今日網(wǎng)絡(luò)世界，圍繞網(wǎng)絡(luò)可見性，IT人發(fā)現(xiàn)自己不斷在問一些很難回答的問題：我們怎樣看到整個(gè)網(wǎng)絡(luò)?我們需要哪些工具?如何保持合規(guī)?雖然不是生死攸關(guān)的問題，不像《哈姆雷特》里面“生存還是毀滅”那么殘酷，對公司安全態(tài)勢而言還是很值得一問的。尤其是在數(shù)據(jù)和網(wǎng)絡(luò)復(fù)雜度增加，對隱私和安全的關(guān)注度上升的情況下。

[[189492]]

電子商務(wù)、大數(shù)據(jù)、社會協(xié)作和互聯(lián)網(wǎng)等方面的創(chuàng)新，推進(jìn)了現(xiàn)有計(jì)算系統(tǒng)的極限，反過來，也迫使公司企業(yè)進(jìn)行基礎(chǔ)設(shè)施升級，包括遷移到云端。加密也覆蓋了大半個(gè)網(wǎng)絡(luò)。在此過程中，公司企業(yè)及其員工獲得了生產(chǎn)力和安全的提升，但同時(shí)也犧牲了可見性與控制力?？紤]到現(xiàn)代企業(yè)網(wǎng)絡(luò)處理的大量敏感信息，可見性與控制的喪失可能會成為大問題。

這樣一種環(huán)境里，復(fù)雜漏洞利用依然會發(fā)生，信息依然會被劫持——只要復(fù)雜性阻礙了細(xì)粒度觀察網(wǎng)絡(luò)中發(fā)生事件的能力。解決起來很難，但也不是完全沒有解決方案。安全風(fēng)險(xiǎn)及合規(guī)限制了完整可見性的問題該如何解決，公司企業(yè)可以考慮如下做法：

一、透過掩碼看數(shù)據(jù)

完整的可見性是安全必備要素。但有些東西必須保持不可見，比如個(gè)人可識別信息(PII)和關(guān)鍵生產(chǎn)數(shù)據(jù)等。各行各業(yè)都有相關(guān)數(shù)據(jù)標(biāo)準(zhǔn)和規(guī)則限制誰能看到并使用這些信息。怎樣保證既有可見性又合規(guī)呢?

數(shù)據(jù)遮掩，也就是數(shù)據(jù)訪問限制基本上讓數(shù)據(jù)不可見，通過部分模糊或用虛假信息替換的方式，換掉敏感數(shù)據(jù)?；旧?，數(shù)據(jù)遮掩，其實(shí)就是數(shù)據(jù)被修改成基本信息保持不變，而關(guān)鍵信息被改變的情況。

這并不意味著完整可見性再也不可獲得，僅僅只是不應(yīng)該被看到的數(shù)據(jù)不可見而已。

二、什么時(shí)候遮掩

區(qū)分哪些數(shù)據(jù)需要遮掩，哪些數(shù)據(jù)要保持可見的時(shí)候，尤其是在要滿足數(shù)據(jù)保護(hù)要求的情況下，有幾個(gè)因素是必須考慮的。下面幾種情況中，數(shù)據(jù)遮掩特別有用。

1. 測試

公司企業(yè)必須常用逼真的數(shù)據(jù)集來測試和開發(fā)相關(guān)軟件。然而，創(chuàng)建偽數(shù)據(jù)集有可能既耗時(shí)又昂貴。為應(yīng)對這種情況，可以對真實(shí)數(shù)據(jù)進(jìn)行遮掩后利用之，在不危及安全的情況下提升效率。這對外包也很有用，因?yàn)榭梢韵拗普鎸?shí)數(shù)據(jù)的暴露面。

2. 監(jiān)視和記錄

公司企業(yè)往往需要監(jiān)視和記錄數(shù)據(jù)，但根據(jù)法律法規(guī)，PII是不能被存儲的。數(shù)據(jù)遮掩可以讓公司企業(yè)既記錄下來數(shù)據(jù)，又模糊掉敏感數(shù)據(jù)，***規(guī)避了合規(guī)問題。

3. SSL解密

雖然可以保護(hù)數(shù)據(jù)，SSL(安全套接字層)加密同樣會帶來風(fēng)險(xiǎn)，因?yàn)楹诳涂梢岳眉用軘?shù)據(jù)偷偷潛入，盜取敏感信息。因此，公司企業(yè)解密并檢查流經(jīng)自身網(wǎng)絡(luò)的SSL流量，確保沒有惡意活動。但SSL解密意味著，有權(quán)訪問監(jiān)視工具的任何人，都可以看到加密背后的敏感數(shù)據(jù)了。幸運(yùn)的是，有工具可以在解密SSL數(shù)據(jù)的同時(shí)，遮掩起不應(yīng)該暴露的數(shù)據(jù)。

三、正確遮掩

不是所有的數(shù)據(jù)遮掩解決方案都是生而平等的。為確保你選到正確的那個(gè)，知曉其用法是重中之重。總而言之，要知道什么是該遮掩的，以及該如何便捷訪問和分發(fā)數(shù)據(jù)。

比如說，僅僅是為了將數(shù)據(jù)分發(fā)到DLP(數(shù)據(jù)丟失防護(hù))設(shè)備進(jìn)行分析，還是必須適合原生搜索?如果是后者，解決方案就應(yīng)該支持正則表達(dá)式(Regex)。另外，如果通過正則表達(dá)式搜索訪問數(shù)據(jù)，網(wǎng)絡(luò)包代理就值得考慮了。網(wǎng)絡(luò)包代理可以輕松收集數(shù)據(jù)、檢索和分發(fā)以監(jiān)視設(shè)備。還有可在正則表達(dá)式的基礎(chǔ)之上與數(shù)據(jù)遮掩解決方案協(xié)作良好的處理器，有助輕松篩選流量，識別異常行為及應(yīng)用使用中的其他趨勢。網(wǎng)絡(luò)管理員只需簡單地指定需要查找哪些流量，以及結(jié)果的呈現(xiàn)方式即可。

最終，在如今這復(fù)雜的網(wǎng)絡(luò)和監(jiān)管環(huán)境下，安全歸結(jié)為網(wǎng)絡(luò)被看到的方式，而不是是否能看到網(wǎng)絡(luò)全貌。如此之多的數(shù)據(jù)縈繞周圍，怎么處理這個(gè)問題，最終還是要落到公司企業(yè)自身來決策。希望不要像我們的老朋友哈姆雷特一樣以悲劇收場吧。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文