大數(shù)據(jù)時代，數(shù)據(jù)是基礎(chǔ)，業(yè)務(wù)是核心，數(shù)據(jù)安全則必然需要與業(yè)務(wù)形態(tài)有所關(guān)聯(lián)，因此，數(shù)據(jù)安全和邊界類的網(wǎng)絡(luò)安全正逐漸劃分開來。自2017年6月網(wǎng)安法實施以來，配套的法律法規(guī)也陸續(xù)出臺，要求越來越高，力度越來越大，加之正在制定的《數(shù)據(jù)安全法》和《個人信息保護(hù)法》，數(shù)據(jù)安全已成為數(shù)字化轉(zhuǎn)型的必要基礎(chǔ)能力。

[[398876]]

從整體信息化的發(fā)展來看，數(shù)據(jù)安全被重視相對是滯后的，大多行業(yè)都是信息系統(tǒng)已經(jīng)運行了好多年，基于此開展數(shù)據(jù)安全相關(guān)工作，難度還是很大的。尤其是行業(yè)里針對高敏感數(shù)據(jù)的管控，例如明星數(shù)據(jù)、高級別領(lǐng)導(dǎo)數(shù)據(jù)、高管數(shù)據(jù)等，這些數(shù)據(jù)與普通人員的數(shù)據(jù)一般是混在一起的，全量管控會影響業(yè)務(wù)的便捷性，若不管控，一旦發(fā)生泄露，對企業(yè)的損失會非常大。

現(xiàn)有高敏感數(shù)據(jù)管控方案解析

進(jìn)入大數(shù)據(jù)時代后，數(shù)據(jù)價值越來越高，受利益的驅(qū)使，類似事件時有發(fā)生。那么，針對這類高敏感人員的信息我們該如何加強(qiáng)管控?就此事，我通過走訪調(diào)研了多家數(shù)據(jù)安全廠商，收集到了三個方案，并進(jìn)行了弊端分析。

[[398877]]

方案一：單獨再部署一套應(yīng)用，例如“VIP系統(tǒng)”，這樣可以將高敏感數(shù)據(jù)和普通敏感數(shù)據(jù)進(jìn)行隔離，有針對性的進(jìn)行保護(hù)，由專門的團(tuán)隊進(jìn)行維護(hù)，縮小數(shù)據(jù)使用的范圍。

這樣的高敏感數(shù)據(jù)管控方案其實存在一些弊端，首當(dāng)其沖帶來的問題就是運營成本的增加，一方面需要投入一套軟硬件資源，另一方面需要組織人員進(jìn)行運營、維護(hù);

同時還會有重復(fù)投入的現(xiàn)象出現(xiàn)，很多時候為保證安全，需要分別為這兩套系統(tǒng)配置數(shù)據(jù)安全產(chǎn)品和能力，這就造成了大量的重復(fù)投入;

另外，從價值最大化的層面來看，這樣的管控模式下由于存有高敏感數(shù)據(jù)的應(yīng)用系統(tǒng)一般不敢輕易對外提供服務(wù)，這在無形中就形成了數(shù)據(jù)孤島，不利于數(shù)據(jù)價值的發(fā)揮;

[[398878]]

方案二：對高敏感數(shù)據(jù)進(jìn)行打標(biāo)，在數(shù)據(jù)生成的時候?qū)?shù)據(jù)進(jìn)行敏感級別判定，并做打標(biāo)處理，這樣可以很清晰地道哪些是高敏感數(shù)據(jù)，可以有針對性的授權(quán)，加入一些數(shù)據(jù)加密或數(shù)據(jù)脫敏的安全手段，當(dāng)數(shù)據(jù)被使用時通過敏感標(biāo)識來采取相應(yīng)的安全技術(shù)手段予以保護(hù)。

很明顯，這個方式不會造成重復(fù)投入，投入成本相比也會低很多，做好權(quán)限管控的話，高敏感數(shù)據(jù)還是可以向外共享的。但該方案會導(dǎo)致應(yīng)用系統(tǒng)改造量大,數(shù)據(jù)生成時需要判斷，授權(quán)時需要單獨處理，使用時需要進(jìn)行數(shù)據(jù)加密或數(shù)據(jù)脫敏處理，這些改動的工作會很大，甚至?xí)膭禹攲釉O(shè)計;

另一方面，高敏感數(shù)據(jù)與普通敏感數(shù)據(jù)一樣，有很多使用場景，例如：數(shù)據(jù)更新、刪除、分析、校驗、查詢等，這些場景都會接觸到高敏感數(shù)據(jù)，采用這種方案會影響數(shù)據(jù)的便捷使用;

還有就是由于邏輯復(fù)雜，會造成明顯的性能損耗。敏感數(shù)據(jù)的每次使用都需要進(jìn)行判斷，看是普通數(shù)據(jù)、普通敏感數(shù)據(jù)

、還是高敏感數(shù)據(jù)，判斷后還需要調(diào)用相應(yīng)的安全接口對數(shù)據(jù)進(jìn)行處理，當(dāng)數(shù)據(jù)訪問峰值出現(xiàn)時，可能會造成宕機(jī);

另外，為保證安全，降低泄露風(fēng)險，需要對高敏感數(shù)據(jù)進(jìn)行數(shù)據(jù)加密和數(shù)據(jù)動態(tài)脫敏處理，這樣更加重了性能的損耗和數(shù)據(jù)使用的便捷性。

[[398879]]

方案三：對高敏感數(shù)據(jù)進(jìn)行匿名化處理，匿名處理后的數(shù)據(jù)不影響使用，同時也很好的對高敏感數(shù)據(jù)進(jìn)行保護(hù)，為了保證匿名后的數(shù)據(jù)在需要時可以再逆向回原始數(shù)據(jù)，可以將對應(yīng)關(guān)系進(jìn)行保留。

相比前兩種方案，方案三對數(shù)據(jù)業(yè)務(wù)的影響是最小的，應(yīng)用改動量也不會很大，貌似看上去是最合適的，但其存在一致命的問題，即：為保證匿名后的數(shù)據(jù)可以逆向回來，需要將對應(yīng)關(guān)系進(jìn)行保管，一旦對應(yīng)關(guān)系被篡改或刪除，則數(shù)據(jù)將永遠(yuǎn)恢復(fù)不了;

還有就是這樣做會影響數(shù)據(jù)價值發(fā)揮，匿名化后的數(shù)據(jù)可以很好的防止泄露，但也阻礙了數(shù)據(jù)的應(yīng)用，一些有針對性的服務(wù)功能將很難實現(xiàn)，如果每次都進(jìn)行逆向處理，頻繁的對數(shù)據(jù)進(jìn)行逆向處理，還是會增加泄露的概率。

從源頭探尋高敏感數(shù)據(jù)“隱身”之道

以上三種方案都是從如何管控入手，雖然存在一些弊端，但還是可以起到很大作用的。我們不妨換個思路，將高敏感數(shù)據(jù)隱藏，讓使用者不知道高敏感數(shù)據(jù)的存在，順著這個思路，我設(shè)計了一下方案：

首先，重定向數(shù)據(jù)庫，讓應(yīng)用系統(tǒng)不直接訪問數(shù)據(jù)庫，需要先訪問協(xié)議解析工具，協(xié)議解析工具對訪問協(xié)議進(jìn)行解析，得出“誰想訪問哪些數(shù)據(jù)，要做什么”。然后，將協(xié)議解析出來的結(jié)果與高敏感數(shù)據(jù)特征進(jìn)行比對，確認(rèn)該用戶是否可以訪問，若不可以訪問，則通過改寫返回結(jié)果的協(xié)議將高敏感數(shù)據(jù)剔除;若可以訪問，則不予處理，直接放行。

另外，在這個過程中，需要產(chǎn)生兩張數(shù)據(jù)表，分別是高敏感數(shù)據(jù)特征表和有權(quán)限的用戶表，這兩張表對于安全管控至關(guān)重要，出于安全考慮，應(yīng)專人專崗負(fù)責(zé)，且內(nèi)部不要公開，知道的人越少，安全系數(shù)越高，管理員定期錄入和更新表中的數(shù)據(jù)即可。

結(jié)合上述內(nèi)容，加入產(chǎn)品化的思維，與原有的數(shù)據(jù)使用邏輯結(jié)構(gòu)進(jìn)行對比

如上圖所示，采用這種方式可以做到應(yīng)用零改造，對原始數(shù)據(jù)沒有造成破壞，投入成本也相對較低，雖然對訪問的性能還是造成了一定的損耗，但防護(hù)效果還是很明顯的。

有的放矢，方法實踐初嘗試

無感知管控中最核心的奧義是讓使用者不知道高敏感數(shù)據(jù)的存在，如若數(shù)據(jù)能“隱身”，將直接解決無感知管控的核心問題。下面我們以數(shù)據(jù)查詢?yōu)槔?，看下改造后的流程如何讓?shù)據(jù)隱身：

整個流程的推演首先要有一個前提，需要將應(yīng)用系統(tǒng)中配置的數(shù)據(jù)庫IP改成協(xié)議解析工具的IP，協(xié)議解析工具變成了數(shù)據(jù)庫的前置代理，協(xié)議解析工具需要配置目標(biāo)數(shù)據(jù)庫的IP。然后就是具體的處理過程，大致可分為三個階段：

數(shù)據(jù)查詢請求階段

1) 用戶可以通過web端或移動端通過應(yīng)用系統(tǒng)提供的操作界面申請查詢數(shù)據(jù)，用戶可以是數(shù)據(jù)管理者、數(shù)據(jù)運維工程師、客服人員等;

2) 應(yīng)用系統(tǒng)接收到請求后，先進(jìn)行用戶身份認(rèn)證，若符合規(guī)則則應(yīng)用系統(tǒng)生成SQL語句，再將用戶信息和SQL語句等信息組成數(shù)據(jù)庫訪問協(xié)議，并發(fā)送到協(xié)議解析工具;

3) 目標(biāo)數(shù)據(jù)庫接收到訪問協(xié)議后，進(jìn)行處理，此步的處理由數(shù)據(jù)庫本身完成，處理完成后將結(jié)果返回;

“隱身”處理階段

4) 數(shù)據(jù)庫訪問協(xié)議解析工具獲取到返回協(xié)議后(這里指的是帶有數(shù)據(jù)庫返回結(jié)果的返回協(xié)議)，開始解析，首先對協(xié)議中的內(nèi)容進(jìn)行可讀拆分，即拆分成“key-value”的形式，再對這些信息進(jìn)行檢索，獲取到用戶信息(用戶信息一般是用戶的唯一性標(biāo)識，例如：User ID)和結(jié)果集;

如果結(jié)果集中涉及到了高敏感數(shù)據(jù)，則需要進(jìn)行權(quán)限判斷，將用戶的User ID在高敏感數(shù)據(jù)特征庫中的用戶權(quán)限表中進(jìn)行遍歷查詢，如果未查詢到了該用戶的User ID，或者查詢到了但發(fā)現(xiàn)沒有查詢的權(quán)限，則需要對該結(jié)果集中的高敏感數(shù)據(jù)進(jìn)行剔除，將特征庫中標(biāo)識出來的高敏感數(shù)據(jù)剔除掉，然后將改寫后的結(jié)果集編寫成報文，返回給應(yīng)用;

結(jié)果返回階段

5) 應(yīng)用系統(tǒng)接收到結(jié)果集，進(jìn)行展現(xiàn)處理;

6) 用戶在web端或移動端通過應(yīng)用系統(tǒng)提供的操作界面看到了想要查詢的數(shù)據(jù)，本次數(shù)據(jù)查詢操作結(jié)束;

效果展示：

通過處理，沒有高敏感數(shù)據(jù)訪問權(quán)限的用戶是查詢不到的，甚至不知道高敏感數(shù)據(jù)的存在。另外，由于這種方式?jīng)]有對應(yīng)用系統(tǒng)和數(shù)據(jù)庫進(jìn)行改造，對于開發(fā)人員、運維人員和數(shù)據(jù)庫管理員這類數(shù)據(jù)權(quán)限較高的角色，是不知道已經(jīng)做過安全防護(hù)的，轉(zhuǎn)移了其對高敏感數(shù)據(jù)的注意力，從根本上降低了數(shù)據(jù)泄露的風(fēng)險。

縱觀產(chǎn)業(yè)發(fā)展，數(shù)據(jù)已成為國家和各行各業(yè)的戰(zhàn)略性資源，隨著《網(wǎng)安法》、《數(shù)安法》、《個人信息保護(hù)法》等相關(guān)法律法規(guī)的不斷頒布與實施，可見國家對數(shù)據(jù)安全的重視是空前的。數(shù)據(jù)可以讓我們更好地受生活，但不當(dāng)?shù)氖褂靡矔o我們帶來巨大的麻煩，因此，我們需要不斷的進(jìn)行數(shù)據(jù)安全建設(shè)的投入。

安全無絕對，數(shù)據(jù)安全管控其實是讓數(shù)據(jù)能夠“遵規(guī)守序”。對于高敏感數(shù)據(jù)的安全管控方案的選擇和設(shè)計，是沒有終點的，隨著安全技術(shù)的不斷演進(jìn)，新技術(shù)的不斷創(chuàng)新，防護(hù)方法也會不斷變化，相信不久后，會有更優(yōu)的高敏感數(shù)據(jù)管控方案被設(shè)計出來。

如若轉(zhuǎn)載，請注明原文地址。