数据安全治理 , 作为一种系统性的围绕数据安全建设为核心的方法和框架体系 , 帮助具有大型数据中心、数据向云端迁移的转型组织、数据高密度行业的企业能够建立一个持续优化改进的 , 尽可能保障数据安全使用的数据安全体系。

      目前，我国很多大型集团企业力求通过数字化转型加速业务增速 , 需要摆脱数据规模激增，数据安全管理能力滞后的矛盾 , 数据安全治理必须在数据使用安全中发挥重要作用 , 以降低业务风险。

      一、数据安全治理的技术挑战

      实施数据安全治理的大型集团，通常都具有较为完善的信息化系统，数据资产庞大，涉及的数据使用方式多样，数据使用角色繁杂，数据共享和分析的需求强烈，要满足数据有效使用的同时保证数据使用的安全性，需要非常强大的技术支撑体系。

      数据安全治理面临数据现状梳理、敏感数据访问与管控、数据治理稽核三大挑战。

      1、数据安全状况梳理技术挑战

      企业需要确定敏感性数据在信息系统内部的分布情况，其中的关键问题在于如何在成百上千的数据库和存储文件中明确敏感数据的分布；企业需要确定敏感性数据是如何被访问的，如何掌握敏感数据在被什么系统、什么用户以什么样的方式访问；企业需要迅速确定当前的账号和授权状况，清晰化、可视化、报表化的明确敏感数据在数据库和业务系统中的访问账号和授权状况，明确当前权控是否具备适当的基础。

      2、数据访问管控技术挑战

      在敏感数据访问和管控技术方面，细分为五个方面的挑战：

      （1）如何将敏感数据访问的审批在执行环节有效落地。对于敏感数据的访问、对于批量数据的下载要制定审批制度，这是数据治理的关键；但工单的审批若是在执行环节无法有效控制，访问审批制度也就成了空中楼阁。

      （2）如何对突破权控管理的黑客技术进行防御。基于数据库的权限控制技术，在基于漏洞的攻击的基础上将很容易被突破。

      （3）如何在保持高效的同时实现存储层的加密。基于文件层和硬盘层的加密将无法与数据库的权控体系结合，对运维人员无效；如何实现存储加密、权限控制和快速检索的整体解决，是这一问题的关键，只有这样的存储加密才能保证安全的同时数据可用。

      （4）如何实现保持业务逻辑后的数据脱敏。对于测试环境、开发环境和 BI分析环境中的数据需要对敏感数据模糊化，但模糊化的数据保持与生产数据的高度仿真，是实现安全可用的基础。

      （5）如何实现数据提取分发后的管控。数据的共享是数据的基本使用属性，但数据的复制是没有痕迹的；数据分发后如何保证数据不会被流转到失控的环境，或者被复制后可溯源，这是数据抽取分发管理的关键。

      3、数据安全的稽核和风险发现挑战

      （1）如何实现对账号和权限变化的追踪

      定期地对账号和权限变化状况进行稽核，是保证对敏感数据的访问在既定策略和规范内的关键；但如何对成百上千个业务系统和数据库中的账号与权限的变化状况进行追踪是关键。

      （2）如何实现全面的日志审计

      在新安全法出台后，全面的数据访问审计要求日志存储 6 个月；在新等保中要求，云提供商和用户都必须实现全面的日志记录。全面审计工作对各种通讯协议、云平台的支撑，1000 亿数据以上的存储、检索与分析能力上，均形成挑战。全面的审计是检验数据安全治理中的策略是否在日常的执行中切实落地的关键。

      （3）如何快速实现对异常行为和潜在风险的发现与告警

      数据治理中，有一个关键要素就是发现非正常的访问行为和系统中存在的潜在漏洞问题。如何对日常行为进行建模，在海量数据中快速发现异常行为和攻击行为避免系统面临大规模失控的关键。

      二、数据安全治理的技术体系

      1、数据资产的梳理技术

      数据安全治理，始于数据资产梳理。数据资产梳理是数据安全治理的基础，通过对数据资产的梳理，可以确定敏感数据在系统内部的分布、确定敏感数据是如何被访问的、确定当前的账号和授权的状况。根据企业的数据价值和特征，梳理出核心数据资产，对其分级分类，在此基础之上针对数据的安全管理才能确定更加精细的措施。

      数据资产梳理能够有效摸清企业数据资产安全状况及数据资产管理情况；改善以往传统方式下企业资产管理和梳理的工作模式，提高工作效率，保证资产梳理工作质量。合规合理的梳理方案，能做到对风险预估和异常行为评测，很大程度上避免了核心数据遭破坏或泄露的安全事件。

      （1）静态梳理技术

      静态梳理是完成对敏感数据的存储分布状况的摸底，从而帮助安全管理人员系统的掌握数据资产分布情况。

      静态梳理可以分为结构化数据梳理和非结构化数据梳理。

      对于结构化数据的梳理，通过静态的扫描技术可以获得数据的以下基本信息：

      A、通过端口扫描和特征发现，获得系统网段内存在的数据库列表，以及所分布的IP，从而获得数据库资产清单；

      B、根据所定义的企业内不同敏感数据的特征，以及预先定义的这些数据的类别和级别，通过对表中的数据进行采样匹配，获得不同的列、表和库中的数据所对应的级别和类别；对于非结构化数据，通过磁盘扫描技术，根据预先定义的数据特征，对于CSV、HTML、XML、PDF、Word、Excel 和 PPT 等文档中的内容进行扫描，获得这些文件中所具有的信息的类别和级别。

      无论是结构化还是非结构化，都要建立对应的敏感数据资产清单。

      （2）动态梳理技术

      动态梳理技术是基于对网络流量的扫描，实现对系统中的敏感数据的访问状况的梳理，包括：敏感数据的存储分布、敏感数据的系统访问状况、敏感数据的批量访问状况、敏感数据的访问风险。

      通过动态梳理技术可以获得数据的以下基本信息：

      ▊哪些 IP（数据库主机）是数据的来源；

      ▊哪些 IP（业务系统或运维工具）是数据的主要访问者；

      ▊敏感数据是如何被业务系统访问的（时间、流量、操作类型、语句）；

      ▊敏感数据是如何被运维人员访问的（IP、用户、操作）。

      动态梳理同样要分为对结构化数据访问网络流量的扫描，以及非结构化数据访问的网络流量的扫描。结构化数据的网络流量，主要是对各种RDBMS、NOSQL、MPP数据库的通讯协议的流量监控；非结构化数据主要是对Mail协议、HTTP、FTP 等协议的监控和解析。

      （3）数据状况的可视化呈现技术

      通过可视化技术将静态资产和动态资产梳理技术梳理出的信息以可视化的形式呈现；比如敏感数据的访问热度、资产在组织内不同部门或业务系统内的分布、系统的账号和权限图、 敏感数据的范围权限图。

      （4）数据资产存储系统的安全现状评估

      安全现状评估是将已定位、梳理的数据库资产进行全面检测评估，评估项包括：口令和账户、弱安全策略、权限宽泛、权限提升漏洞、日志、补丁升级等，评估是否存在安全漏洞。通过安全风险检查让数据资产管理员全面了解数据库资产运行环境是否存在安全风险。

      通过安全现状评估能有效发现当前数据库系统的安全问题，对数据库的安全状况进行持续监控，保持数据库的安全健康状态。

      安全现状评估的价值：

    （1）提升数据库使用安全系数：检测出数据库的DBMS漏洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等问题。对检测出的问题进行有针对性的修复，整体提升数据库使用安全系数。

    （2）降低数据库被黑客攻击风险：检测出数据库使用过程中由于人为疏忽造成的诸多安全隐患，例如：低安全配置、弱口令、高危程序代码、权限宽泛等。对上述安全隐患进行针对性处理后可有效降低黑客攻击风险。

    （3）满足政策检测要求：在进行安全现状评估后，数据库管理人员可针对数据库漏洞、风险使用等方面的风险进行改进，满足相关政策对数据库安全使用的检测要求。

      2、 数据使用安全控制技术

      数据在使用过程中，按照数据流动性以及使用需求划分，将会面临如下使用场景：

      ●通过业务系统访问数据；

      ●在数据库运维时调整数据；

      ●开发测试时使用数据；

      ● BI 分析时使用数据；

      ●面向外界分发数据；

      ●内部高权限人员使用数据。

      在数据使用的各个环节中，需要通过技术手段将各个场景下的安全风险有效规避：

      （1）业务系统数据访问安全管控

      在业务系统提供服务的同时，其安全风险也随之暴露在系统中，攻击者可利用数据库的脆弱性发起攻击，达到破坏系统或者获取数据信息的目的。由此，需要针对业务访问过程进行严格控制。

      ●通过虚拟补丁技术，对于漏洞攻击行为进行实时准确监测，一旦发现访问行为中包含漏洞攻击行为，实时进行拦截。

      ●通过 SQL 注入防护技术，精确解析每一条到达数据库的 SQL 语句，并准确判断每一条语句是否带有注入特征，确保每一条到达数据库的语句都是合法的。

      综上所述，通过业务系统数据访问安全管控，实时、动态的监测数据库访问行为，一旦发现存在数据库攻击特性的行为，将精确拦截，确保业务系统数据访问安全性。

      （2）数据安全运维管控技术

      数据在运维的过程中，重要数据的操作需要高度谨慎，一些细微的错误操作可能会导致数据库异常，并且由于接触数据的人群错综复杂，很容易发生数据运维过程中的恶意篡改或者批量导出。由此，数据库的运维过程安全性需要技术手段进行保障。

      通过建立数据库运维行为流程化管理机制，对数据库运维行为提供事前审批、事中控制、事后审计、定期报表等功能，将审批、控制和追责有效结合，避免内部运维人员的恶意操作和误操作行为，确保数据库运维的安全性。

      ●数据安全管控技术需要对内部运维人员的数据库操作请求进行智能分析，判断请求合理性及安全性，辅助决策。取代传统的“OA 或纸质申请”的审批模式，不仅提高工作效率，更能确保实际操作与原申请的一致性。

      ●不仅需要为审批者提供对操作申请的风险评估，更能实时对申请与审批进行细粒度管控。通过语句特征及审计规则检测，对于疑似 SQL 注入、漏洞攻击等高危操作，即使审批通过，依然进行实时阻断；对于违反安全策略的风险操作，提供告警。同时，通过对操作申请与审批行为的实时监控，为安全管理人员同步提供可视化分析，辅助判断运维操作是否合理、安全。

       （3）开发测试环境数据安全使用

      在企业内部的系统开发测试过程中，由于要高度模拟生产环境，因此很多情况下，需要使用生产环境中的生产数据进行系统开发测试。而生产数据一旦流转到开发测试环境，其数据的安全性则无法得到保障。由此，需要通过脱敏技术确保数据中的敏感信息被漂白，但又不影响开发测试人员对于数据的使用。

      通过建立数据脱敏机制，对发放到开发测试环境的生产数据预先进行脱敏处理，确保经过脱敏后的数据不再带有敏感信息，且数据面向开发测试人员可用。

      数据在脱敏时，为确保数据脱敏的可用性、灵活性，遵循“保证脱敏后数据可应用”规则的能力，需要实现以下六个方面的支持：

      智能化，能够在复杂的数据库表与字段中，不依赖元数据中对表和字段的定义，根据数据特征自动识别敏感数据并进行有效脱敏。

      可重复和不可重复性，提供重复脱敏相同数据的能力，在不同轮次的脱敏中，保证相同的隐私数据脱敏后的数据也是相同的，从而保证数据在增量环境下能够被有效的关联。也可以提供不可重复的脱敏能力，保证相同的数据在不同轮次的脱敏任务中产生的数据是不同的，从而防止逆向工程还原数据。

      数据有效性，脱敏后的数据准确反应原始数据的业务属性和数据分布特征，从而保证数据在应用系统中的正常使用。

      数据完整性，保证脱敏后数据的完整性，并且提供不改变原始数据尺寸，不包含无效信息的能力，防止敏感数据不符合目标数据的定义，造成无法顺利入库的情况。

      数据关联性，严格保留原有数据库中数据的关系特征，支持时间序列脱敏后仍然能够保持原有的时间序列。

      脱敏技术有效保障脱敏后的数据可以满足原始数据相同的业务规则，是能够代表实际业务属性的虚构数据，能够使脱敏数据的使用者从体验上感觉数据是真实的，从而最终保证使用脱敏后的数据可以保证业务可靠运行。

      （4）BI 分析数据安全管控

      面向BI分析场景，需要提供经过脱敏后的数据，用于遮盖数据中的敏感部分，但是当完成BI分析后，如需再对分析后的数据进行挖掘利用，则需将脱敏后的数据进行还原，否则无法了解BI分析后的数据结果的对应关系。

      与此同时，在分析师访问业务系统获取数据时，由于不同的分析师按照自己的职责范围，应该获取自身授权的数据，但由于系统在数据访问过程中无法精确进行数据访问控制，存在越权访问数据行为。

      ●由此，在BI分析场景下，可逆脱敏技术是必不可少的，它即可以保障顺利将数据脱敏，又可以保障完成BI分析后，脱敏数据可以还原成原始数据。

      ●在分析师进行数据访问的同时，判断分析师的身份，根据分析师的身份返回不同程度遮盖的数据。

      （5）数据对外分发管控

      开展业务时，数据需要对外共享，但是一旦数据对外分发后，安全保护责任的主体也应进行转移，数据共享中的接收方在接收到数据后，并没有对数据的安全保护起到应用的责任，因此，会引发很多数据二次扩散的事件。由此，对于数据分发后的安全性需要通过技术手段监管起来。

      通过建立数据分发水印机制，对于发布到外界的数据预先进行水印处理，在水印中植入数据接收者的相关信息，而植入的带水印的数据，具备如下特性：

      ●安全性：嵌入在原始数据中的水印是不可除的，且能够提供完整的版权证据。数据水印不会因为数据的某种改动而导致水印信息丢失，能够保持完整性或仍能被准确鉴别。

      ●透明性：在原始数据中嵌入水印标记信息不易被察觉，不影响原数据的可用性。

      ●溯源能力：从水印数据中溯源水印标记信息的能力。

      ●低错误率：误判率低，误判分两种，一是数据无水印标记时，却检测到了水印存在；二是加了水印标记信息却没有检测出水印的存在。

      一旦发现数据泄露，通过提取泄露的数据样本，对样本数据进行水印信息提取及分析，从而追溯数据泄密单位信息。

      （6）数据内部存储安全

      数据在内部存储大多以明文方式，一旦数据被有意无意的带出内部环境，将面临泄密风险，另一方面，内部高权限用户对于数据的访问权限过高，同样存在数据被恶意利用的风险。通过建立数据加密机制，将重要数据在数据库中进行加密方式存储，无论受到外部攻击导致“拖库”，还是内部人员恶意泄露数据文件，都无法对数据内容进行提取或破解。

      使用我国密码管理机构认定的加密算法，也要使用国际先进的密码算法。对数据库指定列进行加密，保证敏感数据以密文形式存储，以实现存储层的安全加固。

      透明的数据加密有两层含义：一是对应用系统透明，即用户或开发商无需对应用系统进行任何改造；二是对有密文访问权限的用户显示明文数据，且加、解密过程对用户完全透明。增设数据安全管理员（Data Security Administrator，DSA）。DBA 和 DSA 相互独立，共同实现对敏感字段的强存取控制，实现责权一致。DBA 实现对普通字段一般性访问权限控制，DSA 实现对敏感字段的增、脱密处理和密文访问权限控制。在数据加密存储的基础上，实现密文访问权限体系，对数据库用户进行强制访问控制，有效防止特权用户对敏感数据的非法访问。

      3、数据安全审计与稽核技术

      数据安全稽核是安全管理部门的重要职责，以此保障数据安全治理的策略和规范被有效执行和落地，以确保快速发现潜在的风险和行为。但数据稽核在大型企业或机构超大规模的数据流量、庞大的数据管理系统和业务系统数量面前，也面临着很大的技术挑战。

      数据所面临的威胁与风险是动态变化的过程，入侵环节、入侵方式、入侵目标均随着时间不断演进。这也就要求防护体系、治理思路不能墨守成规，更不能一成不变。所以 数据安全治理的过程中始终要具备一项关键能力——完善的审计与稽核能力。通过审计与稽核的能力来帮助企业掌握威胁与风险的变化，明确防护方向，进而调整防护体系，优化防御策略，补足防御薄弱点，使防护体系具备动态适应能力，真正实现数据安全防护。

      数据的安全审计和稽核机制由四个环节组成，分别是行为审计与分析、权限变化监控、异常行为分析、建立安全基线。

      （1）行为审计与分析

      在数据安全治理的思路下，建设数据安全防护体系时必须具备审计能力。利用数据库协议分析技术将所有访问和使用数据的行为全部记录下来，包括账号、时间、IP、会话、 操作、对象、耗时、结果等等内容。一套完善的审计机制能够为数据安全带来两个价值：

      ▊事中告警

      数据的访问、使用、流转过程中一旦出现可能导致数据外泄、受损的恶意行为时，审计机制可以第一时间发出威胁告警，通知管理人员。管理人员在第一时间掌握威胁信息后，可以针对性的阻止该威胁，从而降低或避免损失。所以，审计机制必须具备告警能力，可以通过邮件、短信等方式发出告警通知。

为实现事中告警能力，审计系统需要能够有效识别风险威胁，需要具备下列技术：

      ●漏洞攻击检测技术：针对CVE公布的漏洞库，提供漏洞特征检测技术；

      ● SQL 注入监控技术：提供SQL注入特征库；

      ●口令攻击监控：针对指定周期内风险客户端IP和用户的频次性登录失败行为监控；

      ●高危访问监控技术：在指定时间周期内，根据不同的访问来源，如：IP 地址、数据库用户、MAC 地址、操作系统、主机名，以及应用关联的用户、IP 等元素设置访问策略；

     ●高危操作控制技术：针对不同访问来源，提供对数据库表、字段、函数、存储过程等对象的高危操作行为监控，并且根据关联表个数、执行时长、错误代码、关键字等元素进行限制；

      ●返回行超标监控技术：提供对敏感表的返回行数监控；

      ● SQL 例外规则：根据不同的访问来源，结合指定的非法 SQL 语句模板添加例外规则，以补充风险规则的不足，形成完善的审计策略。

      ▊事后溯源

      数据的访问、使用过程出现信息安全事件之后，可以通过审计机制对该事件进行追踪溯源，确定事件发生的源头（谁做的？什么时间做的？什么地点做的？），还原事件的发生过程，分析事件造成的损失。不但能够对违规人员实现追责和定责，还为调整防御策略提供非常必要的参考。所以，审计机制必须具备丰富的检索能力，可以将全要素作为检索条件的查询功能，方便事后溯源定位。

      一套完善的审计机制是基于敏感数据、策略、数据流转基线等多个维度的集合体，对数据的生产流转，数据操作进行监控、审计、分析，及时发现异常数据流向、异常数据操作行为，并进行告警，输出报告。

      （2）权限变化监控

      账号和权限总是动态被维护的，在成千上万的数据账号和权限下，如何快速了解在已经完成的账号和权限基线上增加了哪些账号，账号的权限是否变化了，这些变化是否遵循了合规性保证。需要通过静态的扫描技术和可视化技术帮助信息安全管理部门完成这种账号和权限的变化稽核。

      权限变化监控是指监控所有账号权限的变化情况，包括账号的增加和减少，权限的提高和降低，是数据安全稽核的重要一环。对权限变化进行监控，对抵御外部提权攻击，对抵御内部人员私自调整账号权限进行违规操作均是必不可少的关键能力。

       权限变化监控能力的建立分为两个阶段，第一是权限梳理，第二是权限监控。

       ▊权限梳理

      结合人工和静态扫描技术，对现有账号情况进行详细梳理，梳理结果形成账号和权限基线，该基线的调整必须遵循规章制度的合规性保障。通过可视化技术帮助管理人员直观掌握环境中所有账号及对应的权限情况。

      ▊权限监控

      账号和权限基线一旦形成，即可通过扫描技术对所有账号及权限进行变化监控。监控结果与基线进行对比，一旦出现违规变化（未遵循规章制度的私自调整权限）会通过可视化技术和告警技术确保管理人员第一时间可以得到通知。

      （3）异常行为分析

      在安全稽核过程中，除了明显的数据攻击行为和违规的数据访问行为外，很多的数据入侵和非法访问是掩盖在合理的授权下的，这就需要通过一些数据分析技术，对异常性的行为进行发现和定义，这些行为往往从单个的个体来看是合法的。

      对于异常行为，可以通过两种方式，一种是通过人工的分析完成异常行为的定义；一种是对日常行为进行动态的学习和建模，对于不符合日常建模的行为进行告警。

      异常行为分析机制的建立对分析、寻找“好人中的坏人”非常关键，同时也是防御体系、防御策略调整的重要参考内容。

      三、综述

      通过梳理近年来层出不穷的数据安全事件不难发现：既有黑客的攻击，更有内部工作人员的信息贩卖、离职员工的删库、开发测试人员误操作等，多种原因导致的数据安全事件背后折射出的是，仅仅依靠单点防护难以达到真正的安全防护效果，而构建基于全生命周期的安全防护成为必然选择，而数据安全治理技术成为数据安全治理体系的重要的支撑。

     本文主要内容源自《数据安全治理白皮书》，供大家学习参考。

扫码二维码留言

交流更多数据治理问题

数据驱动智能