深入剖析企業(yè)合作方數(shù)據(jù)安全風(fēng)險(xiǎn)及管理

吳安琪 吳瀟 朱奕森 譚志明 謝紹志 鄭文奇

【摘要】? ? 隨著智能信息時(shí)代的到來(lái)，數(shù)據(jù)中蘊(yùn)藏的巨大商業(yè)價(jià)值被逐步挖掘出來(lái)，企業(yè)開(kāi)展數(shù)據(jù)合作能使雙方利益最大化被利用，但是同時(shí)也帶來(lái)了巨大的數(shù)據(jù)安全挑戰(zhàn)。企業(yè)應(yīng)加強(qiáng)自身的防御能力，關(guān)注合作方管理，從源頭提升合作方泄露的難度，減少合作方可以濫用的公共資源。

【關(guān)鍵詞】? ? 合作方? ? 數(shù)據(jù)安全? ? 風(fēng)險(xiǎn)

一、背景

2020年某知名酒店發(fā)生數(shù)據(jù)泄露事件，這是該集團(tuán)在近兩年內(nèi)發(fā)生的第2次重大數(shù)據(jù)安全事件。這一泄露原因可能是第三方利用員工的登錄憑證訪問(wèn)了集團(tuán)的共涉及520萬(wàn)賓客數(shù)據(jù)。這一消息無(wú)疑給企業(yè)及用戶帶來(lái)深深焦慮。如今大數(shù)據(jù)時(shí)代中，數(shù)據(jù)價(jià)值愈發(fā)凸顯，合作方員工也有意或者無(wú)意地給各種企業(yè)帶來(lái)一定的威脅。企業(yè)在數(shù)據(jù)合作中更需重視并做好數(shù)據(jù)安全合規(guī)合作的工作，保障好企業(yè)的切身利益及聲譽(yù)。

二、企業(yè)對(duì)外合作風(fēng)險(xiǎn)現(xiàn)狀

企業(yè)可能與合作方在業(yè)務(wù)合作、數(shù)據(jù)服務(wù)、市場(chǎng)代理銷售、代維代建等方面均有合作，一旦發(fā)生諸如數(shù)據(jù)大批量泄露等的數(shù)據(jù)安全事件，將對(duì)企業(yè)的合作開(kāi)展、企業(yè)在業(yè)界的聲譽(yù)、企業(yè)的利益、用戶信任度等方面產(chǎn)生較大影響。目前，企業(yè)對(duì)外合作風(fēng)險(xiǎn)主要包括以下幾個(gè)方面：

2.1合作方企業(yè)信譽(yù)安全風(fēng)險(xiǎn)

在合作方引入前未對(duì)其資質(zhì)背景充分評(píng)估，引入的合作方存在信譽(yù)低風(fēng)險(xiǎn)，或曾被企業(yè)拉入不良信用黑名單，或有外資企業(yè)背景，可能增加敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

2.2系統(tǒng)代維代建安全風(fēng)險(xiǎn)

在業(yè)務(wù)研發(fā)及系統(tǒng)運(yùn)維過(guò)程中，引入的合作方是代維代建類型，如果未遵循“賬號(hào)專人專用、權(quán)限最小化”原則，代維人員及代研發(fā)人員擁有超出工作職責(zé)的高權(quán)限賬號(hào)，在權(quán)限管理控制手段不足的情況下，存在違規(guī)訪問(wèn)和操作行為，導(dǎo)致敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。另外合作方開(kāi)發(fā)人員誤引用內(nèi)置軟件后門的開(kāi)源代碼或APP中插入獲取個(gè)人信息敏感權(quán)限的第三方sdk，均存在非法竊取敏感數(shù)據(jù)的風(fēng)險(xiǎn)。

2.3數(shù)據(jù)服務(wù)安全風(fēng)險(xiǎn)

在進(jìn)行數(shù)據(jù)模型合作時(shí)，合作方利用企業(yè)平臺(tái)數(shù)據(jù)或融合自帶數(shù)據(jù)，開(kāi)發(fā)部署和訓(xùn)練模型，獲取模型結(jié)果。如對(duì)提供給合作方用于分析挖掘的數(shù)據(jù)審核不嚴(yán)，超范圍使用;或在進(jìn)行數(shù)據(jù)分析和挖掘的過(guò)程中，對(duì)個(gè)人敏感信息判定不準(zhǔn)確、未進(jìn)行數(shù)據(jù)脫敏或數(shù)據(jù)脫敏不徹底，或合作方代分析挖掘后形成的成果夾帶敏感信息，均可能導(dǎo)致用戶個(gè)人權(quán)益受損或用戶隱私泄露或敏感信息泄露風(fēng)險(xiǎn)。

企業(yè)通過(guò)SaaS平臺(tái)的方式向合作方提供服務(wù)，利用自有數(shù)據(jù)，形成合作方需求數(shù)據(jù)維度。若大數(shù)據(jù)平臺(tái)未遵循“賬號(hào)專人專用、權(quán)限最小化”原則，存在職責(zé)分離問(wèn)題，導(dǎo)致合作方可以對(duì)敏感數(shù)據(jù)進(jìn)行違規(guī)訪問(wèn)和操作，存在敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

2.4數(shù)據(jù)輸出安全風(fēng)險(xiǎn)

涉及數(shù)據(jù)輸出的合作場(chǎng)景，企業(yè)對(duì)合作數(shù)據(jù)范圍，目的以及必要性審批不嚴(yán)，未遵循數(shù)據(jù)服務(wù)最小化原則和遵循用戶知情同意原則;或缺乏接口安全檢測(cè)，導(dǎo)致敏感數(shù)據(jù)超范圍輸出給合作方;或涉及敏感信息傳輸?shù)奈床捎媒训膫鬏敿用軝C(jī)制;或合作方可以非法訪問(wèn)能力開(kāi)放平臺(tái)獲取敏感數(shù)據(jù)，存在敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

2.5市場(chǎng)代理銷售留存安全風(fēng)險(xiǎn)

合作方通過(guò)代理的形式如服務(wù)渠道商，代理商，在推廣合作產(chǎn)品，使用企業(yè)渠道系統(tǒng)過(guò)程中未按約定違規(guī)收集、私自下載或者留存紙質(zhì)敏感數(shù)據(jù)，未遵循合法、正當(dāng)、必要的原則，將收集的敏感數(shù)據(jù)從事違法犯罪活動(dòng)或損害社會(huì)公共利益的活動(dòng)。

三、對(duì)外合作基本原則

在意識(shí)到企業(yè)數(shù)據(jù)合作方面可能會(huì)產(chǎn)生的各類安全風(fēng)險(xiǎn)后，日后企業(yè)開(kāi)展數(shù)據(jù)合作應(yīng)當(dāng)基于以下原則管理企業(yè)本身及合作方：

3.1合法合規(guī)原則

企業(yè)應(yīng)在法律法規(guī)規(guī)定的范圍內(nèi)，開(kāi)展數(shù)據(jù)對(duì)外合作。

3.2權(quán)責(zé)一致原則

企業(yè)在共享合作數(shù)據(jù)前，應(yīng)事先開(kāi)展共享合作數(shù)據(jù)安全影響評(píng)估，依評(píng)估結(jié)果采取有效的保護(hù)共享合作數(shù)據(jù)的措施，并監(jiān)督合作方對(duì)合作數(shù)據(jù)的保護(hù)措施應(yīng)不低于本企業(yè)。

3.3數(shù)據(jù)服務(wù)最小化原則

企業(yè)應(yīng)具有合法、正當(dāng)、必要的數(shù)據(jù)開(kāi)放共享目的，僅提供合作開(kāi)展需要的群體屬性、標(biāo)簽屬性等數(shù)據(jù)，數(shù)據(jù)范圍應(yīng)最小化，降低多余數(shù)據(jù)外泄風(fēng)險(xiǎn)。

3.4用戶知情同意原則

在共享個(gè)人信息前，企業(yè)應(yīng)向個(gè)人信息主體告知收集使用個(gè)人信息的目的、方式、范圍、數(shù)據(jù)接收方的信息以及可能產(chǎn)生的后果，并事先征得個(gè)人信息主體的授權(quán)同意。

四、安全管理要求

企業(yè)在遵循對(duì)外合作基本原則的基礎(chǔ)上，更應(yīng)加強(qiáng)數(shù)據(jù)合規(guī)合作管理體系建設(shè)。從數(shù)據(jù)安全事前安全防范、事中持續(xù)監(jiān)測(cè)和事后稽核審計(jì)三個(gè)方面加強(qiáng)企業(yè)數(shù)據(jù)合作安全管控。

4.1事前安全防范

數(shù)據(jù)合作安全管理“事前防范”包括組織職責(zé)管理、數(shù)據(jù)分類分級(jí)管理和合作方調(diào)研審查及數(shù)據(jù)安全協(xié)議。

4.1.1組織職責(zé)管理

企業(yè)應(yīng)明確數(shù)據(jù)合作安全監(jiān)督管理部門，職責(zé)包括但不限于：建立數(shù)據(jù)合作安全管理制度和實(shí)施細(xì)則;建立數(shù)據(jù)合作方安全審核制度及審批流程;建立數(shù)據(jù)對(duì)外合作企業(yè)的不良信用名單管理制度，明確不良信用名單設(shè)置標(biāo)準(zhǔn);建立數(shù)據(jù)對(duì)外合作清單更新維護(hù)機(jī)制;建立數(shù)據(jù)對(duì)外合作安全教育培訓(xùn)制度，建立健全應(yīng)急響應(yīng)機(jī)制和應(yīng)急預(yù)案。

明確數(shù)據(jù)合作執(zhí)行配合部門，配合落實(shí)數(shù)據(jù)合作相關(guān)工作，對(duì)合作方進(jìn)行評(píng)估審核，審核合作數(shù)據(jù)內(nèi)容及合規(guī)必要性;定期核查更新數(shù)據(jù)對(duì)外合作清單;開(kāi)展數(shù)據(jù)對(duì)外合作安全管理培訓(xùn);開(kāi)展數(shù)據(jù)泄露等場(chǎng)景的應(yīng)急演練等。

4.1.2數(shù)據(jù)分類分級(jí)管理

建議企業(yè)參考行業(yè)數(shù)據(jù)分類分級(jí)指南，建立企業(yè)自身數(shù)據(jù)的分類分級(jí)制度，根據(jù)數(shù)據(jù)類型、數(shù)據(jù)類別、數(shù)據(jù)敏感程度進(jìn)行分類分級(jí)。實(shí)現(xiàn)重要數(shù)據(jù)重點(diǎn)保護(hù)，且需要明確基于不同數(shù)據(jù)敏感級(jí)別對(duì)數(shù)據(jù)進(jìn)行差異化安全管控的手段，明確數(shù)據(jù)開(kāi)放的原則規(guī)范。

4.1.3合作方調(diào)研審查及數(shù)據(jù)安全協(xié)議

1.合作方調(diào)研審查。企業(yè)在開(kāi)展合作前應(yīng)對(duì)合作方進(jìn)行背景調(diào)查，重點(diǎn)做好合作方的境內(nèi)外合作關(guān)系、既往合作情況、是否有不良信用記錄等的調(diào)查。應(yīng)開(kāi)展合作方安全資質(zhì)審查，包括但不限于審核合作方保密及運(yùn)營(yíng)資質(zhì)、人員能力、經(jīng)營(yíng)范圍、數(shù)據(jù)源合規(guī)性、個(gè)人信息保護(hù)能力資質(zhì)、個(gè)人信息授權(quán)等方面。綜合評(píng)估合作方的數(shù)據(jù)安全保障能力，包括對(duì)合作方的數(shù)據(jù)安全管理制度、數(shù)據(jù)安全防護(hù)技術(shù)手段等的評(píng)估。確保合作方滿足數(shù)據(jù)合作安全保障能力要求，能切實(shí)保障敏感數(shù)據(jù)。

2.數(shù)據(jù)安全協(xié)議簽署。企業(yè)應(yīng)加強(qiáng)對(duì)合作方的約束管理，與合作方簽署數(shù)據(jù)安全協(xié)議，細(xì)化安全責(zé)任。簽約前，合作雙方應(yīng)就保密協(xié)議中甲乙雙方安全責(zé)任進(jìn)行界定，包括合作方及項(xiàng)目參與員工可接觸到的數(shù)據(jù)處理相關(guān)平臺(tái)系統(tǒng)范圍、合作模式、數(shù)據(jù)內(nèi)容、甲乙雙方權(quán)限義務(wù)、保密責(zé)任、保密有效期及違約處罰等條款。

4.2事中持續(xù)監(jiān)測(cè)

4.2.1合作方賬號(hào)管理

對(duì)于合作方人員需使用企業(yè)自有系統(tǒng)賬號(hào)的情況，應(yīng)與合作方簽訂相關(guān)的安全協(xié)議，以明確相關(guān)安全責(zé)任及保密職責(zé)。企業(yè)應(yīng)建立合作方的賬號(hào)申請(qǐng)、授權(quán)、轉(zhuǎn)崗、注銷、回收、有效期等賬號(hào)生命周期管理流程制度。需審核后方可開(kāi)通賬號(hào)，審核內(nèi)容包括權(quán)限的必要性、與合作范圍的一致性等，原則上應(yīng)禁止合作方人員掌握系統(tǒng)管理員權(quán)限，禁止為合作方人員開(kāi)通原始個(gè)人信息的訪問(wèn)權(quán)限，并定期開(kāi)展賬號(hào)權(quán)限審查工作，確保及時(shí)刪除沉默賬號(hào)，合作方人員發(fā)生離職或崗位變動(dòng)時(shí)能及時(shí)清理其賬號(hào)。

4.2.2數(shù)據(jù)操作行為監(jiān)測(cè)及審計(jì)

企業(yè)應(yīng)對(duì)數(shù)據(jù)合作方數(shù)據(jù)操作行為進(jìn)行日志留存，留存字段至少包括人員、操作數(shù)據(jù)類型、操作行為、操作時(shí)間，留存時(shí)間應(yīng)不少于法律法規(guī)規(guī)定，確保滿足審計(jì)和溯源要求。

實(shí)現(xiàn)數(shù)據(jù)訪問(wèn)和使用行為的自動(dòng)化實(shí)時(shí)監(jiān)測(cè)與異常預(yù)警，并建立預(yù)警處置機(jī)制。

建立合作方數(shù)據(jù)使用行為定期審計(jì)機(jī)制，對(duì)認(rèn)證記錄、訪問(wèn)記錄、操作記錄進(jìn)行日志審計(jì)，用以發(fā)現(xiàn)異常操作、敏感數(shù)據(jù)操作等，并留存審計(jì)記錄。

4.2.3數(shù)據(jù)安全保障能力監(jiān)測(cè)及評(píng)估

企業(yè)應(yīng)定期對(duì)數(shù)據(jù)合作方的數(shù)據(jù)安全保障能力進(jìn)行監(jiān)測(cè)及評(píng)估，包括但不限于對(duì)合作方的數(shù)據(jù)安全管理制度、數(shù)據(jù)安全防護(hù)技術(shù)手段，確保合作方在合作過(guò)程中同樣滿足企業(yè)的數(shù)據(jù)合作安全保障能力要求。

4.3事后稽核審計(jì)

4.3.1安全風(fēng)險(xiǎn)監(jiān)督管理

企業(yè)應(yīng)定期對(duì)合作方進(jìn)行事后監(jiān)督檢查，對(duì)檢查過(guò)程中發(fā)現(xiàn)的問(wèn)題，應(yīng)責(zé)成合作方在規(guī)定時(shí)限內(nèi)整改，未及時(shí)完成的應(yīng)依據(jù)相關(guān)條款進(jìn)行處罰。定期組織開(kāi)展客戶信息泄露風(fēng)險(xiǎn)隱患排查工作，嚴(yán)肅處理并通報(bào)發(fā)現(xiàn)的違規(guī)問(wèn)題，適當(dāng)考慮添加至不良信用名單中。對(duì)涉嫌違法犯罪的，及時(shí)向公安機(jī)關(guān)報(bào)案。

4.3.2合作數(shù)據(jù)刪除管理

在數(shù)據(jù)合作結(jié)束后，企業(yè)應(yīng)督促合作方依照數(shù)據(jù)安全協(xié)議等約定及時(shí)關(guān)閉數(shù)據(jù)接收接口，對(duì)數(shù)據(jù)進(jìn)行銷毀，不得超期留存，敏感數(shù)據(jù)銷毀需由企業(yè)內(nèi)部工作人員現(xiàn)場(chǎng)進(jìn)行有效監(jiān)督。應(yīng)對(duì)數(shù)據(jù)合作權(quán)限進(jìn)行回收，對(duì)合作方數(shù)據(jù)接口關(guān)閉、數(shù)據(jù)銷毀等落實(shí)情況進(jìn)行檢查核實(shí)，留存相關(guān)日志記錄。

五、通用安全技術(shù)

在企業(yè)數(shù)據(jù)合規(guī)合作管理體系完善并落實(shí)的基礎(chǔ)上，企業(yè)自身也應(yīng)當(dāng)加強(qiáng)數(shù)據(jù)安全防護(hù)技術(shù)能力，常見(jiàn)的安全技術(shù)有數(shù)據(jù)流向監(jiān)測(cè)技術(shù)、數(shù)據(jù)防泄漏技術(shù)、數(shù)據(jù)脫敏技術(shù)。

5.1數(shù)據(jù)流向監(jiān)測(cè)技術(shù)

存在數(shù)據(jù)對(duì)外開(kāi)放場(chǎng)景的，要建立對(duì)輸出數(shù)據(jù)的監(jiān)測(cè)溯源能力。對(duì)數(shù)據(jù)進(jìn)行簽名并添加數(shù)字水印，對(duì)合作數(shù)據(jù)及時(shí)跟蹤，記錄數(shù)據(jù)流向等，防止數(shù)據(jù)被濫用。至少可識(shí)別該數(shù)據(jù)發(fā)送者、數(shù)據(jù)接受者，確保發(fā)現(xiàn)可疑泄露數(shù)據(jù)時(shí)，可追蹤到數(shù)據(jù)泄露者。

5.2數(shù)據(jù)防泄漏技術(shù)

企業(yè)應(yīng)配置數(shù)據(jù)防泄露能力，具備數(shù)據(jù)導(dǎo)入導(dǎo)出渠道的實(shí)時(shí)監(jiān)控能力，目前常見(jiàn)從數(shù)據(jù)使用、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸三個(gè)維度進(jìn)行防泄漏策略定制[1]。掃描存儲(chǔ)的敏感信息并發(fā)現(xiàn)不當(dāng)存儲(chǔ)，監(jiān)控對(duì)敏感信息的敏感操作，以及防范敏感數(shù)據(jù)從網(wǎng)絡(luò)數(shù)據(jù)流量泄漏的風(fēng)險(xiǎn)。

5.3數(shù)據(jù)脫敏技術(shù)

在合作方人員對(duì)敏感數(shù)據(jù)進(jìn)行查詢、展示、統(tǒng)計(jì)等操作時(shí)，應(yīng)按照最少夠用原則，根據(jù)業(yè)務(wù)需求對(duì)敏感數(shù)據(jù)實(shí)施脫敏處理。當(dāng)前數(shù)據(jù)脫敏技術(shù)主要分為靜態(tài)數(shù)據(jù)脫敏和動(dòng)態(tài)數(shù)據(jù)脫敏兩類[2]，企業(yè)在處理敏感信息時(shí)，應(yīng)選擇合適的脫敏方法，保證脫敏后的數(shù)據(jù)仍能真實(shí)體現(xiàn)需要的數(shù)據(jù)的特征，且應(yīng)盡可能多的保留原始數(shù)據(jù)中的有意義信息，以減小對(duì)使用該數(shù)據(jù)的業(yè)務(wù)的影響。

六、結(jié)束語(yǔ)

總之，在理解了對(duì)外合作常見(jiàn)的安全風(fēng)險(xiǎn)基礎(chǔ)上，企業(yè)應(yīng)當(dāng)高度重視并加強(qiáng)數(shù)據(jù)安全防護(hù)體系建設(shè)。從事前安全防范、事中持續(xù)監(jiān)測(cè)和事后稽核審計(jì)三個(gè)方面加強(qiáng)數(shù)據(jù)安全管控，同時(shí)也應(yīng)提升企業(yè)的安全技術(shù)防范能力。

參? 考? 文? 獻(xiàn)

[1]徐云峰. 幾種常用的數(shù)據(jù)安全防泄漏技術(shù)[N]. 中華讀書報(bào)，2019-07-10（017）.

[2]王卓，劉國(guó)偉，王巖，李媛.數(shù)據(jù)脫敏技術(shù)發(fā)展現(xiàn)狀及趨勢(shì)研究[J].信息通信技術(shù)與政策，2020（04）：18-22.