数据安全、隐私保护已成为政府、企业等单位安全能力建设的重要环节,然而,在复杂的IT系统环境下加强数据隐私保护,对传统的数据防泄密技术及产品是非常大的挑战,也给企业的数据管理增加沉重的负担。
大型企业内部网络环境、数据存储架构复杂,数据隐私保护依赖数据发现、管理、分类等多环节的技术支撑;
多部门数据协作共享,需通过数据的关联、聚合分析才能更合理的发现隐私泄露隐患;
与合作伙伴或供应商等第三方企业的数据共享环节,数据的管理、隐私策略的配置尤为关键,特别是针对应用使用用户隐私数据的权限管理,以及数据流动过程中的合规问题,在复杂的企业多部门协同和跨企业的供应链数据流管理方面,存在巨大的合规性挑战。
应对这些挑战需要专业的、自动化的管理流程和技术方案的支持。
如何进行数据发现,对进行数据合理分类,让数据变得可视,不再杂乱,是数据安全建设的第一步,也是很重要的一步。
一、服务器、数据库、应用系统发现
通过主动探测或流量分析的方式对服务器、数据库和应用系统进行数据发现和数据分类,让杂乱的数据变得清晰可视,帮助客户梳理资产,为后续数据安全防护提供基础和依据。
1.1 服务器发现
通过流量镜像或者主动探测方式自动发现网络中的数据库服务器,文件服务器(FTP、Netbios)、web 服务器的IP 地址和端口配置。
1.2 数据库发现
数据发现与分类系统提供自动发现网内数据库的功能,也可以指定IP 段和端口的范围进行发现,能够自动发现数据库的基本信息包括:数据库类型、数据库实例名、数据库服务器IP 地址、端口号等。
1.3 应用系统发现
常见应用系统进行数据发现,如B/S 架构的业务系统、FTP 文件服务器等。通过主动探测或旁路流量镜像获取业务系统或FTP 服务器的IP 地址、账号和敏感信息,对敏感信息进行分类。
二、敏感识别和分级分类
通过支持数据库、应用系统中敏感信息的自动发现能力,内置敏感数据特征算法,可以对姓名、电话、身份证、银行卡号、email、地址等敏感信息自动识别和分级分类。
2.1 敏感特征库
通过正则表达式、关键词匹配、机器学习、深度学习等技术实现构建特征库或相应模型。创建行业模板关联敏感特征和定好相应的分级分类。数据抽取后通过算法匹配特征库自动为数据打标。
-
个人信息敏感特征
基本信息
中文姓名、身高、民族、年龄
财务信息
银行卡号、金融账号、保险账号、网银账号
个人证件
身份证、社保卡号、驾驶证、护照号、军官证号
通讯信息
手机号、中文地址、固定电话、电子邮件、邮政编码
企业信息
企业名称、机构代码、三证合一、税号、营业执照
-
行业特征敏感信息
各行业特征信息库不同,根据不同行业设置相应敏感特征
2.2 分级分类
可以依据国家标准、地方标准、行业标准编制实施框架,如大数据数据分类指南、行业数据分级指南等规范进行分级分类的建设和设置。
数据分级分类要基于以下几个原则
-
合法合规原则
-
分类多维原则
-
分级明确原则
-
就高从严原则
-
动态调整原则
2.3 敏感识别
扫描资产进行数据抽取,通过识别策略匹配相应敏感特征,对照行业模板分级分类和特征的关联,为数据自动打标
2.4 风险账号
数据库、应用服务、文件系统账号动态分析、监测。实时了解各资产账号的状态及风险情况。实现风险预警
比如下列场景
-
账号无权限操作数据库、文件系统、应用系统功能
-
长期不活跃的账号访问敏感信息
-
账号的访问客户端IP发生变化
-
访问行为偏离了基线、如突发提权操作
-
一段时间规律的遍历数据
-
单次操作数据记录数超过阈值
通过以上方法和流程能够对企业内部资产进行盘点、自动分级分类操作。为企业数据安全治理提供了基础。
原文始发于微信公众号(数据安全治理技术):数据资产梳理及分级分级
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论