資訊化時代引領人類世界進步的同時,資料的副作用也慢慢顯示出了它的威力。
近些年來電話詐騙、網絡欺詐等事件層出不窮,不法分子利用個人隐私資訊(如電話号、身份證号、銀行卡号等)來進行詐騙,導緻無數人的生命和财産安全受到損害。從國家層面上來看,國家關鍵基礎設施機關、重要部門的敏感資料一旦洩露,更會對國家安全造成嚴重影響。鑒于資料洩露的巨大危害,大陸分别在2021年9月1日和2021年11月1日實施了《資料安全法》[1] 和《個人資訊保護法》[2]。在我們享受資訊化時代帶來的便捷同時,資料安全也值得引起我們的重視。
下文我們首先會介紹部分資料洩露事件,随後對預防資料洩露的兩個創新解決方案(“私有源代碼暴露核查服務”和“數安湖”隐私計算平台)進行介紹,最後對其進行總結。
資料洩露事件
近些年來境外黑客對大陸展開的網絡攻擊不勝枚舉。自2021年10月以來,一個名為AgainstTheWest(ATW)的境外黑客組織,便通過SonarQube平台的未授權通路漏洞對大陸多家關鍵資訊基礎設施機關發起攻擊,竊取其系統的資料,并在國外黑客論壇RaidForums上進行非法售賣。
2022年1月20日,該組織又發起了更大規模的攻擊,這次ATW利用了Gitlblit自建代碼倉庫中的未授權通路漏洞竊取了大陸多家重要機關系統的資料,并在同樣的論壇RaidForums上進行了非法售賣,更多詳情請見:
http://blog.nsfocus.net/gitblit-snoarqube/
源代碼暴露核查服務
近年來,資訊安全事件頻發,資料洩露事件屢見不鮮。對此,綠盟科技創新研究院進行了大量的研究,發現上述重大資料洩露案例都與源代碼洩露相關,一個系統的源代碼往往會由多個開發人員進行編寫,而個别開發人員可能因安全意識不強,将代碼放置在了暴露的網絡環境,進而造成了源代碼洩露。
基于我們深厚的雲上風險研究積累,綠盟科技推出了源代碼暴露核查服務。通過該服務,我們可以深度發現網際網路上與企業和機構自身相關的暴露代碼倉庫,綠盟科技也是行業首個針對非開源資産代碼倉庫(如:Gitblit、Gogs、Gitea)提供暴露核查服務的廠商。
截至目前,我們已經發現了大陸多個重要機關相關系統暴露的源代碼倉庫,目前已幫助多家機關進行了處理,部分示例如下:
圖1 某銀行預售款監控系統
圖2 某地水利系統
圖3 某醫院管理系統
圖4 某地鐵系統
在我們研究的同時,我們發現此類代碼倉庫暴露事件90%以上屬于外包供應鍊暴露模式(甲方機關将項目外包給專門開發某系統的公司,外包公司因為安全意識不強将代碼放在有未授權通路漏洞的倉庫之中進行管理),關系如圖5所示。
圖5 系統代碼暴露關系圖
由于外包關系,相關機關更難發現自身相關系統的源代碼是否暴露,是以進行代碼暴露核查顯得更為關鍵。
圖6 私有源代碼核查服務的優勢
“數安湖”隐私計算平台
源代碼暴露核查服務可以幫助使用者發現與自身相關的暴露源代碼,進而核查資料相關資訊是否有暴露,但是如果希望更徹底地降低資料暴露面,這時候便需要一個新興的技術——隐私計算。
隐私計算是指在提供隐私保護的前提下,實作資料價值的挖掘。借助隐私計算技術,我們可以保證重要資料不出本地,同時我們也可以利用這部分資料完成對應的機器學習和多方安全計算等任務。有了隐私計算,在不影響資料使用的同時,資料的暴露風險面會大大減少,資料安全也會得到一個質的飛躍。
憑借多年資料安全研究的積累,綠盟科技和海光資訊聯合釋出了“數安湖”隐私計算平台。該平台為客戶提供“資料可用不可見”的資料價值共享和流動,基于同态加密和密碼學底層協定,實作“原始資料不出庫,模型和結果多跑路”效果。該平台目前支援聯邦學習、安全多方計算和機密計算(TEE)三種主要的隐私計算能力,并擁有功能全、實施易、成本低、安全高等優勢。
随着全球資訊化時代的推進,資料變得越來越重要、資料安全也得到了越來越多人的關注。綠盟科技創新研究院結合前沿創新研究,推出“私有源代碼暴露核查服務”和“數安湖”隐私計算平台兩種新型解決方案。從理論研究和多個重要機關的實踐來看,這兩個創新解決方案可以更有效地預防資料的洩露,真正地降低實際案例下資料洩露的風險。
參考連結
[1]http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
[2]http://www.npc.gov.cn/npc/c30834/202108/a8c4e3672c74491a80b53a172bb753fe.shtml