大數(shù)據(jù)時(shí)代，數(shù)據(jù)是基礎(chǔ)，業(yè)務(wù)是核心，數(shù)據(jù)安全則必然需要與業(yè)務(wù)形態(tài)有所關(guān)聯(lián)，因此，數(shù)據(jù)安全和邊界類的網(wǎng)絡(luò)安全正逐漸劃分開(kāi)來(lái)。自2017年6月網(wǎng)安法實(shí)施以來(lái)，配套的法律法規(guī)也陸續(xù)出臺(tái)，要求越來(lái)越高，力度越來(lái)越大，加之正在制定的《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》，數(shù)據(jù)安全已成為數(shù)字化轉(zhuǎn)型的必要基礎(chǔ)能力。

[[398876]]

從整體信息化的發(fā)展來(lái)看，數(shù)據(jù)安全被重視相對(duì)是滯后的，大多行業(yè)都是信息系統(tǒng)已經(jīng)運(yùn)行了好多年，基于此開(kāi)展數(shù)據(jù)安全相關(guān)工作，難度還是很大的。尤其是行業(yè)里針對(duì)高敏感數(shù)據(jù)的管控，例如明星數(shù)據(jù)、高級(jí)別領(lǐng)導(dǎo)數(shù)據(jù)、高管數(shù)據(jù)等，這些數(shù)據(jù)與普通人員的數(shù)據(jù)一般是混在一起的，全量管控會(huì)影響業(yè)務(wù)的便捷性，若不管控，一旦發(fā)生泄露，對(duì)企業(yè)的損失會(huì)非常大。

現(xiàn)有高敏感數(shù)據(jù)管控方案解析

進(jìn)入大數(shù)據(jù)時(shí)代后，數(shù)據(jù)價(jià)值越來(lái)越高，受利益的驅(qū)使，類似事件時(shí)有發(fā)生。那么，針對(duì)這類高敏感人員的信息我們?cè)撊绾渭訌?qiáng)管控?就此事，我通過(guò)走訪調(diào)研了多家數(shù)據(jù)安全廠商，收集到了三個(gè)方案，并進(jìn)行了弊端分析。

[[398877]]

方案一：?jiǎn)为?dú)再部署一套應(yīng)用，例如“VIP系統(tǒng)”，這樣可以將高敏感數(shù)據(jù)和普通敏感數(shù)據(jù)進(jìn)行隔離，有針對(duì)性的進(jìn)行保護(hù)，由專門的團(tuán)隊(duì)進(jìn)行維護(hù)，縮小數(shù)據(jù)使用的范圍。

這樣的高敏感數(shù)據(jù)管控方案其實(shí)存在一些弊端，首當(dāng)其沖帶來(lái)的問(wèn)題就是運(yùn)營(yíng)成本的增加，一方面需要投入一套軟硬件資源，另一方面需要組織人員進(jìn)行運(yùn)營(yíng)、維護(hù);

同時(shí)還會(huì)有重復(fù)投入的現(xiàn)象出現(xiàn)，很多時(shí)候?yàn)楸ＷC安全，需要分別為這兩套系統(tǒng)配置數(shù)據(jù)安全產(chǎn)品和能力，這就造成了大量的重復(fù)投入;

另外，從價(jià)值最大化的層面來(lái)看，這樣的管控模式下由于存有高敏感數(shù)據(jù)的應(yīng)用系統(tǒng)一般不敢輕易對(duì)外提供服務(wù)，這在無(wú)形中就形成了數(shù)據(jù)孤島，不利于數(shù)據(jù)價(jià)值的發(fā)揮;

[[398878]]

方案二：對(duì)高敏感數(shù)據(jù)進(jìn)行打標(biāo)，在數(shù)據(jù)生成的時(shí)候?qū)?shù)據(jù)進(jìn)行敏感級(jí)別判定，并做打標(biāo)處理，這樣可以很清晰地道哪些是高敏感數(shù)據(jù)，可以有針對(duì)性的授權(quán)，加入一些數(shù)據(jù)加密或數(shù)據(jù)脫敏的安全手段，當(dāng)數(shù)據(jù)被使用時(shí)通過(guò)敏感標(biāo)識(shí)來(lái)采取相應(yīng)的安全技術(shù)手段予以保護(hù)。

很明顯，這個(gè)方式不會(huì)造成重復(fù)投入，投入成本相比也會(huì)低很多，做好權(quán)限管控的話，高敏感數(shù)據(jù)還是可以向外共享的。但該方案會(huì)導(dǎo)致應(yīng)用系統(tǒng)改造量大,數(shù)據(jù)生成時(shí)需要判斷，授權(quán)時(shí)需要單獨(dú)處理，使用時(shí)需要進(jìn)行數(shù)據(jù)加密或數(shù)據(jù)脫敏處理，這些改動(dòng)的工作會(huì)很大，甚至?xí)膭?dòng)頂層設(shè)計(jì);

另一方面，高敏感數(shù)據(jù)與普通敏感數(shù)據(jù)一樣，有很多使用場(chǎng)景，例如：數(shù)據(jù)更新、刪除、分析、校驗(yàn)、查詢等，這些場(chǎng)景都會(huì)接觸到高敏感數(shù)據(jù)，采用這種方案會(huì)影響數(shù)據(jù)的便捷使用;

還有就是由于邏輯復(fù)雜，會(huì)造成明顯的性能損耗。敏感數(shù)據(jù)的每次使用都需要進(jìn)行判斷，看是普通數(shù)據(jù)、普通敏感數(shù)據(jù)

、還是高敏感數(shù)據(jù)，判斷后還需要調(diào)用相應(yīng)的安全接口對(duì)數(shù)據(jù)進(jìn)行處理，當(dāng)數(shù)據(jù)訪問(wèn)峰值出現(xiàn)時(shí)，可能會(huì)造成宕機(jī);

另外，為保證安全，降低泄露風(fēng)險(xiǎn)，需要對(duì)高敏感數(shù)據(jù)進(jìn)行數(shù)據(jù)加密和數(shù)據(jù)動(dòng)態(tài)脫敏處理，這樣更加重了性能的損耗和數(shù)據(jù)使用的便捷性。

[[398879]]

方案三：對(duì)高敏感數(shù)據(jù)進(jìn)行匿名化處理，匿名處理后的數(shù)據(jù)不影響使用，同時(shí)也很好的對(duì)高敏感數(shù)據(jù)進(jìn)行保護(hù)，為了保證匿名后的數(shù)據(jù)在需要時(shí)可以再逆向回原始數(shù)據(jù)，可以將對(duì)應(yīng)關(guān)系進(jìn)行保留。

相比前兩種方案，方案三對(duì)數(shù)據(jù)業(yè)務(wù)的影響是最小的，應(yīng)用改動(dòng)量也不會(huì)很大，貌似看上去是最合適的，但其存在一致命的問(wèn)題，即：為保證匿名后的數(shù)據(jù)可以逆向回來(lái)，需要將對(duì)應(yīng)關(guān)系進(jìn)行保管，一旦對(duì)應(yīng)關(guān)系被篡改或刪除，則數(shù)據(jù)將永遠(yuǎn)恢復(fù)不了;

還有就是這樣做會(huì)影響數(shù)據(jù)價(jià)值發(fā)揮，匿名化后的數(shù)據(jù)可以很好的防止泄露，但也阻礙了數(shù)據(jù)的應(yīng)用，一些有針對(duì)性的服務(wù)功能將很難實(shí)現(xiàn)，如果每次都進(jìn)行逆向處理，頻繁的對(duì)數(shù)據(jù)進(jìn)行逆向處理，還是會(huì)增加泄露的概率。

從源頭探尋高敏感數(shù)據(jù)“隱身”之道

以上三種方案都是從如何管控入手，雖然存在一些弊端，但還是可以起到很大作用的。我們不妨換個(gè)思路，將高敏感數(shù)據(jù)隱藏，讓使用者不知道高敏感數(shù)據(jù)的存在，順著這個(gè)思路，我設(shè)計(jì)了一下方案：

首先，重定向數(shù)據(jù)庫(kù)，讓?xiě)?yīng)用系統(tǒng)不直接訪問(wèn)數(shù)據(jù)庫(kù)，需要先訪問(wèn)協(xié)議解析工具，協(xié)議解析工具對(duì)訪問(wèn)協(xié)議進(jìn)行解析，得出“誰(shuí)想訪問(wèn)哪些數(shù)據(jù)，要做什么”。然后，將協(xié)議解析出來(lái)的結(jié)果與高敏感數(shù)據(jù)特征進(jìn)行比對(duì)，確認(rèn)該用戶是否可以訪問(wèn)，若不可以訪問(wèn)，則通過(guò)改寫(xiě)返回結(jié)果的協(xié)議將高敏感數(shù)據(jù)剔除;若可以訪問(wèn)，則不予處理，直接放行。

另外，在這個(gè)過(guò)程中，需要產(chǎn)生兩張數(shù)據(jù)表，分別是高敏感數(shù)據(jù)特征表和有權(quán)限的用戶表，這兩張表對(duì)于安全管控至關(guān)重要，出于安全考慮，應(yīng)專人專崗負(fù)責(zé)，且內(nèi)部不要公開(kāi)，知道的人越少，安全系數(shù)越高，管理員定期錄入和更新表中的數(shù)據(jù)即可。

結(jié)合上述內(nèi)容，加入產(chǎn)品化的思維，與原有的數(shù)據(jù)使用邏輯結(jié)構(gòu)進(jìn)行對(duì)比

如上圖所示，采用這種方式可以做到應(yīng)用零改造，對(duì)原始數(shù)據(jù)沒(méi)有造成破壞，投入成本也相對(duì)較低，雖然對(duì)訪問(wèn)的性能還是造成了一定的損耗，但防護(hù)效果還是很明顯的。

有的放矢，方法實(shí)踐初嘗試

無(wú)感知管控中最核心的奧義是讓使用者不知道高敏感數(shù)據(jù)的存在，如若數(shù)據(jù)能“隱身”，將直接解決無(wú)感知管控的核心問(wèn)題。下面我們以數(shù)據(jù)查詢?yōu)槔?，看下改造后的流程如何讓?shù)據(jù)隱身：

整個(gè)流程的推演首先要有一個(gè)前提，需要將應(yīng)用系統(tǒng)中配置的數(shù)據(jù)庫(kù)IP改成協(xié)議解析工具的IP，協(xié)議解析工具變成了數(shù)據(jù)庫(kù)的前置代理，協(xié)議解析工具需要配置目標(biāo)數(shù)據(jù)庫(kù)的IP。然后就是具體的處理過(guò)程，大致可分為三個(gè)階段：

數(shù)據(jù)查詢請(qǐng)求階段

1) 用戶可以通過(guò)web端或移動(dòng)端通過(guò)應(yīng)用系統(tǒng)提供的操作界面申請(qǐng)查詢數(shù)據(jù)，用戶可以是數(shù)據(jù)管理者、數(shù)據(jù)運(yùn)維工程師、客服人員等;

2) 應(yīng)用系統(tǒng)接收到請(qǐng)求后，先進(jìn)行用戶身份認(rèn)證，若符合規(guī)則則應(yīng)用系統(tǒng)生成SQL語(yǔ)句，再將用戶信息和SQL語(yǔ)句等信息組成數(shù)據(jù)庫(kù)訪問(wèn)協(xié)議，并發(fā)送到協(xié)議解析工具;

3) 目標(biāo)數(shù)據(jù)庫(kù)接收到訪問(wèn)協(xié)議后，進(jìn)行處理，此步的處理由數(shù)據(jù)庫(kù)本身完成，處理完成后將結(jié)果返回;

“隱身”處理階段

4) 數(shù)據(jù)庫(kù)訪問(wèn)協(xié)議解析工具獲取到返回協(xié)議后(這里指的是帶有數(shù)據(jù)庫(kù)返回結(jié)果的返回協(xié)議)，開(kāi)始解析，首先對(duì)協(xié)議中的內(nèi)容進(jìn)行可讀拆分，即拆分成“key-value”的形式，再對(duì)這些信息進(jìn)行檢索，獲取到用戶信息(用戶信息一般是用戶的唯一性標(biāo)識(shí)，例如：User ID)和結(jié)果集;

如果結(jié)果集中涉及到了高敏感數(shù)據(jù)，則需要進(jìn)行權(quán)限判斷，將用戶的User ID在高敏感數(shù)據(jù)特征庫(kù)中的用戶權(quán)限表中進(jìn)行遍歷查詢，如果未查詢到了該用戶的User ID，或者查詢到了但發(fā)現(xiàn)沒(méi)有查詢的權(quán)限，則需要對(duì)該結(jié)果集中的高敏感數(shù)據(jù)進(jìn)行剔除，將特征庫(kù)中標(biāo)識(shí)出來(lái)的高敏感數(shù)據(jù)剔除掉，然后將改寫(xiě)后的結(jié)果集編寫(xiě)成報(bào)文，返回給應(yīng)用;

結(jié)果返回階段

5) 應(yīng)用系統(tǒng)接收到結(jié)果集，進(jìn)行展現(xiàn)處理;

6) 用戶在web端或移動(dòng)端通過(guò)應(yīng)用系統(tǒng)提供的操作界面看到了想要查詢的數(shù)據(jù)，本次數(shù)據(jù)查詢操作結(jié)束;

效果展示：

通過(guò)處理，沒(méi)有高敏感數(shù)據(jù)訪問(wèn)權(quán)限的用戶是查詢不到的，甚至不知道高敏感數(shù)據(jù)的存在。另外，由于這種方式?jīng)]有對(duì)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行改造，對(duì)于開(kāi)發(fā)人員、運(yùn)維人員和數(shù)據(jù)庫(kù)管理員這類數(shù)據(jù)權(quán)限較高的角色，是不知道已經(jīng)做過(guò)安全防護(hù)的，轉(zhuǎn)移了其對(duì)高敏感數(shù)據(jù)的注意力，從根本上降低了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

縱觀產(chǎn)業(yè)發(fā)展，數(shù)據(jù)已成為國(guó)家和各行各業(yè)的戰(zhàn)略性資源，隨著《網(wǎng)安法》、《數(shù)安法》、《個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)的不斷頒布與實(shí)施，可見(jiàn)國(guó)家對(duì)數(shù)據(jù)安全的重視是空前的。數(shù)據(jù)可以讓我們更好地受生活，但不當(dāng)?shù)氖褂靡矔?huì)給我們帶來(lái)巨大的麻煩，因此，我們需要不斷的進(jìn)行數(shù)據(jù)安全建設(shè)的投入。

安全無(wú)絕對(duì)，數(shù)據(jù)安全管控其實(shí)是讓數(shù)據(jù)能夠“遵規(guī)守序”。對(duì)于高敏感數(shù)據(jù)的安全管控方案的選擇和設(shè)計(jì)，是沒(méi)有終點(diǎn)的，隨著安全技術(shù)的不斷演進(jìn)，新技術(shù)的不斷創(chuàng)新，防護(hù)方法也會(huì)不斷變化，相信不久后，會(huì)有更優(yōu)的高敏感數(shù)據(jù)管控方案被設(shè)計(jì)出來(lái)。

如若轉(zhuǎn)載，請(qǐng)注明原文地址。