數據泄漏事件，層出不窮。從印度的國家身份識別數據庫數據泄露到挪威衛生局信息系統數據泄露，圓通、順豐、華住集團、萬豪喜達屋以及剛剛被披露的豐田數據泄露。這些政府部門及大型商業組織都擁有相對健全的網絡安全防護手段，但數據泄露事件仍然時有發生，究其根本，除了數據安全保護難度大外，在每一起事件的背后，都有數據安全管理不得當的影子。

有的放矢才能事半功倍

近期國內各重點行業和相關單位都在開展加強對重要數據和公民個人信息的安全保護的專項治理工作。通過對數據資產梳理，形成數據資產清單，可以對互聯網相關的重要數據和個人信息采集、存儲、傳輸、使用、提供、銷毀等環節的具體情況清楚把握，在此基礎上進一步排查信息系統和數據庫，是否存在弱口令、未授權訪問、數據明文傳輸、缺少安全審計，訪問控制、策略不嚴等突出安全隱患，才能聚焦數據安全突出風險進行安全保護，進而有的放矢的完善數據全生命周期安全保護，切實提升重要數據和公民個人信息安全保護能力。

五步走，敏感數據狀況全掌握

1. 數據資產定位

• 掃描發現數據庫：通過網絡掃描或者流量監聽等技術手段發現信息系統中運行的數據庫。
• 建立數據資產底單：通過對發現的數據庫信息整理，初步建立數據資產底單。

輸出：《數據資產底單》。

2. 數據資產標識

• 找到數據擁有者：為數據資產底單上的數據資產找到擁有者或管理者，一般是業務的運營者或者管理者。
• 獲取數據訪問權限：從數據擁有者或管理者那里獲取數據權限，一般是只讀權限，為數據標識做準備。

注：數據資產標識是對數據資產屬性信息填充完整的動作，標識內容包含資產所屬管理部門、項目、所屬業務系統等信息，實現信息清單化管理。

3. 數據類型標識

按照預定義的重要數據或個人信息數據特征如姓名、證件號、銀行賬戶、金額、日期、住址、電話號碼、Email地址等數據，在執行任務過程中對抽取的數據進行自動的識別，發現敏感數據，并可以根據規則對發現的敏感數據進行導出清單。通過自動識別敏感數據，可以避免按照字段定義敏感數據元的繁瑣工作，同時能夠持續的發現新的敏感數據。

個人敏感信息示例

4. 數據資產清單

• 確認標識結果：抽查部分數據標識結果，可以結合數據量來確定需要重點保護的數據資產。
• 形成數據清單：經過確認后的數據標識，形成數據資產詳細清單，實現數據資產的清單化管理，樣例如下：

數據清單(樣例)

重要數據或個人信息統計表(樣表)

輸出：《數據資產清單》《數據資產詳細清單》《重要或敏感數據清單》《重要數據或個人信息統計表》等。

5. 持續監控

• 定期進行數據資產梳理：數據資產是處于動態變化中的，對于數據資產的梳理應當根據業務情況定期開展。
• 數據使用監控：通過技術手段理清數據使用情況和數據流向;

輸出：《數據資產變化趨勢報告》。

數據資產梳理關鍵技術

1. 基于網絡嗅探技術，自動尋找發現網絡環境中存在的數據庫。

需要支持多種數據庫自動發現，主動嗅探網內數據庫的發現技術，可以指定IP段和端口的范圍進行搜索，也可以基于訪問流量解析自動發現與識別數據庫的技術。

2. 基于特征匹配的敏感數據探測技術，自動梳理數據庫中個人隱私敏感數據分布。

一般應用的后臺數據庫都成千上萬張表，要保護核心數據資產，首先要了解核心數據資產在什么地方，需要能夠從海量數據中快速發現敏感數據，定位敏感數據存儲與分布，統計敏感數據量級，可以通過敏感數據發現功能對個人敏感信息、信用卡賬戶信息、企業敏感信息等的表和列進行掃描，也支持用戶自定義敏感對象搜索關鍵字功能。

3. 基于數據使用與監測技術，可動態梳理敏感數據使用情況。

針對應用系統運行、開發測試、對外數據傳輸和前后臺操作等使用環節，對數據的流轉、 存儲與使用進行監控，對應用側、內部運維側及開發測試的訪問行為，對訪問敏感數據的頻次進行熱度分析。

數據資產梳理，是幫助組織厘清數據資產，實現分級分類管理保護的基礎，是數據安全治理中數據資產狀況摸底的落地支撐，也是大數據時代，保障數據資源開放共享的關鍵一環。

【本文是51CTO專欄作者“安華金和”的原創稿件，轉載請聯系原作者】

戳這里，看該作者更多好文