騰訊安全發佈《數據安全解決方案白皮書》

大數據已被視爲國家基礎性戰略資源，各行各業的大數據應用正迅猛發展，但隨之而來的數據安全問題也日益加劇，有時甚至限制了大數據應用的發展。基於此，無論是國家機關還是企事業單位，都在加緊數據安全體系的建設，甚至項目立項時就需要完成數據安全的設計。

2020年5月27日，騰訊安全正式發佈了企業級數據安全能力圖譜，圖譜中將數據安全能力分爲四層六大模塊，爲使各企事業單位能夠更好的理解和運用圖譜，騰訊安全專家諮詢中心聯合騰訊安全內部核心部門，對當今重點的數據安全問題進行梳理，對國內近年來頒佈的法律法規進行收集研究，對數據安全體系建設的思路進行歸納總結，最終形成本白皮書。

關注騰訊安全（公衆號：TXAQ2019）

回覆數據安全白皮書獲取PDF版白皮書內容

 

以下是《騰訊數據安全解決方案白皮書》全文：

 

第1章 導讀

1.1  背景

近年來數據安全事件頻出，尤其個人隱私信息保護是行業關注的熱點話題，GDPR法案的推出進一步推動了全球數據安全相關的法規和標準的建立和完善，企業的數據安全合規壓力陡增，多數企業把數據安全擺在了整個信息安全體系提升的最重要的位置。然而，數據安全牽扯信息化各個層面的問題，在企業探究構建完善的數據安全體系時發現：數據安全體系建設是一項體系化工程，而非簡單的技術工具運用，它是個複雜的大工程，從信息安全部門無法推動，尤其是一些IT建設有諸多歷史問題的企業，達到法規和標準的合規要求，甚至要考慮信息系統的重構。當前，擺在企業信息安全管理者面前的問題是：如何平衡合規壓力和無法改造的複雜業務和信息系統。企業應該構建哪些必備的模塊化的數據安全能力，數據安全體系如何分階段建設。

本白皮書基於數據安全能力圖譜，通過客觀、全面的對數據安全問題進行剖析，結合騰訊安全實踐經驗，提出數據安全建設思路和方法，旨在幫助企事業單位瞭解數據安全領域現狀，理清數據安全體系建設思路。

1.2  國內法律法規現狀

數據保護越來越成爲各國關注的焦點，目前我國法律法規的核心是監管和規範企業或個人對於數據的相關行爲，以防止濫用數據，以及監管跨境數據轉移等內容，重點保障國家、企業、個人的利益。

1）個人信息保護相關的法律法規

《民法典》：第四篇第六章針對隱私權和個人信息保護做出了規定。今後除了嚴重侵犯公民人身權利、財產權利的重大違法犯罪行爲應當依照《刑法》承擔刑事責任（可以附帶提起民事訴訟）外，對於一般的侵害個人信息權的侵權行爲，任何自然人或組織均可以從侵權法的角度進行維權，以個人信息權被侵犯爲由提起民事訴訟。

《刑法》：2009年的《刑法修正案七》、2015年的《刑法修正案九》明確了任何單位、組織、個人違反有關規定，出售或向他人提供公民個人信息，情節嚴重的，都將構成犯罪。在2017年的《刑法修正案九司法解釋》中，明確了公民個人信息的範圍包括身份識別信息和活動情況信息，細化了非法獲取、提供公民個人信息的認定標準，對侵犯公民個人信息犯罪的定罪量刑標準和有關法律適用問題作了全面、系統的規定，爲司法實踐中開展公民個人信息保護提供了強有力的支撐。

《網絡安全法》第四十條至第四十五條，對個人信息保護做出有關規定，明確了我國個人信息保護的基本原則和框架，網絡運營者保護用戶信息的義務，要求網絡運營者對其收集的用戶信息嚴格保密，建立健全的用戶信息保護制度。

此外，各行業主管單位也開始高度重視個人信息的保護工作，出臺專門的個人信息保護法律法規。工業和信息化部於2013年出臺了《電信和互聯網用戶個人信息保護規定》（《電信規定》) ，對違反規定的行爲應當承擔的法律責任進行說明。2014年開始實施的《消費權益保護法》也在第二十九條中對個人信息保護做了明確規定。由國家互聯網信息辦公室發佈，於2019年10月起實施的《兒童個人信息網絡保護規定》明確了兒童信息保護的原則和框架。

2）數據安全法律法規

目前針對數據安全法律法規主要是《網絡安全法》，其中第十、十八、二十一、二十七、三十一、三十四、三十七、六十六條分別對網絡服務中的數據安全保護做了規定，涉及數據安全原則、目標、措施、義務和責任。依據《網絡安全法》，各部委也做出了一些相關的法規進行細化完善。目前有2020年的《網絡安全審查辦法》、2019年的《數據安全管理辦法（徵求意見稿）》、2018年的《網絡安全等級保護條例（徵求意見稿）》。

此外，已列入本屆人大立法計劃的《個人信息保護法》、《數據安全法》等法律將與《網絡安全法》形成我國數據安全的法律體系。

1.3  騰訊持續發力數據安全領域

1）參與制定國家級、行業級規範

國內數據安全標準主要由全國信息安全標準化技術委員會（TC260）負責，圍繞數據安全和個人信息保護兩個方向，TC260已發佈6項國家標準，在研標準10項。

在個人信息保護方向，騰訊參與了GB/T35273《個人信息安全規範》、《個人信息影響評估指南（報批稿）》、《個人信息安全工程指南（報批稿）》、《移動互聯網應用（APP）收集個人信息基本規範（徵求意見稿）》。同時，騰訊牽頭了《個人信息告知同意指南》國家標準研究項目，目前該研究項目已轉成國標，由電子四院負責。

在數據安全方向，騰訊參與了GB/T35274《大數據服務安全能力要求》、GB/T37973《大數據安全管理指南》、《電信領域大數據安全防護實現指南（草案）》。

此外，騰訊還牽頭了行業標準《移動應用軟件開發工具包（SDK）安全使用規範》，佈局移動應用底層數據安全和個人信息保護。

2）數據安全生態建設

騰訊安全秉承“讓數據遵規守序”的理念，以“協作共贏”的態度，聯合生態夥伴，共同讓“數據管理遵循法規，讓數據流動遵守秩序”。騰訊安全會積極與各行業保持緊密的交流，不斷提升生態的協作能力。

 

第2章 亟需解決的數據安全問題

我們收集和彙總了企業數據安全建設過程中遇到的問題，歸納下來，比較突出的有以下六個方面。

2.1  數據資產清冊問題

數據資產清冊問題主要體現在如下三個方面：

1）資產狀況不清

到底擁有多少數據資產？數據資產的變化情況是怎麼樣？是否有不明資產和違規資產？實際資產與在冊資產是否存在差異？差異情況如何？敏感數據有哪些？都存儲在哪裏？

2）訪問狀況不清

訪問熱度如何？有哪些靜默資產？哪些是高頻資產？敏感數據都在被誰訪問？是否存在殭屍庫？

3）權限狀況不清

數據資產的權限變化情況是怎麼樣的？在某時段內是否發生了提權操作？都有哪些數據帳號？帳號都在被誰使用？帳號的權限是否與登記的有差異？是否有弱口令帳號？是否存在帳號權限過大、違規的情況？

以上三個方面的問題都是資產不清的具體問題。數據資產梳理是一個持續的過程，數據和業務是不斷髮生變化的，因此，需要藉助自動化工具來開展數據資產管理工作。準確掌握數據資產狀況，是開展數據安全體系建設的基礎條件。

2.2  管理責任不清

目前國家施行的法律法規通常都會要求明確數據責任，通過加大懲罰力度，來提升數據安全防範意識，規避“數據資產無人管、數據資產隨意用”的現象，數據資產責任不清主要體現在如下兩個方面：

1）數據資產未認責

數據資產體量大，且使用複雜，貫穿整合業務流程，涉及多個部門和崗位的人員，數據的所有權，使用權，安全責任等無法清晰劃分；同一資產涉及多個部門或團隊使用，且使用頻率和重要性無法量化，導致資產認責工作無法開展；

2）管理角色的職責邊界模糊

數據安全管理角色包括數據資產管理員、數據庫管理員、安全審計員、安全檢測工程師、數據運維工程師、權限管理員等，一般情況下這些角色可能會由研發、運維、安全、運營人員來兼任，沒有獨立的團隊或虛擬團隊，導致權責不清，不利於整體提升數據安全防護能力。另外，一旦發生數據安全事件，很難開展追蹤溯源工作。

2.3  制度不完善

1）制度規範未落實或難落實

制度規範是數據安全管理和安全技術落地的依據。在開展制度規範編寫工作時，由於沒有對現狀進行充分的調研，管理制度規範與實際技術措施無法對應，導致數據安全體系無法落實。

2）缺少稽覈手段

建立了一套切實可行的制度規範，進行了相關的貫徹與執行，但由於缺少稽覈手段，安全管理部門無法及時掌握執行情況。數據安全管控措施無法按照管理制度體系要求嚴格執行。

2.4  數據交換管理混亂

隨着數據應用的快速發展，企事業單位內部向外提供的功能越來越多（小程序、公衆號、APP、Web等），數據會向外部、內部和合作夥伴進行交換共享，隨着開放的接口越來越多，交換關係越來越複雜，若未將交換共享的方式和接口標準化，則會出現功能重複、調用複雜、多點登錄等現象，運維人員和應用系統負責人的壓力也會倍增，影響數據應用的發展。

2.5  安全技術措施零散

1）數據安全產品功能分散

現有的數據安全產品，大多都是單一數據安全功能，如：脫敏，加密，防泄密，企業部署了很多數據安全類產品，再加之企業數據分佈也相對分散，導致各各網絡區域各數據安全產品間無法形成有效聯動和和整合機制，導致數據安全管控能力分散，無法形成統一數據安全管控體系。

2）安全能力孤島

由於組織內部的應用會按照部門劃分，數據安全能力的建設也會以部門爲單位開展，沒有形成整體的防禦體系，造成安全短板，容易被不法人員利用。

另外一個維度是角色和職責不明確，IT各部門沒有將安全責任進行清晰的劃分，當發生數據安全事件時才考慮防護。即便是有主動建設的意願，也是各自申請各自建設。

2.6  審計能力不足

通過對全棧日誌的收集與分析，能夠有效的制定安全規則，在大量的訪問中自動發現違規和高危行爲，降低了數據安全管理員的工作量和風險識別的難度，同時也提升了準確率。

但是，當遇到“心臟滴血”、APT這類攻擊時，由於這種攻擊是用真實的身份、合規的操作，做非法的事情，所以攻擊的操作軌跡和規律很難被發現，加之這類攻擊並沒有觸碰到現有的規則，導致安全攻擊一直在發生，管理人員卻一直不知道。

 

第3章 數據安全工作思路

3.1  工作目標

1）讓數據流動遵守秩序

進入大數據時代後，各類數據將陸續開放，數據應用會越來越多，數據交叉共享會越來越複雜，在這種情況下一旦發生數據安全事件，影響範圍是無法估量的。在複雜的數據流動情況下，更容易出現疏忽的地方，這給數據安全防護帶來了具大的挑戰。傳統的方式是針對風險點採取管理手段或技術手段進行管控，相當於“頭痛醫頭、腳痛醫腳”的方式，但在複雜的數據流動場景下，單一的數據安全技術或產品是無法整體提升數據安全管控能力的，也無法適應數據應用場景的快速變化。因此，數據安全防護是一項體系化工程，需要聯合生態的力量，在數據流動過程中建立秩序。只有數據在流動時遵守秩序，才能保證數據能夠安全的使用，促進數據應用的發展。

2）防泄露、防篡改、防濫用

• 防泄露：數據被違規違法竊取，可能用於商業分析、詐騙、騷擾營銷、倒賣等，造成數據主體和運營方的名譽損失或財產損失，甚至造成刑事案件的發生，因此，防止數據泄露是數據安全防護的重點。

• 防篡改：數據篡改一般發生在內部，由於利益的驅使，數據管理人員、運維人員、開發人員等具有較高權限且瞭解數據邏輯的人員對數據進行非正常修改，達到爲他人或自己獲利的目的，例如違章信息刪除、搖號信息換人等等。如果沒有很好的控制數據防篡改，則將會導致業務運轉混亂，大大降低公信力。

• 防濫用：數據是企事業單位的核心資產，合理使用數據可以帶來新的機遇。反之，如果沒有嚴格的控制數據使用，使數據氾濫，將會降低數據價值，喪失競爭力，甚至會在生態中被淘汰。數據被濫用場景舉例：

  a.項目的建設方或運營方在業主方不知情的情況下利用身份的便利條件分析數據；

  b.產品側沒有很好的做數據規劃，導致數據使用場景過多、可接觸到數據的節點過多。

3.2  總體思路

數據安全體系應具備數據資產管控能力、數據安全運營能力、數據業務安全管控能力、數據支撐環境安全管控能力、數據運維安全管控能力和數據安全感知能力六大能力，覆蓋數據全生命週期及重要的數據場景。能力細分如下圖所示：

 

第4章 數據安全能力建設

4.1  數據資產管理能力

數據資產梳理是提升數據資產管理能力的基礎。如果在資產統計不完整、資產信息不準確的情況下開展數據安全防護，則會出現盲點，防護手段的價值不能充分發揮，甚至會影響安全方面人力、財力的決策。因此，在開展數據安全體系建設前，應先開展數據資產梳理工作。

傳統的梳理方式以訪談爲主，存在準確率低、人工投入大的弊端。藉助靜態掃描和協議解析技術，結合人工的方式，可有效提升效率和準確率。另外，在開展數據資產梳理過程中，還可以發現高頻資產、靜默資產、殭屍庫等，使得數據資產的管理水平也得到提升。

4.2  數據安全運營能力

數據安全運營是近幾年逐漸被重視起來的。傳統的數據安全防護主要靠技術手段和管理制度進行約束，相對被動，很多制度也執行不起來，從業人員安全能力有限，一旦出現安全事件，響應速度和處理能力相對較弱。通過建立完善的數據安全運營體系，讓專業的人做專業的事，讓數據安全工作伴隨業務持續進行，提供實時的安全保障，可有效提升安全管理能力和安全防護能力，應對隨時可能發佈和執行的法律法規。

4.3  數據業務安全管控能力

目前可用於數據安全管控的技術即成熟又全面，典型的有數據脫敏、數據加密、數據行爲管控等等。由於數據安全需要與業務進行關聯，甚至需要滲透到業務的流程中，數據安全類產品又相對獨立，這種情況下的集成往往會對業務造成性能大幅下降、改造工作量大，還有重複建設、高運維成本、安全能力孤島等現實問題，不利於數據安全體系的建設。因此，需要將數據安全技術進行融合，統一管理、統一調用，形成公共資源池，以服務的形式應用到數據生命週期的各個環節中去。

4.4  數據支撐環境安全管控能力

主要是對數據庫本身和大數據組件進行安全加固，配合數據安全技術對數據資產進行訪問控制，定期開展安全掃描和配置覈查，確保數據資產的安全性和可用性。

4.5  數據運維安全管控能力

數據運維角色一般是指數據庫管理員、數據運維工程師、開發人員等權限範圍較爲廣泛的人員。目前曝出的衆多數據泄露事件大多是由這類人員造成。另外，數據運維過程中不排除會出現誤操作造成的數據損毀現象。因此，高權限人員應被重點關注。對於高權限人員可以從授權審批、違規識別與阻斷、高危操作提示與阻斷、數據遮蔽四個方面進行管控，並建立權限回收機制，支持靜態授權和動態授權，管控粒度達到語句級。

4.6  數據安全感知能力

數據安全感知能力主要依靠監控與審計，核心價值是輔助決策、發現違規並調查取證、稽覈制度規範和安全策略的執行情況。

監控和審計工作由數據安全管理員和工具平臺組成，工具平臺可以幫助數據安全管理員對大量的日誌進行運算和彙總，並從中自動發現觸碰規則的行爲，數據安全管理員可以從日誌信息中發現潛在的安全風險，不斷完善和增加安全規則，使得本組織的數據安全防護能力不斷提升。

監控和審計工具平臺應具備日誌信息採集、日誌彙總與分析、規則識別、告警和可視化展現五個能力。

 

第5章 關鍵數據安全技術

5.1  敏感數據識別和脫敏技術

敏感數據識別技術可以從海量的數據中發現敏感數據，幫助組織建立系統的敏感數據分佈視圖，同時提供替換、位移、哈希處理、標記化以及保留格式加密等脫敏算法，有選擇性地對敏感數據進行脫敏處理，以防止敏感數據在內部使用、外部共享等環節的泄露。

傳統的敏感數據識別主要採取關鍵字、字典和正則表達式匹配等方式，自動化程度和準確率較低。隨着人工智能和機器學習技術的引入，針對不同類別的敏感數據，機器學習技術可以實現大量數據的聚類分析，自動生成分類規則庫，敏感數據自動化識別效率和準確率均大幅提升。

數據脫敏技術主要有三種。第一種是加密方法，通過加密算法對數據進行加密處理，起到保護的作用，但加密後數據會失去業務屬性，不利於使用，這種方法適用於機密性要求高、不需要保持業務屬性的場景；第二種是基於數據失真技術，例如隨機干擾、亂序等不可逆算法。適用於羣體信息統計或需要保持業務屬性的場景；第三種是可逆的置換算法，通過位置變換、表映射、算法映射等方式，兼具可逆和保證業務屬性的特徵。

5.2  數據泄露防護技術

數據防泄漏技術是保障重要數據不會以違反安全策略規定的形式流出企業的一類數據安全防護手段。針對終端數據泄露和存儲數據泄露風險，通常採用身份認證、進程監控、日誌分析和安全審計等技術手段，監測和記錄操作人員對重要數據的訪問和操作情況，主動識別監控終端和存儲中的敏感數據的使用和流動狀況，對違規使用進行警告、阻斷。針對網絡數據泄露風險，通常採用網絡流量分析、文檔指紋、人工智能等技術，監控服務器、終端以及網絡中動態傳輸的敏感數據，發現和阻止敏感數據通過網絡泄露。

隨着人工智能技術的大量應用，智能化識別、監控和阻斷將會成爲數據防泄漏技術發展的趨勢。數據防泄露技術將實現用戶行爲分析與數據內容的智能識別相結合，實現數據的智能化分層、分級保護，並提供終端、網絡、雲端協同一體的敏感數據動態集中管控體系。

5.3  結構化數據庫安全技術

結構化的數據安全技術主要是指數據庫安全防護技術，可以分爲事前風險評估、事中安全管控和事後分析追溯三類，其中事前風險評估主要採用數據庫漏洞掃描技術，事中安全管控主要採用數據庫防火牆、數據庫加密、數據庫脫敏技術，事後分析追溯主要是數據庫審計和數據水印技術。

數據庫防火牆：通過實時分析用戶對數據庫的訪問行爲，自動建立合法訪問數據庫的特徵模型。同時，通過訪問控制和虛擬補丁等防護手段，及時發現並阻斷SQL注入攻擊和違反安全策略的數據庫訪問請求。

數據庫安全審計：通過監控數據庫的多重狀態和通信內容，評估數據庫所面臨的風險，並可通過日誌進行事後追查取證。通過AI威脅智能識別，超越傳統安全規則庫的侷限性，可實現對數據庫未知風險的識別。

數據庫加密：基於加密算法和合理的密鑰管理，有選擇性地加密敏感字段內容，保護數據庫內敏感數據的安全。敏感數據以密文的形式存儲，能保證即使在存儲介質被竊取或數據文件被非法複製的情況下，敏感數據仍是安全的。並通過密碼技術實現三權分立，避免數據庫管理員密碼泄漏帶來的批量數據泄漏風險。

數據水印：數據庫水印技術可爲系統中的數據添加水印標記，這些水印標記與原數據格式相同，不會被察覺；在外泄過程中即便有部分數據丟失，也不會影響信息還原效果；當泄露數據被發現後，可根據數據中的水印查找泄露點，實現事後追責。

數據安全態勢感知：通過與業務系統、數據資源系統、數據安全系統（數據庫審計、數據庫防火牆、數據加密、數據脫敏）進行日誌對接，應用大數據分析技術對訪問日誌和管理日誌進行集中分析，將多種日誌信息歸一化，從多個維度感知數據安全風險，集中展示數據資產安全態勢。

5.4  大數據平臺安全技術

目前開源大數據平臺套件的安全機制不足表現爲以下幾個方面，一是在身份認證方面，開源大數據平臺多采用簡單機制和Kerberos機制。簡單機制只能避免內部人員誤操作。基於Kerberos的認證方式對於系統外部可以實現強安全認證，但其基於操作系統用戶的認證機制無法支持各組件之間的身份認證。二是在訪問控制方面，開源大數據平臺各組件多采用不同的訪問控制，包括基於權限、基於角色、基於標籤和基於操作系統的訪問控制。大數據場景下用戶角色衆多，用戶需求複雜，在針對每個用戶實現精細化、細粒度訪問控制方面存在不足。三是安全審計方面，開源大數據平臺組件衆多，並且各自獨立提供日誌和審計記錄，實現統一安全審計存在困難，需要藉助日誌審計平臺從集羣中各節點採集審計日誌，進行集中存儲、清洗和分析。四是在密鑰管理方面，大數據環境下也需要實現數據在存儲及傳輸時的加密保護，包括密鑰的安全管理。

因此，應統一管理安全策略、安全審計、安全運維，解決目前開源大數據平臺集中安全策略配置和管理繁雜的問題。身份認證方面，通過集中身份管理和單點登錄等方式，簡化認證機制；訪問控制方面，通過統一管理角色和授權，降低集羣管理的難度，通過基於角色或標籤（結合數據分類分級標籤）的訪問控制策略，實現對數據訪問的細粒度管控。加密和密鑰管理方面，提供靈活的加密策略，實現對Hive、HBase的表或字段加密，同時要加強密鑰的管理。

通過安全認證和授權機制，保障大數據平臺各組件、進程、接口、節點間的安全；通過細粒度的訪問控制，實現對數據訪問的權限最小化管理；通過統一的安全審計，實現對平臺用戶所有操作行爲的安全審計；通過運用數據加密技術，實現對數據在存儲和傳輸時的安全。

通過構建統一的身份認證、訪問控制、安全審計以及數據加密能力，進一步提升大數據平臺整體安全性，保障平臺數據可管可控。

5.5  同態加密和安全多方計算

爲保障數據在合作時的機密性，可以採用同態加密和安全多方計算。

同態加密提供了一種對加密數據進行處理的功能，對經過同態加密的數據處理得到一個輸出，將這一輸出進行解密，其結果與未加密的原始數據得到的輸出結果一致。同態加密尤其適合在大數據環境中應用，既能滿足數據應用的需求，又能保護用戶隱私不被泄露，是一種理想的解決方案。現有的同態加密方案由於佔用資源過大且速度過慢導致無法廣泛應用。

安全多方計算是解決一組互不信任的參與方之間在保護隱私的同時協同計算，確保輸入的獨立性，計算的正確性，保證自己的數據不會暴露給其他成員。安全多方計算的這一特點，對於大數據環境下的數據機密性保護具有獨特的優勢。

 

第6章 結束語

隨着數據應用的快速發展，使數據孤島被打破，各企事業單位都在積極尋找數據場景，謀求數據合作，一方面可以提升自身數據的價值，另一方面也可以利用合作伙伴的數據提升自身的生產力。數據應用的越廣泛，數據安全工作越重要，數據一旦被泄露、篡改、濫用，影響的是整個合作生態。傳統的數據安全防護以邊界、旁路爲主，在大數據時代，數據安全防護會向縱深、主路發展，將數據安全能力滲透到數據業務中，管控粒度不斷細化。