「數據」企業之命脈，守護有責。

  隨着某某站被「tuoku」的新聞瀰漫整個互聯網、朋友圈、it飯局等,已經成爲了衆多圈內人士關注的熱點議題。海量用戶數據被泄露頗有可能形成我的財產等各方面受到威脅。「洗庫」、「撞庫」也隨之發生,數據泄漏不光是用戶損失,對於企業來說聲譽、可靠性、安全性的門面將會被打破,法律的制裁、監管機構的約談和通報、用戶流失等都將是對企業致命的打擊,因此數據安全對於企業來說如同命脈天然成爲了企業的命脈,可是對於數據防禦咱們應該怎麼去防禦?怎麼去保存?如何分類?如何定級?針對數據安全的防禦本人總結了一句話「技術是手段,業務是王道。」

  回顧一下「華住」用戶數據庫泄漏事件,咱們發現代碼上傳github首先不去分析上傳行爲是否合規,文件包含了數據庫的對外管理端口、用戶名、密碼、互聯網映射地址信息,一系列組合給hacker提供了便利,由此事件咱們作安全的應該深思以下幾點:

• 代碼上傳是否對內製定了管理機制?是否部署或者監控了有企業敏感字段的git檢測?

• 數據對外發布是否有嚴格的審計制度,數據庫管理端口映射到公網上本就是個危險動做,屬於不安全行爲,存在風險。若真是數據庫管理爲什麼不使用堡壘機多因子身份認證來完成?

• 關於訪問控制是否存在嚴格的審計制度?外網對內的訪問權限除發佈服務端口外是否遵循了最小化原則優先。

• 對於過後分析是否有健全的溯源和回溯的機制,可否對已經發生的安全事件有效的追溯。

    上述行爲都是企業平常安全管理中應該踐行的基礎安全動做,並非多高大上的技術手段,歸根結底都是「安全意識」薄弱纔會致使被hacker利用,安全治理是個長期持續更新的動態過程,博主常以中醫來形容安全工做,中醫是治本,治本需改變個體的安全意識觀念,開發、運維、業務線、產品線、hr、行政等公司運營的參與者都要參與安全工做中,具有安全意識,經過各類技術手段和管理要求提升安全意識,纔是最有效的對抗hacker,咱們經常使用的安全工具也好,安全產品也好,安全技術也好,都只是在填坑,在作檢測與監控、當咱們發現時已經表明了事件已經發生,已經發生了損失,只是損失的程度不一樣。風險是有價值的根據其影響的範圍和程度是能夠量化成等同於現行的貨幣價值,業務是幫助企業賺錢的,而安全工做是幫助企業長期有效的賺更多錢不容忽視。

    安全工做必定是創建在高層支持之下,和企業戰略規劃和方針同步規劃、同步進行,安全工做必定是有資源投入的,無輪是人力、預算甚至還有其它。安全須要花錢,巧婦難爲無米之炊。安全工做投入不是特指要買各類安全廠家的產品(盒子),或者採購各類三方服務,高層的承認支持、全員參與、基礎設施、基礎架構的整改等都是。

    開場白講完了,博主就與你們分享下關於數據安全工做中的細節和應對措施,旨在交流討論有描述不妥之處還望各位大佬指點以達到共同進步之目的。

首先還請你們看下圖:

   數據在企業運營中是有生命週期的存在,作好數據防禦工做必定是關注其在產生到消亡的整個過程,在其業務場景下利用,數據在整個業務流程中每一個點交互的數據類型是以什麼樣的形式存在,方可對數據在承載網絡環境下的每一個細節進行控制與治理。

數據的分級和分類

  數據防禦工做首先咱們應當識別企業中存在的數據到底有什麼?那些數據一旦被泄漏會給企業帶來滅頂之災?數據分別關聯了那些業務?數據都是如何存儲?數據如何傳輸的?因此安全工做者必定是在瞭解公司業務屬性和特徵的前提下完成數據安全防禦的,這裏對安全者的經驗是有較高的要求,由於業務線的關注點和安全關注點重心是有差別的,有經驗的安全者會判斷出業務數據流程中數據在完成交互的每一個環節可能會發生什麼類型的數據,這些數據裏會包含那些敏感信息。

數據分級的原則

分級合理性

   數據信息和處理數據信息分級的系統輸應當仔細考慮分級範疇的數量以及使用這種分級所帶來的好處。過於複雜的分級規劃可能很累贅,並且使用和執行起來也不經濟實用

分級週期性

  數據信息的分級具備必定的保密期限.對於任何數據信息的分級都不必定自始至終固定不變,可按照一些預約的策略發生改變。若是把安全保護的分級劃定得太高就會致使沒必要要的業務開支。

數據信息分級與分類

  數據信息應按照價值、法律要求及對組織的敏感程度和關鍵程度進行分級,分級等級分類標準以下:

安全等級與數據分類說明

低★

一、其餘圖片/視頻類信息,包括但不限於:網絡公開/半公開數據,天然圖片/視頻

二、公開的企業財務報表信息

三、以公開的企業投融資信息

四、公司新聞動態

五、公司產品宣傳信息

六、以發佈專利信息

包括上述內容但不侷限於上述內容。

極高★★★★

一、真實我的敏感信息,包括但不限於用戶×××號/用戶真實姓名/有真實ID或姓名的用戶身份圖片/真實我的敏感信息的生物特徵識別結果

二、HR薪酬信息

三、客戶資料信息

四、未公開企業財務報表信息

五、未公開企業投融資信息

六、涉密項目的合同、服務內容等。

七、準備發佈核心技術專利及核心代碼產品文檔等。

包括上述內容但不侷限於上述內容。

高★★★

一、真實我的敏感圖片和次要信息,包括但不只限於:對應已加密的真實姓名或ID的生物特徵/真實銀行保險票據等/用戶真實生日/帶GIS信息的監控視頻/政治敏感圖片和視頻

二、用戶的電話號碼、電子郵箱地址、通信地址、密碼、密保問題及答案等

三、產品核心源代碼和算法

四、產品設計文檔、工業設計圖紙、未公開專利信息等

五、員工基本信息

包括上述內容但不侷限於上述內容。

中★★

一、真實我的臉部信息和標註結果,包括但不只限於:不對應真實姓名或ID的人臉/各種標註結果

二、數據採集項目名稱、採集地點、採集公司名稱等

三、公司內部培訓資料、內部溝通郵件、wiki上發佈的內部資料

包括上述內容但不侷限於上述內容。

數據生成與採集

• 採集我的數據的必定是創建在被採集者知情獲悉的前提下采集,任何未告知的暗箱操做都是耍「流氓」,作爲合法公民都有權利提出起訴和問責。

• 目前好多app、軟件都是走在法律的邊緣,且行且珍惜,具體我就不點名了。

• 根據數據安全分類分級標準定義,極高級別的數據採集工做只能經過自採方式,不容許使用衆包模式。

• 數據採集需求方在提交數據採集需求時,肯定是否要給採集的圖片/視頻添加數字水印功能,默認添加。

• 測試環境如使用真實數據必須對敏感信息進行脫敏處理,處理方法包括但不限於:隨機生成信息、批量替換虛假信息、替換固定字符串信息等。

• 數據迴流導入系統專機專用,單獨劃分vlan,訪問控制策略限制其餘vlan訪問此vlan中的任意端口,限制此vlan內只能訪問特定互聯網網站。

• 對於流量鏡像採集的設備應當設置特定的安全域名,對訪問採集設備的源地址進行訪問限制,只容許特定的人訪問到採集區域,採集區域對外的主動請求默認拒絕。

• 對於日誌採集的信息禁止公網傳輸,日誌採集多數利用udp514端口,傳到公網使用明文傳輸,如果剛性需求建議使用***隧道加密傳輸。

• 對於設備信息採集利用到snmp協議的,需使用smpv3版本,嚴禁使用低於v3的版本採集信息。

包含上述,但不只侷限於上述,歡迎各位大佬補充

數據存儲

• 數據信息存儲介質包括:紙質文檔、語音或其錄音、輸出報告、硬盤、磁帶、光存儲介質。(包含上述但不侷限於)

存儲介質管理須符合如下規定:

• 包含重要、敏感或關鍵數據信息的移動式存儲介質須專人值守。

• 刪除可重複使用存儲介質上的機密及絕密數據時,爲了不在可移動介質上遺留信息,應該對介質進行消磁或完全的格式化,或者使用專用的工具在存儲區域填入無用的信息進行覆蓋。

• 任何存儲媒介入庫或出庫需通過受權,並保留相應記錄,方便審計跟蹤。

• 應對數據文件進行訪問控制,控制不一樣權限用戶對不一樣文件的訪問和操做,對文件系統、數據庫、操做系統分別採起訪問控制措施。

• 採集APP中只容許受權SS只寫權限,無讀取權限,默認不開通。

• 對數據文件的操做行爲進行安全審計,至少對用戶操做、存儲時間、文件變動信息進行記錄。

• 對數據文件的操做行爲進行安全審計,至少對用戶操做、存儲時間、文件變動信息進行記錄。

• 提供安全審計技術手段掃描存儲數據,識別已泄漏的敏感數據信息。

• 日誌文件範圍包括但不限於:業務日誌、調試日誌、錯誤日誌等,不可直接查看到明文的敏感信息,不可經過密鑰解密出敏感數據,具體要求以下:

  禁止記錄明文的敏感數據

  禁止記錄加密後的數據

  禁止記錄不帶salt的單向hash數據

  可記錄打碼後的敏感數據,打碼標準參見《應用系統設計開發安全規範》

數據應用

• 禁止任何人使用業務系統中的用戶名/密碼操做生產環境數據庫。

• 數據庫帳號限制登陸來源,若是是IP必須精確匹配,不能是IP地址段,若是是主機名,能夠是一組相同明明規則的通配符主機。

• 數據使用受權管理,需註明使用用途及數據使用的字段,按需申請禁止數據泛化使用,由各部門負責人進行負責審批和知曉。

• 申請公司員工信息使用的使用人,請參照《員工我的信息敏感等級表》按需申請對應的字段信息,禁止申請與工做無關的員工信息,禁止將此類信息發送於第三方。

此項重點介紹下:

目前各個企業競爭如此之激烈,競爭對手相互挖人,企業的員工信息的使用成爲了重點,做者針對此類數據的使用特爲你們分析了以下幾點場景:

一、hr按期會向社保代理機構提供帶有公司內部人員 ×××號、家庭住址、聯繫方式的的信息,社保代理機構是否和甲方簽署了員工保密協議,數據提供的是不是不可複製帶水印的文件。

二、公司團建會向旅遊公司提供公司人員信息,其中有可能包含組織架構和人員信息,×××號、聯繫方式。

三、工牌製做

四、財務覈算

五、團體報名

就不一一舉例了。

• 關於鏡像流量分析的申請使用,必定是要有受權審批流程,按需申請,要利用技術手段對數據進行脫敏處理,不該當包含分級分類標準內高安全級別的敏感數據。

• 關於測試環境測試數據的申請,必定要有受權審批流程,按需申請,一樣須要脫敏處理。

• 數據信息傳輸安全要求

在對數據信息進行傳輸時,應該在風險評估的基礎上採用合理的加密技術,選擇和應用加密技術時,應符合如下規範:

• 必須符合國家有關加密技術的法律法規;

• 根據風險評估肯定保護級別,並以此肯定加密算法的類型、屬性,以及所用密鑰的長度;

• 聽取專家的建議,肯定合適的保護級別,選擇可以提供所需保護的合適的工具。

• 機密和絕密信息在存儲和傳輸時必須加密,加密方式能夠分爲:對稱加密和不對稱加密。

• 機密和絕密數據的傳輸過程當中必須使用數字簽名以確保信息的不能否認性,使用數字簽名時應符合如下規範:

• 充分保護私鑰的機密性,防止竊取者僞造密鑰持有人的簽名。

• 採起保護公鑰完整性的安全措施,例如使用公鑰證書;

• 肯定簽名算法的類型、屬性以及所用密鑰長度;

• 用於數字簽名的密鑰應不一樣於用來加密內容的密鑰。

*數據信息保密性

密碼安全

密碼的使用應該遵循如下原則:

• 不能將密碼寫下來,不能經過電子郵件傳輸;

• 不能使用缺省設置的密碼;

• 不能將密碼告訴別人;

• 若是系統的密碼泄漏了,必須當即更改;

• 密碼要以加密形式保存,加密算法強度要高,加密算法要不可逆;

• 系統應該強制指定密碼的策略,包括密碼的最短有效期、最長有效期、最短長度、複雜性等;

• 若是須要特殊用戶的口令(好比說UNIX下的Oracle),要禁止經過該用戶進行交互式登陸;

• 在要求較高的狀況下可使用強度更高的認證機制,例如:雙因素認證;

(要定時運行密碼檢查器檢查口令強度,對於保存機密和絕密信息的系統應該每週檢查一次口令強度;其它系統應該每個月檢查一次。

密鑰安全

  密鑰管理對於有效使用密碼技術相當重要。密鑰的丟失和泄露可能會損害數據信息的保密性、重要性和完整性。所以,應採起加密技術等措施來有效保護密鑰,以避免密鑰被非法修改和破壞;還應對生成、存儲和歸檔保存密鑰的設備採起物理保護。此外,必須使用通過業務平臺部門批准的加密機制進行密鑰分發,並記錄密鑰的分發過程,以便審計跟蹤,統一對密鑰、證書進行管理。

• 密鑰的管理應該基於如下流程:

• 密鑰產生:爲不一樣的密碼系統和不一樣的應用生成密鑰;

• 密鑰證書:生成並獲取密鑰證書;

• 密鑰分發:向目標用戶分發密鑰,包括在收到密鑰時如何將之激活;

• 密鑰存儲:爲當前或近期使用的密鑰或備份密鑰提供安全存儲,包括受權用戶如何訪問密鑰;

• 密鑰變動:包括密鑰變動時機及變動規則,處置被泄露的密鑰;

• 密鑰撤銷:包括如何收回或者去激活密鑰,如在密鑰已被泄露或者相關運維操做員離開業務平臺部門時(在這種狀況下,應當歸檔密鑰);

• 密鑰恢復:做爲業務平臺連續性管理的一部分,對丟失或破壞的密鑰進行恢復;

• 密鑰歸檔:歸檔密鑰,以用於歸檔或備份的數據信息;

• 密鑰銷燬:密鑰銷燬將刪除該密鑰管理下數據信息客體的全部記錄,將沒法恢復,所以,在密鑰銷燬前,應確認由此密鑰保護的數據信息再也不須要。

數據信息備份與恢復

數據信息備份要求

備份要求

• 數據信息備份應採用性能可靠、不宜損壞的介質,如磁帶、光盤等。備份數據信息的物理介質應註明數據信息的來源、備份日期、恢復步驟等信息,並置於安全環境保管。

• 通常狀況下對服務器和網絡安全設備的配置數據信息每個月進行一次的備份,當進行配置修改、系統版本升級、補丁安裝等操做前也要進行備份;網絡設備配置文件在進行版本升級前和配置修改後進行備份。

• 運維操做員應確保對核心業務數據每日進行增量備份,每週作一次包括數據信息的全備份。業務系統將進行重大系統變動時,應對核心業務數據進行數據信息的全備份。

備份執行與記錄

• 備份執行過程應有詳細的規劃和記錄,包括備份主體、備份時間、備份策略、備份路徑、記錄介質(類型)等。

備份恢復管理

• 運維操做員應根據不一樣業務系統實際擬定須要測試的備份數據信息以及測試的週期。

• 對於因設備故障、操做失誤等形成的通常故障,須要恢復部分設備上的備份數據信息,遵循異常事件處理流程,由運維操做員負責恢復。

• 應儘量地按期檢查和測試備份介質和備份信息,保持其可用性和完整性,並確保在規定的時間內恢復系統。

• 應肯定重要業務信息的保存期以及其它須要永久保存的歸檔拷貝的保存期。

• 恢復程序應按期接受檢查及測試,以確保在恢復操做程序所預約的時間內完成。

• 恢復策略應該根據數據信息的重要程度和引入新數據信息的頻率設定備份的頻率(如每日或每週、增量或總體)。

  上述爲整個數據生命週期過程當中所須要的介入的控制手段,老是有技術大佬噴這都是管理措施和制度類的屬於紙上談兵,可您仔細閱讀一下其中包含了技術細節,我是個作技術的博主也經歷過質疑總體過程管理到理解和依賴,一路走來真正意義上以爲作安全工做必定是「技術是手段,業務是王道,管理是統籌」,安全從業者必定是從管理的手段入手,技術手段輔助,平衡業務與安全的權重,相輔相成推動和落實各個安全工做。

下圖是一個組織、制度、技術多重保障的數據安全治理模型:

我的最近研究安全開源工具和你們一併分享:

一、開源的git檢測和挖掘

http://www.freebuf.com/sectool/181986.html

二、open dlp

http://code.google.com/p/opendlp/

三、MyDLP

http://www.mydlp.com/

四、端口掃描器Nmap

https://github.com/nmap/nmap

五、Git泄露利用EXP

https://github.com/lijiejie/GitHack

六、開源WAF

https://github.com/SpiderLabs/ModSecurity

七、本地存儲的各種密碼提取利器

https://github.com/AlessandroZ/LaZagne

八、巡風

http://www.freebuf.com/sectool/124365.html

九、開源准入系統(nac)

http://www.freebuf.com/sectool/9599.html

http://www.javashuo.com/article/p-qbzgfaua-er.html

https://toutiao.io/posts/281069/app_preview

十、開源的RASP

https://github.com/baidu/openrasp開源的准入、EDR能夠研究下,若是條件容許也能夠買成熟產品。

今天在momo咖啡等了一天的人整理,也就這麼多吧,博主會按期更新此篇文章,承蒙各位大佬賜教。

文獻整理之後我會補上。

數據安全對於企業任重道遠,期待和你們一塊兒進步。

wuli王蜀黎

2018.9.1