随着近来国家对网络安全的重视,网络安全行业得到快速发展,企业安全建设变得越发重要,但随着相关法规的不断增多,对企业安全运营提出了更加规范化的要求,企业安全合规已成为安全建设中绕不开的话题。
2022年3月10日上午,由网络安全门户FreeBuf主办的CIS 2021网络安全创新大会 Spring·春日版安全合规专场在CIS官网进行了全程直播,陌陌安全合规经理纪帅、斗象科技企业安全产品总监景生光、中通快递安全合规负责人王俊豪、货拉拉高级信息安全工程师乔智明、Funplus趣加游戏安全架构师汤青松就相关议题进行了演讲。
陌陌安全合规经理纪帅
没有数据安全,隐私就得不到有效保护,在议题开篇,纪帅简要梳理了近5年来数据安全相关政策法规的发展,尤其是近两年,国家对于APP违规搜集搜集个人信息、侵犯用户权益的行为越发重视,进行了多项整治工作。纪帅总结了过去一年的主要监管动态,随着以《数据安全法》《个人信息保护法》等为代表的法律法规、《常见类型移动互联网应用程序必要个人信息范围规定》《互联网信息服务算法推荐管理规定》等为代表的标准规范,以及工信部、各市开展的专项整治行动,三管齐下,国家对侵犯个人信息安全隐私下了重拳。
陌陌安全合规经理纪帅
纪帅认为,安全隐私保护需要从制度保障、组织保障、技术保障三方面进行建设。对于数据安全制度建设,纪帅提出了安全管理制度、分级分类原则、提取流程等共15个方面。在实践环节,纪帅强调,APP在采集数据时,除了要以明显的方式提示用户阅读《隐私政策》,还要避免使用“好的”“我知道了”“我已阅读”“立即使用”“下一步”等无法清晰表达用户同意的词语。
此外,纪帅还从数据安全访问、导出、审计、销毁等方面进行了梳理与实践,构建了全方位的数据安全实施框架,相信在政策的有效指导、科学的治理框架、完善且细化的技术实施条件下,隐私相关的数据安全能够得到有效的落实与发展。
斗象科技企业安全产品总监景生光
数据安全一直是行业热点,景生光从去年6月发布的《数据安全法》入手,结合对近两年突出的数据安全事件回顾,强调API是企业数据安全管理的痛点,如API资产摸底不清,无法对其进行有效管理;无法了解随对API发生的黑客攻击、漏洞利用、出网访问等安全风险;无法及时了解老旧、低活跃API,无法识别API访问来源是否合规;不能掌握API全局访问规律,出现安全事件后无法进行溯源。
在提出的API解决方案架构图中,景生光从API资产管理、API风险分析、敏感数据分析、API态势分析4个核心功能进行解构,进而提炼出API安全管理的价值:符合合规要求,满足《数据安全法》、《个人信息安全保护法》对履行数据安全保护义务,也能一步到位管理API资产风险,解决从API资产发现、风险识别、合规性分析、事件研判、溯源取证整个环节管理中的问题。
斗象科技企业安全产品总监景生光讲解API解决方案架构图
最后,景生光对API安全提出了两点寄语:
1.在互联网的世界里,“安全”和“开放”是一个永恒的话题,但“开放创新”的前提必然是“安全可控”,也就是说没有安全的API,创新是不可能的。
2.数据安全不仅仅为了合规,更重要的是隐私保护,是对人性自由和尊严的尊重。
中通快递安全合规负责人王俊豪
作为一家以快递业为主,融合了国际、快运、云仓、商业、商业、冷链等为辅的综合物流服务品牌,庞大的体量给企业安全建设带来挑战。王俊豪对此提出了4大安全挑战:业务变更频繁、组织分布广泛、敏感数据量大、安全意识薄弱。基于此,中通从“一法三标”,即以《网络安全法》《GB/T 22239-2019》《GB/T 22080:2016》《ISO/IEC 27701:2019》为依据开展网络安全建设。王俊豪认为,“一法”是指导思想,“三标”为建设指南,彼此配合能为企业安全建设打下良好基础。
中通快递安全合规负责人王俊豪向大家展示“一法三标”建设依据
由于“一法三标”要求不尽相同,王俊豪将网络安全建设一体化实施分为两个阶段。第一个阶段为标准融合,即ISO27001系列标准与等保标准的融合。在标准融合内容方面,王俊豪提出了组织职能融合、建设过程融合、人员培训融合、标准内容融合、文件编写融合、检查整改融合6方面内容,并在此基础上进行隐私扩展,实现ISO27701: 2019标准中的隐私信息管理要求。
为了形成完整的信息安全兼隐私管理体系,中通新增并修订了15份制度文件、1份公司隐私政策,这些均是在ISO27001体系上进行优化和新增。同时完成文件评审,职责明确,使制度要求能够落地执行。此外,王俊豪介绍了中通完善的安全培训体系框架,针对不同的对象制定不同的培训内容,包括安全意识、安全开发、安全理念培训,并以线上+线下的形式,尽可能多地触及培训对象,多角度渲染安全意识氛围,持续提升人员的安全认知。
最后,王俊豪通过介绍中通的管理体系架构,以组织结构、体系文件、持续改进的流程、技术保障4方面,系统全面地讲解了公司信息安全及隐私保护所实施的策略及流程。
货拉拉高级信息安全工程师乔智明
互联网的发展,在日渐丰富人们日常生活的同时,也让个人信息的泄露变得越发普遍。但人们对个人信息的日渐重视是时代所趋,法律也在近两年积极响应。在议题开篇,乔智明罗列了从2019年至2021年相关部门为保护个人信息所采取的监管行动,凸显了相关企业对个人信息保护合规实施的必要性。
乔智明提出了企业面临的个人信息保护合规的4“高”挑战:监管重视度高、专业复杂度高、社会关注度高、业务关联度高,但也认为,在个人信息保护方面,现阶段我国关于个人信息保护方面的立法和框架已经基本形成,既包括起到统领作用的较高位阶的法律,也包括相当一部分非常具体的配套法规、规章和标准。
货拉拉高级信息安全工程师乔智明
由此,乔智明提出,个人信息保护体系需要解决的问题主要有两方面,一是解决个人信息保护涉及多部门背景下,单位内部工作职责界线分工和协作的问题;二是解决从法条规定的文字到技术落地实践的问题。即:横向-机制;纵向-落地。
在人信息保护合规体系建设实践方面,乔智明带来了如下提议:
1.关于合规体制和职责,需梳理出涉及个人信息处理的各个部门和业务流程,并确各部门的工作边界与协调机制流程;
2.相当一部分组织已建立信息安全管理体系,应当考虑融合现有安全管理体系,构建统一评估和考核评价指标;
3.构建合规知识库,积累监管要求和组织最佳实践;
4.闭环风险评估管理流程,提升自动化和决策支持水平;
5.以合规保障业务,以合规促进业务。
Funplus趣加游戏安全架构师汤青松
“信息安全的防御遵从木桶原理,在业界受到一致认可,保障整个应用的安全,不由某一维度是否做的足够好来衡量。” 汤青松以这句话揭开了该议题的序幕,并认为,安全质量不在于开发人员的编码能力高低,也不在于安全人员单独的技术能力,而在于整个体系的意识、技术、监督、学习等多维度。
Funplus趣加游戏安全架构师汤青松
通过一张框架图,这种“整体思想”涵盖了4个方面,即安全培训、风险提醒、代码审计和安全测试。在安全培训方面,分为首次安全培训、小组培训及案例就地取材,后者以分享尽可能贴近所在团队的漏洞案例来实现。风险实时提醒则包括风险提醒作用、风险函数提醒、信息泄露提醒及git钩子使用,汤青松还展示了一段git钩子代码进行说明。代码审计则包括代码审计方向、通用编码审计、工具选型和批量代码审计实现,汤青松简要介绍了由本人开发的一套批量代码审计工具,支持按照漏洞筛选。安全测试则包括Web站点测试、API接口测试、私有协议测试和案例输出。
此次安全合规专场共吸引了超10万人次用户观看,得益于线上直播良好的运营机制,观众在不时通过弹幕积极响应议题内容的同时,也通过参加活动得来的麦穗值为心仪的演讲嘉宾打榜,整场直播活动气氛热烈。
安全合规建设任重而道远,不同的企业面对着各不相同的困难和挑战,但梅花香自苦寒来,随着政策的逐步完善,以及广大网安人在具体合规体系建设上的不断实践、创新,安全合规建设将不再是企业发展的痛点或拦路虎,而是成为企业健康、快速发展的必由之路。