2023年3月,浙江温州公安网安部门根据《中华人民共和国数据安全法》第四十五条的规定,对某科技公司及项目主管人员、直接责任人员分别作出罚款100万元、8万元、6万元的行政处罚。主要原因是该科技有限公司在为浙江某县级市政府部门开发运维信息管理系统的过程中,在未经建设单位同意的情况下,将建设单位采集的敏感业务数据擅自上传至租用的公有云服务器上,且未采取安全保护措施,造成了严重的数据泄露。
从该案例可以看出,不管是承建方还是建设方对于开发测试运维等技术人员在访问操作敏感数据的各个环节中是缺乏技术手段进行监测预警和及时阻断的。分析本次处罚的主要原由可能包括二个方面。
一方面是科技公司技术人员将政府部门的敏感业务数据私自下载到本地,并上传至个人在公有云上租赁的服务器中,由于个人公有云服务器的安全保护措施简陋,最终导致敏感数据泄露。突出了组织对于内部技术人员日常访问数据的管理措施的不足,具体如下:
一是组织对敏感数据资产分布不清,无法对分布在不同存储位置的不同级别数据实施有针对性的安全管控措施;
二是组织对人员访问数据的账号权限管理薄弱,运维人员在数据资产载体上私自创建的、长期不登录的、长期未改密的、私自提权的特权账号无法被全量发现,给越权访问数据、恶意分子获取数据带来便利;
三是人员操作行为管控缺失,技术人员恶意操作、误操作,操作过程无干预,例如接触敏感数据后,在非授权情况下下载到访问终端,并将终端上的敏感数据上传至公有云上,造成敏感数据泄漏;例如开发测试人员直接获取原始数据进行业务开发,未对敏感数据进行去标识化处理,导致敏感数据泄漏;
四是行为审计告警欠缺,对于正在发生的数据窃取行为,未能根据人员的身份权限进行判别,及时发现数据泄漏风险并通知管理员进行干预,最终造成数据泄漏到公有云上。
基于此,政企组织应该加强内部人员的管理制度、监测防护技术体系的构建。安恒信息基于多年为政企客户落地的数据安全实践能力,以敏感数据盘点为核心,围绕人员身份权限、操作行为管控、日志审计留痕总结性提出针对内部技术人员日常访问数据的整体数据安全防护框架:
整体思路如下:
1、首先通过数据分类分级系统对组织全量的数据资产进行盘点,并根据分类分级标准,统一梳理展示组织当前的敏感数据分布情况。
2、将数据分类分级结果复用到脱敏、审计、网关设备,针对人员访问敏感数据的过程进行有针对性的防护监测,包括开发测试环节的数据去敏感化、运维人员访问数据库敏感数据时的操作行为审计及运维人员访问数据库敏感数据过程的安全管控,有效保障组织敏感数据的安全性。
3、通过堡垒机从身份认证、资产授权、操作管控、行为审计四个方面对技术人员访问数据资产的过程进行统一管理,保障敏感数据的保密性、完整性及可用性。
4、通过终端/网络防泄漏,对人员通过终端应用外发、打印、拍照敏感数据的行为通过水印、拦截、告警等措施,确保敏感数据的安全性;对从组织内部向外发送的敏感数据进行全量监测,及时发现数据泄露风险。
另一方面是科技公司技术人员根据业务需要,将政府部门的敏感业务数据下载到本地,并上传至科技公司租赁的公有云服务器上,协调内部人员辅助进行相关问题的处理。但由于该科技公司对租赁的公有云服务器未建设起完善的安全保护措施,最终导致敏感数据泄露。
当前云计算技术蓬勃发展的态势下,组织对于云上业务数据安全的防护能力较为欠缺,包括多租户场景下的用户访问权限管理薄弱,导致未授权人员访问到非权限范围内的数据,致使上传到公有云上的敏感数据被泄漏;云端数据操作行为管控欠缺,异常操作行为无干预,导致敏感数据被破坏、泄漏;云端数据操作行为流量监测匮乏,目前仅有极少数云厂商支持VPCflow,绝大部分并不支持,导致云端数据操作行为难以审计等。
基于此,组织应当关注云上数据安全的防护能力建设,保障业务数据上云后的整体安全性。安恒云经过多年的沉淀积累,针对云上租户场景的数据安全风险,安恒云-天池集成数据分类分级系统、数据脱敏系统等,为云上租户提供可订阅的数据安全能力,以通用授权的方式按需激活,实现租户的整体数据安全防护体系建设,保护租户的敏感数据、控制人员身份权限等。
数据安全产业是为保障数据持续处于有效保护、合法利用、有序流动状态提供技术、产品和服务的新兴业态,同样也是安恒信息的重点战略方向。安恒信息也将持续洞察行业需求,围绕具体场景,深耕创新技术,持续构建数据安全护城河,筑牢数字经济的安全基石。
