wps数据匹配怎么做_【VK技术分享】数据安全怎么做—静态数据的识别和治理
在当前的数据时代,随着云计算、大数据、AI等技术的不断发展,“数据”已经渗透到当今每一个行业和业务职能领域,成为重要的生产要素。数据的计量单位也至少是PB级别计算。这对于国家、企业和个人面临着网络安全、数据安全和隐私等一系列问题上,都提出了全新的挑战。国内外相继出台了GDPR、LGPD、CCPA、网络安全法、数据安全法(草案)和个人信息保护法(草案)等,这个时代不仅给“数据”赋予了“价值”属性,也同步赋予了“法律”属性,数据安全不在是组织自身安全问题,也是公共安全和国家安全问题,这些都推动着国家和企业重视数据,重视数据安全。
那数据安全怎么做,数据安全工作的重大和有效抓手是什么,今天跟大家分享数据安全工作的关键之一——《静态敏感数据的识别和治理》
关于静态敏感数据的防护,我们常用的手法是加密或脱敏,手段虽然简单,但是要想有效执行,并能够量化确认落地效果,还是有一定的难度的,今天跟大家分享下个人的想法和做法。
方案思路及目标1方案目标
保证静态敏感数据的保密性。
2衡量标准
静态敏感数据的加密或脱敏覆盖率100%。
3治理范围
关系型数据库中的静态敏感数据。
4总体思路
本文主要是谈两部分内容,一个是静态数据的主动识别,一个是识别到数据安全问题后的治理工作。
敏感数据识别是数据安全工作的切入点和基础,我们需要知道组织有哪些数据,了解清楚自身的数据家底,才能有效的做好下一步的分析、治理和运营等工作,知不足,补缺陷,符合规,满内需!
数据治理则是在数据识别的基础上,识别当前数据存在的问题和风险,通过一系列的数据治理手段,即战略层定目标、定组织、定决策,战术层定方案、定策略,执行层落地。本文主要分享战术层和执行层的做法和思路。
方案内容1方案架构
本方案将以管理和技术两个维度方向落地完成。管理层面,发布《数据分类分级管理制度》、《数据安全管理制度》、《数据申请管理制度》和《数据加密管理制度》等,形成标准要求并发布;技术层面搭建一个平台,自动对数据库内的数据进行检索发现,基于策略对数据库字段的数据做抽样分析,识别未防护的数据字段清单,进而协调相关方按要求整改。本文重点分享技术部分内容。
技术架构思路如下:
2数据分类分级(重点)
TIPS:详细内容可参考另一篇文章《数据安全怎么做:数据分类分级》
大超,公众号:大超的记事本数据安全怎么做——数据分类分级
a)概述
根据组织数据的属性或特征,将其按照一定的原则和方法进行区分、归类和定级,识别数据对组织的具体价值,从而确定以何种适当的策略,保护数据的完整性、保密性和可用性 。
b)目标确定公司的敏感数据具体内容,制定统一 的数据分类分级标准。
c)依据此处我们可以带着两个问题,来了解公司数据情况:
公司会通过哪些途径采集外部的哪些数据?
我们要了解公司对外发布的应用、api、三方数据外出等途径,这些途径会获取哪些信息和所签订的隐私协议内容等。
公司自身会产生哪些数据?
这块我们要对公司自身组织及业务情况有个比较清楚的梳理,了解自己内部的组织的相关人员会对内输出什么数据等。
d)示例
敏感信息举例如下:
用户数据类:身份证、手机号、银行卡号、社保号等
业务数据类:市场数据、商业数据等
公司数据类:财务数据、人力数据等
e)产出《数据分类分级管理制度》、《数据安全管理制度》、《数据申请管理制度》
3资产输入(重点)
a)概述
安全的任何工作开始之初,最重要的工作之一是先梳理清楚资产信息,这些数据主要依托于业务和数据管理团队提供,如通过内部数据库的cmdb获取等;数据虽然主要依托于干系部门,但是作为安全,我们自身要有数据源的判断和验证能力,用以确定当前的资产覆盖范围是全面的,在此基础之上的安全建设和防护才是切实有效的。
个人觉得:组织业务上做了安全建设防护了防不住不可怕,这个可以指导我们安全建设的方向,查漏补缺,制定下一阶段的规划和目标;可怕的是资产上有盲点,本可防护住的资产,却未建立任何防护,这种情况导致出现安全问题就相当可悲了。故摸清家底很重要!很重要!很重要!
b)目标
确定资产范围,保证资产的全面有效性
c)示例
针对于静态数据治理层面我们主要需要两类信息,分别是业务信息、主机信息(存在生产数据库),具体概述如下:
业务信息:业务名称、业务负责人、安全接口人
主机信息:集群信息、主机地址、主机状态、数据库账号密码等
d)数据验证
基于日常安全资产扫描,包括但不限于主机存活、端口开放、协议识别等,结果与三方提供资产做比对,互为双重验证。
4数据识别
a)概述
基于业务数据资产清单和全局审计权限的账号,通过技术扫描的方式对数据进行主动发现,发现生产机器中的库、表、字段、备注、样本数据等,建立数据地图。
b)目标
建立安全所需的数据地图
c)示例
识别后的结果输出举例如下:
业务信息 | 库 | 表 | 字段 | 数据样本 | 字段备注 | 主机IP | 负责人 | 安全接口人 |
test | test | test | phone | 12345678910 | 手机号 | 1.1.1.1 | 张三 | 李四 |
5数据分析
a)概述
基于数据分类分级中对敏感数据的定义,制定全面和有效的分析策略,在数据地图的基础上筛选出敏感数据,并确定它们当前的状态。
b)目标
筛选出敏感字段清单,并确定敏感字段内容是否进行了加密或者脱敏。
c)示例
分析策略举例如下:分析策略以正则表达式为主,正则表达式可以基于三个方面进行设置:
字段内容:识别分析字段内容,以识别敏感信息字段
字段备注:识别分析字段备注,以识别敏感信息字段
字段名称:识别分析字段备注,以识别敏感信息字段
6数据确认
a)概述
正则表达式的识别,或多或少会出现针对“敏感字段”的误报和漏报,前期我们需要一定的人工介入,来规避此类隐患。
b)目标
通过人工干预的方式,使数据分析阶段误报和漏报的隐患降到最低。
c)示例
主要任务示例:
人工确认,判断数据分析的结果是否满足预期,识别异常数据,优化数据分析阶段的正则表达式
人工确认,输出敏感字段清单,反馈给数据分析阶段,用以判断敏感信息字段是否进行加密或脱敏处理
人工确认,对结果数据进行人工打标,输出正负样本进行模型训练,提升数据分析的准确率
7数据治理
a)概述
部分数据安全问题需要提升到数据治理维度,方能快速和有效的解决,此处个人建议亦是如此;基于数据分析确认后的结果,我们会通过数据治理的手段推动和协调相关方进行有序整改。
b)目标
保证静态敏感数据的保密性。
c)示例
整个数据治理分为三个维度,示例相关如下:
治理层
定组织:建立数据治理组织和安全干系人体系。治理组织用以对整个公司数据安全的方向和战略做决策;安全干系人体系用以执行层面遇到问题的快速联动。
定目标&方向:方针、目标和方向会使战术层和战略层的执行更加明确和清晰。如:敏感数据全覆盖加密。
定决策:为关键事务、战术层的异议等做决断。如:绝密级数据的访问或使用的异议,需上升到治理层做决策。
战术层
划定目标的范围,如关系型数据库;在此基础上制定与之匹配的方案和计划,如加解密方案、洗库方案等,通过项目的形式和有效的时间管理协同完成;除此之外,任何事情,我们都需要定一个指标,也就是一个成功的衡量标准,如敏感数据100%加密存储等。
执行层
执行的话,就是通过协调、沟通、响应等方式,有效将战略层和战术层的规划落地。针对本方案,重点强调一部分内容。即关于加解密平台。(重点)
我们需要关注以下三点:
加密平台的健壮性:账号、权限、审计等。kms平台的健壮性:
密钥的管理机制、密钥的轮换机制(如30天一更换)、密钥的权限区分机制(如不同的业务使用不同的秘钥)等。
加密算法的健壮性:Hash+salt、aes256、rsc、商密、普密等,选择最适合业务的。
8数据展现
安全做到最后都会进入一个运营阶段,而运营也是整体安全工作中最大的关键点和难点,好的安全运营会给安全工作带来质变。
关于今天分享的静态数据的治理运营,举例两个运营中可以做的点,一是指标量化的可视化展示;二是数据治理的协调平台,例如工单平台、SOAR平台等。
可视化
示例如下:
底层数据支持相关简单举例如下:
业务信息 | 库 | 表 | 字段 | 数据样本 | 字段备注 | 主机IP | 负责人 | 安全接口人 | 是否加密 | 数据级别 |
test | test | test | phone | 12345678910 | 手机号 | 1.1.1.1 | 张三 | 李四 | 否 | G2 |
通过上述内容,我们可以清晰的看到当前关于静态数据治理的状态。
协同平台
此处不做示例,可参考漏洞管理平台、工单管理平台、SOAR等平台的思路,在平台上高效协同执行和沟通相关整改落地工作。
总结
数据安全是个庞大的概念,很多工作都可以划分到数据安全的范畴,本次分享的内容是众多数据安全工作中比较关键的一个,静态数据治理这个思路不复杂,复杂的是基于各自的公司文化将它比较好的落地,一旦落地,无论是外部合规层面还是内部企业自身安全层面,我们安全人员的底气都会增加很多。
TIPS:在整个静态数据治理过程中,务必重视两个问题,一个是覆盖范围的全面性问题,我们要保证覆盖的数据资产是全面的,覆盖的敏感数据的全面性。另一个是加解密平台的健壮性问题,加解密平台要有权限划分、使用管控、审计、kms足够健壮等。
这是【VK技术分享】的第13期后续我们将持续输出优秀的技术文章如果您有任何希望交流讨论问题欢迎在文末或后台进行留言我们期待与您的技术交流和思想碰撞技术分享时间结束插播两条广播??VK SRC今年最后一场重磅活动正在进行中有效漏洞最高可获得三倍奖励?VIPKID信息安全部招聘开启中涵盖基础安全、应用安全、数据安全等多方向职位诚邀优秀安全人才加入共建安全
VK SRC今年最后一场重!磅!活!动!
【招聘】您有一份offer请查收!
关于VIPKID SRCVIPKID安全响应中心(VIPKID Security Response Center)--简称VKSRC,隶属于VIPKID信息安全部,于2017年10月25日正式上线。VKSRC的上线,旨在建立一个连接白帽子、安全团队和安全爱好者们的官方渠道和沟通桥梁,主动收集、发现潜在的安全威胁,全方位保障VIPKID公司、用户及合作伙伴的信息和隐私数据安全,共建互联网安全生态。
点个【在看 】吧
wps数据匹配怎么做_【VK技术分享】数据安全怎么做—静态数据的识别和治理相关推荐
- 【技术分享】新核心业务系统数据架构规划与数据治理
本文整理自DTCC2016主题演讲内容,录音整理及文字编辑IT168@田晓旭@老鱼.如需转载,请先联系本公众号获取授权! 演讲嘉宾 种磊 农银人寿新核心数据架构组组长 经济师,农银人寿IT部资深专员. ...
- 实现客户机(Client)类声明字符型静态数据成员ServerName,保存其服务器名称;整型静态数据成员ClientNum,记录已定义的客户机数量;定义静态函数成员ChangeServerName
实现客户机(Client)类.声明字符型静态数据成员ServerName,保存其服务器名称:整型静态数据成员ClientNum,记录已定义的客户机数量:定义静态函数成员ChangeServerName ...
- python分析数据差异的方法_数据分析技术:数据差异的显著性检验
数据差异的显著性检验是数据分析的重要技术之一.然而,如何正确选择检验方法是很多初学者困惑和容易出现错误的地方.下面为大家总结一下数据差异显著性检验的方法及适用范围. 显著性检验 首先需要理解什么是数据 ...
- 大数据业务学习笔记_学习业务成为一名出色的数据科学家
大数据业务学习笔记 意见 (Opinion) A lot of aspiring Data Scientists think what they need to become a Data Scien ...
- 【华为云技术分享】上亿条数据,如何查询分析简单又高效?
正值618大促,小张遇到了一个棘手的问题,需要在一周内将公司近1年电商部门的营收和线下门店经营数据进行联合分析. 这将产生哪些数据难题呢? 数据孤岛:电商部门的数据存在数仓A.门店经营收入数据存在数仓 ...
- 数据图表与分析图_史上最全最实用的数据可视化分析图表制作工具汇总
俗话说的好:工欲善其事,必先利其器!一款好的工具可以让你事半功倍,尤其是在大数据时代,更需要强有力的工具通过使数据有意义的方式实现数据可视化,还有数据的可交互性;我们还需要跨学科的团队,而不是单个数据 ...
- mysql带外_【技术分享】MySQL带外攻击(含演示视频)
Brexit 预估稿费:180RMB 投稿方式:发送邮件至 linwei#360.cn ,或登陆网页版在线投稿 概述 关于MSSQL和所有的这一切都只在Windows环境下的MySQL中有可能实现. ...
- oracle 锁表如何解决_「技术分享」高并发下的接口幂等性解决方案
高并发下的接口幂等性解决方案! 一.背景我们实际系统中有很多操作,是不管做多少次,都应该产生一样的效果或返回一样的结果.例如:前端重复提交选中的数据,应该后台只产生对应这个数据的一个反应结果.我们发起 ...
- gis等时圈怎么做_【干货分享】如何一键生成等时圈?
基地分析是城市设计.规划项目中必有的研究.其中有一种分析图非常常见--等时圈分析.这是指从某点出发,以某种交通方式在特定时间内能到达的距离覆盖的范围. 传统上,由于技术限制,我们只能草草画一两个圈了事 ...
最新文章
- 软件测试培训分享:如何才能选择到靠谱的培训学校
- 辞职后五险一金的处理方式
- 《JavaScript 高级程序设计》学习总结六(3)
- 《软件工艺师:专业、务实、自豪》一第3章
- 【分布式训练】单机多卡—PyTorch
- CC++运算符优先级
- 走进C/C++函数的名字改编
- Fiori 实现在网页端调用摄像头扫描二维码进行识别
- 如何软件项目电子投标
- 显卡测试软件硬盘版怎么安装,显卡检测软件(Alexander)
- AVR单片机LED单灯闪烁
- 《Spring Boot极简教程》附录1 计算机简史
- 什么是程序?什么是程序设计?
- Ubuntu20.04切换阿里源镜像(清华源、网易源)
- numpy.random.rand用法
- 什么是人工智能物联网(AIoT)一文教你快速了解人工智能物联网(AIoT)
- 国内人脸识别公司哪家强,人脸比对跑个分比较下!
- Matlab交换行列
- 宋宝华:用eBPF/bcc分析系统性能的一个简单案例
- openmv c语言源码,【国外开源】STM32 机器人视觉摄像机OpenMV Cam设计(硬件+固件源码等)...
热门文章
- IOS基础之iPad的屏幕旋转方向判断
- Python连接Mysql数据库入门
- java 超时集合_确定性监视器脉冲/等待并在 生产环境 者 - 消费者集合中实现超时...
- zabbix 时间错误_一键部署Zabbix+Grafana+Icinga+SmokePing监控系统
- java实现分布式redis锁_使用redis实现分布式锁
- 关于webSocket建立前后端连接,并进行心跳机制的实现
- 华为ipd产品开发流程_亲历华为IPD变革是怎样一种体验|附完整版培训教材
- php防止订单重复计算,php防止用户重复提交表单
- qt vs插件 qt-vsaddin下载
- 反走样和OpenGL多重采样