关于系统日志中信息加密和脱敏的讨论 | 总第246周

‍‍

‍‍

0x1本周话题

话题：大家在系统的日志里面的个人信息加密或者脱敏了吗？

A1：一般脱敏。因为生产日志还是有可能会去看的。脱敏比较合适，适中。目前其实还是主要针对客户个人信息进行脱敏。

Q：这个要脱敏怎么搞?都是日志留存大量的流水信息方便排障用。

A2：要脱肯定可以脱，主要是运维查日志的时候脱敏了没法查问题了。

A3：这个说法不对的。还是规范标准没有建立好。定下脱敏标准规范啊。然后强制要求开发脱敏。比如客户信息，可以看客户号来查询日志的。为什么一定要通过客户手机号，身份证号来定位日志，这个是偷懒做法。但是会造成数据泄露隐患。

A4：就是个人信息脱敏以后定位问题很麻烦。按道理运维只有有工单的时候才能查日志。所以按道理算做过授权。

Q：搞肯定要搞，但这个是主要矛盾吗?又或者说，成本收益对称吗?

A5：很多日志是存在库表里面的。如果脱敏了。很多唯一属性就没了，sql语句都没法写。

A6：安全与业务的平衡很重要，我就问过监管，监管也没明确一定要怎么做，如果妨碍的了业务发展肯定是不行的。

A7：以上都不是问题，明确日志输出规范，用内部ID替换客户敏感信息，客户敏感信息字段实在替换不了就脱敏输出和展示。监管检查必查点。

A8：可以开发一个脱敏类包，让应用引入后就可以对日志中的个人信息进行脱敏，脱敏规则可以灵活些，按照业务分析和排障需求脱就行。

A9：这个是主动脱敏框架。最大的坑点就是性能不一定可以保障。

Q：为啥不脱敏？排障找流水号、找traceid去，咋可能直接找客户信息？

A10：如果是标准日志还好处理，很多时候敏感内容都在应用层报文里，都是业务自己定义的，识别哪些字段是敏感字段比较费劲。

A11：直接上平台搜日志检查。监管就是这么来搞的。我们每天自动扫描，自动通知开发整改的。

Q：用正则表达式吗？手机号、身份证号？覆盖哪些敏感字段？

A12：这个看各公司的标准。扫描主要是正则和关键字。严格来说，保单号可能都要脱敏。取决于各自的业务。企业数据分类分级做完之后，按照定义做检测。

A13：有些老爷系统，日志都是系统产品级的。敢不敢改都是个问题。很多系统是规范出来以前建的，重新整改会疯掉啊。

A14：那没办法，我们自己要有明确思路，报告领导，先解决什么，有个体系的规划，然后暴露出问题,数据安全监管要求一样，但是大行城商行，每家的条件不一样。

A15：日志系统、可观测系统、以及其他监控系统，个人觉得本质上是应用在运行形态的数字孪生，因为发展方向是越来越全面、越来越精细、和实际系统运行越来越一致。对应用系统、数据平台的数字孪生或对等系统做脱敏，意义和性价比可能不是太大。我在想，是否能换个视角，日志、观测、监控等系统，现在也越来越集中了，发展方向是否是和应用、数据对应的保障级别、保障措施渐趋一致。

A16：这个赞同，不是一刀切，监管最大的问题自己不搞，他们只管提要求，我们业务需要的那就做好保障措施。主要是有很多理想化的东西。

A17：另外，监管要求系统脱敏，但他没脱敏，为什么客户来付钱？就像监管要求汽车安装安全带，但汽车厂商没装，现在安全事故频发，汽车厂商不得免费召回维修或更换吗？

A18：监管要求你脱敏，你找软件开发商解决。不脱敏，软件开发商不负责，是你担责。需求不提，法律就站他那边。

A19：运维或其他研发辅助系统本来是IT的自留地，也是技术条线少有的自研出彩的机会。如果提高级别，进行定级备案，然后暴露给监管、审计、等保、攻防，各类检查，先是IT领导想不想，之后才是能不能、做不做、怎么做的问题。脱敏，肯定是快思考的第一个答案。

A20：这个问题你问法务，需求没提人家就只承担经济责任，以法律为准，而且偏向保护弱势，即乙方，你没有胜算。

A21：监管如果对产品提要求要脱敏，否则不发销售许可证，那产品肯定能满足，卖到甲方之后，你发现他没满足，要求他整改，也会积极配合。如果监管只是甲方提要求，而没有对乙方提要求。甲方要求乙方整改，乙方收费合理，甲方抱怨监管也合理，挨罚也合理。不过一般和乙方搞好关系，这一单送了，下一单多买点的事。

Q：这个产品是标品吗？

A22：不是标品，日志格式都统一不了。现在的标准就是管理要求，还没变成出厂要求销售标准，甲方你也可以自己干。不过久了就能成标品了，因为一旦有这个强制规范，甲方会要求交付就有这个东西。大不了合同加一条泛一点的。符合等保要求。

A23：监管应该很难去设立一套标准出来。不过监管应该要求产品研发厂商，落实安全要求。

Q：等保那边我印象中没这个要求。是不是可以加到那边去？

A24：一样的，比如等保要求双因素，你买的软件不支持双因素，你没提要求，他交付了，你后来检查不通过要加需求，那就是合同变更，人家不愿意就可以要求加钱.这跟怎么要求没关系，因为要求的是甲方，而不是乙方，除非是销售标准，那才跟乙方有关系，而且也不现实。

0x2 群友分享

【安全资讯】

SuperBench大模型综合能力评测报告

【深度】一文讲透SWIFT到底是个啥？

GPT-4化身黑客搞破坏，成功率87%！OpenAI要求保密提示词，网友复现ing

为什么 Windows 的安全性不如 Linux

--------------------------------------------------------------------------

由于微信修改了推送规则，需读者经常留言或点“在看”“点赞”，否则会逐渐收不到推送！如果你还想看到我们的推送，请点赞收藏周报，将君哥的体历加为星标或每次看完后点击一下页面下端的“在看”“点赞”。

【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送（每周）。根据话题整理的群周报完整版——每个话题甲方朋友们的****展开讨论内容——每周会上传知识星球，方便大家查阅。

往期群周报：

关于勒索病毒演练融入HW及资产与网络安全的讨论 | 总第245周

关于开源许可实施与管理的讨论与思考 | 总第244周

数据库管理与防护及开源软件使用策略探讨 | 总第243周

如何进群？

如何下载群周报完整版？

请见下图：