互联网行业数据安全建设实践方案

互联网应用场景

互联网已经融入经济社会生产和生活各个领域，用户规模及普及率不断提高，基础网络和数据资源日趋丰富，新模式新业态层出不穷带来新风险。

互联网总体情况

互联网已经融入经济社会生产和生活各个领域,带来新的生活方式和商业模式，教育、医疗、养老、抚幼、就业、文体、助残等重点领域数字化普惠应用发展迅速，互联网的普及带动了数字社会总体建设步伐加快。
互联网用户规模及普及率不断提高。根据中国互联网络信息中心发布的《中国互联网络发展状况统计报告》显示，2011-2021年我国互联网网民数量及互联网普及率稳定上升，我国互联网普及率已超七成。截至2021年底，我国网民规模达突破10.32亿,形成全球最大网民群体。我国互联网行为特点为每周人均上网时间保持增长，上网终端设备使用场景更加多元。
互联网基础网络和数据资源日趋丰富。《数字中国发展报告（2021年）》指出，2017年到2021年，我国数据产量从2.3ZB增长至6.6ZB。截至2021年底，我国已建成142.5万个5G基站，总量占全球60%以上，5G用户数达到3.55亿户，IPv6地址资源总量位居世界第一，IPv6活跃用户数达6.08亿。目前，我国工业互联网应用已覆盖45个国民经济大类，电子商务交易额从2017年的29万亿元增长至2021年的42万亿元。
互联网行业领域数据安全规范逐步完善。近年来，《网络安全法》《数据安全法》《个人信息保护法》的先后出台实施，以及国家互联网信息办公室发布了《网络数据安全管理条例（征求意见稿）》《数据出境安全评估办法》等一系列数据安全法律法规制度文件，为互联网行业领域的创新发展和健康发展夯实了基础。
云网融合背景下新模式新业态层出不穷带来新风险。由于敏捷性需求和微服务架构的发展，越来越多互联网应用开始通过云部署，提供云服务。API已成为数字时代网络应用流量最重要的出入口，通过攻击API来破坏信息系统和窃取数据成为新风险点，亟需加强安全资源整合，加强API运行时安全状态防护，构建安全的数字生态系统。

7.2.互联网数据传输场景及解决方案

互联网数据传输安全应用场景主要分为面向用户和用户之间信息分享的数据传输、面向平台向用户提供服务的数据传输、面向平台和平台之间信息共享的数据传输、面向跨境流动的数据传输，各应用场景的主体、客体、行为和特点如表所示。
7.2.1面向用户与用户之间信息分享的数据传输
应用场景数据传输需求
用户与用户之间的信息共享的数据传输路径为用户客户端与到用户客户端之间数据传输。传输的发送方为客户端A，接收方为客户端B，具有发送与接收延时小快速传输的特点。通过A要给用户B发送一条消息，这个消息会先发送到IM服务器，再由IM服务器发送给B。
应用场景数据传输安全风险

业务流程图- 主要风险点消息数据在发送途中被劫持或篡改消息数据发送不完整应用场景数据传输安全解决方案消息数据的在发送途中被劫持或篡改管理方面，利用信息保护较高、相对成熟的app，明确app产品和服务过程中信息安全管理责任与保密责任。
技术方面，利用数据加密技术、安全传输技术。在利用可靠数据传输协议的情况下，用户A在发送之前把消息加密处理封装成数据包发给IM服务器，IM服务器把数据包发送给接收消息的用户。
消息数据发送不完整
管理方面，制定信息确认机制、错误报送机制、内容信息校验机制，保证在安全互联网环境中进行数据传输。
技术方面，利用可靠传输协议传输客户端发送信息，利用逻辑校验的方式与编程校验的方式进行确认，保证消息送达。
7.2.2面向平台向用户提供服务的数据传输应用场景数据传输需求
平台向用户提供服务的数据传输路径为用户通过客户端将数据传输到平台，发送方具有分布广泛且请求数量大的特点。传输的数据一般为业务数据以及必要的用户信息，按照传输方式可分为客户端从后端接口拉取数据和客户端向后端接口上传数据这两种方式。当用户在客户端发起请求向平台后端接口上传或者拉取数据时，后端服务器会进行身份确认后，将接收到的处理结果反馈。
应用场景数据传输安全风险
应用场景数据传输安全解决方案
客户端伪造风险管理方面，应建立平台信息保护组织架构，明确在提供平台产品和服务的过程中数据安全管理规范，明确数据传输管理要求。并针对相关岗位明确其互联网信息安全管理责任。
技术方面，客户端被篡改或者伪造，造成中间人窃取关键数据或者爬虫批量获取后端数据等风险。可以通过使用客户端加壳、完整性校验、密钥双向校验等技术措施，降低客户端伪造风险。
身份鉴别信息泄漏风险管理方面，通过制定身份鉴别信息保存、鉴别和加密机制，规范业务交互过程中的身份鉴别处理机制等管理措施。
技术方面，对加密的加密方法、密钥强度等做出升级，降低关键数据被泄漏及解密的风险。
数据泄漏及遭受攻击风险数据库由于权限管理不到位或者权限策略不细致，造成数据泄漏或越权访问。
管理方面，通过统一的数据中台，集中对数据库权限的申请、管理、修改等进行管理方式，明确权限责任人，周期性权限轮换制度。
技术方面，提供统一的数据读取的接口和申请机制，保证数据库权限的收敛和最小化原则。
面向平台和平台之间信息共享的数据传输
应用场景数据传输需求
面向平台和平台之间信息共享的数据传输路径为第三方平台利用客户端调用平台后端的数据，传输的一般为业务数据，按照传输方式可分为客户端从后端接口拉取数据和客户端向后端接口上传数据这两种方式。第三方平台与服务端之间的数据传输除使用HTTPS的方式进行数据交换外，会额外增加多项安全措施，会针对第三方平台的IP进行访问控制，引入证书签名机制，对数据信息报文进行签名验签等，保障数据真实有效。
应用场景数据传输安全风险
应用场景数据传输安全解决方案
客户端伪造风险管理方面，应建立平台信息保护组织架构，明确在提供平台产品和服务的过程中数据安全管理规范，明确数据传输管理要求。并针对相关岗位明确其互联网信息安全管理责任。
技术方面，可以通过使用客户端加壳、完整性校验、密钥双向校验等技术措施，降低客户端伪造风险。
身份鉴别信息泄漏风险管理方面，通过制定身份鉴别信息保存、鉴别和加密机制，规范业务交互过程中的身份鉴别处理机制，明确岗位责任人等管理手段。
技术方面，对加密的加密方法、密钥强度等做出升级，降低关键数据被泄漏及解密的风险。引入证书签名机制，对数据信息报文进行签名验签，针对开放接口，保障数据真实有效。
数据泄漏及遭受攻击风险数据库由于应用程序漏洞或者中间件组件漏洞，造成数据库管理数据及关键业务数据泄漏、篡改、删除等风险。
管理方面，定期对应用程序和中间件组件进行安全测试，发现潜在的安全隐患并及时修复，准确识别可疑风险，竭力将风险降到最低。
技术方面，建立数据安全管理平台，对业务流程中数据流转进行有效监控。
面向跨境流动的数据传输
应用场景数据传输需求
跨境流动传输是指互联网企业因业务需要与其海外分支机构或总部、其他境外机构、第三方数据处理服务商、境外监管机构或行政与司法部门等之间进行数据跨境传输，传输的数据为包括需要跨境的个人信息、企业信息以及互联网机构运营的业务数据等之内的相关业务数据，具有高敏感性和高价值性。一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。应用场景数据传输安全风险

数据出境的目的、范围、方式等的合法性、正当性、必要性。出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险。
数据安全和个人信息权益是否能够得到充分有效保障。
数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务，以及遵守中国法律、行政法规、部门规章等情况。
应用场景数据传输安全解决方案
管理方面，依据《数据出境安全评估办法》等相关法律法规制定数据出境风险自评估流程。符合数据出境安全制度的，向相关部门申报评估出入境数据，申报材料通过后，才可以进行相关数据出境动作，反之进行整改再次申报。
技术方面，利用数据本地化存储、数据加密存储技术、数据安全使用技术、数据安全传输技术、匿名化和去标识化处理技术、个人信息保护认证保证跨境传输数据安全。
互联网数据传输安全应用场景1
需求分析
主体： 发送方一般由两部分组成，一部分为移动端和网页Web端用户。终端节点环境复杂，业务形态类型多种多样，数据庞大繁杂，不同数据的采集传输方式各不相同。另一部分第三方合作伙伴。第三方服务安全建设参差不齐，各服务之间无统一模版标准，定制化程度高。接收方为后端服务器。与客户端进行各类数据交换服务，具备统一的API网关，使信息收敛。
客体： 业务数据或必要的用户信息。
**行为：**1、客户端与服务端之间的数据传输：客户端与服务端传输主要保证数据传输过程中的保密性、完整性、不可抵赖性，通过HTTPS传输协议进行数据交换，针对敏感操作接口在报文中额外增加签名验签的校验机制，签名密钥基于用户身份计算得出，保证用户唯一密钥唯一。

7.3.应用场景实践

第三方服务与服务端之间的数据传输：
第三方服务与服务端之间的数据传输除使用HTTPS的方式进行数据交换外，会额外增加多项安全措施，会针对第三方服务的IP进行访问控制，引入证书签名机制，对数据信息报文进行签名验签，保障数据真实有效。
解决方案
1、针对客户端伪造风险、第三方服务风险遭受攻击数据泄露风险、第三方服务风险，通过制定健全的安全编码设计文档，定期向研发人员对数据传输过程中的安全要求和规定进行宣贯；制定严谨的第三方服务合作安全协议，明确安全风险的责任制；制定应急演练流程，定期进行数据安全应急演练，尽力做到防范于未然。
2、针对客户端伪造风险，组建技术安全团队对客户端进行安全加固，包括不限于代码混淆、抗调试等对抗方法，增加攻击成本，降低客户端遭受的风险。
3、针对第三方服务风险和数据泄露风险，通过定期授权的安全测试，对服务接口进行安全测试，发现潜在的安全隐患并及时修复，同时研发数据安全管理平台，对业务流程中数据流转进行有效监控，准确识别可疑风险，竭力将风险降到最低。
互联网数据传输安全应用场景2
需求分析
主体： 发送方为主站客户端程序，客户端分布广泛且请求数量大，部署在客户移动终端。接收方为后端应用程序接口，接口数量同样众多，但主要部署在集团IDC及各云平台上，管理方式相对集中。
客体： 客户信息、订单数据、业务数据等。
行为： 户客户端和后端接口有多种数据传输的场景，按照传输方式可分为客户端从后端接口拉取数据和客户端向后端接口上传数据这两种方式。当客户端发起请求向后端接口上传或者拉取数据时，后端服务器会校验身份信息，成功后反馈处理结果。
解决方案
1、通过对目前业务中数据传输场景，从客户端到服务后端的改造和治理措施，降低了数据传输链路和各环节中的风险；通过数据中台对数据权限和接口的统一管理和收敛，从业务方面完善了数据传输的风险收敛。
2、通过制定身份鉴别信息保存、鉴别和加密机制，规范业务交互过程中的身份鉴别处理机制、统一的数据中台，集中对数据库权限的申请、管理、修改，提供统一的数据读取的接口和申请机制，保证数据库权限的收敛和最小化原则。
3、通过使用客户端加壳、完整性校验、密钥双向校验，对加密的加密方法、密钥强度进行升级。通过对目前业务中数据传输场景，从客户端到服务后端的改造和治理措施，降低了数据传输链路和各环节中的风险。并且，通过数据中台对数据权限和接口的统一管理和收敛，从业务方面完善了数据传输的风险收敛。
互联网数据传输安全应用场景3
需求分析
主体： 发送方为企业内部各个业务线的分支机构和部门，业务方众多，使用的接口数量也比较庞大。接收方为企业内部的数据中台，接收的数据体量大，数据类型不固定。
客体： 订单信息、用户信息以及其它业务数据。
行为： 各个业务线和数据中台的数据传输方式有多种场景，按照数据传输的方式可分为数据的查询与数据的上报。以上两种场景都是通过API接口来进行数据的传输，数据中台会在接口被调用时进行鉴权，鉴权通过后方可正常进行数据传输，否则返回异常信息。
解决方案1、通过建设API网关，对数据的权限、访问、日志等进行管控，使用数据签名的机制确保数据在传输过程中不会被泄漏、伪造、篡改。2、通过建设鉴权信息集中化管理和存储平台、建成硬编码扫描能力、设立代码开源审批流程等方式降低数据接口鉴权信息泄漏风险。3、通过建设安全巡检能力，定期对提供数据服务所涉及的组件、平台进行安全测试，发现存在的安全问题使用工单流程追踪和修复。4、通过建成威胁情报平台，第一时间感知数据服务相关组件的漏洞讯息，及时跟进和升级。5、通过和业务共建的方式，建成一套API管控平台，梳理和标记业务数据中存在的敏感数据类型和等级，推进数据安全治理，对于数据的使用采取最小化原则，敏感数据采用脱敏的方式参与业务。(^18) 互联网数据传输安全应用场景4需求分析主体： 互联网用户、企业、云平台。互联网用户侧传输主要指对公众开放的业务使用时产生的数据传输，企业侧主要指企业内部间的数据传输，云平台侧即为云内传输，以及跨云、多云之间的数据传输，也包括云 - 边之间的互联互通。客体： 主要建立管控的数据分为企业数据、用户数据、IT数据。行为： 一是云内通信，云内的虚拟化子网以VPC结构进行切分，其中每个VPC内部通过VPN进行信道控制，同时具有负载均衡和ACL控制，同时在每个VPC内部建立子网，子网之间可以通过安全组定义互通链路，此部分允许云租户在默认网络架构基础上自定义符合业务的通信模式。二是云地通信，企业IDC机房通常可以通过VPC或专线的方式接入云平台，IDC内部根据企业网络规划，多由互联网出口交换，到核心交换，到各个网络分析内部的核心交换与准入交换节点。三是云网通信，租户在云端租用的资源可以通过虚拟IP池的方式直通互联网，同时可以通过NAT进行映射配置，在铜线链路中也包含负载均衡、网络准入、防火墙及其他串行流控措施。解决方案1、通过数据安全具体管理制度体系的建设和执行，包括数据安全方针和总体建设思路、数据安全管理规范、数据安全操作指南、数据安全应急作业指导，提供流程并通过相关的在线系统进行支撑。2、通过保证与制度流程相配套的有效执行的技术和工具，通过内部安全运营平台、数据安全管控工具等部分组成，横跨IT、业务、安全三个职责，并制作与其职能相对应的流程平台，同时将部分技术工具开放提供给企业及云平台用户。3、通过针对数据安全管理能力、数据安全运营能力、数据安全技术能力及数据安全合规能力培养复合型人才，根据不同数据安全能力建设需要匹配不同人员能力要求。