数据泄漏事件,层出不穷。从印度的国家身份识别数据库数据泄露到挪威卫生局信息系统数据泄露,圆通、顺丰、华住集团、万豪喜达屋以及刚刚被披露的丰田数据泄露。这些政府部门及大型商业组织都拥有相对健全的网络安全防护手段,但数据泄露事件仍然时有发生,究其根本,除了数据安全保护难度大外,在每一起事件的背后,都有数据安全管理不得当的影子。
有的放矢才能事半功倍
近期国内各重点行业和相关单位都在开展加强对重要数据和公民个人信息的安全保护的专项治理工作。通过对数据资产梳理,形成数据资产清单,可以对互联网相关的重要数据和个人信息采集、存储、传输、使用、提供、销毁等环节的具体情况清楚把握,在此基础上进一步排查信息系统和数据库,是否存在弱口令、未授权访问、数据明文传输、缺少安全审计,访问控制、策略不严等突出安全隐患,才能聚焦数据安全突出风险进行安全保护,进而有的放矢的完善数据全生命周期安全保护,切实提升重要数据和公民个人信息安全保护能力。
五步走,敏感数据状况全掌握
1. 数据资产定位
- 扫描发现数据库:通过网络扫描或者流量监听等技术手段发现信息系统中运行的数据库。
- 建立数据资产底单:通过对发现的数据库信息整理,初步建立数据资产底单。
输出:《数据资产底单》。
2. 数据资产标识
- 找到数据拥有者:为数据资产底单上的数据资产找到拥有者或管理者,一般是业务的运营者或者管理者。
- 获取数据访问权限:从数据拥有者或管理者那里获取数据权限,一般是只读权限,为数据标识做准备。
注:数据资产标识是对数据资产属性信息填充完整的动作,标识内容包含资产所属管理部门、项目、所属业务系统等信息,实现信息清单化管理。
3. 数据类型标识
按照预定义的重要数据或个人信息数据特征如姓名、证件号、银行账户、金额、日期、住址、电话号码、Email地址等数据,在执行任务过程中对抽取的数据进行自动的识别,发现敏感数据,并可以根据规则对发现的敏感数据进行导出清单。通过自动识别敏感数据,可以避免按照字段定义敏感数据元的繁琐工作,同时能够持续的发现新的敏感数据。
个人敏感信息示例
4. 数据资产清单
- 确认标识结果:抽查部分数据标识结果,可以结合数据量来确定需要重点保护的数据资产。
- 形成数据清单:经过确认后的数据标识,形成数据资产详细清单,实现数据资产的清单化管理,样例如下:
数据清单(样例)
重要数据或个人信息统计表(样表)
输出:《数据资产清单》《数据资产详细清单》《重要或敏感数据清单》《重要数据或个人信息统计表》等。
5. 持续监控
- 定期进行数据资产梳理:数据资产是处于动态变化中的,对于数据资产的梳理应当根据业务情况定期开展。
- 数据使用监控:通过技术手段理清数据使用情况和数据流向;
输出:《数据资产变化趋势报告》。
数据资产梳理关键技术
1. 基于网络嗅探技术,自动寻找发现网络环境中存在的数据库。
需要支持多种数据库自动发现,主动嗅探网内数据库的发现技术,可以指定IP段和端口的范围进行搜索,也可以基于访问流量解析自动发现与识别数据库的技术。
2. 基于特征匹配的敏感数据探测技术,自动梳理数据库中个人隐私敏感数据分布。
一般应用的后台数据库都成千上万张表,要保护核心数据资产,首先要了解核心数据资产在什么地方,需要能够从海量数据中快速发现敏感数据,定位敏感数据存储与分布,统计敏感数据量级,可以通过敏感数据发现功能对个人敏感信息、信用卡账户信息、企业敏感信息等的表和列进行扫描,也支持用户自定义敏感对象搜索关键字功能。
3. 基于数据使用与监测技术,可动态梳理敏感数据使用情况。
针对应用系统运行、开发测试、对外数据传输和前后台操作等使用环节,对数据的流转、 存储与使用进行监控,对应用侧、内部运维侧及开发测试的访问行为,对访问敏感数据的频次进行热度分析。
数据资产梳理,是帮助组织厘清数据资产,实现分级分类管理保护的基础,是数据安全治理中数据资产状况摸底的落地支撑,也是大数据时代,保障数据资源开放共享的关键一环。
【本文是51CTO专栏作者“安华金和”的原创稿件,转载请联系原作者】