蓝城兄弟Blued app是一款互联网社交的软件,涵盖兴趣交友、直播、健康、互联网医院、公益等,涉及处理个人敏感信息,由于互联网中存在大量黑灰产、各类攻击者、第三方合作伙伴、甚至可能内部员工与黑灰产有利益关系等,一旦造成敏感数据泄露,将给我司用户造成严重的损失,蓝城兄弟信息安全部基于我司业务现状,需要通过参考相关数据安全标准进行治理,从而降低数据泄露风险,确保blued业务平稳运行;对此,国家标准GB/T 35273-2020 《信息安全技术 个人信息安全规范》、GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》提供了具体等要求,本文从标准应用角度出发,详解标准内容,展示实践案例,供参考:
01 条款解析
GB/T 35273-2020 《信息安全技术 个人信息安全规范》
3.2 个人敏感信息 | 一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。注 1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、 通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交 易信息等。 |
条款解析: 组织内部应根据自身业务情况,进行数据分类分级,其中对于个人敏感信息进行识别、记录,如某数据字段能直接明确指向某用户,或泄露后造成用户的权益重大损失,应被定义为个人敏感信息,并加强数据安全保护措施。 |
GB/T 37988-2019 《信息安全技术 数据安全能力成熟度模型》
12.8. PA27 监控与审计 | 针对数据生存周期各阶段开展安全监控和审计,以保证对数据的访问和操作均得到有效的监控和审计,以实现对数据生存周期各阶段中可能存在的未授权访问、数据滥用、数据泄露等安全风险的防控。 |
条款解析: 组织内部应建立数据安全分析平台,实现安全监控和审计能力。该平台需要分析业务系统中账户行为、敏感数据流出情况、对于高风险数据流出情况进行预警,在后续的安全事件处理中,能够完整记录事件的数据字段、上下文信息,同时该平台储存的审计数据需要进行保护,避免攻击者获取数据后,进行清理违法违规记录。 |
02 实践案例
场景简介:北京蓝城兄弟信息技术有限公司存在多个业务线,并且存在多个后台运营系统,企业内部人员每天要操作后台运营系统,以确保blued app用户的注册、申请审核、违规处理等工作正常运行,其中会涉及个人敏感数据的处理。
步骤一:敏感数据识别
根据《个人信息安全规范》中已明确的个人敏感信息字段,以及对于blued业务的数据调研,进行敏感数据梳理,敏感数据主要包括:用户真实姓名、手机号、身份证、邮箱、银行账户、密钥口令、隐私相册、角色、感情状况等;
步骤二:敏感数据接口识别
根据第一步已经确定的敏感数据范围,由于我司已将多业务运营后台日志进行收集,并且对于业务访问中respons数据进行记录,利用敏感数据识别引擎规则,每日对吐出敏感数据接口进行统计,准确发现每日敏感数据流出情况,并且对于新增业务接口进行告警。另外可以回溯该接口对应业务后台是否新增加功能模块,是否通过了应用安全审核;
步骤三:敏感数据异常行为分析
根据第二步获取的敏感数据接口地址,使用开源自建数据分析平台,建立数据分析规则,规则主要基于频次纬度、非工作时间纬度、http异常统计、高危用户(新入职、离职、降职)、高危IP、非可信区域等纬度,数据安全分析主要侧重于R(read)方向分析,关于W(write)方向分析,业务平台自身进行安全审计,但数据安全分析除了R方向,还应侧重于与黑灰产相关W方向分析,例如 业务平台中存在主播银行卡信息修改、手机号修改、密保邮箱修改等操作,往往黑灰产会针对资金类接口进行利用,修改某用户手机号、密保邮箱后,再将银行卡修改为黑产银行卡,进而骗取平台发放的佣金、奖金进行体现;
步骤四:事件调查回溯
根据步骤三获取的敏感异常行为分析、可获取关键人员、可疑IP、可疑操作的原始日志,该数据平台还应与DLP、邮件系统、OA系统进行互通,及时发现异常人员异常行为,触发告警后,及时关闭可疑用户账户权限、踢出账户权限。如在用户终端日志中,有明显数据外发行为,包括微信客户端、微信网页端、外部邮箱上传、内部邮箱转发至外部邮箱、外部网盘、即时通信工具等,第一时间进行约谈、外传数据清理,避免数据泄露,涉及违法犯罪行为的,可根据员工守则、离职保密协议、进行辞退、甚至向公安部门报案处理。
(本文作者:北京蓝城兄弟信息技术有限公司 安全部 李赞)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。