/ 学习

从数据安全研讨会看隐私保护哲学

0x01

有幸参加CCF TF08数据安全研讨会,在我印象中关于CCF的会其实是很烂的,都是一些非业界人士的理论阐述,没想到这次让我收获颇丰,和同事交流时,他们也都说没想到这种小范围的会会有这么多干活,多于菜鸡我来说,学习了很多关于数据安全的知识,企业数据安全架构体系是什么样,对于GDPR国内互联网企业的应对,印象最深的是最后谭总道出的关于隐私保护的背后的深层次原因。

0x02

会议以长亭科技安全服务总监夏明成《谁动了你的数据》作为引入,讲了黑客如何通过漏洞利用、社工、APT等方式窃取数据,还介绍了一些少见的攻击手段,比如在在MX记录、HOST头中存储Payload导致的RCE。还提到长亭科技在作为乙方,对目前甲方安全漏洞数据分析的结果。其实对于数据安全,不仅仅是针对黑客攻击的数据泄露,还可能存在内部员工、第三方合作伙伴等渠道泄露,对于互联网企业来说数据的价值体现在数据扭转上,不同的部门、个人针对数据的使用,为了优化运营等等,在数据扭转的过程中如何进行管控我觉得是此次研讨会讨论的主要内容。随后阿里安全数据部安全数据专家潘总从管理角度介绍了阿里目前在数据安全上面的成果,介绍了数据安全管理的思路。

通过数据安全组织、流程制度、技术手段形成数据安全闭环,加强数据访问及权限审核控制,防范批量数据泄露风险及敏感信息的非授权访问风险。在具体技术手段上,介绍了从数据打标到数据销毁的整个流程,以及其中数据管控的一些细节。比如对数据分级根据字段、内容两种方式,结合数据血缘关系,对数据打标,针对数据使用者通过虚拟机进行数据访问,对于需要数据离线处理时,需要进行审批,并对敏感数据进行脱敏、防泄漏处理等,以及通过磁盘消磁的方式进行数据销毁。

0x03

对于大型互联网企业,自己内部建设数据安全体系没什么毛病,但是对传统企业和小型互联网企业建设数据安全体系还是一个不小的挑战,2018年RSA大会BigID用以保护和管理个人数据,帮助查找个人身份信息,数据主体的清单,地图数据流,管理数据风险并满足隐私法规赢得大奖,迎合了欧洲GDPR法规。下午的会议中,国内做数据防泄漏的乙方企业天空卫士CTO对数据防泄漏的发展趋势做了介绍,从十多年前的单机私钥加密到目前的基于内容识别的DLP(数据防泄漏),再到如何将UEBA(用户行为分析)与基于内容识别的DLP进行结合。

针对在互联网企业中数据安全的落地实践,滴滴和美团两个公司分别从体系建设、特点问题两个角度对企业数据安全建设的落地进行了介绍,印象比较深刻的是滴滴的数据安全体系,唯一比较遗憾的是没有底层的技术细节,比如如何添加数字水印,在数据泄露后发现数据泄露。

在体系上各个企业大同小异,基本的处理流程楼差不多,从数据打标到数据销毁,采取的步骤也基本相同,但是每个企业的数据和数据扭转方式都有自己的一些特点,在细节上又有许多不同的地方。

0x04

最后我司谭总主持针对GDPR的探讨,这里有几个比较有意思的问题:
1. 隐私保护是这个社会的退步还是进步?
2. Facebook案例属于数据泄露吗?
3. 针对GDPR如何给自己的上司提建议?
针对隐私保护,谭总提到一个很有意思的理解,互联网企业权利太大,甚至类似于Facebook案例,用户数据被用于来影响大选,从阴谋论的角度来说国家是不会允许这样的事发生,我觉得谭总好可爱!隐私与体验的平衡你的选择是啥?