數(shù)據泄漏事件����,層出不窮�����。從印度的國家身份識別數(shù)據庫數(shù)據泄露到挪威衛(wèi)生局信息系統(tǒng)數(shù)據泄露����,圓通�����、順豐���、華住集團����、萬豪喜達屋以及剛剛被披露的豐田數(shù)據泄露����。
這些政府部門及大型商業(yè)組織都擁有相對健全的網絡安全防護手段,但數(shù)據泄露事件仍然時有發(fā)生,究其根本,除了數(shù)據安全保護難度大外����,在每一起事件的背后�,都有數(shù)據安全管理不得當?shù)挠白印?/p>
有的放矢才能事半功倍近期國內各重點行業(yè)和相關單位都在開展加強對重要數(shù)據和公民個人信息的安全保護的專項治理工作���。
通過對數(shù)據資產梳理���,形成數(shù)據資產清單��,可以對互聯(lián)網相關的重要數(shù)據和個人信息采集、存儲���、傳輸、使用、提供、銷毀等環(huán)節(jié)的具體情況清楚把握����,在此基礎上進一步排查信息系統(tǒng)和數(shù)據庫�,是否存在弱口令、未授權訪問、數(shù)據明文傳輸�����、缺少安全審計����,訪問控制、策略不嚴等突出安全隱患,才能聚焦數(shù)據安全突出風險進行安全保護���,進而有的放矢的完善數(shù)據全生命周期安全保護,切實提升重要數(shù)據和公民個人信息安全保護能力。
五步走,敏感數(shù)據狀況全掌握
1. 數(shù)據資產定位掃描發(fā)現(xiàn)數(shù)據庫:通過網絡掃描或者流量監(jiān)聽等技術手段發(fā)現(xiàn)信息系統(tǒng)中運行的數(shù)據庫����。
建立數(shù)據資產底單:通過對發(fā)現(xiàn)的數(shù)據庫信息整理�����,初步建立數(shù)據資產底單。輸出:《數(shù)據資產底單》。
2. 數(shù)據資產標識找到數(shù)據擁有者:為數(shù)據資產底單上的數(shù)據資產找到擁有者或管理者��,一般是業(yè)務的運營者或者管理者����。
獲取數(shù)據訪問權限:從數(shù)據擁有者或管理者那里獲取數(shù)據權限,一般是只讀權限��,為數(shù)據標識做準備����。
注:數(shù)據資產標識是對數(shù)據資產屬性信息填充完整的動作�,標識內容包含資產所屬管理部門、項目�����、所屬業(yè)務系統(tǒng)等信息���,實現(xiàn)信息清單化管理���。
3. 數(shù)據類型標識按照預定義的重要數(shù)據或個人信息數(shù)據特征如姓名����、證件號、銀行賬戶��、金額����、日期、住址��、電話號碼����、Email地址等數(shù)據,在執(zhí)行任務過程中對抽取的數(shù)據進行自動的識別��,發(fā)現(xiàn)敏感數(shù)據�����,并可以根據規(guī)則對發(fā)現(xiàn)的敏感數(shù)據進行導出清單���。
通過自動識別敏感數(shù)據,可以避免按照字段定義敏感數(shù)據元的繁瑣工作����,同時能夠持續(xù)的發(fā)現(xiàn)新的敏感數(shù)據���。
個人敏感信息示例
4. 數(shù)據資產清單確認標識結果:抽查部分數(shù)據標識結果����,可以結合數(shù)據量來確定需要重點保護的數(shù)據資產����。
形成數(shù)據清單:經過確認后的數(shù)據標識����,形成數(shù)據資產詳細清單�,實現(xiàn)數(shù)據資產的清單化管理,樣例如下:重要數(shù)據或個人信息統(tǒng)計表(樣表)輸出:《數(shù)據資產清單》《數(shù)據資產詳細清單》《重要或敏感數(shù)據清單》《重要數(shù)據或個人信息統(tǒng)計表》等����。
5. 持續(xù)監(jiān)控定期進行數(shù)據資產梳理:數(shù)據資產是處于動態(tài)變化中的�,對于數(shù)據資產的梳理應當根據業(yè)務情況定期開展���。
數(shù)據使用監(jiān)控:通過技術手段理清數(shù)據使用情況和數(shù)據流向;輸出:《數(shù)據資產變化趨勢報告》���。
數(shù)據資產梳理關鍵技術
1. 基于網絡嗅探技術����,自動尋找發(fā)現(xiàn)網絡環(huán)境中存在的數(shù)據庫。
需要支持多種數(shù)據庫自動發(fā)現(xiàn)���,主動嗅探網內數(shù)據庫的發(fā)現(xiàn)技術,可以指定IP段和端口的范圍進行搜索�����,也可以基于訪問流量解析自動發(fā)現(xiàn)與識別數(shù)據庫的技術����。
2. 基于特征匹配的敏感數(shù)據探測技術��,自動梳理數(shù)據庫中個人隱私敏感數(shù)據分布���。
一般應用的后臺數(shù)據庫都成千上萬張表����,要保護核心數(shù)據資產���,首先要了解核心數(shù)據資產在什么地方�,需要能夠從海量數(shù)據中快速發(fā)現(xiàn)敏感數(shù)據,定位敏感數(shù)據存儲與分布,統(tǒng)計敏感數(shù)據量級����,可以通過敏感數(shù)據發(fā)現(xiàn)功能對個人敏感信息����、信用卡賬戶信息�����、企業(yè)敏感信息等的表和列進行掃描���,也支持用戶自定義敏感對象搜索關鍵字功能�。
3. 基于數(shù)據使用與監(jiān)測技術����,可動態(tài)梳理敏感數(shù)據使用情況��。
針對應用系統(tǒng)運行�、開發(fā)測試���、對外數(shù)據傳輸和前后臺操作等使用環(huán)節(jié)�,對數(shù)據的流轉、 存儲與使用進行監(jiān)控�����,對應用側�����、內部運維側及開發(fā)測試的訪問行為���,對訪問敏感數(shù)據的頻次進行熱度分析���。
數(shù)據資產梳理����,是幫助組織厘清數(shù)據資產,實現(xiàn)分級分類管理保護的基礎,是數(shù)據安全治理中數(shù)據資產狀況摸底的落地支撐,也是大數(shù)據時代�����,保障數(shù)據資源開放共享的關鍵一環(huán)�����。
