企業數據安全和個人信息安全防護如何落地？

　　通付盾創始人、董事長兼CEO 汪德嘉

　　隨著新一輪信息技術的發展，移動互聯網、云計算、大數據、下一代通信技術、物聯網等新技術應用不斷深入，在加劇傳統行業變革的同時，也帶來了新的網絡安全需求。面對網絡安全新形勢，企業不僅要嚴防精心策劃的外部攻擊，還要防范來自企業內部威脅，數據及信息安全已成為企業戰略中的關鍵部分，是企業全局發展的重要基石。此外，《網絡安全法》、《刑法》、《消費者權益保護法》的不斷推進，以及監管部門對于現今網絡安全事件及移動端APP越權高發事件的高度重視，形成新時代背景下的網絡安全新態勢，企業數據安全和個人信息安全防護如何落地成為難題。

　　在此背景下，以中小銀行為代表的金融機構及企業的數據安全和個人信息安全防護面臨三大挑戰：數據安全治理、隱私權限安全，以及軟件安全開發。

　　第一，數據安全治理。眾所周知，數據安全治理要實現“數據不出門，數據不落地”只是一個基礎要求，實際業務中對數據的質量和保準有著更高要求，例如現在大家都在講的零售轉型場景中，一款主流分期導流IT產品數據不僅量大而雜亂，且面臨兩大數據泄露風險：如圖中所示，整個IT產品由合作機構方系統(包括APP，H5，API等)和分期系統兩大塊組成，合作機構技術參差不齊，很多甚至沒有做到基本安全防護，從而造成數據泄露;此外，業務運作過程中，當需要用到外部數據時，由于數據通過API的形式調用和傳輸，從而造成數據泄露風險。

　　分期導流IT產品架構圖

　　如何解決呢?大數據處理技術可以很好的解決這個問題。通付盾最新一代數據源管理平臺，基于大數據處理技術，為銀行等金融企業客戶提供多數據源融合、并符合數據隱私保護標準的統一數據源管理;平臺建立統一的數據輸入輸出標準，幫助客戶提升數據融合、數據管理及數據應用能力，例如接口一站式接入、在線測試、實時監控、智慧任務、數據路由器等。

　　基于大數據處理技術，數據源管理平臺可以實現對第三方服務商的服務接口整合以及標準化轉換，供各方進行數據調用，并可通過服務配置快速適配外部接口;為降低服務成本，根據不同數據的變更特性進行緩存，避免短時間重復調用，同時也可對服務內外部接口轉換、緩存策略等進行快速配置;統一落地數據安全管控要求;提供訪問鑒權、加密解密等。在性能上，平臺可以實現數據接入免代碼、多種數據源預置、多樣數據傳輸方式、覆蓋廣泛加密算法、數據流動利器、多類屬性映射、實現對海量數據源調用的高速高效運行。

　　在數據源管理平臺基礎上，企業結合自身強有力的組織架構，完善的管理制度及工作流程支撐，規范數據管理各項工作的開展，從而發現、充實、集成和管理數據的整個生命周期，提升企業風險管理能力及精細化管理要求。

　　第二，隱私權限安全。2019年，中央網信辦、工業和信息化部、公安部、市場監管總局在北京舉行“APP違法違規收集使用個人信息專項治理”新聞發布會，發布《關于開展APP違法違規收集使用個人信息專項治理的公告》，體現了監管部門對當前愈演愈烈的APP越權問題日益重視。通付盾移動應用態勢感知平臺監測數據顯示，目前90%以上APP“越界”獲取用戶隱私權限，大部分APP都要求獲取讀取位置信息、訪問聯系人、讀取短信記錄等權限，甚至圖像處理、電子書等應用也要求位置定位權限，權限讀取極其不合理。

　　面對APP越權問題,我們認為，當前監管部門的整頓難點在于舉證過程。例如，有媒體報道，某款大眾化APP被懷疑存在竊聽用戶信息的行為，用戶在通話記錄中提到“牙痛”這個詞，該APP就給用戶推送牙痛相關廣告，用戶即便發現這一問題并進行舉報，接下來也要面臨十分困難的舉證過程，它要求用戶將APP的敏感權限調用情況，無論是靜態或動態情況下，按照標準給出證據。

　　目前，移動應用合規檢查產品中的權限檢測技術可以解決這類問題，權限檢測技術專門針對APP/SDK使用全過程的權限進行檢測，該技術基于以符號執行為核心的靜態分析引擎和以運行態沙盒為核心的動態檢測引擎，旨在快速、準確地檢測APP/SDK中存在的敏感權限調用。

　　目前通付盾權限檢測系統能夠基于全局權限申請調用進行檢測;基于應用啟動權限申請進行檢測;基于應用運行過程權限進行檢測;基于應用靜默運行權限進行監測，提供支持判定結果的檢測依據，包括運行中截圖及抓包數據文件等，全面掌握應用及第三方SDK權限調用情況，解決用戶舉證難題。

　　第三，軟件安全開發。超過50%的安全漏洞由錯誤的編碼產生，開發人員一般安全開發意識和安全開發技能不足，更加關注業務功能的實現，想要確保Web應用程序在交付之前和交付之后都是安全的，就需要利用Web應用安全測試技術識別程序中架構的薄弱點和漏洞。值得一提的是，近年來開發模式的演進帶來Web應用安全測試新挑戰。從過去的傳統開發模式，到敏捷開發，再到DevOps，都涉及到設計、開發、測試和部署環節，每一個環節都面臨安全問題;眾多產品需要逐個排隊進行安全檢測，并由安全團隊專門負責運行，復雜產品臨近版本發布才出檢測結果，一般沒有足夠時間去分析和修復發現的問題，綜上種種，常規源代碼審核工具成為效率瓶頸。

　　Web應用安全測試技術經過多年發展取得巨大進步，目前業界公認最前沿的技術為“IAST”，交互式應用安全測試技術，被Gartner公司列為信息安全領域的Top10技術之一。“IAST”技術融合了SAST和DAST技術的優點，漏洞檢出率極高、誤報率極低，同時可以定位到API接口和代碼片段，整個過程無需安全專家介入，無需額外安全測試時間投入，不會對現有開發流程造成任何影響，符合敏捷開發和DevOps模式下軟件產品快速迭代、快速交付的要求。

　　目前通付盾已經開發出基于“IAST”技術的IAST代碼審查系統，該系統主要由三部分組成：核心檢測能力，平臺基礎功能和外部集成接口。其中核心檢測能力基于交互式應用安全檢測技術實現，包括服務端和檢測探針;平臺基礎功能則提供了各類豐富的操作功能，包括組織結構配置、權限分配、安全弱點檢測管理、統計分析等;外部集成接口為平臺與其他研發過程中的系統對接預留接口。

　　通付盾IAST代碼審計系統

　　通付盾IAST代碼審查系統分為服務端和檢測端兩類，采用B/S的架構部署，服務端部署在內網服務器上，其內置了關系數據庫、NoSQL數據庫及異步消息隊列服務;檢測端Agent直接植入到被測試應用微服務Docker容器中，對開發和測試人員無感知。

　　當前整個社會都在經歷數字化轉型，安全是企業業務數字轉型的關鍵，安全不再是單純的技術問題，而是業務與風險問題。作為信息安全責任主體，第一要從根源入手，排查和整改網絡安全隱患及漏洞，依據《網絡安全法》、《國家網絡安全等級保護制度》等要求，加強安全管理和技術防護;第二要加強內外網的數據流量實時監控，通過管理和技術手段進行防范攻擊;第三對于數據庫和應用軟件使用，加強管理，尤其是重要軟件要積極開展第三方安全檢測，提升運維安全水平。企業信息安全建設的根本愿景，是保障企業的業務的安全可持續性發展，保證企業利益相關者生命、財產安全的延續，實現這一愿景是包括企業、用戶和安全廠商在內的共同的目標!

特別提醒：本網內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯系我們，本站將會在24小時內處理完畢。