数据安全治理的探索和实践 数据安全之数据泄露 数据治理体系的介绍 数据治理目前的规划 产品解决方案 现状 数据泄露 10亿+个人信息！ 160万+网络黑产从业者，超千亿黑产市场规模。 围绕广告、营销、欺诈，已呈现产业链的特征。 2018年数据泄露事件 企业/系统 Aadhaar印度国 家身份认证系统 万豪酒店 Exactis 涉及人数 11亿 泄露对象 印度公民 谁会泄露你的数据 泄露内容 号码、姓名、电子邮箱、 住址、电话号码及照片 5亿 姓名、电子邮箱、邮寄地 址、电话号码、护照号码、 万豪旗下喜达屋酒店消 账户信息、出生日期、性 费者 别、旅行信息、住宿信息、 信用卡信息等。 3.4亿 数据种类超400类，包括电 (2.3亿消费者数据，1.1 话号码、电子邮箱、邮寄 亿企业数据) 地址、兴趣爱好、年龄、 互联网个人和企业用户 宗教信仰、宠物情况等 Facebook 8700万 Facebook用户 Newegg 5000万 Newegg在线消费者 账户名称、性别、关系状 况、好友情况等 信用卡账号 现状 内部 日均480000+计算作业 同时服务2000+数据分析人员 50+P数据量 2000000+数据表 日新增100+T数据 总计4000+服务器 80000+CPU核心 4个数据中心 现状 企业公众声望受损 企业经济利益受损 面临诉讼等法律指控 内部易产生不和谐因素 引发高层震荡 风险 数据治理体系介绍 数据 存储 数据生命周期 数据 处理 数据 采集 数据 销毁 数据 传输 数据 交换 • 数据采集：指在组织机构内部系统中新生成数据，以及从 外部收集数据的阶段； • 数据存储：指数据以任何数字格式进行物理存储或云存储 的阶段； • 数据处理：指组织机构在内部针对数据进行计算、分析、 可视化等操作的阶段； • 数据传输：指数据在组织机构内部从一个实体通过网络流 动到另一个实体的阶段； • 数据交换：指数据由组织机构与外部组织机构及个人交互 的阶段； • 数据销毁：指通过对数据及数据的存储介质通过相应的操 作手段，使数据彻底消除且无法通过任何手段恢复的过程 数据治理体系介绍 数 据 使 用 频 率 采集合规 传输加密 接口验证 采集授权 合法来源 数据采集 完整性效验 身份认证 数据传输 数据使用频率 资产梳理 权限控制 交换接口监控 存储形态 数据暴露面 交互权限 敏感识别 访问控制 数据使用合规 加密存储 行为审计 行为审计 数据有效期 分级分类 事件溯源 事件溯源 存储介质销毁 访问控制 数据流监控 高危行为发现 数据脱敏 数据脱敏 数据脱敏 数据加密 数据加密 数据加密 数据存储 数据处理 数据交换 敏感数据销毁 数据销毁 数据治理的规划 数据治理步骤 发现 测量 监控 数据治理 应用 定义 发现（Discover） • 发现数据 • 发现应用 • 发现行为 • 发现模式 定义（Define） • 定义正常 • 定义异常 • 定义规范 • 定义行为 • 定义操作 应用（Apply） • 异常阻断 • 高危阻断 • 风险识别 • 威胁识别 测量监控（Measure & Monitor） • 持续监控 • 持续测量 数据治理的规划 外部安全域 数据场景 生产安全域 非生产安全域 分析 业务合作方 业务应用 生产数据库 (存储) 数据平台 （存储） 数据使用类场景 数据增值类场景 测试 业务运营 系统运维 数据操作类场景 非生产数据库 （存储） 开发 数据辅助类场景 数据治理的规划 外部安全域 数据流动分析 对外流动 业务合作方 对内流动 •数据有进有出 •外部环境难以控制 •有统一的出入口 接口安全 业务应用 非生产安全域 生产安全域 •数据单向流出 •内部环境可以统一管控 •出口多且分散 生产数据库 (存储) 数据平台 （存储） 分析 数据增值类场景 存储安全 数据使用类场景 测试 业务运营 系统运维 数据操作类场景 非生产数据库 （存储） 开发 数据辅助类场景 数据治理的规划 外部安全域 特点及风险 对外流动 业务合作方 数据使用类场景 特点： • 原始数据 • 实时性要求高 风险： • 超限获取数据 • 超限收集数据 • 异常获取 • 数据去向追溯 • 数据使用规范 特点： • 部分场景需要原始数据 • 须保持数据统计学属性不变 • 实时性要求低 对内流动 •数据有进有出 •外部环境难以控制 •有统一的出入口 接口安全 业务应用 非生产安全域 生产安全域 •数据单向流出 •内部环境可以统一管控 •出口多且分散 生产数据库 (存储) 业务运营 系统运维 数据操作类场景 数据平台 （存储） 风险： • 大批量原始数据 分析 • 数据聚合风险 • 数据敏感性传递受阻 • 权限管控粒度难以划分 数据增值类场景 存储安全 测试 特点： • 无需原始数据 • 须保持数据结构属性不变 • 实时性要求低 开发 风险： • 脱敏执行不到位 • 脱敏能力不足 • 无统一管控 非生产数据库 （存储） 特点： • 部分场景需要原始数据 • 必须反映数据实际状态 • 实时性要求高 风险： • 异常获取 • 越权获取 • 高危操作 • 事后审计 数据辅助类场景 数据治理的规划 数据流动-对外流动 外部安全域 生产安全域 ①在外部网关处部署流量探测装置，记录所有敏感数据调用接 口，形成数据对外流动的整体视图（发现） 对外流动 业务合作方 • 数据有进有出 • 外部环境难以控制 • 有统一的出入口 接口安全 业务应用 数据使用类场景 ②持续监控数据访问，结合大数据分析等技术形成数据访问的模 式及风险等级（发现） 生产数据库 (存储) ③依照风险等级一一确认接口对数据访问的必要性，对于不符合 调用规范或超出范围的情况进行整改，最终固化接口的数据使 用行为（定义） ④持续进行监控，持续发现不符合固化模式或新增、修改的接口 （应用、测量监控） 以数据使用接口为单位进行治理，既能满足数据对外 流动的安全治理，也可以满足对于数据处理类场景的 安全治理。 数据治理的规划 数据流动-对内流动 非生产安全域 生产安全域 ①使用集中式敏感数据扫描工具，发现、扫描数据库中的敏感信息，获取 集团敏感数据分布及类型全貌（发现） ②根据扫描结果及业务特点，制定数据、表、库的敏感等级（定义） 对内流动 • 数据单向流出 • 内部环境可以统一管控 分析 ③制定并执行数据在不同敏感等级数据库之间流动时的脱敏规范（定义） ④针对不同敏感等级的数据库建立安全实践并实施（应用） ⑤持续自动扫描全网数据库，监控规范的符合程度（测量监控） 生产数据库 (存储) 存储安全 数据平台 （存储） 数据增值类场景 测试 通过扫描及治理，遏制敏感数据的扩 散，并形成对数据资产的分级分类； 业务运营 系统运维 数据操作类场景 非生产数据库 （存储） 开发 数据辅助类场景 数据治理的规划 数据处理-分析思路 否 是否使用的 敏感数据类 型都是必须 业务梳理 是 否 是否脱敏数 据可以满足 业务需求 否 业务是否可 固化为白名 单 是 整改敏感数据 类型使用情况 脱敏降级 是否仍需要 使用敏感数 据 是否降级后 的数据依然 敏感 否 否 是否业务可 接受审批时 延 是 是 是 否 是 数据操作 审批链 1. 周期审计 2. 异常监控 3. 权限细化管理 访问语句白名 单处理 ①减少敏感数据类型使用范围，降低敏感数据泄露风险 ②降低敏感数据的敏感等级，减少敏感数据泄露带来的风险 周期审计 ③固化敏感数据的访问方式，通过审批增强管理力度 ④所有措施都难以消除的风险，需要进行持续的监控、审计，发现异常 数据治理的规划 总结 数据 流动 数据 应用 对内流动 数据使用 数据辅助 对外流动 数据操作 数据增值 数据 存储 一个体系、三个方向、 六大场景综合进行治理 产品解决方案 外部安全域 数据外部流动监控平台 生产安全域 对外流动 业务合作方 • 数据有进有出； • 外部环境难以控制； • 有统一的出入口； 生产数据库 (存储) 业务应用 数据使用类场景 • 监控HTTP流量中是否有敏感数据的传输； • 根据传输的数据梳理出使用敏感数据的URL； • 根据URL分类进行外部资产梳理； • 对使用敏感数据的URL进行行为分析及监测； 产品解决方案 流动监控平台-业务梳理的意义 张* 张三 *三 产品解决方案 敏感数据管理平台 管理 敏感数据 脱敏 发现 敏感数据管理平台是集敏感数据发现、敏感数据管理、敏感数据脱敏三大功能为一 体的平台产品。 在应用场景上能够支持集团内使用的所有数据库类型、算法上满足已有的数据脱敏 算法需求（包括但不限于定长截断、定长屏蔽、定长替换等），敏感数据类型上满足集 团内有定义的敏感数据类型以及各专业公司自定义的敏感数据类型。 产品解决方案 敏感数据管理平台 敏感等级：S2 身份证 姓名 130402198005250915 √ 敏感等级：S1 √ 身份证 X 13040219800525###5 √ √ X X 敏感等级：S0 18180513751 √ 敏感等级：S2 敏感等级：S1 张三 电话号码 √ S2到S1脱敏方案 姓名 电话号码 张三 1818051#### 敏感等级：S0 身份证 姓名 1################5 #三 851b1eae305edf16 #三 S1到S0脱敏方案 电话号码 181#######1 ee4f7fe3c43b3174 单独对数据打标签无法体先数据的真正价值，需要结 合其它数据、元数据才能体先数据的价值；