关于内部红蓝对抗演练及个人手机号是否属于敏感信息的探讨| 总第251周

‍‍

‍‍

0x1本周话题

话题一：哪家组织过内部的红蓝对抗演练呀？怎么搞的呢？

A1：我们请的360，用的360的演习环境。请他们提供培训和技术支持做攻防演练，红队蓝队都是内部员工。

A2：自己养红队，要求有点高啊。

A3：确实少，基本只有大公司可以搞。我们这边用自动化渗透测试平台替代红队，所以只用提高防护水平，用平台替代人工。

Q：红队多少人？

A4：3-4个，蓝队人数预计安排3-4个。

A5：如果红队人不多，或者兼职，或者不独立，还是别搞。

A6：这种对外服务搞过，现在想自己组织搞一次。是不是有文件依据要求自己甲方建立攻击队，目前了解到很多都有想法建立攻击队。

A7：第一是购买服务花钱还是多的，而且不见得一直有预算，第二就是还是想以这种形式来提升一下安全水位。

A8：我这个刚搞过，红队就我自己+漏扫。

A9：现在的漏扫用处不大，建议测试自动化渗透测试平台。

Q：这种平台不是很容易造成数据污染吗？这个方面怎么处理的。

A10：业务部门加白名单的方式来解决。

A11：他是主动还是被动的？一般类似于自动化渗透工具，好像都是被动+主动，从流量那边识别组件或者字段，然后插入POC进行验证。

A12：这不就是被动扫描器+加主动验证。

Q：正确率怎么样？

A13：百分之2。

A14：正确率2%那排误报不是比人工测工作量还大。

A15：是啊扫描出来的告警，只有百分之2左右是正确的，但可以做排序，减少分析的条数。

话题二：请教下大家，个人手机号是否属于个人敏感信息？根据GB/T 35273-2020个人信息安全规范，个人手机号被列入个人信息示例内容，未列入个人敏感信息示例内容。且根据金融、通信领域数据分类分级指南内容，手机号被定义为3级，敏感个人信息被定义为4级。通过这两个维度是否可以判定为手机号不属于个人敏感信息，从合规层面无需加密存储，且涉及数据出境场景时手机号归属为个人信息，而非个人敏感信息。

A1：属于敏感信息，个人手机号可以直接定位个人。

Q：如果是个人敏感信息，《GB/T 35273-2020个人信息安全规范》、《金融数据安全数据安全分级指南》等指导文件，为什么没有将手机号定义为个人敏感信息？

A2：之前领导提过，说在运营商的时候，根据什么数据的三要素能定位到个人的都算敏感信息；我们的场景是姓名+学号+手机，组合起来的话，这三个都算敏感信息。

A3：反正手机号码在国内可以像身份证一样，手机号码是实名认证的。能够准确定位到个人的且具有排他性的都应该是敏感信息。理解不一样，定义的安全策略不一样。自己不好把握也可以让其他部门或者上级部门定义。

A4：个人信息的保护，要结合业务需要和场景来看。单独字段讨论，容易进入安全极限投入的死循环。

A5：匿名化处理一下就可以了，比如只要后几位。

A6：现在最主要的矛盾是，出台的规范、指南内容，从执行层面理解会出现歧义，关键执行节点就会出现偏差。比如 针对《数据出境安全评估申报指南（第二版）》内容，非关基单位处理者，自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）或者1万人以上敏感个人信息，需申报数据出境安全评估。

Q：那针对数据存储在境外的业务系统，如只涉及用户姓名、手机号字段，用户数据量达到多少条，就需要申报评估工作呢？理解不一样，成本不一样！

A7：举个例子，新业务系统，可以评估是否是有必要，但如果是存量的老系统，就不太适用了，现在一般是个人敏感数据尽量本地存储。

A8：不要太纠结，还是要根据业务场景结合实际情况评估，比如我们的手机号都是要求100%加密的，但这个字段在每个系统库表的落地情况都有不同场景和例外情况。内部的规定和要求可以从严，落地视情况而定。

A9：1）手机号定义为3级感觉没啥问题，因为手机号可能会变更不像证件号是唯一的，但是内部可以有个定义，超过x条手机号，升级为4级。2）貌似法规没有只有个人敏感信息才需要加密存储？ 要求的时要对个人信息采取加密、和去标识化的措施。3）手机号是否要加密存储，抛开法规要求，也要结合行业通用实践、数据泄露实际影响、监管检查重视程度，任何一方面来看手机号加密都是必要的。

Q：认同，另外请教下，超过x条手机号，升级为4级，安全保护措施侧重增加哪些要求内容呢？另外，针对数据数据出境场景，手机号如不当作个人敏感信息处理，业务在未达到100万数据量级时，未申报数据安全风险评估，是否会被监管部门判定为不合规呢？

A10：超过x的手机号，在权限审批、下载、脱敏展示都是更严格的控制。关于出境的这个量级和风险，最好是和内部法务、GR 对齐。像我们因为定义了升级的这个逻辑，所以治理的时候，会优先解决批量展示页面的脱敏，四级文件下载的控制。

0x2 群友分享

【安全资讯】

关于征求国家标准《网络安全技术 生成式人工智能服务安全基本要求》（征求意见稿）意见的通知》

“清华系”网安新力军再获新动能，长亭科技完成超10亿融资

--------------------------------------------------------------------------

由于微信修改了推送规则，需读者经常留言或点“在看”“点赞”，否则会逐渐收不到推送！如果你还想看到我们的推送，请点赞收藏周报，将君哥的体历加为星标或每次看完后点击一下页面下端的“在看”“点赞”。

【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送（每周）。根据话题整理的群周报完整版——每个话题甲方朋友们的****展开讨论内容——每周会上传知识星球，方便大家查阅。

往期群周报：

如何判断API接口类型及漏洞分类管理方法？| 总第249周

私有云建设中如何处理原有安全设备及利旧相关问题？| 总第248周

如何进群？

如何下载群周报完整版？

请见下图：