數(shù)據(jù)泄漏事件，層出不窮。從印度的國(guó)家身份識(shí)別數(shù)據(jù)庫(kù)數(shù)據(jù)泄露到挪威衛(wèi)生局信息系統(tǒng)數(shù)據(jù)泄露，圓通、順豐、華住集團(tuán)、萬(wàn)豪喜達(dá)屋以及剛剛被披露的豐田數(shù)據(jù)泄露。這些政府部門及大型商業(yè)組織都擁有相對(duì)健全的網(wǎng)絡(luò)安全防護(hù)手段，但數(shù)據(jù)泄露事件仍然時(shí)有發(fā)生，究其根本，除了數(shù)據(jù)安全保護(hù)難度大外，在每一起事件的背后，都有數(shù)據(jù)安全管理不得當(dāng)?shù)挠白印?/p>

有的放矢才能事半功倍

近期國(guó)內(nèi)各重點(diǎn)行業(yè)和相關(guān)單位都在開展加強(qiáng)對(duì)重要數(shù)據(jù)和公民個(gè)人信息的安全保護(hù)的專項(xiàng)治理工作。通過(guò)對(duì)數(shù)據(jù)資產(chǎn)梳理，形成數(shù)據(jù)資產(chǎn)清單，可以對(duì)互聯(lián)網(wǎng)相關(guān)的重要數(shù)據(jù)和個(gè)人信息采集、存儲(chǔ)、傳輸、使用、提供、銷毀等環(huán)節(jié)的具體情況清楚把握，在此基礎(chǔ)上進(jìn)一步排查信息系統(tǒng)和數(shù)據(jù)庫(kù)，是否存在弱口令、未授權(quán)訪問(wèn)、數(shù)據(jù)明文傳輸、缺少安全審計(jì)，訪問(wèn)控制、策略不嚴(yán)等突出安全隱患，才能聚焦數(shù)據(jù)安全突出風(fēng)險(xiǎn)進(jìn)行安全保護(hù)，進(jìn)而有的放矢的完善數(shù)據(jù)全生命周期安全保護(hù)，切實(shí)提升重要數(shù)據(jù)和公民個(gè)人信息安全保護(hù)能力。

五步走，敏感數(shù)據(jù)狀況全掌握

1. 數(shù)據(jù)資產(chǎn)定位

• 掃描發(fā)現(xiàn)數(shù)據(jù)庫(kù)：通過(guò)網(wǎng)絡(luò)掃描或者流量監(jiān)聽等技術(shù)手段發(fā)現(xiàn)信息系統(tǒng)中運(yùn)行的數(shù)據(jù)庫(kù)。
• 建立數(shù)據(jù)資產(chǎn)底單：通過(guò)對(duì)發(fā)現(xiàn)的數(shù)據(jù)庫(kù)信息整理，初步建立數(shù)據(jù)資產(chǎn)底單。

輸出：《數(shù)據(jù)資產(chǎn)底單》。

2. 數(shù)據(jù)資產(chǎn)標(biāo)識(shí)

• 找到數(shù)據(jù)擁有者：為數(shù)據(jù)資產(chǎn)底單上的數(shù)據(jù)資產(chǎn)找到擁有者或管理者，一般是業(yè)務(wù)的運(yùn)營(yíng)者或者管理者。
• 獲取數(shù)據(jù)訪問(wèn)權(quán)限：從數(shù)據(jù)擁有者或管理者那里獲取數(shù)據(jù)權(quán)限，一般是只讀權(quán)限，為數(shù)據(jù)標(biāo)識(shí)做準(zhǔn)備。

注：數(shù)據(jù)資產(chǎn)標(biāo)識(shí)是對(duì)數(shù)據(jù)資產(chǎn)屬性信息填充完整的動(dòng)作，標(biāo)識(shí)內(nèi)容包含資產(chǎn)所屬管理部門、項(xiàng)目、所屬業(yè)務(wù)系統(tǒng)等信息，實(shí)現(xiàn)信息清單化管理。

3. 數(shù)據(jù)類型標(biāo)識(shí)

按照預(yù)定義的重要數(shù)據(jù)或個(gè)人信息數(shù)據(jù)特征如姓名、證件號(hào)、銀行賬戶、金額、日期、住址、電話號(hào)碼、Email地址等數(shù)據(jù)，在執(zhí)行任務(wù)過(guò)程中對(duì)抽取的數(shù)據(jù)進(jìn)行自動(dòng)的識(shí)別，發(fā)現(xiàn)敏感數(shù)據(jù)，并可以根據(jù)規(guī)則對(duì)發(fā)現(xiàn)的敏感數(shù)據(jù)進(jìn)行導(dǎo)出清單。通過(guò)自動(dòng)識(shí)別敏感數(shù)據(jù)，可以避免按照字段定義敏感數(shù)據(jù)元的繁瑣工作，同時(shí)能夠持續(xù)的發(fā)現(xiàn)新的敏感數(shù)據(jù)。

個(gè)人敏感信息示例

4. 數(shù)據(jù)資產(chǎn)清單

• 確認(rèn)標(biāo)識(shí)結(jié)果：抽查部分?jǐn)?shù)據(jù)標(biāo)識(shí)結(jié)果，可以結(jié)合數(shù)據(jù)量來(lái)確定需要重點(diǎn)保護(hù)的數(shù)據(jù)資產(chǎn)。
• 形成數(shù)據(jù)清單：經(jīng)過(guò)確認(rèn)后的數(shù)據(jù)標(biāo)識(shí)，形成數(shù)據(jù)資產(chǎn)詳細(xì)清單，實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)的清單化管理，樣例如下：

數(shù)據(jù)清單(樣例)

重要數(shù)據(jù)或個(gè)人信息統(tǒng)計(jì)表(樣表)

輸出：《數(shù)據(jù)資產(chǎn)清單》《數(shù)據(jù)資產(chǎn)詳細(xì)清單》《重要或敏感數(shù)據(jù)清單》《重要數(shù)據(jù)或個(gè)人信息統(tǒng)計(jì)表》等。

5. 持續(xù)監(jiān)控

• 定期進(jìn)行數(shù)據(jù)資產(chǎn)梳理：數(shù)據(jù)資產(chǎn)是處于動(dòng)態(tài)變化中的，對(duì)于數(shù)據(jù)資產(chǎn)的梳理應(yīng)當(dāng)根據(jù)業(yè)務(wù)情況定期開展。
• 數(shù)據(jù)使用監(jiān)控：通過(guò)技術(shù)手段理清數(shù)據(jù)使用情況和數(shù)據(jù)流向;

輸出：《數(shù)據(jù)資產(chǎn)變化趨勢(shì)報(bào)告》。

數(shù)據(jù)資產(chǎn)梳理關(guān)鍵技術(shù)

1. 基于網(wǎng)絡(luò)嗅探技術(shù)，自動(dòng)尋找發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中存在的數(shù)據(jù)庫(kù)。

需要支持多種數(shù)據(jù)庫(kù)自動(dòng)發(fā)現(xiàn)，主動(dòng)嗅探網(wǎng)內(nèi)數(shù)據(jù)庫(kù)的發(fā)現(xiàn)技術(shù)，可以指定IP段和端口的范圍進(jìn)行搜索，也可以基于訪問(wèn)流量解析自動(dòng)發(fā)現(xiàn)與識(shí)別數(shù)據(jù)庫(kù)的技術(shù)。

2. 基于特征匹配的敏感數(shù)據(jù)探測(cè)技術(shù)，自動(dòng)梳理數(shù)據(jù)庫(kù)中個(gè)人隱私敏感數(shù)據(jù)分布。

一般應(yīng)用的后臺(tái)數(shù)據(jù)庫(kù)都成千上萬(wàn)張表，要保護(hù)核心數(shù)據(jù)資產(chǎn)，首先要了解核心數(shù)據(jù)資產(chǎn)在什么地方，需要能夠從海量數(shù)據(jù)中快速發(fā)現(xiàn)敏感數(shù)據(jù)，定位敏感數(shù)據(jù)存儲(chǔ)與分布，統(tǒng)計(jì)敏感數(shù)據(jù)量級(jí)，可以通過(guò)敏感數(shù)據(jù)發(fā)現(xiàn)功能對(duì)個(gè)人敏感信息、信用卡賬戶信息、企業(yè)敏感信息等的表和列進(jìn)行掃描，也支持用戶自定義敏感對(duì)象搜索關(guān)鍵字功能。

3. 基于數(shù)據(jù)使用與監(jiān)測(cè)技術(shù)，可動(dòng)態(tài)梳理敏感數(shù)據(jù)使用情況。

針對(duì)應(yīng)用系統(tǒng)運(yùn)行、開發(fā)測(cè)試、對(duì)外數(shù)據(jù)傳輸和前后臺(tái)操作等使用環(huán)節(jié)，對(duì)數(shù)據(jù)的流轉(zhuǎn)、 存儲(chǔ)與使用進(jìn)行監(jiān)控，對(duì)應(yīng)用側(cè)、內(nèi)部運(yùn)維側(cè)及開發(fā)測(cè)試的訪問(wèn)行為，對(duì)訪問(wèn)敏感數(shù)據(jù)的頻次進(jìn)行熱度分析。

數(shù)據(jù)資產(chǎn)梳理，是幫助組織厘清數(shù)據(jù)資產(chǎn)，實(shí)現(xiàn)分級(jí)分類管理保護(hù)的基礎(chǔ)，是數(shù)據(jù)安全治理中數(shù)據(jù)資產(chǎn)狀況摸底的落地支撐，也是大數(shù)據(jù)時(shí)代，保障數(shù)據(jù)資源開放共享的關(guān)鍵一環(huán)。

【本文是51CTO專欄作者“安華金和”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文