“数据”企业之命脉，守护有责。

  随着某某站被“tuoku”的新闻弥漫整个互联网、朋友圈、it饭局等,已经成为了众多圈内人士关注的热点议题。海量用户数据被泄露颇有可能形成我的财产等各方面受到威胁。“洗库”、“撞库”也随之发生,数据泄漏不光是用户损失,对于企业来说声誉、可靠性、安全性的门面将会被打破,法律的制裁、监管机构的约谈和通报、用户流失等都将是对企业致命的打击,因此数据安全对于企业来说如同命脉天然成为了企业的命脉,可是对于数据防御咱们应该怎么去防御?怎么去保存?如何分类?如何定级?针对数据安全的防御本人总结了一句话“技术是手段,业务是王道。”

  回顾一下“华住”用户数据库泄漏事件,咱们发现代码上传github首先不去分析上传行为是否合规,文件包含了数据库的对外管理端口、用户名、密码、互联网映射地址信息,一系列组合给hacker提供了便利,由此事件咱们作安全的应该深思以下几点:

• 代码上传是否对内制定了管理机制?是否部署或者监控了有企业敏感字段的git检测?

• 数据对外发布是否有严格的审计制度,数据库管理端口映射到公网上本就是个危险动做,属于不安全行为,存在风险。若真是数据库管理为什么不使用堡垒机多因子身份认证来完成?

• 关于访问控制是否存在严格的审计制度?外网对内的访问权限除发布服务端口外是否遵循了最小化原则优先。

• 对于过后分析是否有健全的溯源和回溯的机制,可否对已经发生的安全事件有效的追溯。

    上述行为都是企业平常安全管理中应该践行的基础安全动做,并非多高大上的技术手段,归根结底都是“安全意识”薄弱才会致使被hacker利用,安全治理是个长期持续更新的动态过程,博主常以中医来形容安全工做,中医是治本,治本需改变个体的安全意识观念,开发、运维、业务线、产品线、hr、行政等公司运营的参与者都要参与安全工做中,具有安全意识,经过各类技术手段和管理要求提升安全意识,才是最有效的对抗hacker,咱们经常使用的安全工具也好,安全产品也好,安全技术也好,都只是在填坑,在作检测与监控、当咱们发现时已经表明了事件已经发生,已经发生了损失,只是损失的程度不一样。风险是有价值的根据其影响的范围和程度是能够量化成等同于现行的货币价值,业务是帮助企业赚钱的,而安全工做是帮助企业长期有效的赚更多钱不容忽视。

    安全工做必定是创建在高层支持之下,和企业战略规划和方针同步规划、同步进行,安全工做必定是有资源投入的,无轮是人力、预算甚至还有其它。安全须要花钱,巧妇难为无米之炊。安全工做投入不是特指要买各类安全厂家的产品(盒子),或者采购各类三方服务,高层的承认支持、全员参与、基础设施、基础架构的整改等都是。

    开场白讲完了,博主就与你们分享下关于数据安全工做中的细节和应对措施,旨在交流讨论有描述不妥之处还望各位大佬指点以达到共同进步之目的。

首先还请你们看下图:

   数据在企业运营中是有生命周期的存在,作好数据防御工做必定是关注其在产生到消亡的整个过程,在其业务场景下利用,数据在整个业务流程中每一个点交互的数据类型是以什么样的形式存在,方可对数据在承载网络环境下的每一个细节进行控制与治理。

数据的分级和分类

  数据防御工做首先咱们应当识别企业中存在的数据到底有什么?那些数据一旦被泄漏会给企业带来灭顶之灾?数据分别关联了那些业务?数据都是如何存储?数据如何传输的?因此安全工做者必定是在了解公司业务属性和特征的前提下完成数据安全防御的,这里对安全者的经验是有较高的要求,由于业务线的关注点和安全关注点重心是有差别的,有经验的安全者会判断出业务数据流程中数据在完成交互的每一个环节可能会发生什么类型的数据,这些数据里会包含那些敏感信息。

数据分级的原则

分级合理性

   数据信息和处理数据信息分级的系统输应当仔细考虑分级范畴的数量以及使用这种分级所带来的好处。过于复杂的分级规划可能很累赘,并且使用和执行起来也不经济实用

分级周期性

  数据信息的分级具备必定的保密期限.对于任何数据信息的分级都不必定自始至终固定不变,可按照一些预约的策略发生改变。若是把安全保护的分级划定得太高就会致使没必要要的业务开支。

数据信息分级与分类

  数据信息应按照价值、法律要求及对组织的敏感程度和关键程度进行分级,分级等级分类标准以下:

安全等级与数据分类说明

低★

一、其余图片/视频类信息,包括但不限于:网络公开/半公开数据,天然图片/视频

二、公开的企业财务报表信息

三、以公开的企业投融资信息

四、公司新闻动态

五、公司产品宣传信息

六、以发布专利信息

包括上述内容但不局限于上述内容。

极高★★★★

一、真实我的敏感信息,包括但不限于用户×××号/用户真实姓名/有真实ID或姓名的用户身份图片/真实我的敏感信息的生物特征识别结果

二、HR薪酬信息

三、客户资料信息

四、未公开企业财务报表信息

五、未公开企业投融资信息

六、涉密项目的合同、服务内容等。

七、准备发布核心技术专利及核心代码产品文档等。

包括上述内容但不局限于上述内容。

高★★★

一、真实我的敏感图片和次要信息,包括但不只限于:对应已加密的真实姓名或ID的生物特征/真实银行保险票据等/用户真实生日/带GIS信息的监控视频/政治敏感图片和视频

二、用户的电话号码、电子邮箱地址、通信地址、密码、密保问题及答案等

三、产品核心源代码和算法

四、产品设计文档、工业设计图纸、未公开专利信息等

五、员工基本信息

包括上述内容但不局限于上述内容。

中★★

一、真实我的脸部信息和标注结果,包括但不只限于:不对应真实姓名或ID的人脸/各种标注结果

二、数据采集项目名称、采集地点、采集公司名称等

三、公司内部培训资料、内部沟通邮件、wiki上发布的内部资料

包括上述内容但不局限于上述内容。

数据生成与采集

• 采集我的数据的必定是创建在被采集者知情获悉的前提下采集,任何未告知的暗箱操做都是耍“流氓”,作为合法公民都有权利提出起诉和问责。

• 目前好多app、软件都是走在法律的边缘,且行且珍惜,具体我就不点名了。

• 根据数据安全分类分级标准定义,极高级别的数据采集工做只能经过自采方式,不容许使用众包模式。

• 数据采集需求方在提交数据采集需求时,肯定是否要给采集的图片/视频添加数字水印功能,默认添加。

• 测试环境如使用真实数据必须对敏感信息进行脱敏处理,处理方法包括但不限于:随机生成信息、批量替换虚假信息、替换固定字符串信息等。

• 数据回流导入系统专机专用,单独划分vlan,访问控制策略限制其余vlan访问此vlan中的任意端口,限制此vlan内只能访问特定互联网网站。

• 对于流量镜像采集的设备应当设置特定的安全域名,对访问采集设备的源地址进行访问限制,只容许特定的人访问到采集区域,采集区域对外的主动请求默认拒绝。

• 对于日志采集的信息禁止公网传输,日志采集多数利用udp514端口,传到公网使用明文传输,如果刚性需求建议使用***隧道加密传输。

• 对于设备信息采集利用到snmp协议的,需使用smpv3版本,严禁使用低于v3的版本采集信息。

包含上述,但不只局限于上述,欢迎各位大佬补充

数据存储

• 数据信息存储介质包括:纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。(包含上述但不局限于)

存储介质管理须符合如下规定:

• 包含重要、敏感或关键数据信息的移动式存储介质须专人值守。

• 删除可重复使用存储介质上的机密及绝密数据时,为了不在可移动介质上遗留信息,应该对介质进行消磁或完全的格式化,或者使用专用的工具在存储区域填入无用的信息进行覆盖。

• 任何存储媒介入库或出库需通过受权,并保留相应记录,方便审计跟踪。

• 应对数据文件进行访问控制,控制不一样权限用户对不一样文件的访问和操做,对文件系统、数据库、操做系统分别采起访问控制措施。

• 采集APP中只容许受权SS只写权限,无读取权限,默认不开通。

• 对数据文件的操做行为进行安全审计,至少对用户操做、存储时间、文件变动信息进行记录。

• 对数据文件的操做行为进行安全审计,至少对用户操做、存储时间、文件变动信息进行记录。

• 提供安全审计技术手段扫描存储数据,识别已泄漏的敏感数据信息。

• 日志文件范围包括但不限于:业务日志、调试日志、错误日志等,不可直接查看到明文的敏感信息,不可经过密钥解密出敏感数据,具体要求以下:

  禁止记录明文的敏感数据

  禁止记录加密后的数据

  禁止记录不带salt的单向hash数据

  可记录打码后的敏感数据,打码标准参见《应用系统设计开发安全规范》

数据应用

• 禁止任何人使用业务系统中的用户名/密码操做生产环境数据库。

• 数据库帐号限制登陆来源,若是是IP必须精确匹配,不能是IP地址段,若是是主机名,能够是一组相同明明规则的通配符主机。

• 数据使用受权管理,需注明使用用途及数据使用的字段,按需申请禁止数据泛化使用,由各部门负责人进行负责审批和知晓。

• 申请公司员工信息使用的使用人,请参照《员工我的信息敏感等级表》按需申请对应的字段信息,禁止申请与工做无关的员工信息,禁止将此类信息发送于第三方。

此项重点介绍下:

目前各个企业竞争如此之激烈,竞争对手相互挖人,企业的员工信息的使用成为了重点,做者针对此类数据的使用特为你们分析了以下几点场景:

一、hr按期会向社保代理机构提供带有公司内部人员 ×××号、家庭住址、联系方式的的信息,社保代理机构是否和甲方签署了员工保密协议,数据提供的是不是不可复制带水印的文件。

二、公司团建会向旅游公司提供公司人员信息,其中有可能包含组织架构和人员信息,×××号、联系方式。

三、工牌制做

四、财务核算

五、团体报名

就不一一举例了。

• 关于镜像流量分析的申请使用,必定是要有受权审批流程,按需申请,要利用技术手段对数据进行脱敏处理,不该当包含分级分类标准内高安全级别的敏感数据。

• 关于测试环境测试数据的申请,必定要有受权审批流程,按需申请,一样须要脱敏处理。

• 数据信息传输安全要求

在对数据信息进行传输时,应该在风险评估的基础上采用合理的加密技术,选择和应用加密技术时,应符合如下规范:

• 必须符合国家有关加密技术的法律法规;

• 根据风险评估肯定保护级别,并以此肯定加密算法的类型、属性,以及所用密钥的长度;

• 听取专家的建议,肯定合适的保护级别,选择可以提供所需保护的合适的工具。

• 机密和绝密信息在存储和传输时必须加密,加密方式能够分为:对称加密和不对称加密。

• 机密和绝密数据的传输过程当中必须使用数字签名以确保信息的不能否认性,使用数字签名时应符合如下规范:

• 充分保护私钥的机密性,防止窃取者伪造密钥持有人的签名。

• 采起保护公钥完整性的安全措施,例如使用公钥证书;

• 肯定签名算法的类型、属性以及所用密钥长度;

• 用于数字签名的密钥应不一样于用来加密内容的密钥。

*数据信息保密性

密码安全

密码的使用应该遵循如下原则:

• 不能将密码写下来,不能经过电子邮件传输;

• 不能使用缺省设置的密码;

• 不能将密码告诉别人;

• 若是系统的密码泄漏了,必须当即更改;

• 密码要以加密形式保存,加密算法强度要高,加密算法要不可逆;

• 系统应该强制指定密码的策略,包括密码的最短有效期、最长有效期、最短长度、复杂性等;

• 若是须要特殊用户的口令(好比说UNIX下的Oracle),要禁止经过该用户进行交互式登陆;

• 在要求较高的状况下可使用强度更高的认证机制,例如:双因素认证;

(要定时运行密码检查器检查口令强度,对于保存机密和绝密信息的系统应该每周检查一次口令强度;其它系统应该每个月检查一次。

密钥安全

  密钥管理对于有效使用密码技术相当重要。密钥的丢失和泄露可能会损害数据信息的保密性、重要性和完整性。所以,应采起加密技术等措施来有效保护密钥,以避免密钥被非法修改和破坏;还应对生成、存储和归档保存密钥的设备采起物理保护。此外,必须使用通过业务平台部门批准的加密机制进行密钥分发,并记录密钥的分发过程,以便审计跟踪,统一对密钥、证书进行管理。

• 密钥的管理应该基于如下流程:

• 密钥产生:为不一样的密码系统和不一样的应用生成密钥;

• 密钥证书:生成并获取密钥证书;

• 密钥分发:向目标用户分发密钥,包括在收到密钥时如何将之激活;

• 密钥存储:为当前或近期使用的密钥或备份密钥提供安全存储,包括受权用户如何访问密钥;

• 密钥变动:包括密钥变动时机及变动规则,处置被泄露的密钥;

• 密钥撤销:包括如何收回或者去激活密钥,如在密钥已被泄露或者相关运维操做员离开业务平台部门时(在这种状况下,应当归档密钥);

• 密钥恢复:做为业务平台连续性管理的一部分,对丢失或破坏的密钥进行恢复;

• 密钥归档:归档密钥,以用于归档或备份的数据信息;

• 密钥销毁:密钥销毁将删除该密钥管理下数据信息客体的全部记录,将没法恢复,所以,在密钥销毁前,应确认由此密钥保护的数据信息再也不须要。

数据信息备份与恢复

数据信息备份要求

备份要求

• 数据信息备份应采用性能可靠、不宜损坏的介质,如磁带、光盘等。备份数据信息的物理介质应注明数据信息的来源、备份日期、恢复步骤等信息,并置于安全环境保管。

• 通常状况下对服务器和网络安全设备的配置数据信息每个月进行一次的备份,当进行配置修改、系统版本升级、补丁安装等操做前也要进行备份;网络设备配置文件在进行版本升级前和配置修改后进行备份。

• 运维操做员应确保对核心业务数据每日进行增量备份,每周作一次包括数据信息的全备份。业务系统将进行重大系统变动时,应对核心业务数据进行数据信息的全备份。

备份执行与记录

• 备份执行过程应有详细的规划和记录,包括备份主体、备份时间、备份策略、备份路径、记录介质(类型)等。

备份恢复管理

• 运维操做员应根据不一样业务系统实际拟定须要测试的备份数据信息以及测试的周期。

• 对于因设备故障、操做失误等形成的通常故障,须要恢复部分设备上的备份数据信息,遵循异常事件处理流程,由运维操做员负责恢复。

• 应尽量地按期检查和测试备份介质和备份信息,保持其可用性和完整性,并确保在规定的时间内恢复系统。

• 应肯定重要业务信息的保存期以及其它须要永久保存的归档拷贝的保存期。

• 恢复程序应按期接受检查及测试,以确保在恢复操做程序所预约的时间内完成。

• 恢复策略应该根据数据信息的重要程度和引入新数据信息的频率设定备份的频率(如每日或每周、增量或总体)。

  上述为整个数据生命周期过程当中所须要的介入的控制手段,老是有技术大佬喷这都是管理措施和制度类的属于纸上谈兵,可您仔细阅读一下其中包含了技术细节,我是个作技术的博主也经历过质疑总体过程管理到理解和依赖,一路走来真正意义上以为作安全工做必定是“技术是手段,业务是王道,管理是统筹”,安全从业者必定是从管理的手段入手,技术手段辅助,平衡业务与安全的权重,相辅相成推动和落实各个安全工做。

下图是一个组织、制度、技术多重保障的数据安全治理模型:

我的最近研究安全开源工具和你们一并分享:

一、开源的git检测和挖掘

http://www.freebuf.com/sectool/181986.html

二、open dlp

http://code.google.com/p/opendlp/

三、MyDLP

http://www.mydlp.com/

四、端口扫描器Nmap

https://github.com/nmap/nmap

五、Git泄露利用EXP

https://github.com/lijiejie/GitHack

六、开源WAF

https://github.com/SpiderLabs/ModSecurity

七、本地存储的各种密码提取利器

https://github.com/AlessandroZ/LaZagne

八、巡风

http://www.freebuf.com/sectool/124365.html

九、开源准入系统(nac)

http://www.freebuf.com/sectool/9599.html

http://www.javashuo.com/article/p-qbzgfaua-er.html

https://toutiao.io/posts/281069/app_preview

十、开源的RASP

https://github.com/baidu/openrasp开源的准入、EDR能够研究下,若是条件容许也能够买成熟产品。

今天在momo咖啡等了一天的人整理,也就这么多吧,博主会按期更新此篇文章,承蒙各位大佬赐教。

文献整理之后我会补上。

数据安全对于企业任重道远,期待和你们一块儿进步。

wuli王蜀黎

2018.9.1