信息安全发展的三个阶段:通信保密,信息安全,信息保障
Wind River的安全专家则针对IoT设备安全提出了如下建议:
安全启动
设备首次开机时,理应采用数字证书对运行的系统和软件作认证;
访问控制
采用不同的访问和资源控制方式,限制应用对设备的访问,即便产生攻击也能够让攻击影响最小化;
设备认证在传输和接收数据前,IoT设备应该与连接网络进行认证;
防火墙/IPS
企业环境内的IoT设备需要DPI(深度包检查)或防火墙的防护,以便于流量控制;
实时安全升级
及时进行最新安全补丁的更新。
威胁防御滞后性
防御方
针对威胁(攻击/漏洞),通过漏洞修复、威胁检测、威胁情报发现并消除威胁!
攻击方
攻击链(洛克希德·马丁):围绕脆弱性的攻击,只要系统存在漏洞,漏洞被发现、利用,攻击就一定能成功!
滞后性
时间不对称
数量不对称
结果不对称
难度不对称
攻防趋势
成本失衡
用户业务模式
千差万别
攻防趋势
成本失衡
当前安全技术的投资没能遏制攻击威胁的增长,存在不对称现象,信息系统易攻难守。
安全架构是一种统一的安全设计,可以解决特定场景或环境中涉及的必要和潜在风险。
安全架构正从威胁防御,向风险治理/业务韧性演进。
业务的安全韧性:在威胁条件下快速恢复核心业务安全水平的能力。
保证韧性的过程:Plan-Absorb-Consequence- Recover-Adapt.
NIST:IPDRR,以可信与韧性为目标的通用安全架构。
可以通过下列技术来支撑安全韧性目标:
业务安全规划(计划/吸收:I.P)——针对业务制定风险管理计划;建立“系统环境”的安全设计基线;
威胁防御能力(威胁检测与应急响应:P.D.R)——被动安全,威胁检测/应急响应,消除破坏性后果;
快速恢复能力(恢复/自适应:P.D.R.R)——主动安全,态势感知/持续响应,快速恢复业务安全性;
信息韧性
能够预测,承受,恢复和适应包含信息资源的系统上的不利条件,压力,攻击或韧性。此定义可应用于信息系统;运行机制,组件或系统元素;共享服务,通用基础设施或使用任务或业务功能识别的系统系统;组织;关键基础设施部门或区域;关键基础设施部门或子部门的系统系统和国家。
建立安全环境
风险管理计划&安全加固技术。
基于业务的安全架构设计
安全定级/设计基线。
NIST CCS CSC:风险控制项
华为主动安全
持续监控所有数据
自适应安全架构
关联分析
自动处置
五种关系,坚持六项基本管理原则
安全与危险并存
- 安全与危险在同一事物的运动中是相互对立的,相互依赖而存在的。因为有危险,才要进行安全管理,以防止危险。安全与危险并非是等量并存、平静相处。随着事物的运动变化,安全与危险每时每刻都在变化着,进行着此消彼长的斗争。事物的状态将向斗争的胜方倾斜。可见,在事物的运动中,都不会存在绝对的安全或危险。
- 保持生产的安全状态,必须采取多种措施,以预防为主,危险因素是完全可以控制的。
- 危险因素是客观的存在于事物运动之中的,自然是可知的,也是可控的。
安全与生产统一
- 生产是人类社会存在和发展的基础。如果生产中人、物、环境都处于危险状态,则生产无法顺利进行。因此,安全是生产的客观要求,自然,当生产完全停止,安全也就失去意义。就生产的目的性来说,组织好安全生产就是对国家、人民和社会最大的负责。
- 生产有了安全保障,才能持续、稳定发展。生产活动中事故层出不穷,生产势必陷于混乱、甚至瘫痪状态。当生产与安全发生矛盾、危及职工生命或国家财产时,生产活动停下来整治、消除危险因素以后,生产形势会变得更好。"安全第一"的提法,决非把安全摆到生产之上;忽视安全自然是一种错误。
安全与质量包涵
- 从广义上看,质量包涵安全工作质量,安全概念也内涵着质量,交互作用,互为因果。安全第一,质量第一,两个第一并不矛盾。安全第一是从保护生产因素的角度提出的,而质量第一则是从关心产品成果的角度而强调的。安全为质量服务,质量需要安全保证。生产过程丢掉哪一头,都要陷于失控状态。
安全与速度互保
- 速度应以安全做保障,安全就是速度。我们应追求安全加速度,竭力避免安全减速度。
- 安全与速度成正比例关系。一味强调速度,置安全于不顾的做法、是极其有害的。当速度与安全发生矛盾时,暂时减缓速度,保证安全才是正确的做法。
安全与效益兼顾
- 安全技术措施的实施,定会改善劳动条件,调动职工的积极性,焕发劳动热性,带来经济效益,足以使原来的投入得以补偿。从这个意义上说,安全与效益完全是一致的,安全促进了效益的增长。
- 在安全管理中,投入要适度、适当,精打细算,统筹安排。既要保证安全生产,又要经济合理,还要考虑力所能及。单纯为了省钱而忽视安全生产,或单纯追求不惜资金的盲目高标准,都不可取。
管生产同时管安全
- 安全寓于生产之中,并对生产发挥促进与保证作用。因此,安全与生产虽有时会出现矛盾,但从安全、生产管理的目标、目的,表现出高度的一致和完全的统一。
- 安全管理是生产管理的重要组成部分,安全与生产在实施过程,两者存在着密切的联系,存在着进行共同管理的基础。
坚持安全管理的目的性
- 安全管理的内容是对生产中的人、物、环境因素状态的管理,有效的控制人的不安全行为和物的不安全状态,消除或避免事故。达到保护劳动者的安全与健康的目的。
- 没有明确目的安全管理是一种盲目行为。盲目的安全管理,充其量只能算作花架子,劳民伤财,危险因素依然存在。在一定意义上,盲目的安全管理,只能纵容危胁人的安全与健康的状态,向更为严重的方向发展或转化。
贯彻预防为主的方针
- 安全生产的方针是 "安全第一、预防为主"。安全第一是从保护生产力的角度和高度,表明在生产范围内,安全与生产的关系,肯定安全在生产活动中的位置和重要性。
- 进行安全管理不是处理事故,而是在生产活动申,针对生产的特点,对生产因素采取管理措施,有效的控制不安全因素的发展与扩大,把可能发生的事故,消灭在萌芽状态,以保证生产活动中,人的安全与健康。
- 贯彻预防为主,首先要端正对生产中不安全因素的认识,端正消除不安全因素的态度,选准消除不安全因素的时机。在安排与布置生产内容的时候,针对施工生产中可能出现的危险因素。采取措施予以消除是最佳选择。在生产活动过程中,经常检查、及时发现不安全因素,采取措施,明确责任,尽快的、坚决的予以消除,是安全管理应有的鲜明态度。
坚持"四全"动态管理
- 安全管理不是少数人和安全机构的事,而是一切与生产有关的人共同的事。缺乏全员的参与,安全管理不会有生气、不会出现好的管理效果。当然,这并非否定安全管理第一责任人和安全机构的作用。生产组织者在安全管理中的作用固然重要,全员性参与管理也十分重要。
安全管理重在控制
- 进行安全管理的目的是预防、消灭事故,防止或消除事故伤害,保护劳动者的安全与健康。在安全管理的四项主要内容中,虽然都是为了达到安全管理的目的,但是对生产因素状态的控制,与安全管理目的关系更直接,显得更为突出。因此,对生产中人的不安全行为和物的不安全状态的控制,必须看做是动态的安全管理的重点。事故的发生,是由于人的不安全行为运动轨迹与物的不安全状态运动轨迹的交叉。从事故发生的原理,也说明了对生产因素状态的控制,应该当做安全管理重点,而不能把约束当做安全管理的重点,是因为约束缺乏带有强制性的手段。
在管理中发展、提高
- 既然安全管理是在变化着的生产活动中的管理,是一种动态。其管理就意味着是不断发展的、不断变化的,以适应变化的生产活动,消除新的危险因素。然而更为需要的是不间断的摸索新的规律,总结管理、控制的办法与经验,指导新的变化后的管理,从而使安全管理不断的上升到新的高度。
信息系统安全管理包括信息系统相关的安全管理和信息系统管理安全两方面。这两方面有包含技术性管理和法律性管理两类。信息安全管理是支持与控制通信安全所必需的。
技术性管理
以OSI安全机制和安全服务的管理及对物理环境的技术监控为主。
法律性管理
以法律法规遵从性管理为主。
策略原则 |
工程原则 |
1. 以安全保发展,在发展中求安全 |
1. 基本保证 |
2. 受保护资源的价值与保护成本平衡 |
2. 适度安全 |
3. 明确国家、企业和个人对信息安全的职责和可确认性 |
3. 实用标准化 |
4. 信息安全需要积极防御和综合防范 |
4. 保护层次化和系统 |
5. 定期评估信息系统的残留风险 |
5. 降低复杂度 |
6. 综合考虑社会因素对信息安全的制约 |
6. 安全设计机构化 |
7. 信息安全管理体现以人为本 |
|
信息安全管理体系
信息安全管理体系(ISMS)是一个组织内部建立的信息安全方针与目标的总称,并包括为实现这些方针和目标所制定的文件体系与方法。
ISMS在实施过程中,采用了“规划(Plan)-实施(Do)-检查(Check)-处置(Act)”(PDCA)模型,该模型可应用于所有的ISMS过程。
ISMS的规划和设计
ISMS建立
准备工作
建立ISMS管理机构、召开启动会、制定工作计划、实施基础知识培训、准备相关工具
确定ISMS范围
部门、资产、办公场所
确定ISMS方针和目标
成立信息安全管理委员会、参照等保要求加强技术和管理措施、对所有信息资产进行有效管理、明确相关人员角色和责任、保证系统物理安全、重要数据进行备份、检测恶意代码和未授权代码、严格管理用户权限、控制外网访问权限、控制内部和外部信息访问、建立信息系统监控程序、严格控制敏感数据访问、定期进行风险评估、建立事故处理流程并执行、制定和实施业务连续性计划、识别并满足相关法律法规、与第三方协议要涵盖所有安全要求,并采取措施保证执行
实施风险评估
风险评估模型:实施过程中可以参考ISO 17799、OCTAVE、CSE、《信息安全风险评估指南》等标准,主要是针对资产、威胁、脆弱性和安全措施有效性的评估。
- 资产评估:对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性和可用性三方面进行影响分析。
- 威胁评估:对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析。
- 脆弱性评估:是对资产脆弱程度的评估,主要从脆弱性被利用的难易度、被成功利用后的严重性两方面进行分析。
安全措施有效性评估
是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁,减少脆弱性的有效状况进行分析。
风险评估方法
- 准备阶段:准备阶段完成的工作是确定风险评估范围,进行信息的初步收集,并制定详尽的风险评估实施方案。
- 识别阶段:识别阶段主要是资产、威胁、脆弱性及安全措施,其结果是形成各自的列表。
- 资产识别就是对评估信息系统的关键资产进行识别,并合理分类。
- 威胁识别主要是根据资产所处环境条件和资产以前遭受威胁损害的情况来判断资产所面临的威胁。
- 脆弱性识别就是对物理环境、组织机构、业务流程、人员、管理、硬件、软件及通信设施等各个方面都存在的脆弱性进行识别。
- 安全措施识别主要是通过问卷调查、人工检查等方式识别被评估信息系统有效对抗风险的防护措施(包含技术手段和管理手段)。
- 分析阶段:分析阶段是风险评估的主要阶段,主要包括资产影响分析、威胁分析、脆弱性分析、安全措施有效性分析,以及最终的风险分析。
- 资产影响分析:即资产量化分析,是在资产识别的基础上,进一步分析被评估信息系统及其关键资产。
- 威胁分析:是对威胁发生的可能性进行评估,确定威胁的权值。
- 脆弱性分析:是指依据脆弱性被利用的难易度和被成功利用后所产生的影响来对脆弱性进行赋值量化。
- 安全措施有效性分析:是根据赋值准则对被评估信息系统的防范措施用有效性来衡量。
- 综合风险分析:在完成以上各项分析工作后,进一步分析被评估信息系统及其关键资产将面临哪一方面的威胁及其所采用的威胁方法、利用了系统的何种脆弱性,对哪一类资产产生了什么样的影响,同时将风险量化,得到风险的级别。
- 风险评估实施:依据上述风险评估办法,进行风险评估工作,采用问卷访谈、现场调研、问卷查阅、手工检查、工具检查等手段进行风险评估。
选择控制措施
根据风险评估的结果,综合考虑等级保护制度和相关法律法规的要求,针对每一项风险作出应对的控制策略。在确定控制策略后,综合考虑成本、可行性、实施维护难度以及已有安全措施等因素,从ISO/IEC 27001等相关标准中选择相应的安全控制措施。
形成体系文件
文件层次:一级文件(信息安全管理手册);二级文件(程序及策略文件);三级文件:(记录文件)。
ISMS的监视和评审
在ISMS体系运行过程中,需要设立运行监督机制,对体系运转情况进行日常监督,以便及时发现问题。
需要制定审核的策略,包括:
内部审核
启动审核阶段
需要制定审核计划包括审核目的和范围、审核依据的文件、审核组成员、审核日期及安排等内容。
首次会议
需要介绍审核组成员、审核目的范围、审核方法和程序、公布末次会议日期、时间以及参加人员,审核计划中需要说明的细节问题。
审核实施
需要按照审计计划进行,通过现场观察、询问、验证等方法来进行内部审核工作。
审核实施结束后
召开末次会议,主要公布不符合项内容、提出制定纠正预防措施及改进时限。
审核结束后起草审核报告
审核的目的和范围、审核组成员、审核时间和被审核部门;审核中所依据的标准文件资料;审核简况和不符合项状况;纠正预防措施及改进时限;审核评价。
记录归档
在限定时间内,对纠正措施的实施情况进行复审,以确认对不符合项的纠正情况并验证其有效性。
所有记录的文件按照相关程序的要求进行保存归档。
管理评审
在管理评审中需要讨论ISMS内部审核结果、相关方的反馈、以前风险评估中没有提出的弱点或者威胁,以及可能影响ISMS的任何更改等,并针对上述问题,提出下一步的工作重点。
ISMS的保持和改进
通过ISMS内部审核和管理评审,能够明确体系运行过程中存在的问题。
在明确了问题之后,便可以确定相应的改进办法。
相关工作人员也可以采取措施进行处理。
在处理完毕之后,仍然要继续保持对系统的监控,使得体系得以持续发展,不断满足新的安全需求。
ISO 27001信息安全管理体系
国家等级保护制度(GB)
网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。
等保2.0
ISMS标准与等级保护的共同之处
都可以加强对信息安全保障工作
在ISMS建立过程中需要结合等级保护的工作,通过等级测评,对信息系统实施等级保护。一方面可以切实的建立合适的信息安全管理体系,另一方面可以推动等级保护工作的实施,甚至可以建立等级化的信息安全管理体系。
对安全管理的要求有相同点
从ISMS和等级测评的实施依据看,都用到了ISO 17799。ISMS实施过程中,ISO 27001的建设过程要求,依据ISO 17799中的控制目标与控制措施来实施风险评估与建立组织的安全策略、措施等。在等级测评过程中,依据DB/T 171-2002中的安全管理测评要求也来自于ISO 17799的各项安全控制目标与控制措施。
能够相互促进与补充
通过ISMS建设实践与等级保护实践,建立ISMS与信息系统的等级测评可以是相互促进与补充的作用。ISO 17799的控制措施包含了等级保护安全管理方面的绝大多数要求,而信息安全管理体系实施流程中风险控制的选择,结合信息系统确定的安全等级的要求,从等级保护相关标准中补充选择ISO 17799之外的控制措施,所以完全满足等级保护安全管理的要求。
ISMS标准和等级保护的区别
出发点和侧重点不同
- 等级保护制度作为信息安全保障的一项基本制度,兼顾了技术和管理两个方面,重点在于如何利用现有的资源保护重要的信息系统,主要体现了分级分类,保护重点的思想。
- ISMS主要从安全管理的角度出发,重点在于组织或其特定范围内建立信息安全方针、政策,安全管理制度和安全管理组织,并使其有效落实,主要体现了安全管理的作用和重要性。
实施依据不同
- ISMS的直接标准是ISO27001,其中详细规定了实施ISMS的完整过程与模型,在实施ISMS过程中,间接使用的标准是ISO17799,其中详细介绍了信息安全管理要求。
- 等级保护主要是为验证信息系统是否达到某一个安全等级的要求,其标准依据主要是GB 17859-1999。
实施主体不同
- ISMS的建设主体当前主要是各企业组织。
- 等级测评的主体是经过国家认可的信息安全测评认证组织。
实施对象不同
- ISMS体系的实施对象主要是各企业单位。
- 等级保护的实施对象主要是有信息系统等级要求的各级党政机关等政府部门。
实施过程不同
- 等级保护制度的完整实施过程是贯穿信息系统的整个生命周期。
- ISMS的完整实施过程贯穿组织或组织某一特定范围的管理体系的整个生命周期,可以与组织或组织某一特定范围的管理体系同步进行,也可以在其管理体系已建设完成的基础上进行。
结果不同
- ISMS的建设结果是为组织建立一套ISMS的体系文件,有力的加强本组织的信息安全。
- 等级测评的结果是给出被测评对象是否达到声明的安全等级要求。
ISMS标准和等级保护的融合
标准的融合
ISMS有两个标准(ISO/IEC 27001:2005与ISO/IEC 17700:2005),其中ISO/IEC 27001:2005属于要求标准,是ISMS建立的重要标准;而ISO/IEC 17700:2005属于指南标准,是控制措施的实施指南。在等级保护中,《信息系统安全等级保护基本要求》是实施等级保护制度的基本要求。控制措施是ISMS与等级保护制度中的重要内容。
结构的融合
ISMS和等级保护对控制措施的要求可以利用ISMS的结构(控制类别-控制目标-控制措施),加以描述,然后划分不同的等级要求,即二者可以结合成坐标轴结构,横轴为控制措施目标和要求,纵轴则为不同的等级要求。
内容的融合
二者都在控制措施上有详细的实施描述,因此可以从内容上加以融合。
实施过程的融合
等级保护的实施过程:系统定级-安全规划设计-安全实施-安全运行维护。
ISMS的实施过程:需要遵循PDCA模型,如上文。
从等级保护制度的实施过程看,也可以将其归为PDCA模型,系统定级和安全规划设计归为P阶段,安全实施归为D阶段,安全运行维护可以视为C阶段和A阶段。因此二者在实施的时候,可以按照PDCA模型来进行组织。
隐私
物理上的隐私:搜查个人住宅或个人财产、搜身、监控或提取生物特征信息等;
信息性的隐私:即个人控制、编辑、管理和删除关于自己信息的能力和决定如何与他人沟通自己这些信息的能力。
个人数据
指与一个身份已被识别或者身份可被识别的自然人(即“数据主体”)相关的任何信息;身份可识别的自然人,是指其身份可以通过诸如姓名、身份证号、位置数据等识别码,或者通过一个或多个与自然人的身体、生理、精神、经济、文化或者社会身份相关的特定因素来直接或者间接地被识别。个人数据包括:自然人的email地址、电话号码、生物特征(如指纹)、位置数据、IP地址、医疗信息、宗教信仰、社保号、婚姻状态等。”
敏感个人数据
敏感个人数据: 指在个人基本权利和自由方面极其敏感,一旦泄露可能会造成人身损害、财务损失、名誉损害、身份盗窃或欺诈、歧视性待遇等的个人数据。
通常情况下,敏感个人数据包括但不限于可以揭示种族或血统、政治观点、宗教或哲学信仰、工会成员资格的数据,用于唯一识别自然人的基因数据、生物数据(如指纹),与自然人的健康、性取向相关的数据。”
《一般数据保护条例》(General Data Protection Regulation,简称GDPR)
GDPR的三种角色
保护对象:GDPR保护的仅是“个人数据”(personal data),不涉及个人数据以外的其他数据。
涉及的角色:数据主体(data subject)、数据控制者(controller)、数据处理者(processor)
管辖范围:数据控制着和处理者的业务范围牵涉到欧盟的数据主体的所有企业。
数据控制者和数据处理者的特点
数据控制者决定个人数据处理的目的及方式,满足以下任何一项即成为数据控制者:决定了个人数据处理的目的;决定了个人数据处理的方式。
数据处理者代表数据控制者处理个人数据,同时满足以下两项即成为数据处理者:不决定个人数据的处理目的及方式;按照数据控制者的指示及要求进行处理。
若数据处理者未能同时满足以上两项要求,则有可能转换为数据控制者而承担相应的责任和义务。
数据控制者和数据处理者的义务
我们还将为您介绍数据控制者和数据处理者义务:
数据控制者的义务
- 数据控制者应采取适当的技术和组织措施以确保并证明处理行为是按照GDPR的规定进行的。
- 数据保护的系统保护和默认保护(data protection by design and by default):数据控制者将安全保障融入个人数据处理活动中。默认只处理对于实现业务目的所必须的个人数据。
- 管理数据处理者:数据控制者只可使用符合GDPR要求的处理者;必须与处理者订立个人数据合同。
- 记录数据处理活动:数据控制者以书面方式记录由其负责的数据处理活动。
- 保证安全性:数据控制者采取适当的技术和组织措施保证与风险匹配的安全性;保证个人数据处理系统和服务的保密性、完整性、可用性和可恢复性能力。
- 数据泄露通知:数据控制者应做到,发生个人数据泄露事件,在知情后72小时内向主管机构通知;可能给数据主体带来高风险时,及时告知数据主体;存档任何个人数据泄露事件,包括与事件相关的事实、影响及采取的补救措施。
- 数据保护影响评估(Data protection impact assessment):数据处理活动可能对个人的权利和自由带来高风险时,在处理前必须进行数据保护影响评估。在指定情形下须征求数据保护专员(DPO)的建议,并由其决定是否咨询数据保护机构。
数据处理者的义务
- 遵从数据控制者指示:只可按照控制者的书面指示进行数据处理活动;未经授权,不得使用其他处理者。
- 第三方管理:在使用其他处理者实施特定的处理活动时,需提供充分保障以实施适当的技术和组织措施以满足GDPR合规;当其他处理者未能遵守数据保护义务时,原数据处理者应当向数据控制者承担全部责任。
- 记录数据处理活动:书面记录代表控制者进行的数据处理活动。
- 保证安全性:保证与风险匹配的安全性;保证个人数据处理系统和服务的保密性、完整性、可用性和可恢复性。
- 对数据控制者通知:得知数据泄露事件时,及时通知控制者。
- 值得注意的是,数据控制者和数据处理者在以下情形下均须任命数据保护官:核心活动包括需要对数据主体进行定期和系统的大规模监测时;核心活动包括大规模处理敏感个人数据时;欧盟成员国法律要求时 。
数据主体权利
GDPR旨在保护自然人的基本权利和自由,尤其是个人数据保护的权利,下面让我们来看看数据主体都有哪些基本权利。
知情权(Right to be informed)
数据主体有权获得与其个人数据处理相关的信息,这些信息必须以透明、易懂、易于获取的方式提供。
访问权(Right of access for the data subject)
数据主体有权访问其个人数据并获取个人数据处理活动的相关信息。
更正权(Right to rectification)
数据主体有权要求数据控制者修改、补充不准确或不完整的个人数据。
删除权(被遗忘的权利)(Right to erasure (“right to be forgotten"))
数据主体在特定法律情形下有权要求控制者删除其个人数据。如个人数据与最初的收集/处理目的不再必要相关、数据主体撤回同意或授权等。
限制处理权(Right to restriction of processing)
在数据主体质疑数据的准确性、数据被非法处理等前提下,数据主体有权要求控制者限制数据处理活动
反对权(Right to object)
数据主体对以下行为拥有反对权:基于公共利益或他人合法利益处理其个人数据;为了精准营销处理其个人数据;为了科学/历史研究和统计目的进行数据处理。
数据可携权(Right to data portability)
出于个人目的,数据主体有权在不妨碍可用性的前提下以安全可靠的方式将个人数据在数据控制者之间跨服务转移。
不受制于自动化决策的权利(The right not subject to a decision based solely on automated processing)
GDPR为数据主体提供了保护措施,防止在没有人为干预的情况下做出可能有破坏性的决定的风险。
个人数据处理的基本原则
合法、正当、透明
指个人数据应当以合法、正当、对数据主体透明的方式被处理。
目的限制
指个人数据应当基于具体、明确、合法的目的收集,不应以与此目的不相符的方式作进一步处理。
数据最小化
指个人数据应与数据处理目的相关,且是适当、必要的。尽可能对个人数据进行匿名或化名,降低对数据主体的风险。
准确性
指个人数据应当是准确的,并在必要的情况下及时更新。根据数据处理的目的,采取合理的措施确保及时删除或修正不准确的个人数据。
存储期限最小化
存储个人数据不超过实现数据处理目的所必要的期限。。
完整性与保密性
指根据现有技术能力、实施成本、隐私风险程度和概率,采取适度的技术或组织措施,确保个人数据的适度安全,包括防止个人数据被意外或非法毁损、丢失、篡改、未授权访问和披露。
可归责
指数据控制者须负责且能够对外展示遵从上述原则。
个人数据使用过程中的隐私风险
匿名(匿名化):对个人数据进行“不可逆地去个人化”处理,使数据控制者及其他任何人在合理范围内的时间、成本、技术之下都无法再识别到相关自然人。匿名后的数据不再是个人数据,不需要遵从个人数据处理的基本原则进行处理。
化名(假名化):对个人数据进行处理,使之在不借助额外信息时不再能识别到特定的数据主体。这些额外信息单独保存,且受到技术和组织措施的保护,以确保化名后的数据不再能识别到特定的自然人。但化名只是降低了个人数据与数据主体之间的关联度,化名后的数据仍然是个人数据,需要遵从个人数据处理的基本原则进行处理。
GDPR适用范围定义
将个人数据变为匿名化数据,规避法律风险;
将合法获取到的个人数据,做假名化处理,降低数据使用或泄露的法律风险及名誉损失;
匿名化和假名化处理在降低数据隐私风险的同时,将会降低数据可用性。如何在保护用户隐私的同时,确保数据的可用性,是隐私保护匿名化技术的算法精髓所在。
数据屏蔽技术的原理
数据屏蔽(Data masking),也称为数据脱敏。按照架构可分为两大类:静态数据屏蔽(SDM)和动态数据屏蔽(DDM)
数据屏蔽技术的原理 - 算法
掩码
将属性值的部分字符替换为固定的特殊字符(例如*)。
截断
舍弃属性值的后几位信息来保证数据的模糊性。
加噪
对原始数据增加一个随机值。
偏移
属于加噪的一种特殊形式,对原始数据增加一个固定值。
日期偏移取整
在偏移的基础上进行取整处理,舍弃精度来保证原始数据的安全性。
置换
属于加噪的一种特殊形式,将原始值映射为唯一的一个新值。
枚举
属于加噪的一种特殊形式,将原始值映射为唯一的一个新值,并且保留顺序。
保留前缀
保留数据的n位前缀。
加密
通过密钥对数据进行加密。
哈希
使用加盐、密钥等哈希函数对数据进行转换。
标志化
使用加密、索引函数或随机数生成算法替换ID号。
泛化技术的原理 - 基本概念
K-Anonymity(K-匿名化)- 1
K-Anonymity 的目的是保证公开的数据中包含的个人信息至少 k-1 条不能通过其他个人信息确定出来。也就是公开数据中的任意 Quasi-identifier信息,相同的组合都需要出现至少 k 次。
K-Anonymity(K-匿名化)- 2
用户标志假名并不能完全做到匿名化,假名化后的用户标识SUID与原用户标识UID保留了1对1映射关系,仍然可以通过链接攻击、彩虹表攻击等方式还原个体。
K-Anonymity(K-匿名化)- 3
删除用户标识,并将AGE、ZIPCODE属性值进行K-匿名(例如K=5)处理,保证每个属性值相同的组(等价类)中至少包含K个记录,从而将链接攻击风险下降为1/K。
K-匿名化的优势和风险
未排序匹配攻击 (unsorted matching attack)
当公开的数据记录和原始记录的顺序一样的时候,攻击者可以猜出匿名化的记录是属于谁。例如如果攻击者知道在数据中小明是排在小白前面,那么他就可以确认,小明的购买偏好是电子产品,小白是家用电器。解决方法也很简单,在公开数据之前先打乱原始数据的顺序就可以避免这类的攻击。
补充数据攻击 (complementary release attack)
假如公开的数据有多种类型,如果它们的 k-anonymity 方法不同,那么攻击者可以通过关联多种数据推测用户信息。