數(shù)據(jù)泄漏事件��,層出不窮�����。從印度的國家身份識別數(shù)據(jù)庫數(shù)據(jù)泄露到挪威衛(wèi)生局信息系統(tǒng)數(shù)據(jù)泄露��,圓通���、順豐、華住集團���、萬豪喜達屋以及剛剛被披露的豐田數(shù)據(jù)泄露��。
這些政府部門及大型商業(yè)組織都擁有相對健全的網(wǎng)絡(luò)安全防護手段����,但數(shù)據(jù)泄露事件仍然時有發(fā)生,究其根本��,除了數(shù)據(jù)安全保護難度大外���,在每一起事件的背后�,都有數(shù)據(jù)安全管理不得當(dāng)?shù)挠白印?/p>
有的放矢才能事半功倍近期國內(nèi)各重點行業(yè)和相關(guān)單位都在開展加強對重要數(shù)據(jù)和公民個人信息的安全保護的專項治理工作���。
通過對數(shù)據(jù)資產(chǎn)梳理���,形成數(shù)據(jù)資產(chǎn)清單,可以對互聯(lián)網(wǎng)相關(guān)的重要數(shù)據(jù)和個人信息采集�、存儲、傳輸��、使用����、提供、銷毀等環(huán)節(jié)的具體情況清楚把握����,在此基礎(chǔ)上進一步排查信息系統(tǒng)和數(shù)據(jù)庫,是否存在弱口令、未授權(quán)訪問�����、數(shù)據(jù)明文傳輸�、缺少安全審計,訪問控制��、策略不嚴等突出安全隱患����,才能聚焦數(shù)據(jù)安全突出風(fēng)險進行安全保護,進而有的放矢的完善數(shù)據(jù)全生命周期安全保護��,切實提升重要數(shù)據(jù)和公民個人信息安全保護能力��。
五步走���,敏感數(shù)據(jù)狀況全掌握
1. 數(shù)據(jù)資產(chǎn)定位掃描發(fā)現(xiàn)數(shù)據(jù)庫:通過網(wǎng)絡(luò)掃描或者流量監(jiān)聽等技術(shù)手段發(fā)現(xiàn)信息系統(tǒng)中運行的數(shù)據(jù)庫����。
建立數(shù)據(jù)資產(chǎn)底單:通過對發(fā)現(xiàn)的數(shù)據(jù)庫信息整理�����,初步建立數(shù)據(jù)資產(chǎn)底單�����。輸出:《數(shù)據(jù)資產(chǎn)底單》��。
2. 數(shù)據(jù)資產(chǎn)標識找到數(shù)據(jù)擁有者:為數(shù)據(jù)資產(chǎn)底單上的數(shù)據(jù)資產(chǎn)找到擁有者或管理者����,一般是業(yè)務(wù)的運營者或者管理者。
獲取數(shù)據(jù)訪問權(quán)限:從數(shù)據(jù)擁有者或管理者那里獲取數(shù)據(jù)權(quán)限�����,一般是只讀權(quán)限�����,為數(shù)據(jù)標識做準備����。
注:數(shù)據(jù)資產(chǎn)標識是對數(shù)據(jù)資產(chǎn)屬性信息填充完整的動作,標識內(nèi)容包含資產(chǎn)所屬管理部門�、項目、所屬業(yè)務(wù)系統(tǒng)等信息�,實現(xiàn)信息清單化管理��。
3. 數(shù)據(jù)類型標識按照預(yù)定義的重要數(shù)據(jù)或個人信息數(shù)據(jù)特征如姓名���、證件號、銀行賬戶�����、金額���、日期�、住址�、電話號碼、Email地址等數(shù)據(jù)��,在執(zhí)行任務(wù)過程中對抽取的數(shù)據(jù)進行自動的識別�����,發(fā)現(xiàn)敏感數(shù)據(jù)�����,并可以根據(jù)規(guī)則對發(fā)現(xiàn)的敏感數(shù)據(jù)進行導(dǎo)出清單����。
通過自動識別敏感數(shù)據(jù),可以避免按照字段定義敏感數(shù)據(jù)元的繁瑣工作����,同時能夠持續(xù)的發(fā)現(xiàn)新的敏感數(shù)據(jù)。
個人敏感信息示例
4. 數(shù)據(jù)資產(chǎn)清單確認標識結(jié)果:抽查部分數(shù)據(jù)標識結(jié)果�,可以結(jié)合數(shù)據(jù)量來確定需要重點保護的數(shù)據(jù)資產(chǎn)。
形成數(shù)據(jù)清單:經(jīng)過確認后的數(shù)據(jù)標識�,形成數(shù)據(jù)資產(chǎn)詳細清單,實現(xiàn)數(shù)據(jù)資產(chǎn)的清單化管理�,樣例如下:重要數(shù)據(jù)或個人信息統(tǒng)計表(樣表)輸出:《數(shù)據(jù)資產(chǎn)清單》《數(shù)據(jù)資產(chǎn)詳細清單》《重要或敏感數(shù)據(jù)清單》《重要數(shù)據(jù)或個人信息統(tǒng)計表》等。
5. 持續(xù)監(jiān)控定期進行數(shù)據(jù)資產(chǎn)梳理:數(shù)據(jù)資產(chǎn)是處于動態(tài)變化中的���,對于數(shù)據(jù)資產(chǎn)的梳理應(yīng)當(dāng)根據(jù)業(yè)務(wù)情況定期開展����。
數(shù)據(jù)使用監(jiān)控:通過技術(shù)手段理清數(shù)據(jù)使用情況和數(shù)據(jù)流向;輸出:《數(shù)據(jù)資產(chǎn)變化趨勢報告》�����。
數(shù)據(jù)資產(chǎn)梳理關(guān)鍵技術(shù)
1. 基于網(wǎng)絡(luò)嗅探技術(shù)�����,自動尋找發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中存在的數(shù)據(jù)庫。
需要支持多種數(shù)據(jù)庫自動發(fā)現(xiàn)�,主動嗅探網(wǎng)內(nèi)數(shù)據(jù)庫的發(fā)現(xiàn)技術(shù),可以指定IP段和端口的范圍進行搜索��,也可以基于訪問流量解析自動發(fā)現(xiàn)與識別數(shù)據(jù)庫的技術(shù)����。
2. 基于特征匹配的敏感數(shù)據(jù)探測技術(shù),自動梳理數(shù)據(jù)庫中個人隱私敏感數(shù)據(jù)分布�。
一般應(yīng)用的后臺數(shù)據(jù)庫都成千上萬張表,要保護核心數(shù)據(jù)資產(chǎn)���,首先要了解核心數(shù)據(jù)資產(chǎn)在什么地方�����,需要能夠從海量數(shù)據(jù)中快速發(fā)現(xiàn)敏感數(shù)據(jù)�,定位敏感數(shù)據(jù)存儲與分布����,統(tǒng)計敏感數(shù)據(jù)量級,可以通過敏感數(shù)據(jù)發(fā)現(xiàn)功能對個人敏感信息�、信用卡賬戶信息、企業(yè)敏感信息等的表和列進行掃描�,也支持用戶自定義敏感對象搜索關(guān)鍵字功能�。
3. 基于數(shù)據(jù)使用與監(jiān)測技術(shù)����,可動態(tài)梳理敏感數(shù)據(jù)使用情況���。
針對應(yīng)用系統(tǒng)運行����、開發(fā)測試����、對外數(shù)據(jù)傳輸和前后臺操作等使用環(huán)節(jié),對數(shù)據(jù)的流轉(zhuǎn)�����、 存儲與使用進行監(jiān)控��,對應(yīng)用側(cè)���、內(nèi)部運維側(cè)及開發(fā)測試的訪問行為�,對訪問敏感數(shù)據(jù)的頻次進行熱度分析����。
數(shù)據(jù)資產(chǎn)梳理����,是幫助組織厘清數(shù)據(jù)資產(chǎn)�����,實現(xiàn)分級分類管理保護的基礎(chǔ)���,是數(shù)據(jù)安全治理中數(shù)據(jù)資產(chǎn)狀況摸底的落地支撐���,也是大數(shù)據(jù)時代,保障數(shù)據(jù)資源開放共享的關(guān)鍵一環(huán)��。
