前言

在當前的數據時代，隨著云計算、大數據、AI等技術的不斷發展，“數據”已經滲透到當今每一個行業和業務職能領域，成為重要的生產要素。數據的計量單位也至少是PB級別計算。這對于國家、企業和個人面臨著網絡安全、數據安全和隱私等一系列問題上，都提出了全新的挑戰。國內外相繼出臺了GDPR、LGPD、CCPA、網絡安全法、數據安全法(草案)和個人信息保護法(草案)等，這個時代不僅給“數據”賦予了“價值”屬性，也同步賦予了“法律”屬性，數據安全不在是組織自身安全問題，也是公共安全和國家安全問題，這些都推動著國家和企業重視數據，重視數據安全。

那數據安全怎么做，數據安全工作的重大和有效抓手是什么，今天跟大家分享數據安全工作的關鍵之一——《靜態敏感數據的識別和治理》

關于靜態敏感數據的防護，我們常用的手法是加密或脫敏，手段雖然簡單，但是要想有效執行，并能夠量化確認落地效果，還是有一定的難度的，今天跟大家分享下個人的想法和做法。

方案思路及目標1方案目標

保證靜態敏感數據的保密性。

2衡量標準

靜態敏感數據的加密或脫敏覆蓋率100%。

3治理范圍

關系型數據庫中的靜態敏感數據。

4總體思路

本文主要是談兩部分內容，一個是靜態數據的主動識別，一個是識別到數據安全問題后的治理工作。

敏感數據識別是數據安全工作的切入點和基礎，我們需要知道組織有哪些數據，了解清楚自身的數據家底，才能有效的做好下一步的分析、治理和運營等工作，知不足，補缺陷，符合規，滿內需！

數據治理則是在數據識別的基礎上，識別當前數據存在的問題和風險，通過一系列的數據治理手段，即戰略層定目標、定組織、定決策，戰術層定方案、定策略，執行層落地。本文主要分享戰術層和執行層的做法和思路。

方案內容1方案架構

本方案將以管理和技術兩個維度方向落地完成。管理層面，發布《數據分類分級管理制度》、《數據安全管理制度》、《數據申請管理制度》和《數據加密管理制度》等，形成標準要求并發布；技術層面搭建一個平臺，自動對數據庫內的數據進行檢索發現，基于策略對數據庫字段的數據做抽樣分析，識別未防護的數據字段清單，進而協調相關方按要求整改。本文重點分享技術部分內容。

技術架構思路如下：

2數據分類分級(重點)

TIPS：詳細內容可參考另一篇文章《數據安全怎么做：數據分類分級》

大超，公眾號：大超的記事本數據安全怎么做——數據分類分級

a)概述

根據組織數據的屬性或特征，將其按照一定的原則和方法進行區分、歸類和定級，識別數據對組織的具體價值，從而確定以何種適當的策略，保護數據的完整性、保密性和可用性 。

b)目標確定公司的敏感數據具體內容，制定統一 的數據分類分級標準。

c)依據此處我們可以帶著兩個問題，來了解公司數據情況：

• 公司會通過哪些途徑采集外部的哪些數據？

我們要了解公司對外發布的應用、api、三方數據外出等途徑，這些途徑會獲取哪些信息和所簽訂的隱私協議內容等。

• 公司自身會產生哪些數據？

這塊我們要對公司自身組織及業務情況有個比較清楚的梳理，了解自己內部的組織的相關人員會對內輸出什么數據等。

d)示例

敏感信息舉例如下：

• 用戶數據類：身份證、手機號、銀行卡號、社保號等

• 業務數據類：市場數據、商業數據等

• 公司數據類：財務數據、人力數據等

e)產出《數據分類分級管理制度》、《數據安全管理制度》、《數據申請管理制度》

3資產輸入(重點)

a)概述

安全的任何工作開始之初，最重要的工作之一是先梳理清楚資產信息，這些數據主要依托于業務和數據管理團隊提供，如通過內部數據庫的cmdb獲取等；數據雖然主要依托于干系部門，但是作為安全，我們自身要有數據源的判斷和驗證能力，用以確定當前的資產覆蓋范圍是全面的，在此基礎之上的安全建設和防護才是切實有效的。

個人覺得：組織業務上做了安全建設防護了防不住不可怕，這個可以指導我們安全建設的方向，查漏補缺，制定下一階段的規劃和目標；可怕的是資產上有盲點，本可防護住的資產，卻未建立任何防護，這種情況導致出現安全問題就相當可悲了。故摸清家底很重要！很重要！很重要！

b)目標

確定資產范圍，保證資產的全面有效性

c)示例

針對于靜態數據治理層面我們主要需要兩類信息，分別是業務信息、主機信息(存在生產數據庫)，具體概述如下：

• 業務信息：業務名稱、業務負責人、安全接口人

• 主機信息：集群信息、主機地址、主機狀態、數據庫賬號密碼等

d)數據驗證

基于日常安全資產掃描，包括但不限于主機存活、端口開放、協議識別等，結果與三方提供資產做比對，互為雙重驗證。

4數據識別

a)概述

基于業務數據資產清單和全局審計權限的賬號，通過技術掃描的方式對數據進行主動發現，發現生產機器中的庫、表、字段、備注、樣本數據等，建立數據地圖。

b)目標

建立安全所需的數據地圖

c)示例

識別后的結果輸出舉例如下：

業務信息	庫	表	字段	數據樣本	字段備注	主機IP	負責人	安全接口人
test	test	test	phone	12345678910	手機號	1.1.1.1	張三	李四

5數據分析

a)概述

基于數據分類分級中對敏感數據的定義，制定全面和有效的分析策略，在數據地圖的基礎上篩選出敏感數據，并確定它們當前的狀態。

b)目標

篩選出敏感字段清單，并確定敏感字段內容是否進行了加密或者脫敏。

c)示例

分析策略舉例如下：分析策略以正則表達式為主，正則表達式可以基于三個方面進行設置：

• 字段內容：識別分析字段內容，以識別敏感信息字段

• 字段備注：識別分析字段備注，以識別敏感信息字段

• 字段名稱：識別分析字段備注，以識別敏感信息字段

6數據確認

a)概述

正則表達式的識別，或多或少會出現針對“敏感字段”的誤報和漏報，前期我們需要一定的人工介入，來規避此類隱患。

b)目標

通過人工干預的方式，使數據分析階段誤報和漏報的隱患降到最低。

c)示例

主要任務示例：

• 人工確認，判斷數據分析的結果是否滿足預期，識別異常數據，優化數據分析階段的正則表達式

• 人工確認，輸出敏感字段清單，反饋給數據分析階段，用以判斷敏感信息字段是否進行加密或脫敏處理

• 人工確認，對結果數據進行人工打標，輸出正負樣本進行模型訓練，提升數據分析的準確率

7數據治理

a)概述

部分數據安全問題需要提升到數據治理維度，方能快速和有效的解決，此處個人建議亦是如此；基于數據分析確認后的結果，我們會通過數據治理的手段推動和協調相關方進行有序整改。

b)目標

保證靜態敏感數據的保密性。

c)示例

整個數據治理分為三個維度，示例相關如下：

• 治理層

定組織：建立數據治理組織和安全干系人體系。治理組織用以對整個公司數據安全的方向和戰略做決策；安全干系人體系用以執行層面遇到問題的快速聯動。

定目標&方向：方針、目標和方向會使戰術層和戰略層的執行更加明確和清晰。如：敏感數據全覆蓋加密。

定決策：為關鍵事務、戰術層的異議等做決斷。如：絕密級數據的訪問或使用的異議，需上升到治理層做決策。

• 戰術層

劃定目標的范圍，如關系型數據庫；在此基礎上制定與之匹配的方案和計劃，如加解密方案、洗庫方案等，通過項目的形式和有效的時間管理協同完成；除此之外，任何事情，我們都需要定一個指標，也就是一個成功的衡量標準，如敏感數據100%加密存儲等。

• 執行層

執行的話，就是通過協調、溝通、響應等方式，有效將戰略層和戰術層的規劃落地。針對本方案，重點強調一部分內容。即關于加解密平臺。(重點)

我們需要關注以下三點：

• 加密平臺的健壯性：賬號、權限、審計等。kms平臺的健壯性：

• 密鑰的管理機制、密鑰的輪換機制(如30天一更換)、密鑰的權限區分機制(如不同的業務使用不同的秘鑰)等。

• 加密算法的健壯性：Hash+salt、aes256、rsc、商密、普密等，選擇最適合業務的。

8數據展現

安全做到最后都會進入一個運營階段，而運營也是整體安全工作中最大的關鍵點和難點，好的安全運營會給安全工作帶來質變。

關于今天分享的靜態數據的治理運營，舉例兩個運營中可以做的點，一是指標量化的可視化展示；二是數據治理的協調平臺，例如工單平臺、SOAR平臺等。

• 可視化

示例如下：

底層數據支持相關簡單舉例如下：

業務信息	庫	表	字段	數據樣本	字段備注	主機IP	負責人	安全接口人	是否加密	數據級別
test	test	test	phone	12345678910	手機號	1.1.1.1	張三	李四	否	G2

通過上述內容，我們可以清晰的看到當前關于靜態數據治理的狀態。

• 協同平臺

此處不做示例，可參考漏洞管理平臺、工單管理平臺、SOAR等平臺的思路，在平臺上高效協同執行和溝通相關整改落地工作。

總結

數據安全是個龐大的概念，很多工作都可以劃分到數據安全的范疇，本次分享的內容是眾多數據安全工作中比較關鍵的一個，靜態數據治理這個思路不復雜，復雜的是基于各自的公司文化將它比較好的落地，一旦落地，無論是外部合規層面還是內部企業自身安全層面，我們安全人員的底氣都會增加很多。

TIPS：在整個靜態數據治理過程中，務必重視兩個問題，一個是覆蓋范圍的全面性問題，我們要保證覆蓋的數據資產是全面的，覆蓋的敏感數據的全面性。另一個是加解密平臺的健壯性問題，加解密平臺要有權限劃分、使用管控、審計、kms足夠健壯等。

這是【VK技術分享】的第13期后續我們將持續輸出優秀的技術文章如果您有任何希望交流討論問題歡迎在文末或后臺進行留言我們期待與您的技術交流和思想碰撞技術分享時間結束插播兩條廣播??VK SRC今年最后一場重磅活動正在進行中有效漏洞最高可獲得三倍獎勵?VIPKID信息安全部招聘開啟中涵蓋基礎安全、應用安全、數據安全等多方向職位誠邀優秀安全人才加入共建安全

VK SRC今年最后一場重！磅！活！動！

【招聘】您有一份offer請查收！

關于VIPKID SRCVIPKID安全響應中心(VIPKID Security Response Center)--簡稱VKSRC，隸屬于VIPKID信息安全部，于2017年10月25日正式上線。VKSRC的上線，旨在建立一個連接白帽子、安全團隊和安全愛好者們的官方渠道和溝通橋梁，主動收集、發現潛在的安全威脅，全方位保障VIPKID公司、用戶及合作伙伴的信息和隱私數據安全，共建互聯網安全生態。

點個【在看 】吧

總結

以上是生活随笔為你收集整理的wps数据匹配怎么做_【VK技术分享】数据安全怎么做—静态数据的识别和治理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。