诸子云 | 甲方 ：数据库水印好用吗？开发如何下沉安全？

关键词：数据库水印、安全开发、安全下沉、数据跨境、东南亚安全合规认证。

A1：DLP的厂家都有这个功能，我原来在明**达也是做过实际的项目。

A2：数据库水印，之前我们自己搞了一个，但是要改动业务数据，不好推落地。

A3：如果泄密文件被转版之后，再流出来呢？这个加密之初是不是要在数据库录入信息的时候就加密上？会不会有数据的格式、文本参差不齐的情况，导致加密水印的失效。

A4：我离开明**达很久了，你说的后面这几种情况都会有，文件格式版本适配是工作的大头。数据库水印是不影响可用性的，但与业务强绑定，需要跟业务沟通。

A5：要做到较好的追溯，水印需要动态生成吧，水印最好可以标识出如什么时间什么ip什么用户，都是变化的，这成本是不是就更高了。

A6：业务系统读取含水印数据库还是原始数据库？原始数据库到含水印数据库，技术上就类似ETL，做个spark/flink调度任务就能解决。

A7：数据库水印还是数据血缘啊？

A8：血缘，需要有元数据管理，否则上下游调用库表字段是关连不上血缘关系。看介绍就是数据库表里插一些特殊值，数据泄露了，根据特殊值关联，想的有点太理想化了，DBA首先就跳出来挑战，插入多少，样本量少，也还不一定能泄露覆盖到样本。

Q2：有家公司的安全开发准备搞一个安全下沉，安全部门的职责是监督、检查、指导，具体的安全事务由各开发部门自己做。请问大家是否了解过周围哪家公司有做到过的，想了解下具体怎么落地、有什么经验教训。

A1：听说过有些公司，安全团队专职提供工具和流程，把应用安全部分的一些安全扫描测试，下沉给软件测试了。PS.下沉的scope有限。

A2：评审工作呢？

A3：厂商平台能获取的是已销售给客户的产品的运行及状态信息；但是海外经销商会提到这些是他们获取的客户，那产品也是他们推广的，产品的状态信息为他们独有—且不能进行商业使用？这是重点…经销商不允许厂商基于商业目的使用这个数据（非用户及个人隐私类）。

A4：实际上，你会发现很多部门很防着安全的，特别是IT其他部门。例如运营，开发。所以他们自己搞安全基线，安全通过就行。而且惯例来看，大公司的安全部门的职责也很少有下沉的。特别是央企，就几个人管安全，根本管不来。

A5：这么玩也不是不行，减少安全团队编制，不做背锅侠，压实主体责任。无非就是定好基线，合规和审计一起上，做好奖惩制度。

A6：我们就是这样做的，我们提供工具与服务。只要明确安全是谁的责任就好了。

A7：这要看企业管理层对安全运作方式怎么看，一种是安全作为管理部门，制定标准与监管落实；第二种就是自己做标准，自己去落地。常见的第二种，缺点就是经常和业务吵架，措施难落地。第一种需要管理层支持才可以较好的落地。

A8：先说这种效果吧，效果不佳，首先需要运维团队，开发团队，测试团队有安全大佬在才行。如果是从 0-1 完全就是一个人的安全。

A9：给好基线，开发部门没有就设定一个。企业如果有安全委员会类似的组织，且能实际运作起来。可以从高层推动将安全责任写入各部门长的绩效考核内（可以作为扣分项）。

A10：这种很得罪人，你想，原来做运维的，做测试的都不懂安全，现在你给他们绑定安全绩效。其实下沉很难的，安全要堆人，而且业务部门要接受。

A11：跟你说一个实在场景，你让下面的人去安装一个扫描工具，下面人说，我比较忙，你自己先弄吧，然后给你服务器资源，然后你挺尴尬，一边是公司人员在裁员，一边大家工作都不少。而且现在要求业务部门公司化，这个墙马上就高高的了。

A12：是的，今年流行的一句话就是。饭都吃不起了，还谈啥安全。业务没了，也安全了。

A13：这种模式还是有局限性，安全运营必须要专业团队才行，否则护网打起来，研发运维都搞不定。几个做安全管理的人员也不行。这种下沉，实际就是将安全部门引入仅管理视角，是管理部门。技术落地工作逐渐削弱。但安全技术专业度比较难下沉，管理（责任）反倒好下沉。

A14：也就是需要安全管理人员7分技术3分管理，对于不会的要教会他们，对于他们会的还得做好审计。下沉模式，互联网企业多一点。下沉也得分领域：开发安全、分支机构区域网安全和终端安全管理（前提是得教会他们）；主要是将日常运维工作下沉，安全攻防、运营等专业技术工作还是要留在安全团队。

A15：开发安全其实就是做好sdlc的各种要求和复核工作，下沉之后，产品、系统、APP、小程序等“自负盈亏”。安全团队做好边界苍穹堡垒就好了。

A16：也不是，安全牵头只是对此项工作统筹全局负责，一旦有攻击、勒索等还得看是谁的错导致，谁就负责。

A18：看情况吧。假设主机弱密码、系统口令策略复杂度不够，字典一撞就可猜测、业务逻辑、风控触发条件不严谨等导致的入口，安全需要有精准判断能力，就不负主要责任了，但可能要负次要责任。

A19：工具做得好，管控体系做得到位，开发测试的意识和能力培训到位，可以下沉。但是这个前提很难。能否下沉，是否需要下沉，还是要看安全的规模、成熟度、价值和领导意愿，得先说清楚了，组织下沉的 roi 要高于安全独立运行，控制模式有很多组，参考项目管理就差不多了

A20：我个人感觉，现在安全团队工作职责的一般分两类：（1）强制执行的，所有业务团队都得按照这个执行。（2）为业务提供服务的，帮业务解决一些他也认为是风险的点。关于第一点，就是安全团队保证所有业务都在一个基本的安全水位上，不会出一些低级或常见的安全问题，这个怎么落地，怎么让业务全覆盖，就是安全团队的责任，也是安全团队要背的锅。关于第二点，就是增强安全，安全团队可以提建议，或者专业能力，但具体要不要做，做成什么样，还是看业务自己的认知。

Q3：请问，在新加坡部署零售类的SaaS软件，有包含个人隐私数据，涉及到跨境的业务数据出入境，需要做哪些新加坡本地的安全合规认证呀？我们国内有这方面的认证机构或咨询公司能够提供服务，还是一定要新加坡本地的认证机构或咨询服务机构来做的？

A1：新加坡有个人数据保护法PDPA。认证的话有个DPTM，不过认可度不高。

A2：这个是必须要做认证的，还是可以先不做的呀？

A3：小公司可以选SME，DPTM可以减缓处罚金额，还是有点用处。

A4：SME是企业级的安全认证吗？全称是什么？

A5：中小企业认证

A6：DPTM认证这个我查了一下https://www.imda.gov.sg/how-we-can-help/data-protection-trustmark-certification这个网站，都是新加坡本地的认证机构和咨询服务机构。我是想了解一下，是否一定要做这个认证，还有除了新加坡本地的机构和服务商外，是否我们国内也有可以提供此类服务的？

A7：这个是有什么约束条件吗？

A8：没啥约束条件，爱做不做，很多企业也没做

A9：哦，对我们SaaS软件正常运行不会有影响，是吗？

A10：你SAAS行不行，和这个认证无关...但你违反PDPA，是可以处罚的。

A11：OK，那我是否可以理解为我们只要遵循PDPA，不做这个认证也是可以正常运行的。做这个认证只是可以减轻处罚的风险，是吗？另外，是否有类似于我们国内的安全等保认证的要求。国内针对SaaS应用是需要做安全等保认证的。

A12：你符合PDPA就行，东南亚普遍比国内要求低得多，没有等保认证这一类强制。