隨着某某站被“tuoku”的新聞瀰漫整個互聯網、朋友圈、it飯局等,已經成爲了衆多圈內人士關注的熱點議題。海量用戶數據被泄露很有可能造成個人財產等各方面受到威脅。“洗庫”、“撞庫”也隨之發生,數據泄漏不光是用戶損失,對於企業來講聲譽、可靠性、安全性的門面將會被打破,法律的制裁、監管機構的約談和通報、用戶流失等都將是對企業致命的打擊,所以數據安全對於企業來講如同命脈自然成爲了企業的命脈,但是對於數據防護我們應該怎麼去防護?怎麼去保存?如何分類?如何定級?針對數據安全的防護本人總結了一句話“技術是手段,業務是王道。”
回顧一下“華住”用戶數據庫泄漏事件,我們發現代碼上傳github首先不去分析上傳行爲是否合規,文件包含了數據庫的對外管理端口、用戶名、密碼、互聯網映射地址信息,一系列組合給hacker提供了便利,由此事件我們做安全的應該深思如下幾點:
代碼上傳是否對內製定了管理機制?是否部署或者監控了有企業敏感字段的git檢測?
數據對外發布是否有嚴格的審計制度,數據庫管理端口映射到公網上本就是個危險動作,屬於不安全行爲,存在風險。若真是數據庫管理爲何不使用堡壘機多因子身份認證來完成?
關於訪問控制是否存在嚴格的審計制度?外網對內的訪問權限除發佈服務端口外是否遵循了最小化原則優先。
對於事後分析是否有健全的溯源和回溯的機制,能否對已經發生的安全事件有效的追溯。
上述行爲都是企業日常安全管理中應該踐行的基礎安全動作,並不是多高大上的技術手段,歸根結底都是“安全意識”薄弱纔會導致被hacker利用,安全治理是個長期持續更新的動態過程,博主常以中醫來形容安全工作,中醫是治本,治本需改變個體的安全意識觀念,開發、運維、業務線、產品線、hr、行政等公司運營的參與者都要參與安全工作中,具備安全意識,通過各種技術手段和管理要求提高安全意識,纔是最有效的對抗hacker,我們常用的安全工具也好,安全產品也好,安全技術也好,都只是在填坑,在做檢測與監控、當我們發現時已經代表了事件已經發生,已經發生了損失,只是損失的程度不同。風險是有價值的根據其影響的範圍和程度是可以量化成等同於現行的貨幣價值,業務是幫助企業賺錢的,而安全工作是幫助企業長期有效的賺更多錢不容忽視。
安全工作一定是建立在高層支持之下,和企業戰略規劃和方針同步規劃、同步進行,安全工作一定是有資源投入的,無輪是人力、預算甚至還有其它。安全需要花錢,巧婦難爲無米之炊。安全工作投入不是特指要買各種安全廠家的產品(盒子),或者採購各種三方服務,高層的認可支持、全員參與、基礎設施、基礎架構的整改等都是。
開場白講完了,博主就與大家分享下關於數據安全工作中的細節和應對措施,旨在交流討論有描述不妥之處還望各位大佬指點以達到共同進步之目的。
首先還請大家看下圖:
數據在企業運營中是有生命週期的存在,做好數據防護工作一定是關注其在產生到消亡的整個過程,在其業務場景下利用,數據在整個業務流程中每個點交互的數據類型是以什麼樣的形式存在,方可對數據在承載網絡環境下的每個細節進行控制與治理。
數據的分級和分類
數據防護工作首先我們應當識別企業中存在的數據到底有什麼?那些數據一旦被泄漏會給企業帶來滅頂之災?數據分別關聯了那些業務?數據都是如何存儲?數據如何傳輸的?所以安全工作者一定是在瞭解公司業務屬性和特徵的前提下完成數據安全防護的,這裏對安全者的經驗是有較高的要求,因爲業務線的關注點和安全關注點重心是有差異的,有經驗的安全者會判斷出業務數據流程中數據在完成交互的每個環節可能會發生什麼類型的數據,這些數據裏會包含那些敏感信息。
數據分級的原則
分級合理性
數據信息和處理數據信息分級的系統輸應當仔細考慮分級範疇的數量以及使用這種分級所帶來的好處。過於複雜的分級規劃可能很累贅,而且使用和執行起來也不經濟實用
分級週期性
數據信息的分級具有一定的保密期限.對於任何數據信息的分級都不一定自始至終固定不變,可按照一些預定的策略發生改變。如果把安全保護的分級劃定得過高就會導致不必要的業務開支。
數據信息分級與分類
數據信息應按照價值、法律要求及對組織的敏感程度和關鍵程度進行分級,分級等級分類標準如下:
安全等級與數據分類說明
低★
1、其他圖片/視頻類信息,包括但不限於:網絡公開/半公開數據,自然圖片/視頻
2、公開的企業財務報表信息
3、以公開的企業投融資信息
4、公司新聞動態
5、公司產品宣傳信息
6、以發佈專利信息
包括上述內容但不侷限於上述內容。
極高★★★★
1、真實個人敏感信息,包括但不限於用戶×××號/用戶真實姓名/有真實ID或姓名的用戶身份圖片/真實個人敏感信息的生物特徵識別結果
2、HR薪酬信息
3、客戶資料信息
4、未公開企業財務報表信息
5、未公開企業投融資信息
6、涉密項目的合同、服務內容等。
7、準備發佈核心技術專利及核心代碼產品文檔等。
包括上述內容但不侷限於上述內容。
高★★★
1、真實個人敏感圖片和次要信息,包括但不僅限於:對應已加密的真實姓名或ID的生物特徵/真實銀行保險票據等/用戶真實生日/帶GIS信息的監控視頻/政治敏感圖片和視頻
2、用戶的電話號碼、電子郵箱地址、通訊地址、密碼、密保問題及答案等
3、產品核心源代碼和算法
4、產品設計文檔、工業設計圖紙、未公開專利信息等
5、員工基本信息
包括上述內容但不侷限於上述內容。
中★★
1、真實個人臉部信息和標註結果,包括但不僅限於:不對應真實姓名或ID的人臉/各類標註結果
2、數據採集項目名稱、採集地點、採集公司名稱等
3、公司內部培訓資料、內部溝通郵件、wiki上發佈的內部資料
包括上述內容但不侷限於上述內容。
數據生成與採集
採集個人數據的一定是建立在被採集者知情獲悉的前提下采集,任何未告知的暗箱操作都是耍“流氓”,做爲合法公民都有權利提出起訴和問責。
目前好多app、軟件都是走在法律的邊緣,且行且珍惜,具體我就不點名了。
根據數據安全分類分級標準定義,極高級別的數據採集工作只能通過自採方式,不允許使用衆包模式。
數據採集需求方在提交數據採集需求時,確定是否要給採集的圖片/視頻添加數字水印功能,默認添加。
測試環境如使用真實數據必須對敏感信息進行脫敏處理,處理方法包括但不限於:隨機生成信息、批量替換虛假信息、替換固定字符串信息等。
數據迴流導入系統專機專用,單獨劃分vlan,訪問控制策略限制其他vlan訪問此vlan中的任意端口,限制此vlan內只能訪問特定互聯網網站。
對於流量鏡像採集的設備應當設置特定的安全域名,對訪問採集設備的源地址進行訪問限制,只允許特定的人訪問到採集區域,採集區域對外的主動請求默認拒絕。
對於日誌採集的信息禁止公網傳輸,日誌採集多數利用udp514端口,傳到公網使用明文傳輸,若是剛性需求建議使用***隧道加密傳輸。
- 對於設備信息採集利用到snmp協議的,需使用smpv3版本,嚴禁使用低於v3的版本採集信息。
包含上述,但不僅侷限於上述,歡迎各位大佬補充
數據存儲
- 數據信息存儲介質包括:紙質文檔、語音或其錄音、輸出報告、硬盤、磁帶、光存儲介質。(包含上述但不侷限於)
存儲介質管理須符合以下規定:
包含重要、敏感或關鍵數據信息的移動式存儲介質須專人值守。
刪除可重複使用存儲介質上的機密及絕密數據時,爲了避免在可移動介質上遺留信息,應該對介質進行消磁或徹底的格式化,或者使用專用的工具在存儲區域填入無用的信息進行覆蓋。
任何存儲媒介入庫或出庫需經過授權,並保留相應記錄,方便審計跟蹤。
應對數據文件進行訪問控制,控制不同權限用戶對不同文件的訪問和操作,對文件系統、數據庫、操作系統分別採取訪問控制措施。
採集APP中只允許授權SS只寫權限,無讀取權限,默認不開通。
對數據文件的操作行爲進行安全審計,至少對用戶操作、存儲時間、文件變更信息進行記錄。
對數據文件的操作行爲進行安全審計,至少對用戶操作、存儲時間、文件變更信息進行記錄。
提供安全審計技術手段掃描存儲數據,識別已泄漏的敏感數據信息。
日誌文件範圍包括但不限於:業務日誌、調試日誌、錯誤日誌等,不可直接查看到明文的敏感信息,不可通過密鑰解密出敏感數據,具體要求如下:
禁止記錄明文的敏感數據
禁止記錄加密後的數據
禁止記錄不帶salt的單向hash數據
可記錄打碼後的敏感數據,打碼標準參見《應用系統設計開發安全規範》
數據應用
禁止任何人使用業務系統中的用戶名/密碼操作生產環境數據庫。
數據庫賬號限制登錄來源,如果是IP必須精確匹配,不能是IP地址段,如果是主機名,可以是一組相同明明規則的通配符主機。
數據使用授權管理,需註明使用用途及數據使用的字段,按需申請禁止數據泛化使用,由各部門負責人進行負責審批和知曉。
- 申請公司員工信息使用的使用人,請參照《員工個人信息敏感等級表》按需申請對應的字段信息,禁止申請與工作無關的員工信息,禁止將此類信息發送於第三方。
此項重點介紹下:
目前各個企業競爭如此之激烈,競爭對手相互挖人,企業的員工信息的使用成爲了重點,作者針對此類數據的使用特爲大家分析瞭如下幾點場景:
1、hr定期會向社保代理機構提供帶有公司內部人員 ×××號、家庭住址、聯繫方式的的信息,社保代理機構是否和甲方簽署了員工保密協議,數據提供的是否是不可複製帶水印的文件。
2、公司團建會向旅遊公司提供公司人員信息,其中有可能包含組織架構和人員信息,×××號、聯繫方式。
3、工牌製作
4、財務覈算
5、團體報名
就不一一舉例了。
關於鏡像流量分析的申請使用,一定是要有授權審批流程,按需申請,要利用技術手段對數據進行脫敏處理,不應當包含分級分類標準內高安全級別的敏感數據。
關於測試環境測試數據的申請,一定要有授權審批流程,按需申請,同樣需要脫敏處理。
- 數據信息傳輸安全要求
在對數據信息進行傳輸時,應該在風險評估的基礎上採用合理的加密技術,選擇和應用加密技術時,應符合以下規範:
必須符合國家有關加密技術的法律法規;
根據風險評估確定保護級別,並以此確定加密算法的類型、屬性,以及所用密鑰的長度;
聽取專家的建議,確定合適的保護級別,選擇能夠提供所需保護的合適的工具。
機密和絕密信息在存儲和傳輸時必須加密,加密方式可以分爲:對稱加密和不對稱加密。
機密和絕密數據的傳輸過程中必須使用數字簽名以確保信息的不可否認性,使用數字簽名時應符合以下規範:
充分保護私鑰的機密性,防止竊取者僞造密鑰持有人的簽名。
採取保護公鑰完整性的安全措施,例如使用公鑰證書;
確定簽名算法的類型、屬性以及所用密鑰長度;
- 用於數字簽名的密鑰應不同於用來加密內容的密鑰。
*數據信息保密性
密碼安全
密碼的使用應該遵循以下原則:
不能將密碼寫下來,不能通過電子郵件傳輸;
不能使用缺省設置的密碼;
不能將密碼告訴別人;
如果系統的密碼泄漏了,必須立即更改;
密碼要以加密形式保存,加密算法強度要高,加密算法要不可逆;
系統應該強制指定密碼的策略,包括密碼的最短有效期、最長有效期、最短長度、複雜性等;
如果需要特殊用戶的口令(比如說UNIX下的Oracle),要禁止通過該用戶進行交互式登錄;
- 在要求較高的情況下可以使用強度更高的認證機制,例如:雙因素認證;
(要定時運行密碼檢查器檢查口令強度,對於保存機密和絕密信息的系統應該每週檢查一次口令強度;其它系統應該每月檢查一次。
密鑰安全
密鑰管理對於有效使用密碼技術至關重要。密鑰的丟失和泄露可能會損害數據信息的保密性、重要性和完整性。因此,應採取加密技術等措施來有效保護密鑰,以免密鑰被非法修改和破壞;還應對生成、存儲和歸檔保存密鑰的設備採取物理保護。此外,必須使用經過業務平臺部門批准的加密機制進行密鑰分發,並記錄密鑰的分發過程,以便審計跟蹤,統一對密鑰、證書進行管理。
密鑰的管理應該基於以下流程:
密鑰產生:爲不同的密碼系統和不同的應用生成密鑰;
密鑰證書:生成並獲取密鑰證書;
密鑰分發:向目標用戶分發密鑰,包括在收到密鑰時如何將之激活;
密鑰存儲:爲當前或近期使用的密鑰或備份密鑰提供安全存儲,包括授權用戶如何訪問密鑰;
密鑰變更:包括密鑰變更時機及變更規則,處置被泄露的密鑰;
密鑰撤銷:包括如何收回或者去激活密鑰,如在密鑰已被泄露或者相關運維操作員離開業務平臺部門時(在這種情況下,應當歸檔密鑰);
密鑰恢復:作爲業務平臺連續性管理的一部分,對丟失或破壞的密鑰進行恢復;
密鑰歸檔:歸檔密鑰,以用於歸檔或備份的數據信息;
- 密鑰銷燬:密鑰銷燬將刪除該密鑰管理下數據信息客體的所有記錄,將無法恢復,因此,在密鑰銷燬前,應確認由此密鑰保護的數據信息不再需要。
數據信息備份與恢復
數據信息備份要求
備份要求
數據信息備份應採用性能可靠、不宜損壞的介質,如磁帶、光盤等。備份數據信息的物理介質應註明數據信息的來源、備份日期、恢復步驟等信息,並置於安全環境保管。
一般情況下對服務器和網絡安全設備的配置數據信息每月進行一次的備份,當進行配置修改、系統版本升級、補丁安裝等操作前也要進行備份;網絡設備配置文件在進行版本升級前和配置修改後進行備份。
- 運維操作員應確保對核心業務數據每日進行增量備份,每週做一次包括數據信息的全備份。業務系統將進行重大系統變更時,應對核心業務數據進行數據信息的全備份。
備份執行與記錄
- 備份執行過程應有詳細的規劃和記錄,包括備份主體、備份時間、備份策略、備份路徑、記錄介質(類型)等。
備份恢復管理
運維操作員應根據不同業務系統實際擬定需要測試的備份數據信息以及測試的週期。
對於因設備故障、操作失誤等造成的一般故障,需要恢復部分設備上的備份數據信息,遵循異常事件處理流程,由運維操作員負責恢復。
應儘可能地定期檢查和測試備份介質和備份信息,保持其可用性和完整性,並確保在規定的時間內恢復系統。
應確定重要業務信息的保存期以及其它需要永久保存的歸檔拷貝的保存期。
恢復程序應定期接受檢查及測試,以確保在恢復操作程序所預定的時間內完成。
- 恢復策略應該根據數據信息的重要程度和引入新數據信息的頻率設定備份的頻率(如每日或每週、增量或整體)。
上述爲整個數據生命週期過程中所需要的介入的控制手段,總是有技術大佬噴這都是管理措施和制度類的屬於紙上談兵,可您仔細閱讀一下其中包含了技術細節,我是個做技術的博主也經歷過質疑整體過程管理到理解和依賴,一路走來真正意義上覺得做安全工作一定是“技術是手段,業務是王道,管理是統籌”,安全從業者一定是從管理的手段入手,技術手段輔助,平衡業務與安全的權重,相輔相成推進和落實各個安全工作。
下圖是一個組織、制度、技術多重保障的數據安全治理模型:
個人最近研究安全開源工具和大家一併分享:
1、開源的git檢測和挖掘
http://www.freebuf.com/sectool/181986.html
2、open dlp
http://code.google.com/p/opendlp/
3、MyDLP
4、端口掃描器Nmap
5、Git泄露利用EXP
https://github.com/lijiejie/GitHack
6、開源WAF
https://github.com/SpiderLabs/ModSecurity
7、本地存儲的各類密碼提取利器
https://github.com/AlessandroZ/LaZagne
8、巡風
http://www.freebuf.com/sectool/124365.html
9、開源准入系統(nac)
http://www.freebuf.com/sectool/9599.html
http://blog.51cto.com/lazypaul/1912392
https://toutiao.io/posts/281069/app_preview
10、開源的RASP
https://github.com/baidu/openrasp開源的准入、EDR可以研究下,如果條件允許也可以買成熟產品。
今天在momo咖啡等了一天的人整理,也就這麼多吧,博主會定期更新此篇文章,承蒙各位大佬賜教。
文獻整理以後我會補上。
數據安全對於企業任重道遠,期待和大家一起進步。
wuli王蜀黎
2018.9.1
“數據”企業之命脈,守護有責。
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章