数据安全前沿技术研究报告.pdf_报告吧baogao8.com-

资源描述

绿盟科技威胁情报中心绿盟科技创新中心数据安全前沿技术研究报告拥抱合规、超越合规拥抱合规、超越合规版权声明为避免合作伙伴及客户数据泄露，所有数据在进行分析前都已经过匿名化处理，不会在中间环节出现泄露，任何与客户有关的具体信息，均不会出现在本报告中。关于绿盟科技绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4 月，总部位于北京。公司于2014年1月29日起在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有40多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。拥抱合规、超越合规：数据安全前沿技术研究报告 I 目录 CONTENTS 目录 CONTENTS 1.历史漏洞回顾4 1.1漏洞数量逐年显著增长4 1.2漏洞数量逐年显著增长5 1.2.1漏洞数量逐年显著增长8 1.2.2漏洞数量逐年显著增长9 2.漏洞利用情况4 2.1典型漏洞攻击事件监测举例4 2.2实际攻击中常用到Nday漏洞5 3.漏洞发展趋势4 3.1浏览器漏洞种类复杂多样4 3.2文档类型漏洞是鱼叉攻击的重要载体5 摘要2 引言 .1 1.数据安全立法现状与合规性盘点 .2 1.1国内外立法与执法趋势 . 3 1.1.1国外 . 3 1.1.2国内 . 4 1.2数据安全合规热点解读 . 5 1.2.1保护的数据对象 . 5 1.2.2用户的数据权利 . 6 1.2.3企业的安全义务 . 6 1.2.4违法违规的处罚 . 7 1.3小结 . 7 2.合规要求下的数据安全概述 .8 2.1合规驱动下的数据安全 . 9 2.1.1数据安全 1.0 . 9 2.1.2数据安全 2.0 . 9 2.2拥抱合规、超越合规 . 11 2.3小结 . 12 3.前沿技术赋能用户隐私数据安全合规 .13 3.1数据安全场景与挑战 . 14 3.1.1数据采集中的隐私保护 . 14 3.1.2个人信息治理与可视化 . 15 3.1.3用户数据权利请求响应 . 15 3.2差分隐私 . 16 3.3知识图谱 . 18 3.4流程自动化 . 19 3.5小结 . 21 拥抱合规、超越合规：数据安全前沿技术研究报告 II 目录 CONTENTS 4.前沿技术赋能企业内部数据安全治理 .23 4.1数据安全场景与挑战 . 24 4.1.1敏感数据的智能识别 / 分类 . 24 4.1.2脱敏数据的残余风险评估 . 24 4.1.3数据操作行为的异常检测 . 25 4.2敏感数据智能识别 . 25 4.3数据脱敏风险评估 . 26 4.4用户实体行为分析 . 29 4.5小结 . 31 5.前沿技术赋能企业间数据共享与计算 .32 5.1数据安全场景与挑战 . 33 5.1.1涉及个人数据的发布与共享 . 33 5.1.2云上数据安全的存储与计算 . 34 5.1.3多方数据安全的共享与计算 . 34 5.1.4多方数据安全的联合 AI 建模 . 35 5.2数据匿名 . 35 5.3同态加密 . 38 5.4安全多方计算 . 40 5.5联邦学习 . 42 5.6小结 . 43 6.结语 .45 参考文献 .47 拥抱合规、超越合规：数据安全前沿技术研究报告 1 引言引言大数据时代，数据得到越来越多的重视。大数据和人工智能的深度融合深刻而广泛地影响了包括政府、金融、运营商、电力和互联网的各行各业，数据价值的流通与释放进一步促进经济和生产力的发展。 2020年 3月，我国中共中央、国务院对外发布关于构建更加完善的要素市场化配置体制机制的意见，将数据定义为新型的生产要素，被正式纳入到国家所定义的要素市场化配置中，数据的国家战略资源地位被正式确立。然而，大数据带来的机遇伴随着空前的安全挑战：近年来，大规模的数据泄露事件频频发生、“大数据杀熟”、数据歧视、个人信息非法采集和隐私窃取等安全问题愈发严峻，且这些问题对公民以及社会造成了不可忽视的负面影响与危害。为了应对挑战，全球掀起数据安全与隐私的立法热潮，法规监管力度不断强化。欧盟于 2018 年实施通用数据保护条例（ GDPR），美国于 2020 年实施加州消费者隐私法案（ CCPA），日本于 2020年 6月通过修订版个人信息保护法。我国在 2020 年 7月和 10月陆续公开发布两部重量级的法规草案：数据安全法（草案）和个人信息保护法（草案）。前者在总体国家安全观指导下，对数据进行全面的保护；后者对公民隐私和个人信息进行安全保护。随着全球数据安全法规监管的不断强化，合规性问题不得不纳入企业数据安全建设考虑范围。可以说，合规性成为了企业数据安全建设与治理的重要驱动力。然而，法规向企业提出范围更广和约束更严的数据安全的相关要求，给传统的数据安全技术和产品带来了前所未有的巨大挑战。在这样的背景下，本报告名为拥抱合规，超越合规：数据安全前沿技术研究报告，旨在通过对企业三类重点数据安全场景用户隐私数据安全合规、企业内部数据安全治理和企业间数据安全共享与计算进行合规需求的梳理与分析，分别选取当前业界可以应对的十种前沿数据安全技术进行研究和分析，包括处于学术前沿的差分隐私（Differential Privacy， DP）、数据匿名（ Data Anonymization）、同态加密（ Homomorphic Encryption，HE ）；行业炙手可热的安全多方计算（Secure Multi-party Computation ，MPC）、联邦学习（Federated Learning, FL），以及从其他领域引入的新技术知识图谱、流程自动化、用户实体行为分析（User and Entity Behavior Analytics, UEBA ）等。通过对这十种前沿技术的研究，一方面希望寻找到破局安全新场景下的启发与思路，另一方面为企业安全赋能助力其解决数据安全与合规的痛点与难点。拥抱合规、超越合规：数据安全前沿技术研究报告 2 数据安全立法现状与合规性盘点 1.数据安全立法现状与合规性盘点数据安全立法现状与合规性盘点 1 拥抱合规、超越合规：数据安全前沿技术研究报告 3 数据安全立法现状与合规性盘点数据安全立法现状与合规性盘点 1 近年来，全球掀起数据安全与隐私的立法热潮，对企业提出了更高的数据安全合规性要求。本章首先将回顾国内外数据隐私的立法以及执法现状与趋势，然后对已经实施的国内外法规规定的数据安全合规性热点进行解读和剖析。 1.1国内外立法与执法趋势 1.1.1国外 2018年 5 月 25日，欧盟正式实施通用数据保护条例（ General Data Protection Regulation， GDPR）用以保护欧盟成员国境内企业的个人数据，以及欧盟境外企业处理欧盟公民的个人数据以及公民享有的各项数据权利 1 。受 GDPR的影响，全球其他国家也陆续推出了各自相关的法规：如巴西于 2019年 7月通过通用数据保护法（葡萄牙语简称 LGPD）的最终版本，将于 2021年 5月生效；印度在 2018年 12月公布修改后的 2019年个人数据保护法（草案）（ Personal Data Protection Bill, 2019）；泰国于 2020 年 5月正式实施个人数据保护法（Personal Data Protection Act，PDPA ）等 2 。同样深受 GDPR影响，美国各个州在数据隐私领域上纷纷重新立法，包括加利福尼亚州（加州），蒙佛特州、夏威夷、马里兰、马萨诸塞、密西西比和华盛顿等。其中，最具代表的是加州于 2018年 6月通过的加州消费者隐私保护法（ California Consumer Privacy Act，CCPA ） 3 。由于影响涉及大部分知名 IT科技公司，如惠普、 Oracle、Apple、Google 和 Facebook等，该方案从立法到颁布备受各界人士的关注。 2019年 10月，美国加州州长正式签署 CCPA的最终法案，已于 2020年 1月 1日正式生效。 CCPA与 GDPR类似，同样对企业提出更高的数据安全合规性要求，据 IAPP和 OneTrust 调查结果显示，大约仅有 2%的受访者认为他们的企业已经完全做好了应对 CCPA 的准备 4 。在执法方面，欧盟相较其他国家，已经进入全面执法阶段典型的趋势是多数成员国已经陆续开出违反 GDPR的罚单。其中，英国执法力度最大，由于数据泄露事件，英国 ICO（Information Commissioners Office）2019 年于 7月分别对英国航空公司和万豪国际集团分别开出 1.83亿英镑和 9900万英镑的的巨额罚单。此外， Google罚款事件也备受关注作为一家大型国际互联网公司， Google却陆续被欧盟的两个国家罚款： 2019年 1月被法国处罚 5000万欧元，原因是执法方认为 Google的隐私条款未充分体现 GDPR公开透明和清晰原则； 2020年 3月被瑞典处罚 700万欧元，原因是 Google未充分履行 GDPR赋予用户的数据“遗忘权”。 GDPR执法的严苛程度，从以上的事件可见一斑。拥抱合规、超越合规：数据安全前沿技术研究报告 4 数据安全立法现状与合规性盘点 1.1.2国内我国于 2017年 6月 1日正式实施中华人民共和国网络安全法（简称网络安全法） 5 。它是我国首部较为全面规范网络空间安全管理方面问题的基础性法律，不仅包括网络运行安全、关键信息基础设施的运行安全，同时给出数据安全与个人信息保护的基本规定。自 2019以来，我国数据安全相关立法进程明显加快：根据网络安全法，国家互联网信息办公室（网信办）分别于 2019年 5月和 6月发布了数据安全管理办法（征求意见稿）和个人信息出境安全评估办法（征求意见稿）等法规；同年 10月 1号我国正式实施儿童个人信息网络保护规定，对儿童个人信息安全进行特殊和更加严格的保护。 2020年 5月我国发布中华人民共和国民法典，将于 2021年 1月 1日起实施，它被誉为“社会生活的百科全书”，其中首次在法律中明确具体提出“隐私权”的概念，并确立隐私权范围和个人信息保护一些基本规范。 2020年 7月，我国对外发布中华人民共和国数据安全法（草案）（简称数据安全法（草案），确立了数据分级分类保护、数据安全风险评估、应急处置机制和安全审查的重要制度，明确了开展数据活动必须履行数据安全保护义务等内容。 2020年 10月，中华人民共和国个人信息保护法（草案）（个人信息保护法（草案）在人大网公开，该法律赋予必要的域外适用效力，以充分保护我国境内公民的权益；并完善和丰富了个人多项数字权利，包括个人知情权、决定权、查询权、更正权、删除权等权利；在违法违规处罚方面，相比网络安全法，大幅度地加大了惩处的力度。数据安全法（草案）和个人信息保护法（草案）作为两部较为综合性的法律，前者更加强调总体国家安全观，对国家利益、公共利益和个人、组织合法权益方面给予全面保护，后者则更加侧重于对个人信息、隐私等等进行保护。在标准层面上，我国数据安全多部标准已经发布或者正在制定中，相关的标准体系正逐步趋向完善，包括信息安全技术数据安全能力成熟度模型（ GB/T 37988-2019）、个人信息安全规范（ GB/ T 35273-2020）、信息安全技术个人信息去标识化指南（ GB/T 37964-2019），信息安全技术大数据安全管理指南（GB/T 37973-2019 ）等。在相关执法层面，我国监管部门主要聚焦在两个方面：一是针对 APP个人信息侵权专项治理，近年来中央网信办、工业和信息化部、公安部、市场监管总局四部门成立专项治理工作组，对三十万余款拥抱合规、超越合规：数据安全前沿技术研究报告 5 数据安全立法现状与合规性盘点 APP开展个人信息合规性评估与整治，包括未公开收集使用规则、未经用户同意收集使用个人信息和私自共享给第三方用户信息等，对涉及违规 APP通过通报、约谈、整改、下架等处罚形式，通报对象不乏大型公司的 APP 6 ，通过深度治理与曝光形式，达到改善 APP的个人信息安全问题。二是针对个人信息非法交易与黑灰产的整治，公安部在多个城市连续开展“净网 2019 ”、“净网 2020 ”专项行动，对此类案件重拳出击，从源头上进行杜绝，由于个人信息非法交易与泄露导致的定向电信诈骗、短信骚扰等给用户带来的精神困扰与财产损失。 1.2数据安全合规热点解读近年来国内外相继出台与实施多部重量级的数据安全法律法规，其对企业在处理数据活动过程中提出更多、更严、更具体的约束和要求。欧盟 GDPR作为一部“大而全”的数据安全法规 1 ，在全球相关的法规非常具代表性，同时对我国拥有欧盟业务的企业有较大的影响，解读和分析具有借鉴意义。；网络安全法作为我国已经实施的首部全面规范网络空间安全的基础性法律 5 ，在相关章节条款确立一些基本数据安全制度与个人信息保护基本规定。本节将以欧盟 GDPR和国内网络安全法为代表，从法规保护的据对象、用户的数据权利、企业的安全义务以及违法违规的处罚四个方面，对国内外数据安全的合规性进行简要地解读与探讨。 1.2.1保护的数据对象 GDPR：保护的数据对象是欧盟公民的“个人数据”。 GDPR将“个人数据”定义为“是关于一个已识别或者可能识别的自然人（即数据主体）的任何信息”。该定义下的“个人数据”范畴边界十分宽泛，涵盖信息十分丰富，不仅包括传统意义的姓名、年龄、性别这些基本的个人信息，还包括一些特殊的数据也被归并为“个人数据”，比如生物识别数据指纹、虹膜、 DNA数据等，这些数据在一定条件下（比如生物数据库对照）具有“可识别性”；宗教信仰，心理和生理特征信息，通过与其他属性信息结合，例如年龄、性别、地区结合也具有“可识别性”，可以唯一识别和定位特定的自然人；再比如 IP地址、 MAC地址、Cookie 信息等，这些信息以往被认为是网络设备信息或网络行为信息， GDPR将其定位“个人数据”，在一定程度有利于网络数据的隐私保护。宽泛的定义可以最大限度保护好自然人的各类隐私数据，规避一些“擦边球”的场景。但这给企业如何在复杂的业务环境中去识别和发现各类结构化和非结构等各类个人数据带来巨大的挑战，也意味着在企业需要在数据安全治理与安全建设上投入更多的安全成本。网络安全法：第四章节明确规定保障个人信息安全，保护的重点数据对象是“个人信息”。其定义是“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包拥抱合规、超越合规：数据安全前沿技术研究报告 6 数据安全立法现状与合规性盘点括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。类似于 GDPR，网络安全法的个人信息定义同样以“识别说”为基础，包括单独识别的如身份证号、姓名等，结合识别比如出生年月信息，由于结合性别、地址等属性信息重新识别的个人身份。相比 GDPR 来说，我国罗列的个人信息范畴并不大，并不包括由个人关联的信息（比如用户的行为 /习惯、购买的 IoT设备等识别性不高的信息，这在一定程度缩小了“个人信息”的范围，降低敏感信息分类分级及保护的成本。然而，在最近发布个人信息保护法（草案）给出的个人信息新定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”，与 GDPR的宽泛定义趋向类似，增加“有关的”修饰词，进一步明确地拓展“个人信息”定义和范畴。因此国内企业应未雨绸缪，在涉及个人信息安全的数据安全治理方面，需要在个人信息的识别、分类与分级等基础能力投入更多安全建设。 1.2.2用户的数据权利 GDPR: 第 12-22条款上赋予了“数据主体”（或称用户）知情权、访问权、修改权、限制处理权、删除权（也称“被遗忘权”）、可携带权、拒绝权等多项权利。 “被遗忘权”和“可携带权”是 GDPR 新增两项用户“特权”：被遗忘权，在一些注销账户、或者超过时间期限等场景中，用户可以行使该项权利，要求“数据控制者”（或称企业）删除与自己相关的个人数据，同时也要求通知合作第三方删除同样的数据；可携带权，用户可以便携地将其个人数据从一个数据控制者处转移至另一个数据控制者处，数据控制者需要配合完成该过程。网络安全法：第 43条赋予了用户一定程度的“删除权”：“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息”；一定程度的“修改权”：“发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正”。在最近发布个人信息保护法（草案）中，赋予了用户更丰富更具体的数据权利，诸如知情权、访问权、被解释权等。 1.2.3企业的安全义务 GDPR: 赋予用户“访问权”、“被遗忘权”等各项数据权利，相应地，企业必须响应和履行为用户行使权利提供方便的义务，比如用户行使“被遗忘权”，企业必须提供删除数据的界面与入口，并执行相关处理操作与流程，以及对用户输出响应报告。以外， GDPR规定企业必须保存数据处理活动的记录，针对数据泄露风险建立快速响应与通知机制；对数据采取假名化、加密等与风险相适应的安全措施。网络安全法：企业同样需配合用户行使数据权利。此外，企业在防止数据泄露、窃取篡改等数拥抱合规、超越合规：数据安全前沿技术研究报告 7 数据安全立法现状与合规性盘点据安全事件上，需履行安全管理制度、组织和规范建设，落实有效的网络安全措施，以及采取数据分类，重要数据备份和加密等技术措施，数据泄露建立快速响应与补救措施机制，保存网络日志不少于 6个月等各项安全义务。 1.2.4违法违规的处罚 GDPR：违反数据处理的基本原则，不履行数据主体的数据权利等，第 83条给出罚款的最高值：可被处以最高 2000万欧元的行政罚款，或对企业以最高占上一财政年度全球总营业额 4%的行政罚款，取两者最高值。这是欧盟境内企业或者与欧盟数据相关的境外企业最关心的，被 GDPR处罚的代价是十分高昂的。网络安全法：最高可处罚 100万元的罚款，对直接负责的主管人员处罚最高 10万元罚款。除罚款以外，还有责令暂停相关业务、关闭网站、吊销营业执照等严厉的行政处罚措施。在最近发布个人信息保护法（草案）中，对于个人信息的违法犯罪加大了处罚与罚款力度，对于违法情节严重的最高可以处罚 5000万元以下或者上一年度营业额 5%罚款，同时对直接负责的主管人员最高可罚款 100 万元，这些处罚给个人信息与数据安全违规违法行为形成了强大的威慑力。 1.3小结欧盟 GDPR作为一部现代数据隐私法的风向标，给全球其他国家的立法产生深远的影响，尤其是美国加州消费者隐私方案 CCPA，同样给用户赋予多项相似的数据权利，对企业提出更更高的合规性要求。随着我国今年来数据安全法（草案）和个人信息保护法（草案）综合性法律的制定，以及一些配套的行政法规和标准的落地实现，我国数据安全相关法规 -标准建设将趋于体系化和成熟。从全球数据执法的趋势来看，欧盟 GDPR已经进入全面执法阶段，欧盟成员国已经陆续开出违反 GDPR的巨额罚单；我国在网络安全法等法规指导下，我国监管部门在数据安全执法主要聚焦在 APP隐私侵权治理以及个人信息非法交易与黑灰产整治两个重点领域。网络安全法作为我国已经实施的网络空间安全的基础性法规，目前在数据安全与个人信息安全具有最高的法律效力。本章重点从该法规保护的数据对象、用户的数据权利、企业的安全义务以及违法违规的处罚四个方面，将其与 GDPR的合规性进行对比与解读，我国同样趋向采取更加宽泛的“个人信息”定义，这给企业识别这些敏感数据带来巨大的挑战；此外，我国明确指出企业必须采取数据分类，重要数据备份和加密等。若违反相关条款，将面临高额的罚款和严格的行政处罚，由此企业必须对数据安全与合规性引起足够的重视。拥抱合规、超越合规：数据安全前沿技术研究报告 8 合规要求下的数据安全概述 2.合规要求下的数据安全概述合规要求下的数据安全概述 2 拥抱合规、超越合规：数据安全前沿技术研究报告 9 合规要求下的数据安全概述随着欧盟 GDPR、美国 CCPA，以及我国的网络安全法，数据安全法（草案）和个人信息保护法（草案）的制定与实施，合规性已经成为企业数据安全治理与建设重要驱动力。在合规视角下，本章将阐述数据安全需求、内涵的发展与演变，并将从宏观上总结企业数据安全合规性建设三类场景，以及超越合规性的前沿技术图谱。 2.1合规驱动下的数据安全在隐私合规 /数据安全合规视角下，数据安全的需求和驱动力发生了根本性的改变，同时导致数据安全的内涵在不断外延和扩展。为了更好地理解其演变过程，本文将其分为两个阶段：无合规性需求与有合规性需求的数据安全建设，并将其分别定义为数据安全 1.0与 2.0阶段。 2.1.1数据安全 1.0 当数据的价值被足够重视的时候，企业就已经开始着手数据安全建设，在这一个阶段将它看作主动的、数据资产驱动的、投入成本小的数据安全防护。企业的数据安全保护对象是企业定义的敏感数据和重要资产。一个主要的场景是企业围绕着各类资产数据库的数据展开一系列防护，利用加密、访问控制、审计和数据库防火墙等传统网络安全的管控措施，因此这一阶段的数据安全通常归属为网络安全的一个分支。此外，对于敏感文档和核心技术材料等的保护，通常企业也会采用透明加密、数据防泄漏（DLP ）产品进行安全防护，主要是防止内部人员的非法拷贝和黑客的窃取。图 2-1数据安全 1.0：企业重要资产视角下的数据安全防护 2.1.2数据安全 2.0 随着相关法规的逐步实施与完善，那么数据安全问题就已经不再仅仅是企业“关起门”来处理的内部问题，同时也是国家监管部门参与进来的监管问题。现阶段的数据安全（数据安全 2.0）可以看作 1.0 拥抱合规、超越合规：数据安全前沿技术研究报告 10 合规要求下的数据安全概述的升级版，企业的数据安全建设在满足内部数据安全需求的同时，也必须遵循法律法规的合规性条款。这个过程是被动合规驱动为主、主动数据安全建设为辅、投入成本比较高昂的数据安全建设。数据安全 2.0相比 1.0有哪些根本性改变，我们从以下几个维度进行解析：数据安全2.0保护的数据对象范畴变得更大。在数据安全 1.0阶段，企业以重要资产的数据安全防护为视角，重点保护的数据对象是企业敏感数据，同时也包括一小部分个人隐私数据，比如用户的登录密码与口令等。在数据安全 2.0阶段，企业需要保护三类敏感数据，包括企业敏感数据、个人隐私数据和国家敏感数据，如图 2-2所示。后两者受法规的监管与保护：欧盟 GDPR、美国 CCPA的法规中明确表示公民的个人隐私数据受保护；我国法规监管对象不仅包括个人隐私数据，还包括各类国家敏感数据，法规上也称为“重要数据”，比如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等 7 。需要强调的是，法规定义的个人数据 /个人信息不是传统意义上的身份证号、手机号、地址等个人基本信息，还包括设备的 IP地址、MAC 地址、Cookie 信息，范围非常宽广（可参考国标个人信息安全规范的个人信息举例），这给企业的敏感数据识别和保护构成巨大的挑战。图 2-2数据安全保护的敏感数据对象与范畴数据安全2.0覆盖的应用场景更加丰富多样。在 1.0时代，企业以重要资产的数据为数据安全保护对象，主要的面向的是数据库和机密文档等环境；而在 2.0时代，法规监管的基本单位是数据，而不仅是数据库和文档的数据，还包括大数据平台、文档、云、终端，甚至发展中的 5G、区块链等新型环境的符合法规定义的个人隐私与重要数据，如图 2-3所示。数据安全2.0覆盖数据的全生命周期。1.0时代，数据安全主要面向数据传输和数据存储过程。 2.0 时代，数据安全覆盖数据的全生命周期的各个环节，包括数据采集、传输、存储、处理、交换拥抱合规、超越合规：数据安全前沿技术研究报告 11 合规要求下的数据安全概述和销毁，如图 2-4所示。比如在数据采集时，必须遵循最小可用、征得用户同意等合规性原则，进行相应数据安全建设。图 2-3数据安全覆盖的各种环境图 2-4数据安全的全生命周期由于合规性、业务增长和数据规模的多重原因，数据安全 2.0从 1.0发生跃迁从小范畴的数据安全，变成大范畴的数据安全；从单点的数据安全建设，变成体系化的数据安全建设。对于体系化的数据安全建设， Gartner认为它是一个数据安全治理的过程 8 ：从上至下，由决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的目标达成共识，确保采取合理和适当的措施，以最有效的方式保护数字资产。绿盟科技的数据安全解决方案在 Gartner数据治理框架基础上，结合客户的数据安全防护需求，对实际情况进行研究和实践，建立一套完整科学的数据安全治理方法体系。该体系分为五个基本治理步骤 “知”、“识”、“控”、“察”、“行” 9-10 。数据安全的体系化建设，一方面意味着企业需要增加数据安全相关的预算，但另一方面意味着更好地满足合规性和业务需求，收获新的收益。 2.2拥抱合规、超越合规根据企业的应用场景与数据域分布，可将数据安全合规场景分为用户隐私数据安全合规、企业内部数据安全治理、企业间数据安全共享与计算三类，这些场景包括一系列子场景，在这些子场景中由于合规性与数据安全需求的提升，给传统的数据安全技术带来了巨大的挑战。如何能更好破局？引入数据安拥抱合规、超越合规：数据安全前沿技术研究报告 12 合规要求下的数据安全概述全前沿与创新技术，为企业的安全场景赋能，成为行业认同的共识。本文后续将从三类场景的多个子场景的问题挑战出发，阐述相应的数据安全前沿技术，以助力企业更好地应对合规性问题拥抱合规、超越合规。图 2-5具体给出超越合规：数据安全场景 -前沿技术图谱，后续三章将从三类场景具体阐述其涵盖的十种前沿技术。 12-22 12-22 21 42 42 42 5 42 图 2-5超越合规：数据安全场景 - 前沿技术图谱 2.3小结在合规视角下，数据安全的需求和驱动力发生了根本性的改变，数据安全保护的数据对象范畴变得更大，数据安全覆盖的应用场景将变得更加多样化，数据安全需求将覆盖数据的全生命周期。为了更好应对合规性带来的挑战，一方面企业需要从传统单点的数据安全建设转变成体系化的数据安全建设，另一方面为了应对三类重要合规场景带来新的挑战，包括用户隐私数据安全合规、企业内部数据安全治理、企业间数据安全共享与计算，亟需需要引入一批创新的数据安全技术实现困境的破局。本文后续的三个章将分别从三种场景的问题与挑战出发，具体阐述如何通过十种技术实现安全与合规痛点与难点问题的求解，以实现拥抱合规、超越合规。拥抱合规、超越合规：数据安全前沿技术研究报告 13 前沿技术赋能用户隐私数据安全合规 3.前沿技术赋能用户隐私数据安全合规前沿技术赋能用户隐私数据安全合规 3 拥抱合规、超越合规：数据安全前沿技术研究报告 14 前沿技术赋能用户隐私数据安全合规本章将聚焦在企业的用户隐私数据安全合规场景，首先分析其三个典型的子场景合规性要求与安全挑战，后续将从应对的三种前沿技术，包括差分隐私、知识图谱和流程自动化，进行技术原理、行业应用、以及未来发展的介绍与探讨。 3.1数据安全场景与挑战本节将分析用户隐私数据安全合规的三个子场景面临的合规性条款，以及安全挑战。 3.1.1数据采集中的隐私保护在保护用户的个体隐私前提下，对成千上万个用户终端的隐私数据进行采集，在服务器中完成批量数据的聚合与分析，挖掘大规模用户数据的总体趋势与统计信息。合规条款 GDPR ：为了应对隐私问题带来的风险的挑战， GDPR指出数据控制者与处理者“应当执行合适的技术措施和有组织性的措施来保证合理应对风险的安全水平”（第 32条）。网络安全法：“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失”。即要求企业采取一定的技术与管理措施，确保用户个人信息与隐私安全（第 42条）。问题挑战传统的数据安全处理技术去标识化（也称为数据脱敏），在企业一部分主要场景中一般可应对合规性，符合上述 GDPR和中国网络安全法要求的采取的必要措施。然而，在一些内部环境（比如大部分内部用户可以访问和下载）或外部共享环境中，它处理后的数据仍然面临多种多样的隐私攻击，包括背景知识攻击、差分攻击和重标识攻击等 8 ，即经过攻击后个人隐私仍然可能会被泄露。若对数据进行过度脱敏，虽然数据的隐私攻击风险降低了，然而数据的可用性将大幅度降低。那么，如何避免以上的隐私攻击，同时保留一定程度的数据可用性，即可获得数据的聚合信息但无法获得单个记录的信息，这对隐私保护技术提出更高的安全要求与挑战。应对技术：差分隐私（参见 3.2节）拥抱合规、超越合规：数据安全前沿技术研究报告 15 前沿技术赋能用户隐私数据安全合规 3.1.2个人信息治理与可视化同一个企业的多个应用中，比如 Google邮箱和浏览器，可能通过收集用户的多个维度的个人信息与隐私数据。此外，数据采集后可能分布存储在多种多个数据库（如 Oracle、My SQL、 ElasticSearch）以及各种大数据平台中（ HDFS和 Hbase）。企业需要摸清企业内部有多少个独立的数据实体（数据主体），每一个实体包括哪些数据与属性维度，这些数据分别存储在哪些系统中和业务应用，以及数据共享给哪些第三方企业。合规条款 GDPR ：如 1.2.2节所述， GDPR赋予了用户知情权、访问权、修改权、限制处理权、被遗忘权、可携带权、拒绝权等多项权利。相应地，企业必须履行和响应用户提出的权利请求。比如用户发起数据查看请求，那么企业必须完整呈现数据主体个人数据报告，包括收集了用户哪些结构化数据、哪些非结构化数据（包括网络浏览、点击等信息）、以及将数据共享给了哪些第三方企业。企业在实施用户权利请求响应的合规，个人信息治理与可视化是实现目标的关键（第 12 至 22 条）。网络安全法：如 1.2.2节所述，法规赋予了用户一定程度的“删除权”和“修改权”，响应地，企业须履行和配合用户完成数据权利请求的流程。同样地，企业在具体实施合规落地时，个人信息治理与可视化是基础与前提（第 43 条）。问题挑战多源异构数据源分布同一个数据主体的信息和维度，对于企业复杂多变的数据环境来说，不同数据源实体 ID表示形式不同，或者缺失，如何识别与关联同一个实体是一个不小的挑战。应对技术：知识图谱（参见 3.3节） 3.1.3用户数据权利请求响应全球一些隐私法规赋予数据主体（用户）自由访问、修改和删除个人数据等权利，相应地，要求企业必须在规定的时间内对用户提出的请求进行响应，比如向用户提供收集个人数据明细及使用目的报告。合规条款 GDPR ：如 3.1.2节所述，企业必须履行和响应用户提出的权利请求。对于数据权利的响应时间，拥抱合规、超越合规：数据安全前沿技术研究报告 16 前沿技术赋能用户隐私数据安全合规 GDPR规定企业“必须在一个月内对所有的请求进行响应和处理，若请求过于复杂，可延长至两个月”（第 12 至 22 条）。网络安全法：如 3.1.2节所述，法规赋予了用户一定程度的“删除权”和“修改权”，但未具体到响应时间的规定。但在国家标准个人信息安全规范（ GB/T 35273-2020），明确规定从请求到响应的时间是 30天内（第 43 条）。问题挑战据 Gartner调查，多数企业无法应对数据主体权利请求（Subject Rights Request, SRR）带来挑战，约有三分之二企业对单个 SRR的回复需要超过两周以上的时间，且这些流程通常是人工完成，平均成本约高达 1400美元 11 。因此，对于拥有一定用户数量规模的企业（比如社交、电商网站），企业如何做好应对准备多个用户并发请求的随时响应，对于传统的手工处理是一个巨大挑战。比如说，企业一天有 1000个用户请求，采取手动操作，查询相关系统并手工制作 1000个用户的个人信息数据报告，这给运营团队人员带来极大的负担同时增加高额的运营成本，且一旦人工操作错误将引入新的法规风险。应对技术：流程自动化（参见 3.4节） 3.2差分隐私差分隐私（Differential Privacy, DP）技术由于无需假设攻击者能力或背景知识，安全性可通过数学模型证明，作为一种前沿的隐私保护技术近年来受到了学术界和工业界的广泛关注。差分隐私最早由微软研究者 Dwork 在 2011年提出 12 ，它可以确保数据库插入或删除一条记录不会对查询或统计的结果造成显著性影响，数学化描述如下： ( )( ) ( )( ) Pr Pr = = fD C e fD C 其中， D和 D分别指相邻的数据集（差别只有一条记录）， ( ) f 是某种操作或算法（比如查询、求平均、总和等）。对于它的任意输出 C，两个数据集输出这样结果的概率几乎是接近的，即两者概率比值小于 e ，那么称为满足隐私。如何实现这个目标呢？一般来说，通过在查询结果中加入噪声，比如 Laplace类型的噪声，使得查询结果在一定范围内失真，并且保持两个相邻数据库概率分布几乎相同。参数通常被称为隐私预算（Privacy budget） 13 ，越小，两次查询（相邻数据集 D和 D）的结果越拥抱合规、超越合规：数据安全前沿技术研究报告 17 前沿技术赋能用户隐私数据安全合规接近，即隐私保护程度越高。一般将设置为一个较小的数，比如 0.01，0.1。但设置更小的数意味需要加入更高强度的噪声，数据可用性会相应下降，这实际应用中需通过调节参数（反映在噪声强度的调节上），以平衡隐私性与数据可用性。早期差分隐私应用场景中，数据存储在数据库中，通过提供具有差分隐私功能的查询接口给查询者使用，通常称该方案为中心化的差分隐私模型（ Centralized Differential Privacy，CDP）。随着研究与发展，出现了另一种模式本地差分隐私（Local Differential Privacy, LDP ）。LDP 在用户侧进行差分隐私处理，具体来说，用户终端的数据采集时都会运行一个差分隐私算法，采集输出的数据经过特殊的处理，因此服务器也无法获得用户侧的真实隐私信息。其实现的核心思想应用了随机化算法，比如随机应答（Randomized Response），每一个采集端的数据都加入了噪声。虽然服务器侧无法获得每一个用户侧的真实数据，但采集足够多的加入噪声的数据，它恢复得到总体数据分布，满足差分隐私模型的近似结果定义。两种差分隐私技术的区别见表 3-1所示。表 3-1 中心化差分隐私与本地化差分隐私对比模式中心化差分隐私本地化差分隐私场景数据库查询的隐私保护数据采集的隐私保护运行位置服务器侧用户侧主要原理数据查询的结果后加入噪声原始数据经过随机化算法处理主要机制加噪（如拉普拉斯、高斯噪声）随机化算法（如随机应答）防护范围查询者无法获得单个用户的隐私数据第三方也无法获得单个用户隐私数据在 CDP应用中，微软开发了 PINQ（Privacy Integrated Queries）系统 14 ，它基于差分隐私技术提供隐私敏感数据的查询 API接口，在不泄露隐私情况下可

展开阅读全文