可能使人的身份得以识别。
即使个别数据被去标识化处理,但结合其他GK信息仍可能重新识别出个人身份。
对国家安全和公共利益的影响:
聚合数据可能被利用来识别敏感地理位置、社会趋势、人群行为等信息,可能对国家安全和公共利益产生影响,例如,识别敏感区域的安全漏洞或社会脆弱性。
感兴趣的小伙伴,或者遇到任何安全问题的小伙伴都可以加我们官方客服进群互动(红包多多哦),德斯克信息安全专家服务,为你解决信息安全问题!!!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...