區塊鏈 數據安全(權證鏈解決方案I 區塊鏈技術在數據安全與合規中應用場景)
美國電信巨頭Verizon公司發布的81個國家參與調研的《2020年數據泄露調查報告》數據:58%的數據泄露事件涉及個人隱私泄露;72%的受害者為大型企業;企業內部攻擊占 30%,外部攻擊占 70%;55%的泄露事件和有組織犯罪有關。
一、數據安全與合規風險與挑戰
數字化背景下,數據以電子數據形式存儲為主,數據來源于業務系統、研發系統、財務系統、運維管理系統等核心業務部門。《數據安全治理白皮書3.0》介紹了組織數據安全面臨來自內外部兩方面的威脅:
(一)數據安全的外部風險
當前全球黑產規模達到千億美元,新的攻擊和外部數據安全威脅,包括“通過軟件中植入木馬竊取數據、利用網絡爬蟲抓取和分析隱私數據、用勒索病毒和加密數據敲詐贖金、數據委托處理時被合作方盜用數據、關聯已經泄露數據撞庫攻擊”。
(二)數據安全的內部風險
業務人員違規篡改數據牟利(篡改考試成績、交通違章記錄)、內部人員竊取商業秘密非法牟利、研發人員向業務系統中放置后門(在編寫代碼時放置后門,系統上線后悄悄利用后門盜取或篡改數據、運維人員為泄憤惡意破壞數據、員工親友冒用員工身份竊取數據。
(三) 數據意外丟失風險
數據本身存儲安全不容忽視,云平臺故障、服務器故障、軟件故障、設備老化、人為誤操作、病毒入侵、火災漏水等。2018年某云因云硬盤故障,導致“前沿數控”存放的數據全部丟失。
數據安全事件依據數據敏感重要程度、安全事件影響范圍帶給國家、企業、社會公眾利益不同程度的破壞及傷害,數據安全立法和監管不斷加強。2015年信息技術領域全球著名的研究和咨詢公司高德納在其發布德《2015年數據安全技術成熟度曲線》報告中,開始使用”數據安全治理“說法。
2021年9月中國《數據安全法》實施,數據定義為“是指任何以電子或者其他方式對信息的記錄”。在第27條提出“開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務。《網絡安全法》、《個人信息保護法》也對數據安全防護進行要求。
另外,其他相關法律法規對于數據安全做了相應規范:2019 年 8 月,國標 GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》正式發布。2020 年 12 月,工信部正式發布《電信和互聯網行業數據安全標準體系建設指南》。
數據安全,是指通過采取必要措施,確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力;必要措施包括管理措施和技術措施。數據安全與合規,指對數據安全所適用的法律法規的符合程度,是數據全流程安全管理,包括數據采集安全、傳輸安全、存儲安全、數據處理安全、數據交換安全、數據銷毀安全。
二、新型數據安全保護技術區塊鏈應用
據 Gartner《2020 年數據安全技術成熟度曲線》預測,數據安全治理仍處于創新萌芽期,屬于新興技術,市場滲透率約為 1%至 5%,全球在數據安全治理方面的技術和產品還不太成熟。
《區塊鏈與數據安全治理白皮書》(2021)數據:2018 年中國數據安全市場達到 29.7 億元,增速 29.6%, 2019 年增速進一步提升至 32.7%,規模達到 39.4 億元。預計 2023 年數據安全市場規模將達到 97.5 億元。目前,政務、金融、能源、電信、醫療、互聯網、文創教育等關鍵信息基礎設施所在行業和敏感領域普遍在加快推進數據安全治理相關工作。
企業或其他組織采用技術措施對數據安全進行保護,包括“使用技術手段對數據內容安全管控,即保護數據完整性(防篡改)、保密性(防泄露、防濫用)、可用性(防勒索、防破壞);以及在發生安全事件時使用技術手段對事故追溯,對事件的原因、經過和責任人等進行追查和取證。”
傳統數據安全治理常用技術手段有”數據訪問權限控制、數據加密、數據脫敏、數據備份、數據水印溯源、數據安全審計“等。做為新興數據安全保護技術手段,區塊鏈在不同行業和領域的數據安全治理工作中逐步發揮數據確權、數據存證、數據追溯、構建開放透明生態等作用。
當前企業以數據為中心的數據安全治理理念,覆蓋數據生命周期的全部環節,構筑一體化的數據安全策略和風險防護方案。任何單一數據安全設備或方案都已經無法實現在數據被使用和共享的所有環節中無縫保護數據的安全。企業需基于組織人員架構和擬定的制度規范,選擇和實施適宜的數據安全產品、服務等技術手段。
(一)傳統數據安全保護技術手段及應用
1、訪問權限控制:對系統數據訪問及操作,依據最小、必要原則授權、限制用戶對數據訪問范圍;
2、數據加密:將信息明文數據經加密鑰匙及加密函數轉換成無意義密文數據,如需獲得信息內容,需將密文經過解密密鑰處理恢復成明文。主要用于數據傳輸、存儲環節;
3、數據脫敏:對數據中包含的秘密或隱私信息進行數據變形處理,使得惡意攻擊者獲取脫敏數據后無法識別重要機密信息,是個人信息等隱私保護主要手段;
4、數據備份:為防止系統出現操作失誤或系統故障導致數據丟失,將全部或部分數據集合從應用主機的硬盤復制到其它的存儲介質的過
5、數據水印和溯源:向數據中嵌入類似水印的特征而實現事后能對數據違規使用行為進行溯源和稽查;
6、數據安全審計:企業業務系統中組件,用于審計、存儲和跟蹤對數據所做的更改。
(二)區塊鏈技術數據安全保護及優勢
傳統數據加密、數據脫敏、數據備份等保護技術手段以“系統為中心”、保護“靜態數據”,是企業內部行為。區塊鏈技術實現實時、動態的數據保護,將數據保護與可信擴展至組織生態系統。
《人民法院在線訴訟規則》規定區塊鏈存證的效力范圍,明確了區塊鏈存儲的數據上鏈后推定未經篡改的效力。2022年5月《最高人民法院關于加強區塊鏈司法應用的意見》提出到2025年,建成人民法院與社會各行各業互通共享的區塊鏈聯盟,形成較為完備的區塊鏈司法領域應用標準體系……提升司法效率。2020年2月國人民銀行正式發布《金融分布式賬本技術安全規范》(JR/T 0184—2020)金融行業標準。2020 年 5 月浙江省電子商務促進會發布《電子商務商品交易信息區塊鏈存取證平臺服務規范》,2022年1月《山東省大數據發展促進條例》鼓勵運用區塊鏈、人工智能等新技術創新數據共享模式,探索通過數據比對、核查等方式提供數據服務。
區塊鏈分布式賬本,保證數據不可篡改、可追溯性,解決數據安全可信問題,應用數據安全治理三個場景。
1、數據確權存證。數據文本上鏈確權后,在數據全生命周期做為可信憑證關聯各種權利、義務、責任;區塊鏈確權證書也是數據資產權益歸屬的證明。
2、數據流轉軌跡記錄。對數據來源、數據加工、數據訪問及操作、數據交易全生命周期關鍵節點數據文本及操作日志上鏈存證,形成數據生命周期賬本記錄全軌跡;
3、安全事件調查及舉證。利用存儲在區塊鏈中的數據流轉軌跡記錄信息,對數據安全事件進行調查、分析和舉證,客觀準確地還原事件經過,公平公正地判定各相關實體的具體責任。
區塊鏈技術對數據安全防護有效性提升,表現在如下方面。
1、區塊鏈存證驗證,消除全生命周期數據真實性質疑
企業依據傳統技術管控手段,部署安全保護工具,依然無法完全規避內外部風險,諸如備份數據、數據安全審計日志仍有被篡改刪除風險,無法確認數據原始性。數據在區塊鏈存證后,生成唯一區塊地址、哈希值、上鏈時間并永久保存,可用于數據采集、加工、流轉、交易、刪除以及安全事件中等各個環節中真實性驗證。鑒于區塊鏈存證可信,數據相關主體對鏈上數據具有一致性確認。
案例:瑞幸咖啡財務數據區塊鏈存證。自財務造假事件后,面對公眾對瑞幸咖啡財務數據不信任,瑞幸咖啡利用區塊鏈技術增強企業業財數據的可信,將公司核心業財數據上鏈,利用相關第三方做交叉驗證強化增信效能。
2、自定義數據保護“顆粒度”,降低資源消耗
企業海量數據,數據安全保護是一項巨大系統工程,通常為了防范1%風險,降低99%用戶在線體驗,帶給企業巨大人力、時間、費用消耗。區塊鏈技術針對專項場景,自定義數據保護“顆粒度”范圍,降低資源消耗。依據業務場景、敏感數據分類、技術可操作性、預算成本以及企業合規管理發展階段,對所保護的數據,即上鏈的數據的顆粒度可以自定義。結構化數據,上鏈源數據可以為“數據庫、數據表、單條字段” ;非結構化數據,上鏈源數據可以選定任意“文本、圖片、音頻、視頻、源代碼、系統日志等”。
3、業務合規流程嵌入數據上鏈節點設計,增強數據價值
《中央企業合規管理辦法》:第三十四條中央企業應當定期梳理業務流程,查找合規風險點,運用信息化手段將合規要求和防控措施嵌入流程,針對關鍵節點加強合規審查,強化過程管控。在不同企業合規專項管理中,依據內外部法律規章制度,系統化設計上鏈數據關鍵節點,在區塊鏈上實時記錄業務合規關鍵流程或完整流程,即“誰,在什么時間,在什么地點,進行何種行為,產生什么結果”;實現上鏈數據滿足內部管理、司法要求完整的證據鏈,并在后續數據資產開發中證明數據資產質量。
4、區塊鏈與組織信息化系統無感對接,數據不外泄
區塊鏈技術對數據安全保護具有高度友好性,不需要修改或替換企業現有的信息安全管理系統或者IT治理流程,通過調用區塊鏈技術平臺數據存證驗證接口,即可滿足或增強數據安全與合規性要求。企業將內部數據文件計算哈希值,將哈希值通過區塊鏈服務平臺(如,權證鏈第三方存證平臺)進行上鏈存儲,內部源數據在本地存儲,數據上鏈驗真同時不泄密。
5、安全事件中第三方存證平臺高效、可信出證、驗證
當安全事件發生時,無論是外部公證人員、司法鑒定人員還是內部數據安全審計,安全事件中“數據篡改、刪除、恢復”取證過程繁瑣、二次泄密風險、費用高、司法采信具有不確定性、出證周期長。區塊鏈技術首次實現實時、動態的數據保護,一經發生安全事件,可以隨時從區塊鏈及第三方平臺出證、驗證數據真實性,并且可針對“單條字符串”、“某一用戶ID”等細顆粒度數據出證驗證,控制數據接觸范圍。
三、權證鏈數據安全與合規一站式服務方案
隨著《數據安全法》、《個人信息保護法》及其他標準密集出臺,數據安全保護意識從國家層面到個人個體空前加強,與此同時企業數據保護技術措施具有一定滯后性。2021年至2022年數據合規涉案企業增多、高標的額商業秘密案件增多、大量數據收集不合規APP被整改下架。
當企業發生數據安全事件時,企業聲譽受損,公眾對企業產生不信任導致市場收益減少、股價下跌;同時企業也面臨來自上下游受害者訴訟風險,嚴重時則有可能被行政機關暫停業務。
權證鏈,第三方區塊鏈電子證據平臺,北京互聯網法院天平鏈存證應用接入,為企業及各類型組織提供數據安全與合規一站式服務方案,助力企業數據安全與合規管理。
(一)權證鏈數據安全保護產品“哈希值存證”
權證鏈,提供“源文件哈希值存證產品”滿足企業數據“真實性、合法性、一致性及可溯源”證明目的實現。權證鏈提供API接口接入、本地部署權證鏈系統兩種接入方式,在不改變企業原信息系統條件下,無感完成接入,接入周期3-5天。企業所有上鏈源數據保存本地不泄露。
企業在線數據平臺或者信息管理系統在本地計算源文件對應哈希值,通過權證鏈API接口,將哈希值上傳到權證鏈平臺,權證鏈存儲該哈希值及相關附屬信息(實名認證信息、文件名、接口IP地址、上傳時間等)并將哈希值同步上鏈北京互聯網法院天平鏈并接收返還天平鏈存證編號(區塊地址)至權證鏈平臺。權證鏈生成用戶存證電子證書并將天平鏈存證編號、電子證書返還至企業系統。在天平鏈上實時記錄上鏈數據哈希值及生成時間。如需驗證數據真實性,在權證鏈平臺或者北京互聯網法院驗證頁面輸入“上鏈數據、天平鏈存證編號”,可驗證“存證用戶、區塊地址、存證時間、存證哈希值”;如數據被篡改則不能通過驗證。
通過利用區塊鏈本身技術特點實現了企業數據可信存證、高效驗證,實現數據相關權益主體之間、監管部門、司法部門數據一致性確認。
案例:二手車交易APP在線數據溯源性存證。電商平臺調用權證鏈存證接口,將“客戶管理信息、產品信息及在線營銷、訂單簽署、合同簽署、支付/還款等過程日志文件等”對應唯一哈希值,按照業務流程、證據鏈完整性及時間排序寫入天平鏈,防篡改存儲,實現電商平臺業務全流程追溯、數據在交易各方之間公開透明。在線存證推進證據真實性判斷前置、創新企業內部數據溯源治理
(二)權證鏈數據安全產品服務流程
1、權證鏈與客戶合規部門、律師共同確認應用場景
數據安全治理是在具體業務場景下完成,不同業務場景有不同訪問用戶、訪問途徑、數據使用操作過程。典型應用場景有:在線業務數據安全、個人信息保護數據安全、產品研發及商業秘密保護、財務數據數據安全、電子合同數據安全、OA系統數據安全、營銷數據安全、供應商管理數據安全等。企業所屬行業特性決定企業數據安全保護側重點。權證鏈建議從數據敏感性強、訴訟風險高且迫切的場景啟動專項數據保護。
2、權證鏈與合規部門、律師共同設計數據上鏈節點
針對外部適用的法律法規及內部規章制度要求,設計業務場景數據上鏈存證節點。如在線業務數據、NFT平臺數據、大數據交易平臺數據上鏈節點遵循《電子商務法》、《民法典》等法律法規要求;商業秘密場景下數據上鏈節點設計遵循《商業秘密合規管理指引》等規范;個人信息保護場景數據上鏈存證節點遵循《個人信息保護法》以及相關規范等。權證鏈與合規部門、律師共同設計數據上鏈節點,滿足數據安全及合規管理監管要求及訴訟證據留痕。
3、權證鏈與合規部門、技術部門共同設計數據上鏈技術方案
針對特定應用場景,進行合規要求的數據上鏈節點設計后,權證鏈與合規部門、技術部門共同設計數據上鏈的技術實現方案,包括:
(1)數據上鏈存證驗證方式:API接口方式或者本地部署權證鏈系統方式;
(2)上鏈哈希值對應源數據文件格式:結構化數據或者非結構化數據;
(3)數據上鏈順序:依據數據產生時間順序或者依據業務邏輯順
(4)數據驗證方案:存證編號驗證或者存證編號+源文件驗證等。
權證鏈,運用區塊鏈技術“以數據為中心”,為客戶構建貫穿數據流轉各個環節的一體化安全策略,做到數據自由流動同時,數據走到哪里,留痕記錄覆蓋到哪里,在區塊鏈上形成一套難以篡改、刪除、可信的賬本。權證鏈做為司法聯盟鏈北京互聯網法院一級節點,司法鏈存證相較于一般企業區塊鏈更具有權威性,滿足企業訴訟、涉案企業合規不起訴監管、上下游合作伙伴關于數據一致性信任。