實施數(shù)據(jù)安全治理的組織�,一般都具有較為發(fā)達和完善的信息化水平,數(shù)據(jù)資產(chǎn)龐大����,涉及的數(shù)據(jù)使用方式多樣化�����,數(shù)據(jù)使用角色繁雜�����,數(shù)據(jù)共享和分析的需求剛性��,要滿足數(shù)據(jù)有效使用的同時保證數(shù)據(jù)使用的安全性����,需要極強的技術(shù)支撐�。
數(shù)據(jù)安全治理面臨數(shù)據(jù)狀況梳理、敏感數(shù)據(jù)訪問與管控��、數(shù)據(jù)治理稽核三大挑戰(zhàn)�。
當(dāng)前數(shù)據(jù)安全治理面臨的挑戰(zhàn)
數(shù)據(jù)安全狀況梳理技術(shù)挑戰(zhàn)
組織需要確定敏感性數(shù)據(jù)在系統(tǒng)內(nèi)部的分布情況,其中的關(guān)鍵問題在于如何在成千上百的數(shù)據(jù)庫和存儲文件中明確敏感數(shù)據(jù)的分布����;組織需要確定敏感性數(shù)據(jù)是如何被訪問的,如何掌握敏感數(shù)據(jù)在被什么系統(tǒng)�����、什么用戶以什么樣的方式訪問;組織需要迅速確定當(dāng)前的賬號和授權(quán)狀況�����,清晰化����、可視化���、報表化的明確敏感數(shù)據(jù)在數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)中的訪問賬號和授權(quán)狀況�,明確當(dāng)前權(quán)控是否具備適當(dāng)?shù)幕A(chǔ)����。
數(shù)據(jù)訪問管控技術(shù)挑戰(zhàn)
在敏感數(shù)據(jù)訪問和管控技術(shù)方面,細分至五個方面的挑戰(zhàn) :
(1)如何將敏感數(shù)據(jù)訪問的審批在執(zhí)行環(huán)節(jié)有效落地
對于敏感數(shù)據(jù)的訪問����、對于批量數(shù)據(jù)的下載要進行審批制度,這是數(shù)據(jù)治理的關(guān)鍵 ���;但工單的審批若是在執(zhí)行環(huán)節(jié)無法有效控制���,訪問審批制度僅僅是空中樓閣�����。
(2)如何對突破權(quán)控管理的黑客技術(shù)進行防御
基于數(shù)據(jù)庫的權(quán)限控制技術(shù)���,在基于漏洞攻擊的基礎(chǔ)上將很容易被突破。
(3)如何在保持高效的同時實現(xiàn)存儲層的加密
基于文件層和硬盤層的加密將無法與數(shù)據(jù)庫的權(quán)控體系結(jié)合�,對運維人員無效;如何實現(xiàn)存儲加密�����、權(quán)限控制和快速檢索的整體解決��,是這一問題的關(guān)鍵���,只有這樣的存儲加密才能保證安全的同時數(shù)據(jù)可用����。
(4)如何實現(xiàn)保持業(yè)務(wù)邏輯后的數(shù)據(jù)脫敏
對于測試環(huán)境�����、開發(fā)環(huán)境和 BI 分析環(huán)境中的數(shù)據(jù)需要對敏感數(shù)據(jù)模糊化,但模糊化的數(shù)據(jù)保持與生產(chǎn)數(shù)據(jù)的高度仿真�����,是實現(xiàn)安全又可用的基礎(chǔ)����。
(5)如何實現(xiàn)數(shù)據(jù)提取分發(fā)后的管控
數(shù)據(jù)的共享是數(shù)據(jù)的基本使用屬性��,但數(shù)據(jù)的復(fù)制是沒有痕跡的����;數(shù)據(jù)分發(fā)后如何保證數(shù)據(jù)不會被流轉(zhuǎn)到失控的環(huán)境,或者被復(fù)制后可溯源���,這是數(shù)據(jù)提取分發(fā)管理的關(guān)鍵�����。
數(shù)據(jù)安全的稽核和風(fēng)險發(fā)現(xiàn)挑戰(zhàn)
1��、如何實現(xiàn)對賬號和權(quán)限變化的追蹤
定期地對賬號和權(quán)限變化狀況進行稽核����,是保證對敏感數(shù)據(jù)的訪問在既定策略和規(guī)范內(nèi)的關(guān)鍵;但如何對成百上千個業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫中的賬號與權(quán)限的變化狀況進行追蹤是關(guān)鍵�����。
2����、如何實現(xiàn)全面的日志審計
在新的網(wǎng)絡(luò)安全法出臺后全面的數(shù)據(jù)訪問審計要求,日志存儲最少保留6 個月���;在新的等保中要求����,云的提供商和用戶都必須實現(xiàn)全面的日志記錄�����。全面審計工作對各種通訊協(xié)議��、云平臺的支撐����,1000 億數(shù)據(jù)以上的存儲、檢索與分析能力上,均形成挑戰(zhàn)����。全面的審計是檢驗數(shù)據(jù)安全治理中的策略是否在日常的執(zhí)行中切實落地的關(guān)鍵。
3�����、如何快速實現(xiàn)對異常行為和潛在風(fēng)險的發(fā)現(xiàn)與告警
數(shù)據(jù)治理中����,有一個關(guān)鍵要素就是發(fā)現(xiàn)非正常的訪問行為和系統(tǒng)中存在的潛在漏洞問題。如何對日常行為進行建模����,是海量數(shù)據(jù)中快速發(fā)現(xiàn)異常行為和攻擊行為避免系統(tǒng)面臨大規(guī)模失控的關(guān)鍵���。
數(shù)據(jù)安全治理的技術(shù)支撐
對應(yīng)數(shù)據(jù)安全治理上述提到的三大挑戰(zhàn)���,筆者提出針對數(shù)據(jù)安全狀況梳
理、數(shù)據(jù)訪問管控及數(shù)據(jù)安全稽核的技術(shù)保障體系�����。
數(shù)據(jù)安全狀況梳理的技術(shù)支撐
1、數(shù)據(jù)靜態(tài)梳理技術(shù)
靜態(tài)梳理是基于端口掃描和登錄掃描的方式完成對敏感數(shù)據(jù)的存儲分布
狀況���、數(shù)據(jù)管理系統(tǒng)的漏洞狀況����、數(shù)據(jù)管理系統(tǒng)的安全配置狀況的信息采集
技術(shù)���,通過該技術(shù)幫助安全管理人員掌握系統(tǒng)的數(shù)據(jù)安全狀態(tài)�。
通過靜態(tài)的掃描技術(shù)可以獲得數(shù)據(jù)的以下基本信息:
a) 系統(tǒng)內(nèi)的數(shù)據(jù)庫列表���,所分布的 IP����;
b) 根據(jù)數(shù)據(jù)特征�����,發(fā)現(xiàn)系統(tǒng)內(nèi)不同類別和級別的數(shù)據(jù)如何分布��;
c) 這些數(shù)據(jù)庫中的安全漏洞和補丁狀況�����,最嚴重的安全風(fēng)險 ;
d) 數(shù)據(jù)庫的賬號和權(quán)限信息����,特別是敏感信息標的賬號和權(quán)限信息 ;
e) 數(shù)據(jù)庫的安全配置狀況�����。
2�、數(shù)據(jù)動態(tài)梳理技術(shù)
動態(tài)梳理技術(shù)是基于對網(wǎng)絡(luò)流量的掃描,實現(xiàn)對系統(tǒng)中的敏感數(shù)據(jù)的訪問狀況的梳理�,包括:敏感數(shù)據(jù)的存儲分布、敏感數(shù)據(jù)的系統(tǒng)訪問狀況���、敏感數(shù)據(jù)的批量訪問狀況���、敏感數(shù)據(jù)的訪問風(fēng)險�����。
通過動態(tài)梳理技術(shù)可以獲得數(shù)據(jù)的以下基本信息:
a) 哪些 IP(數(shù)據(jù)庫主機)是數(shù)據(jù)的來源 ����;
b) 哪些 IP(業(yè)務(wù)系統(tǒng)或運維工具)是數(shù)據(jù)的主要訪問者 �����;
c) 敏感數(shù)據(jù)是如何被業(yè)務(wù)系統(tǒng)訪問的(時間��、流量�、操作類型�����、語句)����;
d) 敏感數(shù)據(jù)是如何被運維人員訪問的(IP、用戶��、操作)�����。
3�����、數(shù)據(jù)狀況的可視化呈現(xiàn)技術(shù)
通過可視化技術(shù)將靜態(tài)資產(chǎn)和動態(tài)資產(chǎn)梳理技術(shù)梳理出的信息以可視化
的形式呈現(xiàn)�����;比如敏感數(shù)據(jù)的訪問熱度、資產(chǎn)在組織內(nèi)不同部門或業(yè)務(wù)系統(tǒng)
內(nèi)的分布��、系統(tǒng)的賬號和權(quán)限圖�����、敏感數(shù)據(jù)的范圍權(quán)限圖:
圖 數(shù)據(jù)資產(chǎn)分布圖
數(shù)據(jù)訪問熱度圖
敏感數(shù)據(jù)賬號和授權(quán)狀況概況圖
4�、數(shù)據(jù)資產(chǎn)的管理系統(tǒng)支撐
基于靜態(tài)梳理、動態(tài)梳理和可視化展現(xiàn)技術(shù)���,建立數(shù)據(jù)資產(chǎn)的登記��、準入����、
準出和定期核查��。
以自動流量分析技術(shù)完成存量資產(chǎn)梳理圖
數(shù)據(jù)訪問管控的技術(shù)支撐
1�����、數(shù)據(jù)運維審批技術(shù)
(1) 堡壘機技術(shù)
堡壘機是當(dāng)前最常用的進行運維管控的工具����,包括對數(shù)據(jù)庫的運維管控����;
堡壘機通過將運維工具集中到指定設(shè)備上,所有對數(shù)據(jù)庫的運維操作都將在
這個設(shè)備上完成����。但堡壘機對數(shù)據(jù)庫的運維大多僅能控制到庫這個級別,無
法控制到更細粒度的對象如表或列�����;同時對于圖形化的運維工具無法作到控
制���,僅能作到錄屏�。
(2) 數(shù)據(jù)庫專業(yè)運維管控技術(shù)
數(shù)據(jù)庫的專業(yè)運維管控工具可以控制到表和列級�,可以控制到各種數(shù)據(jù)
庫操作;同時可以精確控制到具體的語句��,控制語句執(zhí)行的時間���,控制執(zhí)行
的閾值�����;同時滿足事前審批��,事中控制的模式����;滿足金融或運營商行業(yè)所
需要的金庫模式,這將極大提高數(shù)據(jù)庫運維管控的準確性:
數(shù)據(jù)庫安全運維審批流程示意
2���、防止黑客攻擊的數(shù)據(jù)庫防火墻技術(shù)
運維管控系統(tǒng)是對內(nèi)部人員對敏感數(shù)據(jù)訪問行為的管理���;但敏感數(shù)據(jù)除了內(nèi)部人員外,也要面臨黑客的攻擊和入侵��,或者第三方外包人員利用黑客技術(shù)突破常規(guī)的權(quán)限控制���;因此需要通過數(shù)據(jù)庫防火墻技術(shù)實現(xiàn)對于漏洞攻擊的防御�, 包括 SQL 注入類的外部攻擊�����,以及提權(quán)漏洞、緩沖區(qū)溢出漏洞和 TNS 漏洞等�。
數(shù)據(jù)庫防火墻技術(shù)中最核心技術(shù)——虛擬補丁技術(shù)
3�、數(shù)據(jù)庫存儲加密技術(shù)
數(shù)據(jù)庫的存儲加密是保證數(shù)據(jù)在物理層得到安全保障的關(guān)鍵,加密技術(shù)
的關(guān)鍵是要解決幾個核心問題 :
a) 加密與權(quán)控技術(shù)的整合 �;
b) 加密后的數(shù)據(jù)可快速檢索 :可考慮通過密文索引技術(shù)(但需要操作系
統(tǒng)的兼容)或保序加密技術(shù)。
c) 應(yīng)用透明技術(shù) :數(shù)據(jù)加密后原有應(yīng)用系統(tǒng)不需要改造�����,可選擇的技術(shù)
包括三層視圖技術(shù)����,或者保留格式加密技術(shù)。
4�、數(shù)據(jù)庫脫敏技術(shù)
數(shù)據(jù)庫脫敏技術(shù),是解決數(shù)據(jù)模糊化的關(guān)鍵技術(shù)�����;通過脫敏技術(shù)來解
決生產(chǎn)數(shù)據(jù)中的敏感信息在測試環(huán)境���、開發(fā)環(huán)境和 BI 分析環(huán)境的安全��。
數(shù)據(jù)訪問控制技術(shù) - 脫敏技術(shù)
在脫敏技術(shù)中的關(guān)鍵技術(shù)包括 :
a)數(shù)據(jù)含義的保持:脫敏后的數(shù)據(jù)仍然具有原始數(shù)據(jù)類型所要求的格式����、內(nèi)置關(guān)系,如身份證�、地址、人名脫敏后依然需要是身份證�、地址、人名���;
b) 數(shù)據(jù)間關(guān)系的保持:需要不同表間相同數(shù)據(jù)���、不同庫間相同數(shù)據(jù),在脫敏后依然是相同數(shù)據(jù)����,保證數(shù)據(jù)間的映射關(guān)系;
c) 增量數(shù)據(jù)脫敏:對于大規(guī)模數(shù)據(jù)的增量����,能在原有數(shù)據(jù)的基礎(chǔ)上持續(xù)性地快速脫敏,從而保障在某些測試或分析環(huán)境中數(shù)據(jù)相對的及時性�;
d) 可逆脫敏:在 BI 分析環(huán)境下, 用戶信息等關(guān)鍵性信息需要被脫敏�����;但在 BI 分析的結(jié)果,重點關(guān)注的用戶�����, 需要回到生產(chǎn)環(huán)境下時���, 可以還原為真實的用戶信息,以進行行銷���;
e) 動態(tài)脫敏:在一些環(huán)境下�����,需要保持數(shù)據(jù)共享的及時性��,但又要避免數(shù)據(jù)的泄露��;因此需要對在不將數(shù)據(jù)重新生成一份脫敏副本的情況下提供給第三方��。需要針對不同的用戶���,根據(jù)數(shù)據(jù)的共享和安全需要,對不同的數(shù)據(jù)集進行脫敏�;
f)大數(shù)據(jù)脫敏:隨著 MongoDB、Hadoop、Redis 等大數(shù)據(jù)技術(shù)的使用�,脫敏技術(shù)更多地被需要。
5��、數(shù)據(jù)水印技術(shù)
數(shù)據(jù)水印技術(shù)是為了保持對分發(fā)后的數(shù)據(jù)的追蹤����,在數(shù)據(jù)泄露行為發(fā)生
后,對造成數(shù)據(jù)泄露的源頭可進行回溯��。
數(shù)據(jù)水印技術(shù)的關(guān)鍵點包括:
A���、建立具備水印能力的數(shù)據(jù)抽取和分發(fā)系統(tǒng) �;
B���、在分發(fā)數(shù)據(jù)中摻雜�����,不影響運算結(jié)果的數(shù)據(jù)����,使泄密源可追溯 �����;
C、摻雜的方式 :增加偽行���、增加偽列�����、在現(xiàn)有的數(shù)據(jù)中作修正,如某
些字符串信息�,摻加不顯示字符;
D���、建立數(shù)據(jù)分發(fā)項目清單��,記錄數(shù)據(jù)集����、數(shù)據(jù)去向��、水印特點 �;
E、拿到泄密數(shù)據(jù)的樣本����,可追溯數(shù)據(jù)泄露源��。
數(shù)據(jù)安全稽核的技術(shù)支撐
數(shù)據(jù)安全稽核是安全管理部門的重要職責(zé)���,以此保障數(shù)據(jù)治理的策略和
規(guī)范被有效執(zhí)行和落地,保障能夠快速發(fā)現(xiàn)潛在的風(fēng)險和行為���。但數(shù)據(jù)稽
核對于大型企業(yè)或機構(gòu)超大規(guī)模的數(shù)據(jù)流量����、龐大的數(shù)據(jù)管理系統(tǒng)和業(yè)務(wù)系
統(tǒng)數(shù)量下��,也面臨著很大的技術(shù)挑戰(zhàn)���。
1��、數(shù)據(jù)審計技術(shù)
數(shù)據(jù)審計的目標是對所有的數(shù)據(jù)訪問行為進行記錄�,對危險行為進行告
警��,提供數(shù)據(jù)訪問報表���,提供對數(shù)據(jù)的檢索和分析能力����;數(shù)據(jù)審計技術(shù)是
對工作人員行為是否合規(guī)進行判定的關(guān)鍵 ;數(shù)據(jù)審計技術(shù)主要是基于網(wǎng)絡(luò)流
量分析技術(shù)�、高性能入庫技術(shù)、大數(shù)據(jù)分析技術(shù)和可視化展現(xiàn)技術(shù):
數(shù)據(jù)審計技術(shù)
2����、賬戶和權(quán)限變化追蹤技術(shù)
賬號和權(quán)限總是動態(tài)被維護的,在成千上萬的數(shù)據(jù)賬號和權(quán)限下�����,如何
快速了解在已經(jīng)完成的賬號和權(quán)限基線上增加了哪些賬號�����,賬號的權(quán)限是否
變化了���,這些變化是否遵循了合規(guī)性保證,需要通過靜態(tài)的掃描技術(shù)和可視
化技術(shù)幫助信息安全管理部門完成這種賬號和權(quán)限的變化稽核�。
授權(quán)變更統(tǒng)計分析管理界面
3、異常行為分析技術(shù)
在安全治理過程中���,除了明顯的數(shù)據(jù)攻擊行為和違規(guī)的數(shù)據(jù)訪問行為外�����,很多的數(shù)據(jù)入侵和非法訪問是掩蓋在合理的授權(quán)下的�,這就需要通過一些數(shù)據(jù)分析技術(shù),對異常性的行為進行發(fā)現(xiàn)和定義���,這些行為往往從單個的個體來看是合法的���。
對于異常行為,可以通過兩種方式����,一種是通過人工的分析完成異常行為的定義 ;一種是對日常行為進行動態(tài)的學(xué)習(xí)和建模��,對于不符合日常建模的行為進行告警�����。
分類 | 異常描述 | 影響分析 |
異常的查詢頻率 | 一段時間內(nèi)重復(fù)查詢客戶信息幾百次 | 高 |
一個號碼一天內(nèi)被查詢10次以上�����,或一個月內(nèi)被查詢100次以上 | 中 |
某些特殊號碼被多次查詢��,例如吉祥號 | 中 |
帳號異常 | 長時間不登陸的帳號登陸使用,查詢敏感信息 | 低 |
同一個帳號被多個人員使用����,同時登陸或登陸IP地址經(jīng)常變化。 | 中 |
異常的修改頻率 | 一段時間內(nèi)修改客戶信息幾百次 | 高 |
單號碼信息一天內(nèi)被修改10次以上�,或一個月被修改100次以上 | 中 |
以上很多的異常訪問行為,都與頻次有密切的關(guān)系 ����;這種頻次分析技術(shù)不是傳統(tǒng)的關(guān)系型數(shù)據(jù)庫或大數(shù)據(jù)平臺的強項,更多地需要引入一種新的技術(shù)���,這就是 StreamDB技術(shù)����;一種以時間窗體為概念�����,對多個數(shù)據(jù)流進行頻次���、累計量和差異量進行分析的技術(shù),往往可以用于對大規(guī)模數(shù)據(jù)流的異常發(fā)現(xiàn):
Stream 數(shù)據(jù)處理技術(shù)
產(chǎn)品咨詢:4000 258 365 
