2017年7月，Equifax用戶數(shù)據(jù)泄露事件使得1億4千300萬個人信息(包括社會保障號碼、出生日期、地址、駕照編號)和20萬9千個用戶的信用卡數(shù)據(jù)被盜。該事件直接導(dǎo)致1.43億美國人的個人信息的破壞和泄露。CEO Richard Smith在數(shù)據(jù)泄露之后直接提出辭職，公司股價跌幅超過8%，市值蒸發(fā)35億美元。

2016年9月，Yahoo宣布遭遇史上最嚴(yán)重的數(shù)據(jù)泄露，導(dǎo)致5億用戶的真實姓名、電郵地址、出生日期、電話號碼的信息泄露。到了12月，新的數(shù)據(jù)泄露記錄被打破，10億賬戶數(shù)據(jù)被竊取，除了上述那些賬戶信息被盜外，連安全問題和答案也一起被盜。這兩次的數(shù)據(jù)泄漏使得雅虎的售價降低了3億5千萬美元。

[[240117]]

這些問題的原因距離我們并不遙遠(yuǎn)，Equifax將其數(shù)據(jù)泄露歸咎于應(yīng)用程序的安全問題，可能在于Java應(yīng)用程序的開源Apache Struts框架中已知的安全漏洞，在這之前的數(shù)據(jù)泄露則很多來自SQL注入或者其他的業(yè)務(wù)邏輯漏洞。

伴隨歐盟的通用數(shù)據(jù)保護(hù)條例和新的網(wǎng)絡(luò)安全法的頒布，數(shù)據(jù)安全已經(jīng)成為每個企業(yè)和IT從業(yè)者都必須要關(guān)注的一個話題。而我認(rèn)為依賴于傳統(tǒng)控制論基礎(chǔ)上的主動防御和合規(guī)理論正在逐漸喪失其領(lǐng)導(dǎo)地位，要解決數(shù)據(jù)安全的問題，需要有一個場景化的方式，體系化的方案。接下來我們逐一解析。

重中之重的是數(shù)據(jù)安全的意識，意識是能力的基礎(chǔ)，我們只有明確了這件事對于我們業(yè)務(wù)有價值之后，才能繼續(xù)后面的方法和過程。上文中的數(shù)字已經(jīng)說明，數(shù)據(jù)安全對于組織和個人來說都有價值且是必須的事情。Build Security In Our DNA, 我們需要不斷增強我們在安全上的意識和理解。

在明確了意識在數(shù)據(jù)安全中的作用之后，我們需要去定義數(shù)據(jù)安全到底是什么，國際標(biāo)準(zhǔn)化組織(ISO)對計算機系統(tǒng)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。由此計算機網(wǎng)絡(luò)的安全可以理解為：通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。

[[240118]]

狹義的數(shù)據(jù)安全是指直接圍繞數(shù)據(jù)的防護(hù)技術(shù)，主要是指的是數(shù)據(jù)的訪問控制，審計，加密，脫敏等。下面幾個舉措可以完善數(shù)據(jù)安全性在系統(tǒng)或者應(yīng)用構(gòu)建中的實踐。在業(yè)務(wù)探索和系統(tǒng)設(shè)計的環(huán)節(jié)，我們需要建立以數(shù)據(jù)安全性為主的分析過程，下面幾點需要重點關(guān)注一下。

首先，需要明確在當(dāng)前場景下法律法規(guī)的約束和要求

本文以《網(wǎng)絡(luò)安全法》中的數(shù)據(jù)安全要求為例。涉及到技術(shù)和管理兩個方面，概括起來有如下幾點：

• 對數(shù)據(jù)訪問的日志進(jìn)行審計，且日志留存時間不低于六個月。
• 對數(shù)據(jù)進(jìn)行分類，將敏感數(shù)據(jù)和普通數(shù)據(jù)區(qū)別化處理。
• 對重要的數(shù)據(jù)進(jìn)行備份，容災(zāi)。(第21，34條)
• 對重要數(shù)據(jù)進(jìn)行加密(第21條，31條)
• 對個人信息進(jìn)行脫敏(第42條)

第二，需要結(jié)合數(shù)據(jù)安全目標(biāo)和構(gòu)建整個交付項目的數(shù)據(jù)安全評估體系

思路如下：

• 了解場景，做影響性評估
• 數(shù)據(jù)收集和數(shù)據(jù)處理的分析
• 數(shù)據(jù)安全實現(xiàn)評估
• 數(shù)據(jù)安全的驗證和補救

第三，安全雖然現(xiàn)在已經(jīng)逐漸和業(yè)務(wù)緊密結(jié)合，出現(xiàn)像態(tài)勢感知、自適應(yīng)安全等新的方式，但是從總體上來說，它還是來源于體系化的控制，其核心是識別風(fēng)險，做出改變。

[[240119]]

整體的業(yè)務(wù)風(fēng)險我們需要一個框架來做詮釋，這其中包括：

(1) 安全的策略和架構(gòu)：數(shù)據(jù)安全在設(shè)立之初應(yīng)該了解到組織對于數(shù)據(jù)安全的要求，明確哪些是敏感的，哪些是隱私數(shù)據(jù)，對待不同的數(shù)據(jù)資產(chǎn)，組織的態(tài)度是什么。

(2) 風(fēng)險，業(yè)務(wù)連續(xù)性和合規(guī)：這是控制的方式和目標(biāo)，在識別差異化之后，我們要了解一些業(yè)務(wù)上的風(fēng)險，這部分可以用風(fēng)險分析的方法了解到業(yè)務(wù)上的風(fēng)險所產(chǎn)生的問題，結(jié)合與具體應(yīng)用的場景，需要將風(fēng)險和技術(shù)威脅結(jié)合起來

(3) 數(shù)據(jù)安全運維：這部分需要在運維或者DevOps階段考慮到，由于數(shù)據(jù)本身有生命周期的概念，那作為運維人員，需要考慮更多來自數(shù)據(jù)完整性上的要求，需要在DevOps和運維環(huán)節(jié)定期備份數(shù)據(jù)，需要有如下的措施，***，在生產(chǎn)環(huán)境中要防止機密數(shù)據(jù)的丟失，第二，需要保護(hù)和備份敏感數(shù)據(jù)。第三，需要能夠通過脫敏或者其他措施屏蔽或者加密某些字段。第四，要滿足個人數(shù)據(jù)隱私保護(hù)法規(guī)的要求，對于個人數(shù)據(jù)的部分進(jìn)行刪除和屏蔽。

(4) 數(shù)據(jù)的獲取，存儲，傳輸和接入。這是數(shù)據(jù)生命周期中的主體，也是數(shù)據(jù)保護(hù)的難點，這部分會是我們考慮的重點。

(5) 在數(shù)據(jù)獲取方面我們需要關(guān)注所要處理的一些敏感數(shù)據(jù)，這些數(shù)據(jù)包括一些敏感的生產(chǎn)數(shù)據(jù)，知識產(chǎn)權(quán)，個人身份識別或受保護(hù)的信息。我們在做Discovery和Inception的過程中要處理這些不同的數(shù)據(jù)，將其分類和定義。過程大概如下，需要對元數(shù)據(jù)進(jìn)行分類解析，包括PCI，PII，PHI等等，這些數(shù)據(jù)的分類和獲取，需要經(jīng)過客戶或者用戶的同意(注意：GDPR當(dāng)中已經(jīng)對這部分有明確的立法)。其次作為敏感的數(shù)據(jù)以及一些合規(guī)數(shù)據(jù)和日志，這部分的存取和處理，也需格外關(guān)注。第三，管理敏感數(shù)據(jù)的訪問方式，誰授予訪問，修改和共享敏感數(shù)據(jù)的權(quán)限需要被關(guān)注到，這其中包括對于系統(tǒng)用戶的驗證和授權(quán)，還包括對于用戶的行為提供監(jiān)控和審核。這部分在系統(tǒng)設(shè)計的時候需要重點考慮。

認(rèn)證方面包括服務(wù)器和服務(wù)器之間的認(rèn)證，客戶端之間以及用戶之間的認(rèn)證。而在授權(quán)方需要對不同的階段和用戶進(jìn)行響應(yīng)的認(rèn)證，在秘鑰管理以及用戶身份側(cè)進(jìn)行處理。比如，應(yīng)用系統(tǒng)采用專用的登錄控制模塊，對登錄用戶進(jìn)行身份標(biāo)識和鑒別，具有用戶身份唯一標(biāo)識和鑒別信息復(fù)雜度檢查功能，保證應(yīng)用系統(tǒng)中不存在重復(fù)的用戶身份標(biāo)識，身份鑒別信息不易被冒用。應(yīng)對同一個用戶采用兩種或兩種以上組合鑒別技術(shù)實現(xiàn)用戶身份鑒別。

(6) 在云計算環(huán)境中，安全問題的形勢會變得特別嚴(yán)峻。數(shù)據(jù)安全和隱私保護(hù)是用戶關(guān)注云技術(shù)的兩個主要因素。盡管學(xué)術(shù)界和行業(yè)研究了許多關(guān)于云計算主題的技術(shù)，但數(shù)據(jù)安全和隱私保護(hù)對于政府，工業(yè)和商業(yè)中的云計算技術(shù)的未來發(fā)展變得越來越重要。數(shù)據(jù)安全和隱私保護(hù)問題與云架構(gòu)中的硬件和軟件相關(guān)。

***，我想總結(jié)一下數(shù)據(jù)安全策略上的理解和認(rèn)識，數(shù)據(jù)安全是通過完整性和機密性的控制來實現(xiàn)總體安全性上的目標(biāo)，所采用的方案包括身份認(rèn)證，訪問授權(quán)和安全審計等措施，在用戶，服務(wù)以及主機端完成的數(shù)據(jù)傳輸?shù)囊幌盗袑嵺`。

【本文是51CTO專欄作者“ThoughtWorks”的原創(chuàng)稿件，微信公眾號：思特沃克，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文