wps数据匹配怎么做_【VK技术分享】数据安全怎么做—静态数据的识别和治理
在當(dāng)前的數(shù)據(jù)時(shí)代,隨著云計(jì)算、大數(shù)據(jù)、AI等技術(shù)的不斷發(fā)展,“數(shù)據(jù)”已經(jīng)滲透到當(dāng)今每一個(gè)行業(yè)和業(yè)務(wù)職能領(lǐng)域,成為重要的生產(chǎn)要素。數(shù)據(jù)的計(jì)量單位也至少是PB級(jí)別計(jì)算。這對(duì)于國(guó)家、企業(yè)和個(gè)人面臨著網(wǎng)絡(luò)安全、數(shù)據(jù)安全和隱私等一系列問題上,都提出了全新的挑戰(zhàn)。國(guó)內(nèi)外相繼出臺(tái)了GDPR、LGPD、CCPA、網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法(草案)和個(gè)人信息保護(hù)法(草案)等,這個(gè)時(shí)代不僅給“數(shù)據(jù)”賦予了“價(jià)值”屬性,也同步賦予了“法律”屬性,數(shù)據(jù)安全不在是組織自身安全問題,也是公共安全和國(guó)家安全問題,這些都推動(dòng)著國(guó)家和企業(yè)重視數(shù)據(jù),重視數(shù)據(jù)安全。
那數(shù)據(jù)安全怎么做,數(shù)據(jù)安全工作的重大和有效抓手是什么,今天跟大家分享數(shù)據(jù)安全工作的關(guān)鍵之一——《靜態(tài)敏感數(shù)據(jù)的識(shí)別和治理》
關(guān)于靜態(tài)敏感數(shù)據(jù)的防護(hù),我們常用的手法是加密或脫敏,手段雖然簡(jiǎn)單,但是要想有效執(zhí)行,并能夠量化確認(rèn)落地效果,還是有一定的難度的,今天跟大家分享下個(gè)人的想法和做法。
方案思路及目標(biāo)1方案目標(biāo)保證靜態(tài)敏感數(shù)據(jù)的保密性。
2衡量標(biāo)準(zhǔn)靜態(tài)敏感數(shù)據(jù)的加密或脫敏覆蓋率100%。
3治理范圍關(guān)系型數(shù)據(jù)庫中的靜態(tài)敏感數(shù)據(jù)。
4總體思路本文主要是談兩部分內(nèi)容,一個(gè)是靜態(tài)數(shù)據(jù)的主動(dòng)識(shí)別,一個(gè)是識(shí)別到數(shù)據(jù)安全問題后的治理工作。
敏感數(shù)據(jù)識(shí)別是數(shù)據(jù)安全工作的切入點(diǎn)和基礎(chǔ),我們需要知道組織有哪些數(shù)據(jù),了解清楚自身的數(shù)據(jù)家底,才能有效的做好下一步的分析、治理和運(yùn)營(yíng)等工作,知不足,補(bǔ)缺陷,符合規(guī),滿內(nèi)需!
數(shù)據(jù)治理則是在數(shù)據(jù)識(shí)別的基礎(chǔ)上,識(shí)別當(dāng)前數(shù)據(jù)存在的問題和風(fēng)險(xiǎn),通過一系列的數(shù)據(jù)治理手段,即戰(zhàn)略層定目標(biāo)、定組織、定決策,戰(zhàn)術(shù)層定方案、定策略,執(zhí)行層落地。本文主要分享戰(zhàn)術(shù)層和執(zhí)行層的做法和思路。
方案內(nèi)容1方案架構(gòu)本方案將以管理和技術(shù)兩個(gè)維度方向落地完成。管理層面,發(fā)布《數(shù)據(jù)分類分級(jí)管理制度》、《數(shù)據(jù)安全管理制度》、《數(shù)據(jù)申請(qǐng)管理制度》和《數(shù)據(jù)加密管理制度》等,形成標(biāo)準(zhǔn)要求并發(fā)布;技術(shù)層面搭建一個(gè)平臺(tái),自動(dòng)對(duì)數(shù)據(jù)庫內(nèi)的數(shù)據(jù)進(jìn)行檢索發(fā)現(xiàn),基于策略對(duì)數(shù)據(jù)庫字段的數(shù)據(jù)做抽樣分析,識(shí)別未防護(hù)的數(shù)據(jù)字段清單,進(jìn)而協(xié)調(diào)相關(guān)方按要求整改。本文重點(diǎn)分享技術(shù)部分內(nèi)容。
技術(shù)架構(gòu)思路如下:
2數(shù)據(jù)分類分級(jí)(重點(diǎn))TIPS:詳細(xì)內(nèi)容可參考另一篇文章《數(shù)據(jù)安全怎么做:數(shù)據(jù)分類分級(jí)》
大超,公眾號(hào):大超的記事本數(shù)據(jù)安全怎么做——數(shù)據(jù)分類分級(jí)a)概述
根據(jù)組織數(shù)據(jù)的屬性或特征,將其按照一定的原則和方法進(jìn)行區(qū)分、歸類和定級(jí),識(shí)別數(shù)據(jù)對(duì)組織的具體價(jià)值,從而確定以何種適當(dāng)?shù)牟呗?#xff0c;保護(hù)數(shù)據(jù)的完整性、保密性和可用性 。
b)目標(biāo)確定公司的敏感數(shù)據(jù)具體內(nèi)容,制定統(tǒng)一 的數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)。
c)依據(jù)此處我們可以帶著兩個(gè)問題,來了解公司數(shù)據(jù)情況:
公司會(huì)通過哪些途徑采集外部的哪些數(shù)據(jù)?
我們要了解公司對(duì)外發(fā)布的應(yīng)用、api、三方數(shù)據(jù)外出等途徑,這些途徑會(huì)獲取哪些信息和所簽訂的隱私協(xié)議內(nèi)容等。
公司自身會(huì)產(chǎn)生哪些數(shù)據(jù)?
這塊我們要對(duì)公司自身組織及業(yè)務(wù)情況有個(gè)比較清楚的梳理,了解自己內(nèi)部的組織的相關(guān)人員會(huì)對(duì)內(nèi)輸出什么數(shù)據(jù)等。
d)示例
敏感信息舉例如下:
用戶數(shù)據(jù)類:身份證、手機(jī)號(hào)、銀行卡號(hào)、社保號(hào)等
業(yè)務(wù)數(shù)據(jù)類:市場(chǎng)數(shù)據(jù)、商業(yè)數(shù)據(jù)等
公司數(shù)據(jù)類:財(cái)務(wù)數(shù)據(jù)、人力數(shù)據(jù)等
e)產(chǎn)出《數(shù)據(jù)分類分級(jí)管理制度》、《數(shù)據(jù)安全管理制度》、《數(shù)據(jù)申請(qǐng)管理制度》
3資產(chǎn)輸入(重點(diǎn))a)概述
安全的任何工作開始之初,最重要的工作之一是先梳理清楚資產(chǎn)信息,這些數(shù)據(jù)主要依托于業(yè)務(wù)和數(shù)據(jù)管理團(tuán)隊(duì)提供,如通過內(nèi)部數(shù)據(jù)庫的cmdb獲取等;數(shù)據(jù)雖然主要依托于干系部門,但是作為安全,我們自身要有數(shù)據(jù)源的判斷和驗(yàn)證能力,用以確定當(dāng)前的資產(chǎn)覆蓋范圍是全面的,在此基礎(chǔ)之上的安全建設(shè)和防護(hù)才是切實(shí)有效的。
個(gè)人覺得:組織業(yè)務(wù)上做了安全建設(shè)防護(hù)了防不住不可怕,這個(gè)可以指導(dǎo)我們安全建設(shè)的方向,查漏補(bǔ)缺,制定下一階段的規(guī)劃和目標(biāo);可怕的是資產(chǎn)上有盲點(diǎn),本可防護(hù)住的資產(chǎn),卻未建立任何防護(hù),這種情況導(dǎo)致出現(xiàn)安全問題就相當(dāng)可悲了。故摸清家底很重要!很重要!很重要!
b)目標(biāo)
確定資產(chǎn)范圍,保證資產(chǎn)的全面有效性
c)示例
針對(duì)于靜態(tài)數(shù)據(jù)治理層面我們主要需要兩類信息,分別是業(yè)務(wù)信息、主機(jī)信息(存在生產(chǎn)數(shù)據(jù)庫),具體概述如下:
業(yè)務(wù)信息:業(yè)務(wù)名稱、業(yè)務(wù)負(fù)責(zé)人、安全接口人
主機(jī)信息:集群信息、主機(jī)地址、主機(jī)狀態(tài)、數(shù)據(jù)庫賬號(hào)密碼等
d)數(shù)據(jù)驗(yàn)證
基于日常安全資產(chǎn)掃描,包括但不限于主機(jī)存活、端口開放、協(xié)議識(shí)別等,結(jié)果與三方提供資產(chǎn)做比對(duì),互為雙重驗(yàn)證。
4數(shù)據(jù)識(shí)別a)概述
基于業(yè)務(wù)數(shù)據(jù)資產(chǎn)清單和全局審計(jì)權(quán)限的賬號(hào),通過技術(shù)掃描的方式對(duì)數(shù)據(jù)進(jìn)行主動(dòng)發(fā)現(xiàn),發(fā)現(xiàn)生產(chǎn)機(jī)器中的庫、表、字段、備注、樣本數(shù)據(jù)等,建立數(shù)據(jù)地圖。
b)目標(biāo)
建立安全所需的數(shù)據(jù)地圖
c)示例
識(shí)別后的結(jié)果輸出舉例如下:
| 業(yè)務(wù)信息 | 庫 | 表 | 字段 | 數(shù)據(jù)樣本 | 字段備注 | 主機(jī)IP | 負(fù)責(zé)人 | 安全接口人 |
| test | test | test | phone | 12345678910 | 手機(jī)號(hào) | 1.1.1.1 | 張三 | 李四 |
a)概述
基于數(shù)據(jù)分類分級(jí)中對(duì)敏感數(shù)據(jù)的定義,制定全面和有效的分析策略,在數(shù)據(jù)地圖的基礎(chǔ)上篩選出敏感數(shù)據(jù),并確定它們當(dāng)前的狀態(tài)。
b)目標(biāo)
篩選出敏感字段清單,并確定敏感字段內(nèi)容是否進(jìn)行了加密或者脫敏。
c)示例
分析策略舉例如下:分析策略以正則表達(dá)式為主,正則表達(dá)式可以基于三個(gè)方面進(jìn)行設(shè)置:
字段內(nèi)容:識(shí)別分析字段內(nèi)容,以識(shí)別敏感信息字段
字段備注:識(shí)別分析字段備注,以識(shí)別敏感信息字段
字段名稱:識(shí)別分析字段備注,以識(shí)別敏感信息字段
a)概述
正則表達(dá)式的識(shí)別,或多或少會(huì)出現(xiàn)針對(duì)“敏感字段”的誤報(bào)和漏報(bào),前期我們需要一定的人工介入,來規(guī)避此類隱患。
b)目標(biāo)
通過人工干預(yù)的方式,使數(shù)據(jù)分析階段誤報(bào)和漏報(bào)的隱患降到最低。
c)示例
主要任務(wù)示例:
人工確認(rèn),判斷數(shù)據(jù)分析的結(jié)果是否滿足預(yù)期,識(shí)別異常數(shù)據(jù),優(yōu)化數(shù)據(jù)分析階段的正則表達(dá)式
人工確認(rèn),輸出敏感字段清單,反饋給數(shù)據(jù)分析階段,用以判斷敏感信息字段是否進(jìn)行加密或脫敏處理
人工確認(rèn),對(duì)結(jié)果數(shù)據(jù)進(jìn)行人工打標(biāo),輸出正負(fù)樣本進(jìn)行模型訓(xùn)練,提升數(shù)據(jù)分析的準(zhǔn)確率
a)概述
部分?jǐn)?shù)據(jù)安全問題需要提升到數(shù)據(jù)治理維度,方能快速和有效的解決,此處個(gè)人建議亦是如此;基于數(shù)據(jù)分析確認(rèn)后的結(jié)果,我們會(huì)通過數(shù)據(jù)治理的手段推動(dòng)和協(xié)調(diào)相關(guān)方進(jìn)行有序整改。
b)目標(biāo)
保證靜態(tài)敏感數(shù)據(jù)的保密性。
c)示例
整個(gè)數(shù)據(jù)治理分為三個(gè)維度,示例相關(guān)如下:
治理層
定組織:建立數(shù)據(jù)治理組織和安全干系人體系。治理組織用以對(duì)整個(gè)公司數(shù)據(jù)安全的方向和戰(zhàn)略做決策;安全干系人體系用以執(zhí)行層面遇到問題的快速聯(lián)動(dòng)。
定目標(biāo)&方向:方針、目標(biāo)和方向會(huì)使戰(zhàn)術(shù)層和戰(zhàn)略層的執(zhí)行更加明確和清晰。如:敏感數(shù)據(jù)全覆蓋加密。
定決策:為關(guān)鍵事務(wù)、戰(zhàn)術(shù)層的異議等做決斷。如:絕密級(jí)數(shù)據(jù)的訪問或使用的異議,需上升到治理層做決策。
戰(zhàn)術(shù)層
劃定目標(biāo)的范圍,如關(guān)系型數(shù)據(jù)庫;在此基礎(chǔ)上制定與之匹配的方案和計(jì)劃,如加解密方案、洗庫方案等,通過項(xiàng)目的形式和有效的時(shí)間管理協(xié)同完成;除此之外,任何事情,我們都需要定一個(gè)指標(biāo),也就是一個(gè)成功的衡量標(biāo)準(zhǔn),如敏感數(shù)據(jù)100%加密存儲(chǔ)等。
執(zhí)行層
執(zhí)行的話,就是通過協(xié)調(diào)、溝通、響應(yīng)等方式,有效將戰(zhàn)略層和戰(zhàn)術(shù)層的規(guī)劃落地。針對(duì)本方案,重點(diǎn)強(qiáng)調(diào)一部分內(nèi)容。即關(guān)于加解密平臺(tái)。(重點(diǎn))
我們需要關(guān)注以下三點(diǎn):
加密平臺(tái)的健壯性:賬號(hào)、權(quán)限、審計(jì)等。kms平臺(tái)的健壯性:
密鑰的管理機(jī)制、密鑰的輪換機(jī)制(如30天一更換)、密鑰的權(quán)限區(qū)分機(jī)制(如不同的業(yè)務(wù)使用不同的秘鑰)等。
加密算法的健壯性:Hash+salt、aes256、rsc、商密、普密等,選擇最適合業(yè)務(wù)的。
安全做到最后都會(huì)進(jìn)入一個(gè)運(yùn)營(yíng)階段,而運(yùn)營(yíng)也是整體安全工作中最大的關(guān)鍵點(diǎn)和難點(diǎn),好的安全運(yùn)營(yíng)會(huì)給安全工作帶來質(zhì)變。
關(guān)于今天分享的靜態(tài)數(shù)據(jù)的治理運(yùn)營(yíng),舉例兩個(gè)運(yùn)營(yíng)中可以做的點(diǎn),一是指標(biāo)量化的可視化展示;二是數(shù)據(jù)治理的協(xié)調(diào)平臺(tái),例如工單平臺(tái)、SOAR平臺(tái)等。
可視化
示例如下:
底層數(shù)據(jù)支持相關(guān)簡(jiǎn)單舉例如下:| 業(yè)務(wù)信息 | 庫 | 表 | 字段 | 數(shù)據(jù)樣本 | 字段備注 | 主機(jī)IP | 負(fù)責(zé)人 | 安全接口人 | 是否加密 | 數(shù)據(jù)級(jí)別 |
| test | test | test | phone | 12345678910 | 手機(jī)號(hào) | 1.1.1.1 | 張三 | 李四 | 否 | G2 |
通過上述內(nèi)容,我們可以清晰的看到當(dāng)前關(guān)于靜態(tài)數(shù)據(jù)治理的狀態(tài)。
協(xié)同平臺(tái)
此處不做示例,可參考漏洞管理平臺(tái)、工單管理平臺(tái)、SOAR等平臺(tái)的思路,在平臺(tái)上高效協(xié)同執(zhí)行和溝通相關(guān)整改落地工作。
總結(jié)數(shù)據(jù)安全是個(gè)龐大的概念,很多工作都可以劃分到數(shù)據(jù)安全的范疇,本次分享的內(nèi)容是眾多數(shù)據(jù)安全工作中比較關(guān)鍵的一個(gè),靜態(tài)數(shù)據(jù)治理這個(gè)思路不復(fù)雜,復(fù)雜的是基于各自的公司文化將它比較好的落地,一旦落地,無論是外部合規(guī)層面還是內(nèi)部企業(yè)自身安全層面,我們安全人員的底氣都會(huì)增加很多。
TIPS:在整個(gè)靜態(tài)數(shù)據(jù)治理過程中,務(wù)必重視兩個(gè)問題,一個(gè)是覆蓋范圍的全面性問題,我們要保證覆蓋的數(shù)據(jù)資產(chǎn)是全面的,覆蓋的敏感數(shù)據(jù)的全面性。另一個(gè)是加解密平臺(tái)的健壯性問題,加解密平臺(tái)要有權(quán)限劃分、使用管控、審計(jì)、kms足夠健壯等。
這是【VK技術(shù)分享】的第13期后續(xù)我們將持續(xù)輸出優(yōu)秀的技術(shù)文章如果您有任何希望交流討論問題歡迎在文末或后臺(tái)進(jìn)行留言我們期待與您的技術(shù)交流和思想碰撞技術(shù)分享時(shí)間結(jié)束插播兩條廣播??VK SRC今年最后一場(chǎng)重磅活動(dòng)正在進(jìn)行中有效漏洞最高可獲得三倍獎(jiǎng)勵(lì)?VIPKID信息安全部招聘開啟中涵蓋基礎(chǔ)安全、應(yīng)用安全、數(shù)據(jù)安全等多方向職位誠(chéng)邀優(yōu)秀安全人才加入共建安全VK SRC今年最后一場(chǎng)重!磅!活!動(dòng)!
【招聘】您有一份offer請(qǐng)查收!
關(guān)于VIPKID SRCVIPKID安全響應(yīng)中心(VIPKID Security Response Center)--簡(jiǎn)稱VKSRC,隸屬于VIPKID信息安全部,于2017年10月25日正式上線。VKSRC的上線,旨在建立一個(gè)連接白帽子、安全團(tuán)隊(duì)和安全愛好者們的官方渠道和溝通橋梁,主動(dòng)收集、發(fā)現(xiàn)潛在的安全威脅,全方位保障VIPKID公司、用戶及合作伙伴的信息和隱私數(shù)據(jù)安全,共建互聯(lián)網(wǎng)安全生態(tài)。點(diǎn)個(gè)【在看 】吧
總結(jié)
以上是生活随笔為你收集整理的wps数据匹配怎么做_【VK技术分享】数据安全怎么做—静态数据的识别和治理的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 王者荣耀全球版怎么下(如何玩好《王者荣耀
- 下一篇: 浙大翁恺pat练习题_单词长度(翁恺老师