【VK技术分享】数据安全怎么做—静态数据的识别和治理

  • A+
所属分类:安全闲碎




前言



在当前的数据时代,随着云计算、大数据、AI等技术的不断发展,“数据”已经渗透到当今每一个行业和业务职能领域,成为重要的生产要素。数据的计量单位也至少是PB级别计算。这对于国家、企业和个人面临着网络安全、数据安全和隐私等一系列问题上,都提出了全新的挑战。国内外相继出台了GDPR、LGPD、CCPA、网络安全法、数据安全法(草案)和个人信息保护法(草案)等,这个时代不仅给“数据”赋予了“价值”属性,也同步赋予了“法律”属性,数据安全不在是组织自身安全问题,也是公共安全和国家安全问题,这些都推动着国家和企业重视数据,重视数据安全。

那数据安全怎么做,数据安全工作的重大和有效抓手是什么,今天跟大家分享数据安全工作的关键之一——《静态敏感数据的识别和治理》

关于静态敏感数据的防护,我们常用的手法是加密或脱敏,手段虽然简单,但是要想有效执行,并能够量化确认落地效果,还是有一定的难度的,今天跟大家分享下个人的想法和做法。





方案思路及目标




1

方案目标

保证静态敏感数据的保密性。


2

衡量标准

静态敏感数据的加密或脱敏覆盖率100%。


3

治理范围

关系型数据库中的静态敏感数据。


4

总体思路

本文主要是谈两部分内容,一个是静态数据的主动识别,一个是识别到数据安全问题后的治理工作。

敏感数据识别是数据安全工作的切入点和基础,我们需要知道组织有哪些数据,了解清楚自身的数据家底,才能有效的做好下一步的分析、治理和运营等工作,知不足,补缺陷,符合规,满内需!

数据治理则是在数据识别的基础上,识别当前数据存在的问题和风险,通过一系列的数据治理手段,即战略层定目标、定组织、定决策,战术层定方案、定策略,执行层落地。本文主要分享战术层和执行层的做法和思路。





方案内容



1

方案架构

本方案将以管理和技术两个维度方向落地完成。管理层面,发布《数据分类分级管理制度》、《数据安全管理制度》、《数据申请管理制度》和《数据加密管理制度》等,形成标准要求并发布;技术层面搭建一个平台,自动对数据库内的数据进行检索发现,基于策略对数据库字段的数据做抽样分析,识别未防护的数据字段清单,进而协调相关方按要求整改。本文重点分享技术部分内容。

技术架构思路如下:

【VK技术分享】数据安全怎么做—静态数据的识别和治理

2

数据分类分级(重点)

TIPS:详细内容可参考另一篇文章《数据安全怎么做:数据分类分级》

大超,公众号:大超的记事本数据安全怎么做——数据分类分级


a)概述

根据组织数据的属性或特征,将其按照一定的原则和方法进行区分、归类和定级,识别数据对组织的具体价值,从而确定以何种适当的策略,保护数据的完整性、保密性和可用性 。

b)目标确定公司的敏感数据具体内容,制定统一 的数据分类分级标准。

c)依据此处我们可以带着两个问题,来了解公司数据情况:

  • 公司会通过哪些途径采集外部的哪些数据?

我们要了解公司对外发布的应用、api、三方数据外出等途径,这些途径会获取哪些信息和所签订的隐私协议内容等。

  • 公司自身会产生哪些数据?

这块我们要对公司自身组织及业务情况有个比较清楚的梳理,了解自己内部的组织的相关人员会对内输出什么数据等。

d)示例

敏感信息举例如下:

  • 用户数据类:身份证、手机号、银行卡号、社保号等

  • 业务数据类:市场数据、商业数据等

  • 公司数据类:财务数据、人力数据等

e)产出《数据分类分级管理制度》、《数据安全管理制度》、《数据申请管理制度》


3

资产输入(重点)

a)概述

安全的任何工作开始之初,最重要的工作之一是先梳理清楚资产信息,这些数据主要依托于业务和数据管理团队提供,如通过内部数据库的cmdb获取等;数据虽然主要依托于干系部门,但是作为安全,我们自身要有数据源的判断和验证能力,用以确定当前的资产覆盖范围是全面的,在此基础之上的安全建设和防护才是切实有效的。

个人觉得:组织业务上做了安全建设防护了防不住不可怕,这个可以指导我们安全建设的方向,查漏补缺,制定下一阶段的规划和目标;可怕的是资产上有盲点,本可防护住的资产,却未建立任何防护,这种情况导致出现安全问题就相当可悲了。故摸清家底很重要!很重要!很重要!

b)目标

确定资产范围,保证资产的全面有效性

c)示例

针对于静态数据治理层面我们主要需要两类信息,分别是业务信息、主机信息(存在生产数据库),具体概述如下:

  • 业务信息:业务名称、业务负责人、安全接口人

  • 主机信息:集群信息、主机地址、主机状态、数据库账号密码等

d)数据验证

基于日常安全资产扫描,包括但不限于主机存活、端口开放、协议识别等,结果与三方提供资产做比对,互为双重验证。


4

数据识别

a)概述

基于业务数据资产清单和全局审计权限的账号,通过技术扫描的方式对数据进行主动发现,发现生产机器中的库、表、字段、备注、样本数据等,建立数据地图。

b)目标

建立安全所需的数据地图

c)示例

识别后的结果输出举例如下:

业务信息 字段 数据样本 字段备注 主机IP 负责人 安全接口人
test test test phone 12345678910 手机号 1.1.1.1 张三 李四


5

数据分析

a)概述

基于数据分类分级中对敏感数据的定义,制定全面和有效的分析策略,在数据地图的基础上筛选出敏感数据,并确定它们当前的状态。

b)目标

筛选出敏感字段清单,并确定敏感字段内容是否进行了加密或者脱敏。

c)示例

分析策略举例如下:分析策略以正则表达式为主,正则表达式可以基于三个方面进行设置:

  • 字段内容:识别分析字段内容,以识别敏感信息字段

  • 字段备注:识别分析字段备注,以识别敏感信息字段

  • 字段名称:识别分析字段备注,以识别敏感信息字段


6

数据确认

a)概述

正则表达式的识别,或多或少会出现针对“敏感字段”的误报和漏报,前期我们需要一定的人工介入,来规避此类隐患。

b)目标

通过人工干预的方式,使数据分析阶段误报和漏报的隐患降到最低。

c)示例

主要任务示例:

  • 人工确认,判断数据分析的结果是否满足预期,识别异常数据,优化数据分析阶段的正则表达式

  • 人工确认,输出敏感字段清单,反馈给数据分析阶段,用以判断敏感信息字段是否进行加密或脱敏处理

  • 人工确认,对结果数据进行人工打标,输出正负样本进行模型训练,提升数据分析的准确率


7

数据治理

a)概述

部分数据安全问题需要提升到数据治理维度,方能快速和有效的解决,此处个人建议亦是如此;基于数据分析确认后的结果,我们会通过数据治理的手段推动和协调相关方进行有序整改。

b)目标

保证静态敏感数据的保密性。

c)示例

整个数据治理分为三个维度,示例相关如下:

【VK技术分享】数据安全怎么做—静态数据的识别和治理

  • 治理层

定组织:建立数据治理组织和安全干系人体系。治理组织用以对整个公司数据安全的方向和战略做决策;安全干系人体系用以执行层面遇到问题的快速联动。

定目标&方向:方针、目标和方向会使战术层和战略层的执行更加明确和清晰。如:敏感数据全覆盖加密。

定决策:为关键事务、战术层的异议等做决断。如:绝密级数据的访问或使用的异议,需上升到治理层做决策。

  • 战术层

划定目标的范围,如关系型数据库;在此基础上制定与之匹配的方案和计划,如加解密方案、洗库方案等,通过项目的形式和有效的时间管理协同完成;除此之外,任何事情,我们都需要定一个指标,也就是一个成功的衡量标准,如敏感数据100%加密存储等。

  • 执行层

执行的话,就是通过协调、沟通、响应等方式,有效将战略层和战术层的规划落地。针对本方案,重点强调一部分内容。即关于加解密平台。(重点)

我们需要关注以下三点:

  • 加密平台的健壮性:账号、权限、审计等。kms平台的健壮性:

  • 密钥的管理机制、密钥的轮换机制(如30天一更换)、密钥的权限区分机制(如不同的业务使用不同的秘钥)等。

  • 加密算法的健壮性:Hash+salt、aes256、rsc、商密、普密等,选择最适合业务的。


8

数据展现

安全做到最后都会进入一个运营阶段,而运营也是整体安全工作中最大的关键点和难点,好的安全运营会给安全工作带来质变。

关于今天分享的静态数据的治理运营,举例两个运营中可以做的点,一是指标量化的可视化展示;二是数据治理的协调平台,例如工单平台、SOAR平台等。

  • 可视化

示例如下:

【VK技术分享】数据安全怎么做—静态数据的识别和治理

底层数据支持相关简单举例如下:
业务信息
字段
数据样本
字段备注
主机IP
负责人
安全接口人
是否加密
数据级别
test
test
test
phone
12345678910
手机号
1.1.1.1
张三
李四
G2

通过上述内容,我们可以清晰的看到当前关于静态数据治理的状态。

  • 协同平台

此处不做示例,可参考漏洞管理平台、工单管理平台、SOAR等平台的思路,在平台上高效协同执行和沟通相关整改落地工作。





总结



数据安全是个庞大的概念,很多工作都可以划分到数据安全的范畴,本次分享的内容是众多数据安全工作中比较关键的一个,静态数据治理这个思路不复杂,复杂的是基于各自的公司文化将它比较好的落地,一旦落地,无论是外部合规层面还是内部企业自身安全层面,我们安全人员的底气都会增加很多。

TIPS:在整个静态数据治理过程中,务必重视两个问题,一个是覆盖范围的全面性问题,我们要保证覆盖的数据资产是全面的,覆盖的敏感数据的全面性。另一个是加解密平台的健壮性问题,加解密平台要有权限划分、使用管控、审计、kms足够健壮等。





这是【VK技术分享】的第13期
后续我们将持续输出优秀的技术文章
如果您有任何希望交流讨论问题
欢迎在文末或后台进行留言
我们期待与您的技术交流和思想碰撞




技术分享时间结束插播两条广播📣
💥VK SRC今年最后一场重磅活动正在进行中
有效漏洞最高可获得三倍奖励
💥VIPKID信息安全部招聘开启中
涵盖基础安全、应用安全、数据安全等多方向职位
诚邀优秀安全人才加入共建安全

【VK技术分享】数据安全怎么做—静态数据的识别和治理

VK SRC今年最后一场重!磅!活!动!


【VK技术分享】数据安全怎么做—静态数据的识别和治理

【招聘】您有一份offer请查收!


关于VIPKID SRC
VIPKID安全响应中心(VIPKID Security Response Center)--简称VKSRC,隶属于VIPKID信息安全部,于2017年10月25日正式上线。VKSRC的上线,旨在建立一个连接白帽子、安全团队和安全爱好者们的官方渠道和沟通桥梁,主动收集、发现潜在的安全威胁,全方位保障VIPKID公司、用户及合作伙伴的信息和隐私数据安全,共建互联网安全生态。

【VK技术分享】数据安全怎么做—静态数据的识别和治理

【VK技术分享】数据安全怎么做—静态数据的识别和治理
【VK技术分享】数据安全怎么做—静态数据的识别和治理

点个【在看 】吧

本文始发于微信公众号(VIPKID安全响应中心):【VK技术分享】数据安全怎么做—静态数据的识别和治理

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: