數(shù)據(jù)安全在交付中的思考

姜唐

2017年7月，Equifax用戶數(shù)據(jù)泄露事件使得1億4千300萬個人信息（包括社會保障號碼、出生日期、地址和駕照編號）和20萬9千位用戶的信用卡數(shù)據(jù)被盜。該事件直接導致1.43億美國人的個人信息被破壞或泄露。CEO Richard Smith在數(shù)據(jù)泄露之后直接提出辭職，公司股價跌幅超過8%，市值蒸發(fā)35億美元。

2016年9月，Yahoo宣布遭遇史上最嚴重的數(shù)據(jù)泄露，導致5億用戶的真實姓名、電郵地址、出生日期、電話號碼的信息泄露。到了12月，新的數(shù)據(jù)泄露記錄被打破，10億賬戶數(shù)據(jù)被竊取，除了上述那些賬戶信息被盜外，連安全問題和答案也一起被盜。這兩次的數(shù)據(jù)泄漏使得雅虎的售價降低了3億5千萬美元。

這些問題的原因距離我們并不遙遠，Equifax將其數(shù)據(jù)泄露歸咎于應用程序的安全問題，可能在于Java應用程序的開源Apache Struts框架中已知的安全漏洞，在這之前的數(shù)據(jù)泄露則很多來自SQL注入或者其他的業(yè)務邏輯漏洞。

伴隨歐盟的通用數(shù)據(jù)保護條例和新的網(wǎng)絡安全法的頒布，數(shù)據(jù)安全已經(jīng)成為每個企業(yè)和IT從業(yè)者都必須要關注的一個話題。而我認為依賴于傳統(tǒng)控制論基礎上的主動防御和合規(guī)理論正在逐漸喪失其領導地位，要解決數(shù)據(jù)安全的問題，需要有一個場景化的方式，體系化的方案。接下來我們逐一解析。

重中之重的是數(shù)據(jù)安全的意識，意識是能力的基礎，只有明確了這件事對于業(yè)務有價值之后，才能繼續(xù)后面的方法和過程。上文中的數(shù)字已經(jīng)說明，數(shù)據(jù)安全對于組織和個人來說都有價值且是必須的事情。Build SecurityIn Our DNA，我們需要不斷增強我們在安全上的意識和理解。

在明確了意識在數(shù)據(jù)安全中的作用之后，我們需要去定義數(shù)據(jù)安全到底是什么，國際標準化組織（ISO）對計算機系統(tǒng)安全的定義是：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術和管理的安全保護，保護計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露。由此計算機網(wǎng)絡的安全可以理解為：通過采用各種技術和管理措施，使網(wǎng)絡系統(tǒng)正常運行，從而確保網(wǎng)絡數(shù)據(jù)的可用性、完整性和保密性。

狹義的數(shù)據(jù)安全是指直接圍繞數(shù)據(jù)的防護技術，主要是指數(shù)據(jù)的訪問控制、審計、加密和脫敏等。下面幾個舉措可以完善數(shù)據(jù)安全性在系統(tǒng)或者應用構建中的實踐。在業(yè)務探索和系統(tǒng)設計的環(huán)節(jié)，我們需要建立以數(shù)據(jù)安全性為主的分析過程，下面幾點需要重點關注一下。

首先，需要明確在當前場景下法律法規(guī)的約束和要求，本文以《網(wǎng)絡安全法》中的數(shù)據(jù)安全要求為例。涉及到技術和管理兩個方面，概括起來有如下幾點：

對數(shù)據(jù)訪問的日志進行審計，且日志留存時間不低于六個月；

對數(shù)據(jù)進行分類，將敏感數(shù)據(jù)和普通數(shù)據(jù)區(qū)別化處理；

對重要的數(shù)據(jù)進行備份、容災；

對重要數(shù)據(jù)進行加密；

對個人信息進行脫敏。

第二，需要結合數(shù)據(jù)安全目標和構建整個交付項目的數(shù)據(jù)安全評估體系，思路如下：

了解場景，做影響性評估；

數(shù)據(jù)收集和數(shù)據(jù)處理的分析；

數(shù)據(jù)安全實現(xiàn)評估；

數(shù)據(jù)安全的驗證和補救。

第三，安全雖然已經(jīng)逐漸和業(yè)務緊密結合，出現(xiàn)態(tài)勢感知、自適應安全等新的方式，但是從總體上來說，它還是來源于體系化的控制，其核心是識別風險，做出改變。

整體的業(yè)務風險需要一個框架來做詮釋，這其中包括：

1.安全的策略和架構：數(shù)據(jù)安全在設立之初應該了解組織對于數(shù)據(jù)安全的要求，明確哪些是敏感的，哪些是隱私數(shù)據(jù)，對待不同的數(shù)據(jù)資產(chǎn)，組織的態(tài)度是什么。

2.風險，業(yè)務連續(xù)性和合規(guī)：這是控制的方式和目標，在識別差異化之后，要了解一些業(yè)務上的風險，這部分可以用風險分析的方法到業(yè)務上風險所產(chǎn)生的問題，結合與具體應用的場景，將風險和技術威脅結合起來。

3.數(shù)據(jù)安全運維：這部分需要在運維或者DevOps階段考慮到，由于數(shù)據(jù)本身有生命周期的概念，作為運維人員，需要考慮更多來自數(shù)據(jù)完整性的要求，需要在DevOps和運維環(huán)節(jié)定期備份數(shù)據(jù)，有如下的措施，第一，在生產(chǎn)環(huán)境中要防止機密數(shù)據(jù)的丟失；第二，需要保護和備份敏感數(shù)據(jù)；第三，能夠通過脫敏或者其他措施屏蔽或者加密某些字段；第四，要滿足個人數(shù)據(jù)隱私保護法規(guī)的要求，對于個人數(shù)據(jù)進行部分刪除和屏蔽。

4.數(shù)據(jù)的獲取、存儲、傳輸和接入。這是數(shù)據(jù)生命周期中的主體，也是數(shù)據(jù)保護的難點，這部分是考慮的重點。

5.在數(shù)據(jù)獲取方面需要關注一些敏感數(shù)據(jù)，這些數(shù)據(jù)包括一些敏感的生產(chǎn)數(shù)據(jù)，知識產(chǎn)權，個人身份識別或受保護的信息。在做Discovery和Inception的過程中要處理這些不同的數(shù)據(jù)，將其分類和定義。過程大概如下，需要對元數(shù)據(jù)進行分類解析，包括PCI、PII和PHI等，這些數(shù)據(jù)的分類和獲取，需要經(jīng)過客戶或者用戶的同意（注意：GDPR當中已經(jīng)對這部分有明確的立法）。其次作為敏感的數(shù)據(jù)以及一些合規(guī)數(shù)據(jù)和日志，這部分的存取和處理，也需格外關注。第三，管理敏感數(shù)據(jù)的訪問方式授予訪問，修改和共享敏感數(shù)據(jù)的權限需要被關注到，這其中包括對于系統(tǒng)用戶的驗證和授權，還包括對于用戶的行為提供監(jiān)控和審核，這部分在系統(tǒng)設計的時候需要重點考慮。

認證方面包括服務器和服務器之間的認證，客戶端之間以及用戶之間的認證。而授權方需要對不同的階段和用戶進行響應的認證，對秘鑰管理以及用戶身份側進行處理。比如，應用系統(tǒng)采用專用的登錄控制模塊，對登錄用戶進行身份標識和鑒別，具有用戶身份唯一標識和鑒別信息復雜度檢查功能，保證應用系統(tǒng)中不存在重復的用戶身份標識，身份鑒別信息不易被冒用。應對同一個用戶采用兩種或兩種以上組合鑒別技術實現(xiàn)用戶身份鑒別。

6.在云計算環(huán)境中，安全問題的形勢會變得特別嚴峻。數(shù)據(jù)安全和隱私保護是用戶關注云技術的兩個主要因素。盡管學術界研究了許多關于云計算主題的技術，但數(shù)據(jù)安全和隱私保護對于政府、工業(yè)和商業(yè)中的云計算技術的發(fā)展變得越來越重要。數(shù)據(jù)安全和隱私保護問題與云架構中的硬件和軟件息息相關。

數(shù)據(jù)安全是通過完整性和機密性的控制來實現(xiàn)總體安全性的目標，所采用的方案包括身份認證、訪問授權和安全審計等措施，在用戶服務以及主機端完成數(shù)據(jù)傳輸?shù)囊幌盗袑嵺`。