实施数据安全治理的组织,一般都具有较为发达和完善的信息化水平,数据资产庞大,涉及的数据使用方式多样化,数据使用角色繁杂,数据共享和分析的需求刚性,要满足数据有效使用的同时保证数据使用的安全性,需要极强的技术支撑。
数据安全治理面临数据状况梳理、敏感数据访问与管控、数据治理稽核三大挑战。
当前数据安全治理面临的挑战
数据安全状况梳理技术挑战
组织需要确定敏感性数据在系统内部的分布情况,其中的关键问题在于如何在成千上百的数据库和存储文件中明确敏感数据的分布;组织需要确定敏感性数据是如何被访问的,如何掌握敏感数据在被什么系统、什么用户以什么样的方式访问;组织需要迅速确定当前的账号和授权状况,清晰化、可视化、报表化的明确敏感数据在数据库和业务系统中的访问账号和授权状况,明确当前权控是否具备适当的基础。
数据访问管控技术挑战
在敏感数据访问和管控技术方面,细分至五个方面的挑战 :
(1)如何将敏感数据访问的审批在执行环节有效落地
对于敏感数据的访问、对于批量数据的下载要进行审批制度,这是数据治理的关键 ;但工单的审批若是在执行环节无法有效控制,访问审批制度仅仅是空中楼阁。
(2)如何对突破权控管理的黑客技术进行防御
基于数据库的权限控制技术,在基于漏洞攻击的基础上将很容易被突破。
(3)如何在保持高效的同时实现存储层的加密
基于文件层和硬盘层的加密将无法与数据库的权控体系结合,对运维人员无效;如何实现存储加密、权限控制和快速检索的整体解决,是这一问题的关键,只有这样的存储加密才能保证安全的同时数据可用。
(4)如何实现保持业务逻辑后的数据脱敏
对于测试环境、开发环境和 BI 分析环境中的数据需要对敏感数据模糊化,但模糊化的数据保持与生产数据的高度仿真,是实现安全又可用的基础。
(5)如何实现数据提取分发后的管控
数据的共享是数据的基本使用属性,但数据的复制是没有痕迹的;数据分发后如何保证数据不会被流转到失控的环境,或者被复制后可溯源,这是数据提取分发管理的关键。
数据安全的稽核和风险发现挑战
1、如何实现对账号和权限变化的追踪
定期地对账号和权限变化状况进行稽核,是保证对敏感数据的访问在既定策略和规范内的关键;但如何对成百上千个业务系统和数据库中的账号与权限的变化状况进行追踪是关键。
2、如何实现全面的日志审计
在新的网络安全法出台后全面的数据访问审计要求,日志存储最少保留6 个月;在新的等保中要求,云的提供商和用户都必须实现全面的日志记录。全面审计工作对各种通讯协议、云平台的支撑,1000 亿数据以上的存储、检索与分析能力上,均形成挑战。全面的审计是检验数据安全治理中的策略是否在日常的执行中切实落地的关键。
3、如何快速实现对异常行为和潜在风险的发现与告警
数据治理中,有一个关键要素就是发现非正常的访问行为和系统中存在的潜在漏洞问题。如何对日常行为进行建模,是海量数据中快速发现异常行为和攻击行为避免系统面临大规模失控的关键。
对应数据安全治理上述提到的三大挑战,笔者提出针对数据安全状况梳
理、数据访问管控及数据安全稽核的技术保障体系。
数据安全状况梳理的技术支撑
1、数据静态梳理技术
静态梳理是基于端口扫描和登录扫描的方式完成对敏感数据的存储分布
状况、数据管理系统的漏洞状况、数据管理系统的安全配置状况的信息采集
技术,通过该技术帮助安全管理人员掌握系统的数据安全状态。
通过静态的扫描技术可以获得数据的以下基本信息:
a) 系统内的数据库列表,所分布的 IP;
b) 根据数据特征,发现系统内不同类别和级别的数据如何分布;
c) 这些数据库中的安全漏洞和补丁状况,最严重的安全风险 ;
d) 数据库的账号和权限信息,特别是敏感信息标的账号和权限信息 ;
e) 数据库的安全配置状况。
2、数据动态梳理技术
动态梳理技术是基于对网络流量的扫描,实现对系统中的敏感数据的访问状况的梳理,包括:敏感数据的存储分布、敏感数据的系统访问状况、敏感数据的批量访问状况、敏感数据的访问风险。
通过动态梳理技术可以获得数据的以下基本信息:
a) 哪些 IP(数据库主机)是数据的来源 ;
b) 哪些 IP(业务系统或运维工具)是数据的主要访问者 ;
c) 敏感数据是如何被业务系统访问的(时间、流量、操作类型、语句);
d) 敏感数据是如何被运维人员访问的(IP、用户、操作)。
3、数据状况的可视化呈现技术
通过可视化技术将静态资产和动态资产梳理技术梳理出的信息以可视化
的形式呈现;比如敏感数据的访问热度、资产在组织内不同部门或业务系统
内的分布、系统的账号和权限图、敏感数据的范围权限图:
图 数据资产分布图
数据访问热度图
敏感数据账号和授权状况概况图
4、数据资产的管理系统支撑
基于静态梳理、动态梳理和可视化展现技术,建立数据资产的登记、准入、
准出和定期核查。
以自动流量分析技术完成存量资产梳理图
数据访问管控的技术支撑
1、数据运维审批技术
(1) 堡垒机技术
堡垒机是当前最常用的进行运维管控的工具,包括对数据库的运维管控;
堡垒机通过将运维工具集中到指定设备上,所有对数据库的运维操作都将在
这个设备上完成。但堡垒机对数据库的运维大多仅能控制到库这个级别,无
法控制到更细粒度的对象如表或列;同时对于图形化的运维工具无法作到控
制,仅能作到录屏。
(2) 数据库专业运维管控技术
数据库的专业运维管控工具可以控制到表和列级,可以控制到各种数据
库操作;同时可以精确控制到具体的语句,控制语句执行的时间,控制执行
的阈值;同时满足事前审批,事中控制的模式;满足金融或运营商行业所
需要的金库模式,这将极大提高数据库运维管控的准确性:
数据库安全运维审批流程示意
2、防止黑客攻击的数据库防火墙技术
运维管控系统是对内部人员对敏感数据访问行为的管理;但敏感数据除了内部人员外,也要面临黑客的攻击和入侵,或者第三方外包人员利用黑客技术突破常规的权限控制;因此需要通过数据库防火墙技术实现对于漏洞攻击的防御, 包括 SQL 注入类的外部攻击,以及提权漏洞、缓冲区溢出漏洞和 TNS 漏洞等。
数据库防火墙技术中最核心技术——虚拟补丁技术
3、数据库存储加密技术
数据库的存储加密是保证数据在物理层得到安全保障的关键,加密技术
的关键是要解决几个核心问题 :
a) 加密与权控技术的整合 ;
b) 加密后的数据可快速检索 :可考虑通过密文索引技术(但需要操作系
统的兼容)或保序加密技术。
c) 应用透明技术 :数据加密后原有应用系统不需要改造,可选择的技术
包括三层视图技术,或者保留格式加密技术。
4、数据库脱敏技术
数据库脱敏技术,是解决数据模糊化的关键技术;通过脱敏技术来解
决生产数据中的敏感信息在测试环境、开发环境和 BI 分析环境的安全。
数据访问控制技术 - 脱敏技术
在脱敏技术中的关键技术包括 :
a)数据含义的保持:脱敏后的数据仍然具有原始数据类型所要求的格式、内置关系,如身份证、地址、人名脱敏后依然需要是身份证、地址、人名;
b) 数据间关系的保持:需要不同表间相同数据、不同库间相同数据,在脱敏后依然是相同数据,保证数据间的映射关系;
c) 增量数据脱敏:对于大规模数据的增量,能在原有数据的基础上持续性地快速脱敏,从而保障在某些测试或分析环境中数据相对的及时性;
d) 可逆脱敏:在 BI 分析环境下, 用户信息等关键性信息需要被脱敏;但在 BI 分析的结果,重点关注的用户, 需要回到生产环境下时, 可以还原为真实的用户信息,以进行行销;
e) 动态脱敏:在一些环境下,需要保持数据共享的及时性,但又要避免数据的泄露;因此需要对在不将数据重新生成一份脱敏副本的情况下提供给第三方。需要针对不同的用户,根据数据的共享和安全需要,对不同的数据集进行脱敏;
f)大数据脱敏:随着 MongoDB、Hadoop、Redis 等大数据技术的使用,脱敏技术更多地被需要。
5、数据水印技术
数据水印技术是为了保持对分发后的数据的追踪,在数据泄露行为发生
后,对造成数据泄露的源头可进行回溯。
数据水印技术的关键点包括:
A、建立具备水印能力的数据抽取和分发系统 ;
B、在分发数据中掺杂,不影响运算结果的数据,使泄密源可追溯 ;
C、掺杂的方式 :增加伪行、增加伪列、在现有的数据中作修正,如某
些字符串信息,掺加不显示字符;
D、建立数据分发项目清单,记录数据集、数据去向、水印特点 ;
E、拿到泄密数据的样本,可追溯数据泄露源。
数据安全稽核的技术支撑
数据安全稽核是安全管理部门的重要职责,以此保障数据治理的策略和
规范被有效执行和落地,保障能够快速发现潜在的风险和行为。但数据稽
核对于大型企业或机构超大规模的数据流量、庞大的数据管理系统和业务系
统数量下,也面临着很大的技术挑战。
1、数据审计技术
数据审计的目标是对所有的数据访问行为进行记录,对危险行为进行告
警,提供数据访问报表,提供对数据的检索和分析能力;数据审计技术是
对工作人员行为是否合规进行判定的关键 ;数据审计技术主要是基于网络流
量分析技术、高性能入库技术、大数据分析技术和可视化展现技术:
数据审计技术
2、账户和权限变化追踪技术
账号和权限总是动态被维护的,在成千上万的数据账号和权限下,如何
快速了解在已经完成的账号和权限基线上增加了哪些账号,账号的权限是否
变化了,这些变化是否遵循了合规性保证,需要通过静态的扫描技术和可视
化技术帮助信息安全管理部门完成这种账号和权限的变化稽核。
授权变更统计分析管理界面
3、异常行为分析技术
在安全治理过程中,除了明显的数据攻击行为和违规的数据访问行为外,很多的数据入侵和非法访问是掩盖在合理的授权下的,这就需要通过一些数据分析技术,对异常性的行为进行发现和定义,这些行为往往从单个的个体来看是合法的。
对于异常行为,可以通过两种方式,一种是通过人工的分析完成异常行为的定义 ;一种是对日常行为进行动态的学习和建模,对于不符合日常建模的行为进行告警。
分类 |
异常描述 |
影响分析 |
异常的查询频率 |
一段时间内重复查询客户信息几百次 |
高 |
一个号码一天内被查询10次以上,或一个月内被查询100次以上 |
中 |
|
某些特殊号码被多次查询,例如吉祥号 |
中 |
|
帐号异常 |
长时间不登陆的帐号登陆使用,查询敏感信息 |
低 |
同一个帐号被多个人员使用,同时登陆或登陆IP地址经常变化。 |
中 |
|
异常的修改频率 |
一段时间内修改客户信息几百次 |
高 |
单号码信息一天内被修改10次以上,或一个月被修改100次以上 |
中 |
以上很多的异常访问行为,都与频次有密切的关系 ;这种频次分析技术不是传统的关系型数据库或大数据平台的强项,更多地需要引入一种新的技术,这就是 StreamDB技术;一种以时间窗体为概念,对多个数据流进行频次、累计量和差异量进行分析的技术,往往可以用于对大规模数据流的异常发现:
Stream 数据处理技术
