今日網(wǎng)絡(luò)世界，圍繞網(wǎng)絡(luò)可見(jiàn)性，IT人發(fā)現(xiàn)自己不斷在問(wèn)一些很難回答的問(wèn)題：我們?cè)鯓涌吹秸麄€(gè)網(wǎng)絡(luò)?我們需要哪些工具?如何保持合規(guī)?雖然不是生死攸關(guān)的問(wèn)題，不像《哈姆雷特》里面“生存還是毀滅”那么殘酷，對(duì)公司安全態(tài)勢(shì)而言還是很值得一問(wèn)的。尤其是在數(shù)據(jù)和網(wǎng)絡(luò)復(fù)雜度增加，對(duì)隱私和安全的關(guān)注度上升的情況下。

[[189492]]

電子商務(wù)、大數(shù)據(jù)、社會(huì)協(xié)作和互聯(lián)網(wǎng)等方面的創(chuàng)新，推進(jìn)了現(xiàn)有計(jì)算系統(tǒng)的極限，反過(guò)來(lái)，也迫使公司企業(yè)進(jìn)行基礎(chǔ)設(shè)施升級(jí)，包括遷移到云端。加密也覆蓋了大半個(gè)網(wǎng)絡(luò)。在此過(guò)程中，公司企業(yè)及其員工獲得了生產(chǎn)力和安全的提升，但同時(shí)也犧牲了可見(jiàn)性與控制力?？紤]到現(xiàn)代企業(yè)網(wǎng)絡(luò)處理的大量敏感信息，可見(jiàn)性與控制的喪失可能會(huì)成為大問(wèn)題。

這樣一種環(huán)境里，復(fù)雜漏洞利用依然會(huì)發(fā)生，信息依然會(huì)被劫持——只要復(fù)雜性阻礙了細(xì)粒度觀察網(wǎng)絡(luò)中發(fā)生事件的能力。解決起來(lái)很難，但也不是完全沒(méi)有解決方案。安全風(fēng)險(xiǎn)及合規(guī)限制了完整可見(jiàn)性的問(wèn)題該如何解決，公司企業(yè)可以考慮如下做法：

一、透過(guò)掩碼看數(shù)據(jù)

完整的可見(jiàn)性是安全必備要素。但有些東西必須保持不可見(jiàn)，比如個(gè)人可識(shí)別信息(PII)和關(guān)鍵生產(chǎn)數(shù)據(jù)等。各行各業(yè)都有相關(guān)數(shù)據(jù)標(biāo)準(zhǔn)和規(guī)則限制誰(shuí)能看到并使用這些信息。怎樣保證既有可見(jiàn)性又合規(guī)呢?

數(shù)據(jù)遮掩，也就是數(shù)據(jù)訪問(wèn)限制基本上讓數(shù)據(jù)不可見(jiàn)，通過(guò)部分模糊或用虛假信息替換的方式，換掉敏感數(shù)據(jù)?；旧?，數(shù)據(jù)遮掩，其實(shí)就是數(shù)據(jù)被修改成基本信息保持不變，而關(guān)鍵信息被改變的情況。

這并不意味著完整可見(jiàn)性再也不可獲得，僅僅只是不應(yīng)該被看到的數(shù)據(jù)不可見(jiàn)而已。

二、什么時(shí)候遮掩

區(qū)分哪些數(shù)據(jù)需要遮掩，哪些數(shù)據(jù)要保持可見(jiàn)的時(shí)候，尤其是在要滿足數(shù)據(jù)保護(hù)要求的情況下，有幾個(gè)因素是必須考慮的。下面幾種情況中，數(shù)據(jù)遮掩特別有用。

1. 測(cè)試

公司企業(yè)必須常用逼真的數(shù)據(jù)集來(lái)測(cè)試和開(kāi)發(fā)相關(guān)軟件。然而，創(chuàng)建偽數(shù)據(jù)集有可能既耗時(shí)又昂貴。為應(yīng)對(duì)這種情況，可以對(duì)真實(shí)數(shù)據(jù)進(jìn)行遮掩后利用之，在不危及安全的情況下提升效率。這對(duì)外包也很有用，因?yàn)榭梢韵拗普鎸?shí)數(shù)據(jù)的暴露面。

2. 監(jiān)視和記錄

公司企業(yè)往往需要監(jiān)視和記錄數(shù)據(jù)，但根據(jù)法律法規(guī)，PII是不能被存儲(chǔ)的。數(shù)據(jù)遮掩可以讓公司企業(yè)既記錄下來(lái)數(shù)據(jù)，又模糊掉敏感數(shù)據(jù)，***規(guī)避了合規(guī)問(wèn)題。

3. SSL解密

雖然可以保護(hù)數(shù)據(jù)，SSL(安全套接字層)加密同樣會(huì)帶來(lái)風(fēng)險(xiǎn)，因?yàn)楹诳涂梢岳眉用軘?shù)據(jù)偷偷潛入，盜取敏感信息。因此，公司企業(yè)解密并檢查流經(jīng)自身網(wǎng)絡(luò)的SSL流量，確保沒(méi)有惡意活動(dòng)。但SSL解密意味著，有權(quán)訪問(wèn)監(jiān)視工具的任何人，都可以看到加密背后的敏感數(shù)據(jù)了。幸運(yùn)的是，有工具可以在解密SSL數(shù)據(jù)的同時(shí)，遮掩起不應(yīng)該暴露的數(shù)據(jù)。

三、正確遮掩

不是所有的數(shù)據(jù)遮掩解決方案都是生而平等的。為確保你選到正確的那個(gè)，知曉其用法是重中之重?？偠灾朗裁词窃撜谘诘?，以及該如何便捷訪問(wèn)和分發(fā)數(shù)據(jù)。

比如說(shuō)，僅僅是為了將數(shù)據(jù)分發(fā)到DLP(數(shù)據(jù)丟失防護(hù))設(shè)備進(jìn)行分析，還是必須適合原生搜索?如果是后者，解決方案就應(yīng)該支持正則表達(dá)式(Regex)。另外，如果通過(guò)正則表達(dá)式搜索訪問(wèn)數(shù)據(jù)，網(wǎng)絡(luò)包代理就值得考慮了。網(wǎng)絡(luò)包代理可以輕松收集數(shù)據(jù)、檢索和分發(fā)以監(jiān)視設(shè)備。還有可在正則表達(dá)式的基礎(chǔ)之上與數(shù)據(jù)遮掩解決方案協(xié)作良好的處理器，有助輕松篩選流量，識(shí)別異常行為及應(yīng)用使用中的其他趨勢(shì)。網(wǎng)絡(luò)管理員只需簡(jiǎn)單地指定需要查找哪些流量，以及結(jié)果的呈現(xiàn)方式即可。

最終，在如今這復(fù)雜的網(wǎng)絡(luò)和監(jiān)管環(huán)境下，安全歸結(jié)為網(wǎng)絡(luò)被看到的方式，而不是是否能看到網(wǎng)絡(luò)全貌。如此之多的數(shù)據(jù)縈繞周?chē)趺刺幚磉@個(gè)問(wèn)題，最終還是要落到公司企業(yè)自身來(lái)決策。希望不要像我們的老朋友哈姆雷特一樣以悲劇收?qǐng)霭伞?/p>

【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文