【VK技术分享】数据安全怎么做—静态数据的识别和治理

前言

在当前的数据时代，随着云计算、大数据、AI等技术的不断发展，“数据”已经渗透到当今每一个行业和业务职能领域，成为重要的生产要素。数据的计量单位也至少是PB级别计算。这对于国家、企业和个人面临着网络安全、数据安全和隐私等一系列问题上，都提出了全新的挑战。国内外相继出台了GDPR、LGPD、CCPA、网络安全法、数据安全法（草案）和个人信息保护法（草案）等，这个时代不仅给“数据”赋予了“价值”属性，也同步赋予了“法律”属性，数据安全不在是组织自身安全问题，也是公共安全和国家安全问题，这些都推动着国家和企业重视数据，重视数据安全。

那数据安全怎么做，数据安全工作的重大和有效抓手是什么，今天跟大家分享数据安全工作的关键之一——《静态敏感数据的识别和治理》

关于静态敏感数据的防护，我们常用的手法是加密或脱敏，手段虽然简单，但是要想有效执行，并能够量化确认落地效果，还是有一定的难度的，今天跟大家分享下个人的想法和做法。

方案思路及目标

1

方案目标

保证静态敏感数据的保密性。

2

衡量标准

静态敏感数据的加密或脱敏覆盖率100%。

3

治理范围

关系型数据库中的静态敏感数据。

4

总体思路

本文主要是谈两部分内容，一个是静态数据的主动识别，一个是识别到数据安全问题后的治理工作。

敏感数据识别是数据安全工作的切入点和基础，我们需要知道组织有哪些数据，了解清楚自身的数据家底，才能有效的做好下一步的分析、治理和运营等工作，知不足，补缺陷，符合规，满内需！

数据治理则是在数据识别的基础上，识别当前数据存在的问题和风险，通过一系列的数据治理手段，即战略层定目标、定组织、定决策，战术层定方案、定策略，执行层落地。本文主要分享战术层和执行层的做法和思路。

方案内容

1

方案架构

本方案将以管理和技术两个维度方向落地完成。管理层面，发布《数据分类分级管理制度》、《数据安全管理制度》、《数据申请管理制度》和《数据加密管理制度》等，形成标准要求并发布；技术层面搭建一个平台，自动对数据库内的数据进行检索发现，基于策略对数据库字段的数据做抽样分析，识别未防护的数据字段清单，进而协调相关方按要求整改。本文重点分享技术部分内容。

技术架构思路如下：

2

数据分类分级（重点）

TIPS：详细内容可参考另一篇文章《数据安全怎么做：数据分类分级》

大超，公众号：大超的记事本数据安全怎么做——数据分类分级

a）概述

根据组织数据的属性或特征，将其按照一定的原则和方法进行区分、归类和定级，识别数据对组织的具体价值，从而确定以何种适当的策略，保护数据的完整性、保密性和可用性 。

b）目标确定公司的敏感数据具体内容，制定统一 的数据分类分级标准。

c）依据此处我们可以带着两个问题，来了解公司数据情况：

• 公司会通过哪些途径采集外部的哪些数据？

我们要了解公司对外发布的应用、api、三方数据外出等途径，这些途径会获取哪些信息和所签订的隐私协议内容等。

• 公司自身会产生哪些数据？

这块我们要对公司自身组织及业务情况有个比较清楚的梳理，了解自己内部的组织的相关人员会对内输出什么数据等。

d）示例

敏感信息举例如下：

• 用户数据类：身份证、手机号、银行卡号、社保号等

• 业务数据类：市场数据、商业数据等

• 公司数据类：财务数据、人力数据等

e）产出《数据分类分级管理制度》、《数据安全管理制度》、《数据申请管理制度》

3

资产输入（重点）

a）概述

安全的任何工作开始之初，最重要的工作之一是先梳理清楚资产信息，这些数据主要依托于业务和数据管理团队提供，如通过内部数据库的cmdb获取等；数据虽然主要依托于干系部门，但是作为安全，我们自身要有数据源的判断和验证能力，用以确定当前的资产覆盖范围是全面的，在此基础之上的安全建设和防护才是切实有效的。

个人觉得：组织业务上做了安全建设防护了防不住不可怕，这个可以指导我们安全建设的方向，查漏补缺，制定下一阶段的规划和目标；可怕的是资产上有盲点，本可防护住的资产，却未建立任何防护，这种情况导致出现安全问题就相当可悲了。故摸清家底很重要！很重要！很重要！

b）目标

确定资产范围，保证资产的全面有效性

c）示例

针对于静态数据治理层面我们主要需要两类信息，分别是业务信息、主机信息（存在生产数据库），具体概述如下：

• 业务信息：业务名称、业务负责人、安全接口人

• 主机信息：集群信息、主机地址、主机状态、数据库账号密码等

d）数据验证

基于日常安全资产扫描，包括但不限于主机存活、端口开放、协议识别等，结果与三方提供资产做比对，互为双重验证。

4

数据识别

a）概述

基于业务数据资产清单和全局审计权限的账号，通过技术扫描的方式对数据进行主动发现，发现生产机器中的库、表、字段、备注、样本数据等，建立数据地图。

b）目标

建立安全所需的数据地图

c）示例

识别后的结果输出举例如下：

业务信息

库

表

字段

数据样本

字段备注

主机IP

负责人

安全接口人

test

test

test

phone

12345678910

手机号

1.1.1.1

张三

李四

5

数据分析

a）概述

基于数据分类分级中对敏感数据的定义，制定全面和有效的分析策略，在数据地图的基础上筛选出敏感数据，并确定它们当前的状态。

b）目标

筛选出敏感字段清单，并确定敏感字段内容是否进行了加密或者脱敏。

c）示例

分析策略举例如下：分析策略以正则表达式为主，正则表达式可以基于三个方面进行设置：

• 字段内容：识别分析字段内容，以识别敏感信息字段

• 字段备注：识别分析字段备注，以识别敏感信息字段

• 字段名称：识别分析字段备注，以识别敏感信息字段

6

数据确认

a）概述

正则表达式的识别，或多或少会出现针对“敏感字段”的误报和漏报，前期我们需要一定的人工介入，来规避此类隐患。

b）目标

通过人工干预的方式，使数据分析阶段误报和漏报的隐患降到最低。

c）示例

主要任务示例：

• 人工确认，判断数据分析的结果是否满足预期，识别异常数据，优化数据分析阶段的正则表达式

• 人工确认，输出敏感字段清单，反馈给数据分析阶段，用以判断敏感信息字段是否进行加密或脱敏处理

• 人工确认，对结果数据进行人工打标，输出正负样本进行模型训练，提升数据分析的准确率

7

数据治理

a）概述

部分数据安全问题需要提升到数据治理维度，方能快速和有效的解决，此处个人建议亦是如此；基于数据分析确认后的结果，我们会通过数据治理的手段推动和协调相关方进行有序整改。

b）目标

保证静态敏感数据的保密性。

c）示例

整个数据治理分为三个维度，示例相关如下：

• 治理层

定组织：建立数据治理组织和安全干系人体系。治理组织用以对整个公司数据安全的方向和战略做决策；安全干系人体系用以执行层面遇到问题的快速联动。

定目标&方向：方针、目标和方向会使战术层和战略层的执行更加明确和清晰。如：敏感数据全覆盖加密。

定决策：为关键事务、战术层的异议等做决断。如：绝密级数据的访问或使用的异议，需上升到治理层做决策。

• 战术层

划定目标的范围，如关系型数据库；在此基础上制定与之匹配的方案和计划，如加解密方案、洗库方案等，通过项目的形式和有效的时间管理协同完成；除此之外，任何事情，我们都需要定一个指标，也就是一个成功的衡量标准，如敏感数据100%加密存储等。

• 执行层

执行的话，就是通过协调、沟通、响应等方式，有效将战略层和战术层的规划落地。针对本方案，重点强调一部分内容。即关于加解密平台。（重点）

我们需要关注以下三点：

• 加密平台的健壮性：账号、权限、审计等。kms平台的健壮性：

• 密钥的管理机制、密钥的轮换机制（如30天一更换）、密钥的权限区分机制（如不同的业务使用不同的秘钥）等。

• 加密算法的健壮性：Hash+salt、aes256、rsc、商密、普密等，选择最适合业务的。

8

数据展现

安全做到最后都会进入一个运营阶段，而运营也是整体安全工作中最大的关键点和难点，好的安全运营会给安全工作带来质变。

关于今天分享的静态数据的治理运营，举例两个运营中可以做的点，一是指标量化的可视化展示；二是数据治理的协调平台，例如工单平台、SOAR平台等。

• 可视化

示例如下：

底层数据支持相关简单举例如下：

业务信息

库

表

字段

数据样本

字段备注

主机IP

负责人

安全接口人

是否加密

数据级别

test

test

test

phone

12345678910

手机号

1.1.1.1

张三

李四

否

G2

通过上述内容，我们可以清晰的看到当前关于静态数据治理的状态。

• 协同平台

此处不做示例，可参考漏洞管理平台、工单管理平台、SOAR等平台的思路，在平台上高效协同执行和沟通相关整改落地工作。

总结

数据安全是个庞大的概念，很多工作都可以划分到数据安全的范畴，本次分享的内容是众多数据安全工作中比较关键的一个，静态数据治理这个思路不复杂，复杂的是基于各自的公司文化将它比较好的落地，一旦落地，无论是外部合规层面还是内部企业自身安全层面，我们安全人员的底气都会增加很多。

TIPS：在整个静态数据治理过程中，务必重视两个问题，一个是覆盖范围的全面性问题，我们要保证覆盖的数据资产是全面的，覆盖的敏感数据的全面性。另一个是加解密平台的健壮性问题，加解密平台要有权限划分、使用管控、审计、kms足够健壮等。

这是【VK技术分享】的第13期

后续我们将持续输出优秀的技术文章

如果您有任何希望交流讨论问题

欢迎在文末或后台进行留言

我们期待与您的技术交流和思想碰撞

技术分享时间结束插播两条广播📣

💥VK SRC今年最后一场重磅活动正在进行中

有效漏洞最高可获得三倍奖励

💥VIPKID信息安全部招聘开启中

涵盖基础安全、应用安全、数据安全等多方向职位

诚邀优秀安全人才加入共建安全

[

VK SRC今年最后一场重！磅！活！动！

](http://mp.weixin.qq.com/s?__biz=MzI3MjkyMTc1Nw==&mid=2247489466&idx=1&sn=37edf1d5a16deba0e664c9de09196851&chksm=eb2a7248dc5dfb5e19fb41579ef732a644156a6bee1763864728d9d906df2bafd28fdc9a773f&scene=21#wechat_redirect)

[

【招聘】您有一份offer请查收！

](http://mp.weixin.qq.com/s?__biz=MzI3MjkyMTc1Nw==&mid=2247489473&idx=1&sn=8308bf000509c96026921217c4e97e8e&chksm=eb2a7233dc5dfb257339ae2b5a96f4f35c31631cee9d8f2e9db9289aafc21dd494b3d610c0e3&scene=21#wechat_redirect)

关于VIPKID SRC

VIPKID安全响应中心（VIPKID Security Response Center）--简称VKSRC，隶属于VIPKID信息安全部，于2017年10月25日正式上线。VKSRC的上线，旨在建立一个连接白帽子、安全团队和安全爱好者们的官方渠道和沟通桥梁，主动收集、发现潜在的安全威胁，全方位保障VIPKID公司、用户及合作伙伴的信息和隐私数据安全，共建互联网安全生态。

点个【在看 】吧