f1r3K0'Blog

欲买桂花同载酒

一些关于数据安全的学习思考

孤怀经岁未能宽

​ 2021年9月1日《数据安全法》的实行,宣布了数据安全的时代来临。最早接触数据安全的重要性其实是在某次护网演练当中,通过一些逻辑问题进入到后台发现大量敏感数据泄露,这时候按照系统权限得分是不合理的,于是按照数据量申请成果,最后给满了数据分,从此每次看到规则得分有这一项都会格外重视获取的数据库权限、大数据系统权限以及一些能获取用户信息的逻辑漏洞。转眼自己转到甲方也要开始做数据安全了,攻击视角的思维相信也能给我带来帮助。

数据安全管理

​ 个人感觉做数据安全主要还是在数据管理上,因为本身甲方安全建设主要难点其实就是管理,大部分人聊数据安全首先会聊数据分级,我认为数据分级肯定是要做的,但是要在大后期来做,在流程跑通之后可以根据情况引入数据分级起到规范化的作用。

1.设立数据安全管委员会

​ 有过SDL 0-1建设落地的安全负责人应该很容易理解这里。为节省大量时间人力成本,前期建议成立一个专管数据安全的委员会,会内可以有CTO、CISO、法务、IT、业务Bp等等,这部分是推行数据安全前首要做好的准备,后期推行很大程度上要依靠委员会成员协助处理一些难题。

2.制度与培训考核

​ 在数据安全管理办法发布之后,这里的培训考核可以直接引进SDL流程当中,对开发运维以及涉及对外数据传输交换等部门可以加入考核,定期培训考核。

3.实施阶段

1.png

  • 在系统设计阶段引入数据安全评估,评估系统设计是否存在数据泄露、数据收集、数据存储、数据传输、数据使用加工、数据提供、数据公开、数据删除风险,可以在checklist引入合理的数据安全检查项。
  • 在评估设计之后,代码编写阶段还是可以按照静态代码扫描那套逻辑继续跑,随后对结果向开发或者Bp沟通整改,关注落地实施情况。
  • 渗透阶段我理解更多的是攻击验证,是以结果为导向的攻击验证,这步可以验证上一步静态扫描或者黑盒的效果,可以补齐一些策略规则。蓝军团队主要从业务安全以及网络安全两个纬度进行数据安全评估,这部分成果可以按照国标的数据安全风险示例进行标注明确的风险项。
  • 在上线之后程序运行态主要就是涉及数据治理以及数据监控以及后续的数据安全运营,这一阶段才是真正对数据安全建设的成果检验。

4.小结一下

​ 总结一下自己对于数据安全理解可能还是太浅了 无法以成体系的形式把文章写完,当然也可能这里涉及的东西也不是很多,另外结束的时候突然想起了数据跨境这个问题,针对于这里也有很多成型的管理办法了,目前不太想单独在这里进行细聊了,说明一个问题,其实数据安全管理办法这里涵盖的内容是大于具体实施的过程的,所以更加强调了这块前期布局准备的重要性。另外这块可以引入的设备太多了,除了SDL那常规几件套,还有DLP、DPIA、包括容灾备份、数据脱敏以及一些基于爬虫的数据安全验证产品。

一些风险清单

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
数据泄露风险
数据篡改风险
数据伪造风险
数据滥用风险
数据推断风险
采集数据泄露风险
采集数据篡改风险
无效数据写入风险
存储数据破坏
存储数据丢失风险
存储数据一致性问题
行为抵赖风险
越权处理风险
共享接口滥用风险
数据非法爬取风险
逾期留存风险
......