数据安全治理三步走之二：数据访问控制.docxVIP

数据安全治理三步走之二：数据的访问控制在数据有效梳理的基础上，我们需要制定出针对不同数据、不同使用者的管理控制措施；数据的管控包含数据的收集、存储、使用、分发和销毁。本文从数据资产的访问控制、技术挑战、技术支撑三部分对数据资产的安全管控进行详细说明。数据的访问控制需求针对数据使用的不同方面，需要完成对数据使用的原则和控制策略，一般包括如下方面：数据访问的账号和权限管理，相关的原则和控制内容包括：(1)专人账号管理；(2)账号独立原则；(3)账号授权审批；(4)最小授权原则；(4)账号回收管理；(5)管理行为审计记录；(6)定期账号稽核；数据使用过程管理中，相关的原则和控制内容包括：（1）业务需要访问原则；（2）批量操作审批原则；（3）高敏感访问审批原则；（4）批量操作和高敏感访问指定设备、地点原则；（5）访问过程审计记录；（6）开发测试访问模糊化原则；（7）访问行为定期稽核；数据共享（提取）管理，相关的原则和控制内容包括：（1）最小共享和模糊化原则；（2）共享（提取）审批原则；（3）最小使用范围原则；（4）责任传递原则；（5）定期稽核；数据存储管理，相关的原则和控制内容包括：（1）不同敏感级别数据存储的网络区域；（2）敏感数据存储加密；（3）备份访问管理；（4）存储设备的移动管理；（5）存储设备的销毁管理；数据访问管控技术挑战在敏感数据访问和管控技术方面，细分至五个方面的挑战：（1）如何将敏感数据访问的审批在执行环节有效落地对于敏感数据的访问、对于批量数据的下载要进行审批制度，这是数据治理的关键；但工单的审批若是在执行环节无法有效控制，访问审批制度仅仅是空中楼阁。（2）如何对突破权控管理的黑客技术进行防御基于数据库的权限控制技术，在基于漏洞攻击的基础上将很容易被突破。（3）如何在保持高效的同时实现存储层的加密基于文件层和硬盘层的加密将无法与数据库的权控体系结合，对运维人员无效；如何实现存储加密、权限控制和快速检索的整体解决，是这一问题的关键，只有这样的存储加密才能保证安全的同时数据可用。（4）如何实现保持业务逻辑后的数据脱敏对于测试环境、开发环境和 BI 分析环境中的数据需要对敏感数据模糊化，但模糊化的数据保持与生产数据的高度仿真，是实现安全又可用的基础。（5）如何实现数据提取分发后的管控数据的共享是数据的基本使用属性，但数据的复制是没有痕迹的；数据分发后如何保证数据不会被流转到失控的环境，或者被复制后可溯源，这是数据提取分发管理的关键。数据访问管控的技术支撑数据资产的管理系统支撑基于静态梳理、动态梳理和可视化展现技术，建立数据资产的登记、准入、准出和定期核查。图1以自动流量分析技术完成存量资产梳理图数据运维审批技术(1) 堡垒机技术堡垒机是当前最常用的进行运维管控的工具，包括对数据库的运维管控；堡垒机通过将运维工具集中到指定设备上，所有对数据库的运维操作都将在这个设备上完成。但堡垒机对数据库的运维大多仅能控制到库这个级别，无法控制到更细粒度的对象如表或列；同时对于图形化的运维工具无法作到控制，仅能作到录屏。(2) 数据库专业运维管控技术数据库的专业运维管控工具可以控制到表和列级，可以控制到各种数据库操作；同时可以精确控制到具体的语句，控制语句执行的时间，控制执行的阈值；同时满足事前审批，事中控制的模式；满足金融或运营商行业所需要的金库模式，这将极大提高数据库运维管控的准确性：图2 数据库安全运维审批流程示意防止黑客攻击的数据库防火墙技术运维管控系统是对内部人员对敏感数据访问行为的管理；但敏感数据除了内部人员外，也要面临黑客的攻击和入侵，或者第三方外包人员利用黑客技术突破常规的权限控制；因此需要通过数据库防火墙技术实现对于漏洞攻击的防御，包括 SQL 注入类的外部攻击，以及提权漏洞、缓冲区溢出漏洞和 TNS 漏洞等。图3 数据库防火墙技术中最核心技术——虚拟补丁技术数据库存储加密技术数据库的存储加密是保证数据在物理层得到安全保障的关键，加密技术的关键是要解决几个核心问题：a) 加密与权控技术的整合；b) 加密后的数据可快速检索：可考虑通过密文索引技术（但需要操作系统的兼容）或保序加密技术。c) 应用透明技术：数据加密后原有应用系统不需要改造，可选择的技术包括三层视图技术，或者保留格式加密技术。数据库脱敏技术数据库脱敏技术，是解决数据模糊化的关键技术；通过脱敏技术来解决生产数据中的敏感信息在测试环境、开发环境和 BI 分析环境的安全。图4 数据访问控制技术-脱敏技术在脱敏技术中的关键技术包括：a)数据含义的保持：脱敏后的数据仍然具有原始数据类型所要求的格式、内置关系，如身份证、地址、人名脱敏后依然需要是身份证、地址、人名；b) 数据间关系的保持：需要不同表间相同数据、不同库间相同数据，在脱敏后依然是相同数据，保证数据间的映射关系