《数据安全实践指南》 数据交换安全实践数据发布安全

数据发布安全

• 数据发布是企业间进行数据交换最频繁的一个阶段，数据发布通常是指企业利用各种途径对外公开组织·内部数据的一个过程，如企业对外宣发，网站发布，社交媒体发布等等，由于在数据发布的过程中经常会出现敏感信息泄露的问题，所以组织机构需要尽快对数据发布过程进行管理与规范。

建立负责数据发布安全的职能部门

• 为了避免在数据发布过程中出现敏感信息泄露的问题，在条件允许的情况下，组织机构应该设立数据发布安全管理部门，并招募相关的管理人员和技术人员，负责为公司提供必要的技术支持，为组织机构公开发布信息，以及制定整体的数据发布安全原则及管理规范，并推动相关要求在组织机构中切实可靠地执行。
• 数据发布安全管理部门需要为业务团队提供对不同数据发布场景的风险评估支持。
• 制定针对不同数据发布场景的对应数据发布方案。
• 为公司数据发布人员进行专门的安全意识培训。
• 为技术人员建立严格的数据发布审核流程及审查制度。

明确数据发布安全岗位的能力要求

• 数据发布安全部门管理人员能力要求：
• 具备良好的数据安全风险意识。
• 熟悉国家网络安全法，数据安全法，个人信息保护法等相关法律法规和行业规范及所属行业的政策和监管要求，且得到有效规范的执行。
• 相关的管理人员需要具备一定的数据发布安全管理经验。
• 拥有良好的数据发布安全专业知识基础，且能通过岗位能力测试。
• 熟悉主流的数据发布安全解决方案，管理流程和技术工具。
• 根据不同的数据发布业务场景进行相应的风险评估。
• 具备能够结合业界标准，合规准则，业务场景制定标准化数据发布安全规范和定制化的数据发布安全策略方案的能力。
• 数据发布安全部门的技术人员能力要求：
• 具备良好的数据发布安全风险意识。
• 熟悉相关法律法规及政策要求。
• 熟悉主流厂商的数据发布方案。
• 熟悉主流的数据发布安全检测工具及其使用方法。
• 拥有一年以上的数据发布安全审核经验。
• 能够充分理解管理人员制定的数据发布安全策略方案。
• 能够正确使用数据资源公开数据库的能力。
• 符合相关操作流程对数据发布系统进行标准化操作的能力。
• 具备审计和分析数据发布过程中的数据和日志等内容的能力。
• 能够对突发的数据资源事件进行应急处理的能力。

数据发布安全岗位的建设及人员能力的评估方法

• 通过内部审计，外部审计等形式以调研访谈，问卷调查，流程观察，文件调阅，技术检测等多种方式实现。
• 1.调研访谈
• 数据发布安全部门管理人员的访谈内容：
• 确认其是否胜任该岗位，是否明确定义了待发布的数据内容、涉及的组织和部门、审核的批准情况、数据应急处理的流程等。
• 确认管理人员是否建立了定期或非定期的数据发布审核检查制度，以确保技术人员可以及时对已发布的数据及数据的有效性进行监控。
• 数据发布安全部门的技术人员的访谈内容为：
• 确认其是否具有一年以上的数据发布安全检测经验；
• 是否能够对数据发布过程中的敏感数据采取必要的安全检测措施，以确保发布的内容符合数据发布安全管理规定；
• 是否能够对数据资源公开数据库进行符合管理标准的操作；
• 是否能够准确地实施由管理人员制定的定制化数据发布安全策略；
• 是否能够正确地使用数据发布系统来发布公共数据；
• 是否能够在数据发布系统上对数据资源事件进行记录与保存，以便在发生突发情况时能够及时进行应急处置与追责溯源。
• 2.问卷调查
• 数据发布安全部门的管理人员是否制定了针对公司的、有效的数据发布安全原则及管理规范；
• 是否建立了包括但不限于待发布的数据内容、涉及的部门组织、审批情况等数据发布的审核流程；
• 是否可以对不同的数据发布安全业务场景进行风险评估；
• 是否可以根据组织机构的数据发布安全原则制定出适合不同业务场景的定制化数据发布安全策略方案；
• 是否能够依据国家的相关法律法规对数据发布的过程进行严格规范的管理；
• 是否规定了统一的数据发布安全审核工具、数据发布系统及相关的标准使用规范，以便应对突发情况下的应急处置与追责溯源。
• 3.流程观察
• 以中立的视角观察公司数据发布安全部门管理人员的工作流程，包括在为公司制定整体的数据发布安全原则及管理规范时，为公司建立数据发布安全审计策略时，为不同的数据发布业务场景提供安全风险评估时，为不同的业务场景制定定制化安全策略方案时，为不同的数据发布安全场景定义发布的数据使用范围、数据类型和数据内容时，是否可以识别出其中可能存在的数据发布风险，是否贴合组织机构的内部框架，是否能够满足不同业务场景的安全需求，方法流程是否符合标准；在对数据发布进行严格规范的管理时，是否遵守国家相关法律法规的要求。
• 以中立的视角观察公司数据发布安全部门技术人员的工作流程，包括审核待发布的数据内容时、审核数据发布的工作流程时、管理与审核数据发布的日志记录时、使用数据资源公开的数据库时、使用与管理数据发布系统时、防护数据发布过程中的重要数据及敏感数据时，是否可以识别出其中可能存在的安全风险，方法流程是否符合标准的流程，是否遵守国家相关法律法规的要求。
• 4.技术检测
• 数据发布安全阶段的技术检测，需要使用技术工具检测数据发布工作的流程是否符合安全规范与法律规定；
• 检测数据发布过程中的数据内容和业务场景等指标，确保既没有出现任何超出数据发布业务场景的情况，也没有出现超出数据发布使用授权范围的情况；
• 检测数据发布过程中的日志内容是否得到正确、有效的记录与保存。
• 检测发布的数据格式是否规范，其保密性、完整性和可用性是否能够得到保障；
• 检测数据资源公开数据库及数据发布系统是否能够正常平稳地运行，确保技术人员在出现突发情况时能够快速地进行应急处置。

明确数据发布安全管理的目的

• 数据发布是指组织内部的数据通过各种途径向外部组织公开的过程，如数据开放，企业宣传，网站内容发布，社交媒体发布，PPT资料对外宣讲等。数据发布安全管理的目的是避免由于违规对外披露而对组织机构造成名誉损害和资产损失等不良影响。数据发布安全管理可用于保障发布内容的真实性，正确性，时效性和准确性。

数据发布安全管理的内容

• 组织机构需要在数据分类分级的基础上，建立数据发布管理制度，针对可对外公开和发布的数据进行发布前，发布中和发布后安全管理，具体包括发布前对数据内容和发布范围等进行审核，发布中进行定期审查，以及发布后对可能出现的不良影响采取应急处理机制。

制定数据发布审核制度

• 数据发布安全管理部门负责完成对发布信息的审核，签署并及时反馈审核意见；对于不能确定是否可以公开的数据，应当依照国家法律法规及行业有关规定，上报给相关主管部门或同级保密工作部门确定。
• 数据发布安全管理部门不得公开涉及国家秘密、商业秘密和个人隐私的数据。但是，经权利人同意公开，或者数据发布安全管理部门认为不公开可能会对公共利益造成重大影响的、涉及商业秘密或个人隐私的数据，可以予以公开。
• 任何人都不得利用数据发布平台从事危害国家安全、泄露国家秘密的活动，不得侵犯国家、社会、集体的利益和其他公民的合法权益。
• 对于经过审核后确认同意发布的数据，负责数据发布的人员应及时在数据发布平台上将其发布，以确保发布数据的及时性和准确性。发布后，数据发布人员应及时保存原数据文档，并在数据发布平台上完成对信息内容的检查和校对，确定数据无误，同时上传和登记数据发布人员、发布时间等信息。
• 凡有关信息采集、审核、发布和上传登记的信息，都应该形成档案资料妥善保存，档案内容主要包括所有人员签名、审核意见、发布过程等内容；发布的文件、数据、文字及图像等资料均由数据发布安全管理部门统一管理。

明确数据发布监管要求

• 所发布的数据内容应明确适用范围，发布者和使用者的权限和义务。如所有权已有归属，则未经归属者同意，禁止转载，或者将其用于商业用途等。
• 数据发布安全管理部门需要建立定期审核检测制度，对已发布的数据进行监控，确定其符合数据发布安全管理规定，同时对已发布数据的有效性进行监控，及时检测其在现有情况下是否依然有效。

制定数据发布事件应急处理流程

• 凡事都要做到未雨绸缪，所以数据发布也需要贯彻预防为主，防治结合的原则和思想。
• 把灾害和危机预防作为数据发布安全管理部门的中心环节和主要任务，强化安全管理，建立预警机制，提高应急处置能力，最大限度地减少突发事件对发布数据造成的危害。
• 数据发布安全管理部门需要通过对数据发布平台的资产、面临的威胁、存在的脆弱性、采用的安全控制措施等进行分析，从技术和管理两个层面综合判断数据发布平台面临的风险，并结合数据分类分级的结果确定预警及预警的响应级别。当发生突发事件时，数据发布安全管理平台必须依据所确定的突发事件和预警级别及时提出预警建议，并报告上级相关部门批准，报告内容应包括突发事件的预警级别、起始时间、可能造成的影响范围、警示事项、应采取的措施等。发布预警信息后，对于预警级别较高的突发事件，数据发布安全管理部门应快速有序地启动应急响应机制，尽最大努力把突发事件的危害性降到最低；对于预警级别较低的突发事件以及数据发布安全管理部门通过日常监测和维护就可以解决的事件，则不需要启动应急响应机制，由数据发布安全管理部门直接负责处理即可。
• （1）数据发布出现非法言论时的应急处理措施
• 1）数据发布安全管理团队人员应在接到预警通知后立刻赶到现场，做好必要的记录，清理非法信息，强化安全防范措施，并将数据发布平台重新投入适用。
• 2）数据发布安全管理部门应妥善保存相关记录及日志或审计记录。
• （2）黑客攻击时的应急处理措施
• 1）当数据发布平台的内容被篡改，或者通过入侵检测系统发现有黑客正在对服务器进行攻击时，数据发布安全部门的管理人员应立刻赶到现场，首选应将被攻击的服务器等设备从网络中隔离出来，保护现场，同时向上级领导部门通报攻击情况，若情况比较验证，则应及时报告给上级机关并向公安部门报警。
• 2）数据发布平台的恢复与重建由数据发布安全管理部门及相关技术人员负责，同时还要协同有关部门共同追查非法信息来源。
• （3）病毒安全应急处理措施
• 1）一旦发现计算机感染病毒，数据发布安全管理部门的相关人员应立即将该主机从网络上隔离出来，并启用反病毒软件对数据发布平台进行杀毒处理，同时使用病毒检测软件对其他机器进行病毒扫描和清除工作。
• 2）数据发布安全管理部门需要定期对数据发布平台进行数据备份。

使用技术工具

• 在对外进行信息共享，信息公开的数据发布时，往往会发生信息泄露的数据安全问题。在传统的信息发布流程中，数据发布执行者的信息安全意识与规范程度很大程度上决定了数据发布的数据安全性。而数据发布安全技术工具的意义就在于弱化数据发布安全对于人的依赖，在数据发布过程中对发布数据进行处理，攻击者即使得到了发布的数据，也无法获取原数据中的敏感信息，与此同时，数据发布安全技术工具还要对发布过程进行控制和记录。

隐私保护数据发布

• 一套完整的数据发布安全管理工具包含三个模块：数据发布平台，数据发布数据库和数据发布事件处理平台。
• 数据发布平台：是对发布数据进行处理、控制和记录发布过程的统一安全管理平台，是保证数据安全发布的“核心大脑”。
• 数据发布数据库：是专门为数据发布平台和数据发布事件处理平台的数据搭建的数据库，包括所发布的数据、发布的用户、流程记录、事件记录等。
• 数据发布事件处理平台：用于处理在数据发布后所发生的数据安全事件。
• 对发布数据进行安全处理的技术是数据发布安全工具的基础和核心。处理的目标在于发布数据的“可验证性”和“抗联系攻击性”，一个比较典型的例子就是投票数据的公布，“可验证性”就是投票者可以验证自己的参与是否被正确计票，“抗联系攻击性”就是从已公布的投票数据中并不能推导出投票者的选择。
• 数据发布是数据交换和数据共享中很重要的环节。在现实生活中，很多组织机构需要定期对外发布数据，例如，上文中提到的投票数据发布，政府机关定期发布的政府工作报告，上市公司定期对外发布的财务经营报表，等等。近年来，随着信息化技术、网络技术和存储性能等技术的不断成熟，大量数据的发布变得越来越方便和容易。技术的成熟，加上外部环境和业务的需要，组织机构内部会公开发布大量的数据，但也因此给个人隐私和组织机密带来了隐私保护方面的安全问题。如何解决数据发布过程中可能存在的隐私泄露问题，已经成为当前数据交换共享领域的一个研究热点，并由此催生出了一个新的研究领域——数据发布中的隐私保护（PPDP，Privacy Preserving in Data Publishing）。PPDP的主要任务是解决隐私保护和数据发布后的数据可用性之间矛盾的平衡问题，与之对应的主要目标是在保证发布数据可用性的前提下，适当损失原始数据所包含的信息，以提高发布数据的安全性，从而达到隐私保护与信息可用性之间的平衡。

基于匿名的隐私保护数据发布技术

• 基于匿名的隐私保护数据发布技术，也称为基于限制的发布技术，主要是采用数据匿名算法对所发布的数据进行处理，一般包括抑制（即不发布该数据项）和泛化（即对数据进行更概括、抽象的描述）等操作。
• 基于限制的发布技术，是指为了实现对数据隐私的保护，根据情况有选择地发布原始数据和较低精度的敏感数据，或者不发布数据。“数据匿名化”是当前基于限制的发布技术的主要方法和研究热点，是对敏感数据进行选择性发布，以达到数据隐私保护和数据可用性的平衡。除了设定好能够平衡数据隐私保护和可用性的匿名化原则之外，数据匿名化研究还要针对特定的匿名化原则设计有效的匿名化算法，并将其应用在现实的数据发布中。
• 抑制和泛化是数据匿名化采用的两种基本操作。数据抑制是指抑制特定数据项的发布，如部分发布或者不发布，数据抑制可以很好地避免特定记录的隐私泄露。数据泛化是指使用更概括、更抽象的信息代替原始数据，这样就可以在不泄露数据的精确信息的前提下保留数据的统计特征和相关信息。例如，在发布个人的年龄信息时，可以用婴幼儿、少年、青年、中老年、老年等概念性描述来代替具体的年龄。数据匿名化技术研究时常用的技术有“K-匿名”策略和“L-多样性”策略。

基于加密的隐私保护数据发布技术

• 在某些场景中，如分布式隐私保护场景，数据在发布或传输的过程中，首先要解决的是通信的安全性问题。基于数据加密的隐私保护技术的原理是使用加密技术，在数据通信过程中对数据进行加密，从而隐藏敏感信息。基于数据加密的隐私保护技术多用在分布式应用中，如分布式数据挖掘、分布式安全查询、几何计算、科学计算等应用。由于数据加密技术多适用于分布式应用和数据值的加密隐藏，因此在面向聚类的隐私保护数据发布场景中，该技术没有得到广泛应用。

基于失真的隐私保护数据发布技术

• 在面向聚类应用的隐私保护数据发布研究中，最常用的是基于数据失真的隐私保护技术。数据失真技术通过扰动修改原始数据来实现隐私保护和信息隐藏，扰动修改后的数据应同时满足以下两个要求。第一个要求是攻击者无法找到真正的原始数据，即攻击者通过扰动后的数据不能恢复或重构真实和完全的原始数据。第二个要求是扰动后的数据其聚类可用性保持不变，即从原始数据中和从发布后的数据中得到的聚类信息是相同的。
• 在基于数据失真的隐私保护技术中，数据扰动是目前比较常用的一种方法，其主要思想是通过对原始数据的修改实现对微数据隐私的保护，这种扰动很容易造成数据个体差异的改变，数据扰动在使敏感数据失真的同时，能够维持某些数据或某些数据的属性保持不变，但也可能会带来一定程度的信息丢失。面向聚类应用的数据扰动研究，主要采用几何变换、数据交换及数据替换等扰动方法对数据实施隐私保护。

技术工具的使用目标和工作流程

• 数据发布记录：
  • 技术工具可以对数据发布的全流程信息进行记录，包括发布的信息、发布的时间、发布的用户、事件记录、变更记录等，为数据发布提供可追溯的条件。
• 数据发布控制：
  • 技术工具应能对数据发布进行安全控制和处理，利用隐私保护技术和算法对需要发布的数据进行处理，保证发布的数据不会泄露个人隐私和组织秘密。
• 数据发布事件处理：
  • 技术工具应具备发现、收集和处理数据发布过程中的异常和安全事件的能力，能够及时告警并处理发生的数据发布异常和安全事件，从而对各类事件进行有效处理。