理工酷

2022年01月19日发布

一、数字化时代数据安全发展现状

数字化时代，数据已成为数字经济发展的核心生产要素。2020年全球47个国家数字经济增加值规模达到32.6万亿美元，我国数字经济规模位居世界第二接近5.4万亿美元。在此背景下，数据安全已成为事关国家安全与经济社会发展的重大问题。

（一）数据安全进入法治化的强监管时代

法律制度是数据安全的重要保障。当前我国数据安全法律法规建设取得突飞猛进的进展。国家层面，2021年9月1日《数据安全法》施行，首次从法律层面明确数据安全保护义务，为开展数据处理活动的组织和个人提供了行为指引，填补了我国数据安全保护立法的空白。2021年11月1日《个人信息保护法》施行，立足于数据产业发展实践和个人信息保护的迫切需求，更全面地保障了个人权利，及时回应了国家、社会、个人对个人信息保护的关切。行业监管层面，2021年9月30日工业和信息化部发布《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》并公开征求意见，旨在加快推动工业和信息化领域数据安全管理工作制度化、规范化，提升工业、电信行业数据安全保护能力，防范数据安全风险。2022年1月4日，国家互联网信息办公室颁布《网络安全审查办法》修订版，将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查。地方政府层面，积极落实国家政策和上位法精神，陆续出台相关地方法律法规。2021年6月29日《深圳经济特区数据条例》出台，率先就数据保护和利用开展地方立法，规范数据要素市场化行为，推动数据的有序流动和数据产业的健康发展。2021年9月30日《上海数据条例（草案）》公开征求意见，征求意见稿在《数据安全法》等上位法的框架下，结合上海实际，建立了全面的数据安全治理体系。

（二）数据安全事件频发安全威胁日益严峻

根据风险基础安全（RiskBasedSecurity）的数据显示，2020年全球数据泄漏达到360亿条，创历史新高。对比传统的网络安全威胁，数据安全威胁更加多样化，不再局限于利用安全漏洞、恶意流量、病毒木马等攻击手段，数据安全问题集中爆发在特权账号弱口令、数据权限滥用、API接口攻击等方面。

弱口令成数据泄漏爆发点。由于弱口令账号的低攻击成本和高命中效果，通过盗取弱口令账号以横向渗透获得特权账号，进而破坏或泄露重要数据资源的攻击行为，给数据安全管理带来很大挑战。根据Verizon发布的《2021年数据泄露调查报告》分析，61%的数据泄露与凭证数据泄漏有关。

API成热门攻击入口。由于应用架构的快速演变，API成为业务应用与数据服务之间的主要通信方式，这导致利用API接口成为新型攻击手段。2021年4月，Facebook5亿用户数据在暗网公开售卖，起因为2019年某在线业务的API遭到误用，导致数据泄露，影响约5.3亿用户。

权限滥用仍是数据安全事件的重要触发点。不规范的数据权限管理以及缺失的技术防护手段，极易发生由于权限滥用而引起的数据资源被破坏、篡改、删除等安全事件。2020年2月，港股某上市公司员工通过VPN登入服务器，对线上生产环境进行恶意删库，造成旗下数百万用户业务中断，直接赔付人民币1.5亿元。

隐私泄露成为数据安全的重要威胁。由于个人隐私泄露导致的数据诈骗、大数据杀熟以及个人生物特征信息滥用等问题，已经严重危害了个人信息主体的合法权益。据市场调研公司Canalys统计，2020年全球个人信息泄露事件超出过去15年总和，成为影响个人权益、组织发展甚至国家安全的重要因素。

（三）技术架构演进伴生数据使用场景改变

2021年3月14日，《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》全文发布，就数字经济、数字社会、数字政府、数字生态建设做了重要部署。传统信息技术开始向以数据和业务为核心的新一代信息技术转变。组织内普遍通过采用大数据、云计算等新技术，帮助组织提升决策水平，构建新型业务模式，实现产业升级；组织间则大幅增加信息化交互，合作关系也更加密切，通过业务协同、数据共享实现流程优化、合作共赢已经成为共识。由此可见，数据应用场景和参与主体的日益多样化，使得数据伴随业务及应用在不同载体间流动和留存，贯穿于信息化和业务系统的各层面、各环节。因此，在复杂应用环境下，保证重要数据、核心数据以及用户个人隐私数据等敏感数据不发生外泄，是数据安全的首要目标。