前言

在当前的数据时代，随着云计算、大数据、AI等技术的不断发展，“数据”已经渗透到当今每一个行业和业务职能领域，成为重要的生产要素。数据的计量单位也至少是PB级别计算。这对于国家、企业和个人面临着网络安全、数据安全和隐私等一系列问题上，都提出了全新的挑战。国内外相继出台了GDPR、LGPD、CCPA、网络安全法、数据安全法(草案)和个人信息保护法(草案)等，这个时代不仅给“数据”赋予了“价值”属性，也同步赋予了“法律”属性，数据安全不在是组织自身安全问题，也是公共安全和国家安全问题，这些都推动着国家和企业重视数据，重视数据安全。

那数据安全怎么做，数据安全工作的重大和有效抓手是什么，今天跟大家分享数据安全工作的关键之一——《静态敏感数据的识别和治理》

关于静态敏感数据的防护，我们常用的手法是加密或脱敏，手段虽然简单，但是要想有效执行，并能够量化确认落地效果，还是有一定的难度的，今天跟大家分享下个人的想法和做法。

方案思路及目标1方案目标

保证静态敏感数据的保密性。

2衡量标准

静态敏感数据的加密或脱敏覆盖率100%。

3治理范围

关系型数据库中的静态敏感数据。

4总体思路

本文主要是谈两部分内容，一个是静态数据的主动识别，一个是识别到数据安全问题后的治理工作。

敏感数据识别是数据安全工作的切入点和基础，我们需要知道组织有哪些数据，了解清楚自身的数据家底，才能有效的做好下一步的分析、治理和运营等工作，知不足，补缺陷，符合规，满内需！

数据治理则是在数据识别的基础上，识别当前数据存在的问题和风险，通过一系列的数据治理手段，即战略层定目标、定组织、定决策，战术层定方案、定策略，执行层落地。本文主要分享战术层和执行层的做法和思路。

方案内容1方案架构

本方案将以管理和技术两个维度方向落地完成。管理层面，发布《数据分类分级管理制度》、《数据安全管理制度》、《数据申请管理制度》和《数据加密管理制度》等，形成标准要求并发布；技术层面搭建一个平台，自动对数据库内的数据进行检索发现，基于策略对数据库字段的数据做抽样分析，识别未防护的数据字段清单，进而协调相关方按要求整改。本文重点分享技术部分内容。

技术架构思路如下：

2数据分类分级(重点)

TIPS：详细内容可参考另一篇文章《数据安全怎么做：数据分类分级》

大超，公众号：大超的记事本数据安全怎么做——数据分类分级

a)概述

根据组织数据的属性或特征，将其按照一定的原则和方法进行区分、归类和定级，识别数据对组织的具体价值，从而确定以何种适当的策略，保护数据的完整性、保密性和可用性 。

b)目标确定公司的敏感数据具体内容，制定统一 的数据分类分级标准。

c)依据此处我们可以带着两个问题，来了解公司数据情况：

• 公司会通过哪些途径采集外部的哪些数据？

我们要了解公司对外发布的应用、api、三方数据外出等途径，这些途径会获取哪些信息和所签订的隐私协议内容等。

• 公司自身会产生哪些数据？

这块我们要对公司自身组织及业务情况有个比较清楚的梳理，了解自己内部的组织的相关人员会对内输出什么数据等。

d)示例

敏感信息举例如下：

• 用户数据类：身份证、手机号、银行卡号、社保号等

• 业务数据类：市场数据、商业数据等

• 公司数据类：财务数据、人力数据等

e)产出《数据分类分级管理制度》、《数据安全管理制度》、《数据申请管理制度》

3资产输入(重点)

a)概述

安全的任何工作开始之初，最重要的工作之一是先梳理清楚资产信息，这些数据主要依托于业务和数据管理团队提供，如通过内部数据库的cmdb获取等；数据虽然主要依托于干系部门，但是作为安全，我们自身要有数据源的判断和验证能力，用以确定当前的资产覆盖范围是全面的，在此基础之上的安全建设和防护才是切实有效的。

个人觉得：组织业务上做了安全建设防护了防不住不可怕，这个可以指导我们安全建设的方向，查漏补缺，制定下一阶段的规划和目标；可怕的是资产上有盲点，本可防护住的资产，却未建立任何防护，这种情况导致出现安全问题就相当可悲了。故摸清家底很重要！很重要！很重要！

b)目标

确定资产范围，保证资产的全面有效性

c)示例

针对于静态数据治理层面我们主要需要两类信息，分别是业务信息、主机信息(存在生产数据库)，具体概述如下：

• 业务信息：业务名称、业务负责人、安全接口人

• 主机信息：集群信息、主机地址、主机状态、数据库账号密码等

d)数据验证

基于日常安全资产扫描，包括但不限于主机存活、端口开放、协议识别等，结果与三方提供资产做比对，互为双重验证。

4数据识别

a)概述

基于业务数据资产清单和全局审计权限的账号，通过技术扫描的方式对数据进行主动发现，发现生产机器中的库、表、字段、备注、样本数据等，建立数据地图。

b)目标

建立安全所需的数据地图

c)示例

识别后的结果输出举例如下：

业务信息	库	表	字段	数据样本	字段备注	主机IP	负责人	安全接口人
test	test	test	phone	12345678910	手机号	1.1.1.1	张三	李四

5数据分析

a)概述

基于数据分类分级中对敏感数据的定义，制定全面和有效的分析策略，在数据地图的基础上筛选出敏感数据，并确定它们当前的状态。

b)目标

筛选出敏感字段清单，并确定敏感字段内容是否进行了加密或者脱敏。

c)示例

分析策略举例如下：分析策略以正则表达式为主，正则表达式可以基于三个方面进行设置：

• 字段内容：识别分析字段内容，以识别敏感信息字段

• 字段备注：识别分析字段备注，以识别敏感信息字段

• 字段名称：识别分析字段备注，以识别敏感信息字段

6数据确认

a)概述

正则表达式的识别，或多或少会出现针对“敏感字段”的误报和漏报，前期我们需要一定的人工介入，来规避此类隐患。

b)目标

通过人工干预的方式，使数据分析阶段误报和漏报的隐患降到最低。

c)示例

主要任务示例：

• 人工确认，判断数据分析的结果是否满足预期，识别异常数据，优化数据分析阶段的正则表达式

• 人工确认，输出敏感字段清单，反馈给数据分析阶段，用以判断敏感信息字段是否进行加密或脱敏处理

• 人工确认，对结果数据进行人工打标，输出正负样本进行模型训练，提升数据分析的准确率

7数据治理

a)概述

部分数据安全问题需要提升到数据治理维度，方能快速和有效的解决，此处个人建议亦是如此；基于数据分析确认后的结果，我们会通过数据治理的手段推动和协调相关方进行有序整改。

b)目标

保证静态敏感数据的保密性。

c)示例

整个数据治理分为三个维度，示例相关如下：

• 治理层

定组织：建立数据治理组织和安全干系人体系。治理组织用以对整个公司数据安全的方向和战略做决策；安全干系人体系用以执行层面遇到问题的快速联动。

定目标&方向：方针、目标和方向会使战术层和战略层的执行更加明确和清晰。如：敏感数据全覆盖加密。

定决策：为关键事务、战术层的异议等做决断。如：绝密级数据的访问或使用的异议，需上升到治理层做决策。

• 战术层

划定目标的范围，如关系型数据库；在此基础上制定与之匹配的方案和计划，如加解密方案、洗库方案等，通过项目的形式和有效的时间管理协同完成；除此之外，任何事情，我们都需要定一个指标，也就是一个成功的衡量标准，如敏感数据100%加密存储等。

• 执行层

执行的话，就是通过协调、沟通、响应等方式，有效将战略层和战术层的规划落地。针对本方案，重点强调一部分内容。即关于加解密平台。(重点)

我们需要关注以下三点：

• 加密平台的健壮性：账号、权限、审计等。kms平台的健壮性：

• 密钥的管理机制、密钥的轮换机制(如30天一更换)、密钥的权限区分机制(如不同的业务使用不同的秘钥)等。

• 加密算法的健壮性：Hash+salt、aes256、rsc、商密、普密等，选择最适合业务的。

8数据展现

安全做到最后都会进入一个运营阶段，而运营也是整体安全工作中最大的关键点和难点，好的安全运营会给安全工作带来质变。

关于今天分享的静态数据的治理运营，举例两个运营中可以做的点，一是指标量化的可视化展示；二是数据治理的协调平台，例如工单平台、SOAR平台等。

• 可视化

示例如下：

底层数据支持相关简单举例如下：

业务信息	库	表	字段	数据样本	字段备注	主机IP	负责人	安全接口人	是否加密	数据级别
test	test	test	phone	12345678910	手机号	1.1.1.1	张三	李四	否	G2

通过上述内容，我们可以清晰的看到当前关于静态数据治理的状态。

• 协同平台

此处不做示例，可参考漏洞管理平台、工单管理平台、SOAR等平台的思路，在平台上高效协同执行和沟通相关整改落地工作。

总结

数据安全是个庞大的概念，很多工作都可以划分到数据安全的范畴，本次分享的内容是众多数据安全工作中比较关键的一个，静态数据治理这个思路不复杂，复杂的是基于各自的公司文化将它比较好的落地，一旦落地，无论是外部合规层面还是内部企业自身安全层面，我们安全人员的底气都会增加很多。

TIPS：在整个静态数据治理过程中，务必重视两个问题，一个是覆盖范围的全面性问题，我们要保证覆盖的数据资产是全面的，覆盖的敏感数据的全面性。另一个是加解密平台的健壮性问题，加解密平台要有权限划分、使用管控、审计、kms足够健壮等。

这是【VK技术分享】的第13期后续我们将持续输出优秀的技术文章如果您有任何希望交流讨论问题欢迎在文末或后台进行留言我们期待与您的技术交流和思想碰撞技术分享时间结束插播两条广播??VK SRC今年最后一场重磅活动正在进行中有效漏洞最高可获得三倍奖励?VIPKID信息安全部招聘开启中涵盖基础安全、应用安全、数据安全等多方向职位诚邀优秀安全人才加入共建安全

VK SRC今年最后一场重！磅！活！动！

【招聘】您有一份offer请查收！

关于VIPKID SRCVIPKID安全响应中心(VIPKID Security Response Center)--简称VKSRC，隶属于VIPKID信息安全部，于2017年10月25日正式上线。VKSRC的上线，旨在建立一个连接白帽子、安全团队和安全爱好者们的官方渠道和沟通桥梁，主动收集、发现潜在的安全威胁，全方位保障VIPKID公司、用户及合作伙伴的信息和隐私数据安全，共建互联网安全生态。

点个【在看 】吧