作者 |
一、前言
去年12月20日,某知名汽车品牌发生了数据泄露事件,而且泄露的数据包含用户个人隐私数据,也包含了公司的运营销售信息等商业机密数据。泄露的个人隐私信息将用户暴露于短信、电话骚扰甚至电信诈骗的危害之下,同时也造成了用户对企业的信任危机,企业也将会面临监管的调查。
而在不久之前的12月13号,“通信行程卡”小程序下线后,各大通信运营商随即发布了删除相关数据的通告。通信行程码中保存了个人身份信息和个人行程信息等敏感隐私数据。如果因为该数据的泄露,很可能会导致一些电信诈骗案件出现,对个人危害极大。业务下线后,运营商通过删除了个人信息来保护广大市民的敏感信息。
随着信息安全攻击的频繁发生,任何企业都面临潜在数据泄露安全事件的风险。通过一些简单的隐私数据保护措施,可以降低发生数据泄露事件的可能性,或者在发生数据泄露事件时,减少其危害性。
本文先简要介绍一下隐私数据保护基本知识,然后再介绍在数据平台中不同场景下应用对应的数据保护措施。
二、为什么需要保护隐私数据?
处理个人数据的私密和安全非常重要,原因有两个。一是遵守数据隐私法律和规定。在大多数国家和地区,都有严格的法律保护个人隐私。这些法律规定了如何收集、使用和储存个人数据,并规定了违反这些规定的后果。负责处理个人数据有助于遵守这些法律和规定,避免违反法律的后果。另一个原因是数据泄露事件会给企业带来严重的信任危机和经济成本。数据泄露会导致客户和利益相关者的信任危机,并可能导致昂贵的罚款和法律程序。
1.什么是隐私数据?
第一类隐私数据是PII。PII(Personally Identifiable Information)是指与个人身份相关的信息。这些信息包括姓名、电话号码、邮箱地址、社会安全号码、银行账号信息等,这些信息可以直接或结合其他信息用于识别某个特定个人。
第二类隐私数据是与个人相关的信息,但不属于PII。这包括个人的兴趣爱好、性格、活动和信仰、个人的行程信息、健康信息等。
第三类隐私数据是个人、企业或组织的专有且保密的信息。通常,与商业性质有关或与合同有关的数据被认为是敏感的,泄露这类数据往往会影响商业运营或面临法律风险。
2.如何识别隐私数据?
对于数据工程团队,一般来说没有统一的敏感信息的标准。不同的地区,不同的行业有不同的规定和法律。不同的公司对隐私数据的定义都不一样。在企业内,一般需要遵守数据治理团队、数据隐私团队或者企业安全团队建立的数据安全框架和安全策略。
此外我们还可以基于一些隐私扫描工具来检测数据中可能存在的隐私风险,比如微软开源的Microsoft Presidio。甚至云厂商们都不断推出隐私数据保护相关的安全产品来识别隐私数据的合规性风险。
3.怎么保护隐私数据?
对于保护隐私数据的关键技术有数据脱敏、匿名化,此外还有隐私计算和数据合成。
处理隐私数据时需要考虑两个基本的要求:
这两个指标是矛盾的,我们需要根据实际的业务需求和安全需求来调节和平衡。
(1) 数据脱敏 (Data Masking)
数据脱敏,也叫假名化(Pseudonymous),通过用虚假信息替换PII信息或者对敏感信息进行加密来实现对隐私数据的。大部分脱敏技术处理过后数据不可逆,即没办法还原成原文。
数据脱敏
常见数据脱敏方法
脱敏后的数据不再包含PII信息但是仍然属于个人信息的范畴,受大部分数据安全保护法律法规保护。某些场景下,攻击者可以通过结合外部数据来确定个人。例如当我们能把某位职员的公司信息和职位信息和脱敏后的个人数据结合在一起,那么几乎可以确认这个人的身份。
与外部关联数据结合后,数据脱敏后仍不是完全安全
(2) 匿名化(Anonymous)
数据匿名通过完全消除PII信息来保护数据的隐私。数据匿名化的目的是使数据集中的个人身份信息不能被确定,从而使数据更加安全。匿名化的数据通常不再属于个人信息的范畴,因此也不受大部分个人数据保护相关的法律法规的限制。
常见的匿名化的技术方法有:
数据匿名化
数据匿名化的好处有:
匿名化后的数据带来数据安全的同时也会降低数据质量和数据可用性。匿名化的数据也不是绝对安全的。
(3) 其他技术
除了最基本的隐私数据处理技术外,还有一些在快速发展的隐私数据保护技术。
隐私计算是一种技术,旨在保护数据的隐私和安全,同时允许在不泄露原始数据的情况下进行数据处理和分析。它通过在受信任的执行环境中进行数据处理来实现这一目的,以便在数据处理完成后将结果返回给请求方。
合成数据是人为生成的数据,而不是由真实世界事件产生的数据。它通常使用算法生成,可用于验证数学模型和训练机器学习模型。合成数据可以帮助保护原始数据的隐私,因为它不是真实的个人信息。
三、数据平台隐私数据保护实践
1.数据平台隐私数据保护架构
数据平台接收上游数据源中各种数据,其中包括大量的用户和雇员的个人信息,以及公司运营、财务等机密信息。同时,数据平台中会有数据工程师、数据分析师和数据科学家使用这些数据。作为企业数据集中采集、处理和共享的平台,数据泄露发生的风险和危害程度都很高。
因此,数据平台和数据仓库承担着隐私数据保护的重要责任。为了降低在数据平台中发生数据泄露的可能性和危害性,数据平台需要应用数据脱敏、数据加密等隐私数据保护技术。架构上,数据在数据平台中生命周期中的不同阶段会采取数据脱敏、数据加密等方式来构建端到端内建隐私数据保护的企业数据管道。
在基础设施上:
在数据源上:
在数据仓库中:
数据平台隐私数据保护架构
2.数据脱敏(Data Masking):避免暴露敏感信息
数据脱敏的目的是避免暴露敏感信息给大部分数据消费方。
在数据平台中,数据脱敏主要有两种实现方式:
静态脱敏实现方式主要是在数据管道中内建数据脱敏。我们可以在数据集成工具中内建脱敏功能,使数据在进入数据仓库后就已经是脱敏数据。动态脱敏主要基于数据库系统或者云数据仓库的RBAC机制和内建的数据脱敏功能,通过针对特定操作角色和数据列创建脱敏规则,在数据被查询时,执行引擎会根据查询上下文来决定返回的数据是源文本还是脱敏后的值。
动态脱敏更为灵活,能轻松应对数据安全需求的变化,但需要数据库查询引擎支持。静态脱敏实现上更为简单,但当数据安全需求变化时,我们通常也需要完全重建数据仓库相关数据模型。
例如在Snowflake云数据仓库中,我们可以设立如下规则对email列进行动态脱敏。当数据仓库用户角色为数据分析师的时候返回源文本,而其他角色查询返回完全屏蔽的值。
3.数据加密(Data Encryption):安全数据分享
与数据脱敏不同,数据加密的主要目标是共享数据给授权过的可信方。
处理加密时需要考虑的问题:
对于问题1,我们选择了开源的密钥管理系统HashiCorp Vault。Hashicorp Vault是一个用于管理和保护机密信息的工具。它允许用户存储,管理和控制对机密信息的访问。机密信息可以是密码,API密钥,证书或其他敏感信息。Vault可以很好地和Kubernetes结合,我们可以安全地在应用Pod启动时将机密信息注入到Pod中。此外,Vault还可以动态生成或者定期刷新数据库凭证,避免数据库密码泄露风险。
对于问题2,我们选择了AES-256-GCM作为数据加密的算法同时使用ECDH算法来交换两个实体的公钥来创建共享AES-256-GCM的加密密钥,来保证加密密钥的安全性。
ECDH图示
ECDH(Elliptic Curve Diffie–Hellman Key Exchange)算法过程如下图:
使用OpenSSL命令行工具实现该过程。
端到端隐私数据加密解密过程如下:
数据管道中加密过程
业务系统中解密过程
4.数据哈希(Data Hashing):跨数据域隐私数据关联
有些场景期望与外部数据域的数据进行数据融合和数据共享时,通常需要通过个人隐私信息或者其他敏感信息将双方数据域的数据关联在一起。同时在数据传输、处理和存储的过程中不期望暴露隐私信息。此时,我们可以利用数据哈希的特性来实现跨数据域的隐私数据关联。
跨数据域隐私数据关联
图中场景存在三个数据域,数据平台所属公司B,母公司A和合作公司C,其隐私数据关联过程如下:
四、总结
如何应对网络世界信息安全危机
对邮件进行加密(专家特别提醒不要把重要内容保存在邮箱内)邮箱内的内容是很不安全的,并不是说网站提供的服务不安全,而是说邮箱内容泄漏方式很多,包括自己邮箱密码被破解。 总之邮箱不是保险箱。 对于企事业单位而言,更应该对私密性邮件进行保护,可以使用“安全邮件系统”(ETsafeMail)对电子邮件系统进行加密。 对邮件系统从前端用户登陆到后端邮件存储等方面增强安全性。 、重视文档安全,对文档进行加密随着企业信息化的加速,对于企事业单位而言,大量的电子文档作为承载信息的媒介成为特殊的关键资产,而电子文档的易传播、易扩散性决定了它的不安全性。 企业内部重要的电子文档一旦被有意无意的泄露,将会带来不可估量的损失,应对这种需求,企业可以使用时代亿信“文档安全管理系统”(SecureDOC)最大限度保护电子文档的安全使用,能够有效避免重要电子文档被泄露带来不可估量的损失。 使用关键信息加密,用户身份识别和访问控制策略可以使涉密信息资源按权限划分访问级别并能准确识别访问者的身份,通过加密技术有效的防止数据被盗取,还可在自动保密的同时,记录侵犯者的每项操作过程,从而对案件的侦破也奠定了基础
如何实现企业数据保密管理
其通过对文件进行动态透明加密,可以防止任意手段的泄密,加强数据安全性,同时,通过对于加密文件权限的细致化管理,不降低正常使用文件的便利性。
如何解决电子商务的安全问题?
电子商务是互联网应用的重要趋势之一,也是国际金融贸易中越来越重要的经营模式之一,以后会逐渐地成为我们经济生活中一个重要的部分,安全是保证电子商务健康有序发展的关键因素,也是目前大家十分关注的话题,下面将就电子商务发展中的几个热点问题,谈谈个人的看法。 一、怎么看待安全与发展的关系谈到安全与发展两者之间的关系时,许多人都会认为安全更重要,而实际上在信息化发展的过程中,发展自始至终都应是放在第一位的,因为没有发展安全就无从谈起,没有发展就是最大的不安全。 从国内外的情况来看,电子商务发展的速度太快,致使其安全技术和安全管理跟不上,这是一个越来越突出的问题。 电子商务的快速发展需要业界,特别是信息安全业快速地作出反应,否则安全方面的问题将会制约它的发展。 现在不仅仅是发展中国家,就连美国这样的发达国家,电子商务在很多领域还是没有像其它传统的商务那样发达,一个重要的原因就是安全问题。 这就需要信息安全业的同行作出不懈的努力,不要因为安全问题而制约了电子商务的发展。 二、如何看待电子商务的安全问题在正确看待电子商务的安全问题时,有几个观念值得注意:其一,安全是一个系统的概念。 安全问题不仅仅是个技术性的问题,不仅仅只涉及到技术,更重要的还有管理,而且它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了。 其二,安全是相对的。 房子的窗户上只有一块玻璃,一般说来这已经很安全,但是如果非要用石头去砸,那就不安全了。 我们不会因为石头能砸碎玻璃而去怀疑它的安全性,因为大家都有一个普遍的认识:玻璃是不能砸的,有了窗玻璃就可以保证房子的安全。 同样,不要追求一个永远也攻不破的安全技术,安全与管理始终是联系在一起的。 也就是说安全是相对的,而不是绝对的,如果要想以后的网站永远不受攻击,不出安全问题是很难的,我们要正确认识这个问题。 其三,安全是有成本和代价的。 无论是现在国外的B-to-B还是B-to-C,都要考虑到安全的代价和成本的问题。 如果只注重速度就必定要以牺牲安全来作为代价,如果能考虑到安全速度就得慢一点,把安全性保障得更好一些,当然这与电子商务的具体应用有关。 如果不直接牵涉到支付等敏感问题,对安全的要求就低一些;如果牵涉到支付问题对安全的要求就要高一些,所以安全是有成本和代价的。 作为一个经营者,应该综合考虑这些因素;作为安全技术的提供者,在研发技术时也要考虑到这些因素。 其四,安全是发展的、动态的。 今天安全明天就不一定很安全,因为网络的攻防是此消彼长、道高一尺、魔高一丈的事情,尤其是安全技术,它的敏感性、竞争性以及对抗性都是很强的,这就需要不断地检查、评估和调整相应的安全策略。 没有一劳永逸的安全,也没有一蹴而就的安全。 三、社会上对电子商务的需求有哪些电子商务是用电子化的方式实现传统商务的模式或者说对传统商务的革命,它的发展需要以下几个必备的条件。 其一,对电子商务的发展要有广泛的认同。 无论是现在的银行、证券也好还是传统的物物交换,社会认同是交易得以实现的基础。 对电子商务的发展也必须有广泛的认同。 其二,电子商务的交易模式不能被假冒。 也就是说必须要有足够的安全保障。 其三,能真正节省开支。 人类从最原始的物物交换到一般等价物、到信用体制等等都是在不断地降低交易成本,如果我们引进电子商务不但不能减少成本,反而会使成本增加,就不会得到社会的认同。 其四,要求方便易用,这一点十分重要。 目前我国电子商务发展的发展过程中最致命就是使用不方便。 其五,要能满足社会大众的商业心态。 它可以是“实名制”也可以是“隐名”的(当然现在也正讨论怎么使存款“实名制”),原来的金融体系或经济体系的优势就在于既可以是“实名”的也可以是“隐名”的,所以发展电子商务时也要考虑这个问题,否则用户就没有选择,其发展就会受到阻碍。 社会对电子商务安全的需求简单归纳起来主要有以下几点:1.信息要求真实和完整。 因为无论中国人还是外国人,都会觉得“隔山买牛”是一件心里没底的事情,因此都希望电子商务上的信息是真实的、完整的。 2.所有交易不能够抵赖,否则,生意就没法做了。 这不但需要用道德和法律进行约束,更需要相关技术进行保障。 如果总是发生扯皮或纠纷,再好的电子商务也会因此而黄掉。 3.支付和交易必须是安全而可靠的。 目前,如何保障支付和交易的安全可靠是一个全球性问题,电子商务要有大的发展,就必须管好这些瓶颈。 4.用户或商家的身份在网络上能够被准确地识别。 如果不能准确识别交易双方的身份,发生纠纷时就无法进行有效的仲裁。 5.能够保护个人隐私。 对个人隐私的保护现在越来越受到重视,以前我们可能不太看重这个问题。 越是开放,越是信息化,个人隐私越重要。 四、对电子商务现状的看法现在,电子商务网站的经营很热闹,但其实也很艰难。 根据我们了解的情况,我国的电子商务虽然收益不佳的现状有望改观,但技术和管理方面的问题还依然存在,安全隐患仍令人担忧。 从技术上看:首先是数据传输的速度太慢;第二是没有安全、可靠的结账方式,这严重制约着电子商务的发展;第三是IT技术的发展速度太快,商务模式的形成和人们使用习惯的养成都需要一定的时间,虽然技术不断发展,但社会对技术的认同是有阶段的,这使得用户和经营者都难以消化,难以跟上这种快速发展的步伐;第四是难以及时处理用户的有关问题,开通一个网站,如果一段时间以后用户的反馈多了,网络的速度就会慢下来,这也许是线路本身的问题,但也存在技术处理的问题,目前尚没有解决的良策。 第五是在安全保障上,难以防范现在的网络犯罪,特别是黑客的攻击。 从管理上看,存在的主要问题有:1)国内电子商务网站的数目太少、浏览电子商务网站的用户数量没有期望的那么多;2)电子商务网站的经营收益远低于预期,使有网络泡沫之虞;3)缺乏能适应中国国情的市场技巧。 现在的电子商务网站动作的市场方式基本上是照搬美国的,在造势上不无奢华,但在收效上却无殷实,不充分考虑中国人的商业行为和方式,恐怕是难以成功的。 4)网站运营成本太高。 由于运行成本居高不下,再好的商业模式也不堪重负。 5)收费困难。 除BtoB稍好一点外,BtoC电子商务一直没有找到方便可行的收费方式。 从安全上看,电子商务的隐患,令人担忧,主要表现在:1.网络信息安全在全球还没有形成一个完整的体系,我国也不例外。 虽然有关电子商务安全的产品数量不少,但真正通过认证的却相当少。 近两年,有将近20家有关电子商务安全的产品申请认证,但最后通过的非常少,这主要是因为不少安全措施是从网上“down”下来的,另外,不少电子商务安全技术的厂商对网络技术很熟悉,但是对安全技术普通了解得较少,因而他们很难开发出真正实用的、安全性足用的安全技术和产品。 2.安全技术的强度普遍不够。 国外有关电子商务的安全技术,虽然其结构或加密技术等都不错,但这种算法(无论是对称的还是非对称的)受到了外国密码政策的限制,因此强度普遍不够。 这种技术用在B-to-C方面还勉强可行,但用在B-to-B上就显然不够。 3.电子商务网站的安全管理存在很大隐患,普遍难以经受黑客的攻击。 这个问题应当引起高度重视,国内电子商务网站被攻击的事件较少并不表示是牢不可破,而是网站本身很小,没有多少可攻的价值。 4.电子商务仅仅局限于商务信息领域而没有深入真正的电子商务领域,这些因素的存在必将影响我国电子商务进一步的发展。 五、关于面向社会服务的CA中心现在大家都在关注CA中心,从国外的发展看,认证应该是第三方的,政府干预最好少一些,只需作些必要的引导。 在我国,最大的问题是多人过早地把CA认证看作是一种产业,把它当作生意来做,而过少地考虑到应该担负的责任。 其实,面向社会服务的CA中心必须达到一定的要求。 首先要看建设单位是否具备管理能力,以及责任和义务是否很明确,一旦证书出了问题,各方的责任是否清楚;其次是看技术能力和运行条件,CA要为社会服务,能否保证安全可信,运转有效;这需要专门的技术能力和安全完整的网上认证技术体系。 比如在炒股票时,如果认证的周期太长,别人已经成交了,你这里还堵着,那肯定不行。 第三是看是否有足够的财力支持。 没有数千万乃至上亿的投入,是无法面向社会提供可信赖的CA服务。 第四是看整个CA系统和设施是否安全。 总之,CA中心能否提供安全可靠的服务,不能仅凭自身的宣传,而是要通过“国家信息安全认证”。 到目前为止已经通过认证的只有一家,还有其它几家也正在审查之中。 主要的问题不在于能否发出证书,而在于能否保障证书的使用者的利益。 六、如何看待电子商务网站受到的攻击刚才我们提到过黑客的问题,黑客的威力到底有多大?目前,我国网站所受到黑客的攻击,还不能与美国的相提并论,因为我们的用户数、规模和级别还是处在很初级的阶段。 如果遇到类似于DDOS的攻击时应该引起注意,但不必很惊慌,因为在目前的情况下,一个电子商务网站停一两天所受的损失不是很大,毕竟业务量和交易额都还不大。 从以往遭遇过的攻击中我们可以得到以下几点启示:1.纯技术难以防范原始攻击方式。 如果我们按照西方人的思维方式去思考,不断的追求和更新安全技术,防火墙可以做得非常强,但如果黑客不去窃取信息或数据,而只是去阻塞网站,这种非常野蛮的攻击方式用单纯的技术是很难解决的,而要靠管理或其它的方法去防范。 美国电子商务网站遭受那么大规模的攻击,虽然有技术方面的原因,但总的看来还是一个管理的问题,这里的管理包括网站的经营者要如何防止自己的网站被攻击,上网的用户如何保证自己的机器不会无辜地被别人利用,现在网上的安全补丁很多,但很少有人真正用它或不知道怎么去用。 所以,在信息化发展的初期,管理比技术显得更为重要。 2.病毒比一般攻击更可怕。 现在的病毒(包括恶性代码)破坏性越来越大。 现在电子商务上的交易都是非时间敏感性的项目,所以时效性并不太突出,可怕的是病毒对数据的破坏。 3.从目前的情况看,危及电子商务的首先是病毒或恶意代码;然后是内部人员滥用计算资源,对此国外强调的比较多,国内强调的比较少,随着技术人员流动性增大,道德也有待提高;第三是黑客攻击;第四是用户数据的泄漏;第五是假冒的交易。 七、关于电子商务需要的安全技术与产品目前,国内市场需要较大的网络安全产品还是防火墙,从国内外采购的数量来看,防火墙均居于首位的;其次是通信保密设备;第三是现在电子商务里面应用最多的客户机服务器中的安全模式;第四是局域网或广域网上的安全技术;第五是web安全技术;第六是灾难恢复技术,从银行和金融界的一些情况看,大家对这方面的重视还不够,普遍的电子商务网站对灾难恢复考虑得都不是很好,这也是迫切需要的。 八、制约我国电子商务发展的主要因素制约我国电子商务的因素主要有:其一是商业信息化程度太低;其二是交易过程不规范;其三是信用制度不健全;其四是技术发展太快,没有一定的稳定过程;其五是出现问题后客户去找谁负责。 由于有关电子商务的立法和管理刚刚开始,有人开玩笑说“电子商务目前是个‘三无’行业:无法可依、无安全可言、无规可循”,当然这只有一定的道理,我国政府对电子商务的管理已经报上议事日程,各个部门都在抓紧制定推进电子商务的政策。 九、加快电子商务发展的建议对电子商务发展的建议简单地讲是“两高一低”,即:1)不断提高服务的安全性,否则会制约电子商务的发展;成为发展的瓶颈;2)提高通讯的速度,否则电子商务就成了纯粹的电子广告而无法将商场搬到里面,许多东西我们无法看到,也更谈不上交易;3)降低成本,这不仅仅是降低硬件成本,特别是要降低通讯成本。 因为电子商务发展的目的本来就是为了降低交易成本,交易成本反而高了就不正常。 许多人都认为花那么大的投入去搞电子商务还不如去面对面地谈生意,打个电话许多货就发过来了,用不着去识别身份什么的。 电子商务安全管理的基本趋势似乎可用:“谁经营、谁负责”六个字来概括,也可以说是谁管理谁负责。 这就强调业界要自律,要对安全问题承担责任。
发表评论