讓高敏感資料銷聲匿跡:一種使用者無感知的資料防洩露方法

雲鼎實驗室發表於2021-05-11




讓高敏感資料銷聲匿跡:一種使用者無感知的資料防洩露方法


大資料時代,資料是基礎,業務是核心,資料安全則必然需要與業務形態有所關聯,因此,資料安全和邊界類的網路安全正逐漸劃分開來。自2017年6月網安法實施以來,配套的法律法規也陸續出臺,要求越來越高,力度越來越大,加之正在制定的《資料安全法》和《個人資訊保護法》,資料安全已成為數字化轉型的必要基礎能力。


讓高敏感資料銷聲匿跡:一種使用者無感知的資料防洩露方法

從整體資訊化的發展來看,資料安全被重視相對是滯後的,大多行業都是資訊系統已經執行了好多年,基於此開展資料安全相關工作,難度還是很大的。尤其是行業裡針對高敏感資料的管控,例如明星資料、高階別領導資料、高管資料等,這些資料與普通人員的資料一般是混在一起的,全量管控會影響業務的便捷性,若不管控,一旦發生洩露,對企業的損失會非常大。


現有高敏感資料管控方案解析


進入大資料時代後,資料價值越來越高,受利益的驅使,類似事件時有發生。那麼,針對這類高敏感人員的資訊我們該如何加強管控?就此事,我透過走訪調研了多家資料安全廠商,收集到了三個方案,並進行了弊端分析。


讓高敏感資料銷聲匿跡:一種使用者無感知的資料防洩露方法

方案一:單獨再部署一套應用,例如“VIP系統”,這樣可以將高敏感資料和普通敏感資料進行隔離,有針對性的進行保護,由專門的團隊進行維護,縮小資料使用的範圍。


這樣的高敏感資料管控方案其實存在一些弊端,首當其衝帶來的問題就是運營成本的增加,一方面需要投入一套軟硬體資源,另一方面需要組織人員進行運營、維護;

同時還會有重複投入的現象出現,很多時候為保證安全,需要分別為這兩套系統配置資料安全產品和能力,這就造成了大量的重複投入;


另外,從價值最大化的層面來看,這樣的管控模式下由於存有高敏感資料的應用系統一般不敢輕易對外提供服務,這在無形中就形成了資料孤島,不利於資料價值的發揮;


讓高敏感資料銷聲匿跡:一種使用者無感知的資料防洩露方法


方案二:對高敏感資料進行打標,在資料生成的時候對資料進行敏感級別判定,並做打標處理,這樣可以很清晰地道哪些是高敏感資料,可以有針對性的授權,加入一些資料加密或資料脫敏的安全手段,當資料被使用時透過敏感標識來採取相應的安全技術手段予以保護。


很明顯,這個方式不會造成重複投入,投入成本相比也會低很多,做好許可權管控的話,高敏感資料還是可以向外共享的。但該方案會導致應用系統改造量大,資料生成時需要判斷,授權時需要單獨處理,使用時需要進行資料加密或資料脫敏處理,這些改動的工作會很大,甚至會改動頂層設計;


另一方面,高敏感資料與普通敏感資料一樣,有很多使用場景,例如:資料更新、刪除、分析、校驗、查詢等,這些場景都會接觸到高敏感資料,採用這種方案會影響資料的便捷使用;


還有就是由於邏輯複雜,會造成明顯的效能損耗。敏感資料的每次使用都需要進行判斷,看是普通資料、普通敏感資料、還是高敏感資料,判斷後還需要呼叫相應的安全介面對資料進行處理,當資料訪問峰值出現時,可能會造成當機;


另外,為保證安全,降低洩露風險,需要對高敏感資料進行資料加密和資料動態脫敏處理,這樣更加重了效能的損耗和資料使用的便捷性。


讓高敏感資料銷聲匿跡:一種使用者無感知的資料防洩露方法


方案三:對高敏感資料進行匿名化處理,匿名處理後的資料不影響使用,同時也很好的對高敏感資料進行保護,為了保證匿名後的資料在需要時可以再逆向回原始資料,可以將對應關係進行保留。


相比前兩種方案,方案三對資料業務的影響是最小的,應用改動量也不會很大,貌似看上去是最合適的,但其存在一致命的問題,即:為保證匿名後的資料可以逆向回來,需要將對應關係進行保管,一旦對應關係被篡改或刪除,則資料將永遠恢復不了;


還有就是這樣做會影響資料價值發揮,匿名化後的資料可以很好的防止洩露,但也阻礙了資料的應用,一些有針對性的服務功能將很難實現,如果每次都進行逆向處理,頻繁的對資料進行逆向處理,還是會增加洩露的機率。


從源頭探尋高敏感資料“隱身”之道

以上三種方案都是從如何管控入手,雖然存在一些弊端,但還是可以起到很大作用的。我們不妨換個思路,將高敏感資料隱藏,讓使用者不知道高敏感資料的存在,順著這個思路,我設計了一下方案:


首先,重定向資料庫,讓應用系統不直接訪問資料庫,需要先訪問協議解析工具,協議解析工具對訪問協議進行解析,得出“誰想訪問哪些資料,要做什麼”。然後,將協議解析出來的結果與高敏感資料特徵進行比對,確認該使用者是否可以訪問,若不可以訪問,則透過改寫返回結果的協議將高敏感資料剔除;若可以訪問,則不予處理,直接放行。


另外,在這個過程中,需要產生兩張資料表,分別是高敏感資料特徵表和有許可權的使用者表,這兩張表對於安全管控至關重要,出於安全考慮,應專人專崗負責,且內部不要公開,知道的人越少,安全係數越高,管理員定期錄入和更新表中的資料即可。


結合上述內容,加入產品化的思維,與原有的資料使用邏輯結構進行對比:

讓高敏感資料銷聲匿跡:一種使用者無感知的資料防洩露方法


如上圖所示,採用這種方式可以做到應用零改造,對原始資料沒有造成破壞,投入成本也相對較低,雖然對訪問的效能還是造成了一定的損耗,但防護效果還是很明顯的。


有的放矢,方法實踐初嘗試

無感知管控中最核心的奧義是讓使用者不知道高敏感資料的存在,如若資料能“隱身”,將直接解決無感知管控的核心問題。下面我們以資料查詢為例,看下改造後的流程如何讓資料隱身:

讓高敏感資料銷聲匿跡:一種使用者無感知的資料防洩露方法

整個流程的推演首先要有一個前提,需要將應用系統中配置的資料庫IP改成協議解析工具的IP,協議解析工具變成了資料庫的前置代理,協議解析工具需要配置目標資料庫的IP。然後就是具體的處理過程,大致可分為三個階段:


資料查詢請求階段

1)   使用者可以透過web端或移動端透過應用系統提供的操作介面申請查詢資料,使用者可以是資料管理者、資料運維工程師、客服人員等;


2)   應用系統接收到請求後,先進行使用者身份認證,若符合規則則應用系統生成SQL語句,再將使用者資訊和SQL語句等資訊組成資料庫訪問協議,併傳送到協議解析工具;


3)   目標資料庫接收到訪問協議後,進行處理,此步的處理由資料庫本身完成,處理完成後將結果返回;


“隱身”處理階段

4)   資料庫訪問協議解析工具獲取到返回協議後(這裡指的是帶有資料庫返回結果的返回協議),開始解析,首先對協議中的內容進行可讀拆分,即拆分成“key-value”的形式,再對這些資訊進行檢索,獲取到使用者資訊(使用者資訊一般是使用者的唯一性標識,例如:User ID)和結果集;


如果結果集中涉及到了高敏感資料,則需要進行許可權判斷,將使用者的User ID在高敏感資料特徵庫中的使用者許可權表中進行遍歷查詢,如果未查詢到了該使用者的User ID,或者查詢到了但發現沒有查詢的許可權,則需要對該結果集中的高敏感資料進行剔除,將特徵庫中標識出來的高敏感資料剔除掉,然後將改寫後的結果集編寫成報文,返回給應用;


結果返回階段

5)   應用系統接收到結果集,進行展現處理;


6)   使用者在web端或移動端透過應用系統提供的操作介面看到了想要查詢的資料,本次資料查詢操作結束;

效果展示:

讓高敏感資料銷聲匿跡:一種使用者無感知的資料防洩露方法

透過處理,沒有高敏感資料訪問許可權的使用者是查詢不到的,甚至不知道高敏感資料的存在。另外,由於這種方式沒有對應用系統和資料庫進行改造,對於開發人員、運維人員和資料庫管理員這類資料許可權較高的角色,是不知道已經做過安全防護的,轉移了其對高敏感資料的注意力,從根本上降低了資料洩露的風險。


縱觀產業發展,資料已成為國家和各行各業的戰略性資源,隨著《網安法》、《數安法》、《個人資訊保護法》等相關法律法規的不斷頒佈與實施,可見國家對資料安全的重視是空前的。資料可以讓我們更好地受生活,但不當的使用也會給我們帶來巨大的麻煩,因此,我們需要不斷的進行資料安全建設的投入。


安全無絕對,資料安全管控其實是讓資料能夠“遵規守序”。對於高敏感資料的安全管控方案的選擇和設計,是沒有終點的,隨著安全技術的不斷演進,新技術的不斷創新,防護方法也會不斷變化,相信不久後,會有更優的高敏感資料管控方案被設計出來。

相關文章