数据安全项目实施工作随笔

给大家讲讲我这几天做数据安全项目的感受：

描述中有不当之处属个人水平有限，能力问题，敬请见谅，对于可能因此文收到伤害的组织和个人深表遗憾。

最近在实施一个数据安全项目，针对实施过程中发现的有些问题和困惑在此小叙，请各位专业人士答疑解惑或指正。

第一、没有数据字典，想做数据资产识别，基本是在吹牛逼。几乎所有的数据工具都无法标记表名和字段名的解释，也就是说根本不知道这个字段和表干什么用的；从目前拿到的数据字典而言，经常出现有表名无字段名，有字段名没表名，有字段或表但无解释的情况；甚至出现有表和字段但备注不可用；从实际验证发现，虽然数据字典中有表，但在实际功能对应的时候没有对应关系

第二、原本想依赖工具实现数据分类分级，结果是不同行业领域数据分类分级，不同表对相同字段的分类分级在实际场景下是不一致的，所以基本要人工全部干一遍，产品又是一个废柴；目前经过了解，有些标准化高的行业，是预先把字段释义和表释义写在数据扫描工具里面直接对应，如果没有对应的表和字段同样没有解释。因此这种做法局限性很大，一旦没有统一的数据API和标准化编目，依赖工具实现数据分类分级是个理想；

第三、产品最大的好处可以找到无数个数据字典里面没有标注的表和字段，能够最大化的识别到你的数据库服务器有多少垃圾，数据扫描工具还可以识别到主键关系和字段值的必要性，这是对数据资产识别的必要补充，但是不能替代完全执行数据资产识别和分类分级工作。同时能够对字段是否是加密做出识别，最好能够扫出加密的模式和密钥长度；

第四、数据安全不是十天半个月能做完的，没有开发和业务部门配合，单凭技术手段完成数据安全工作又是一个吹牛逼；识别HIS系统从通过数据字典建表、编目、分类分级，总共两个人做了四天才完成，接下来要做的是绘制数据地图，至少三天，也就是说真正的做完一个大系统是数据基础工作大概要7天的时间，可能是水平问题吧，我至今不可理解的是一个月如何完成整个组织的数据安全工作。

第五、不要抱太高的理想，第一步能够把所有数据资产识别出来，并且能够形成数据的基础分类分级和数据编目，我个人觉得已经很牛逼了。和一些甲方沟通了一下，得到的反馈是成果和预期大相径庭。因此有些甲方已经开始转换思路，先通过局部范围积累经验写行标，然后再扩大化数据安全工作。

第六、前段时间一直有人在问DCMM和DSMM的问题，我个人认为，目前我们的数据安全现状，不适合提能力成熟度，基于能力成熟度的建设是组织已经够建了基础数据处理活动和保护能力，如果连数据资产都不能有效识别的情况下，数据能力成熟度从何而谈。

原文始发于微信公众号（老烦的草根安全观）：数据安全项目实施工作随笔