前言

在企業安全建設中，資產管理是很多安全工作的基礎。而數據資產管理可以幫助我們更準確的發現安全風險，執行更有效的控制措施，在數據安全體系化建設中也有著舉足輕重的作用。

數據安全視角的數據資產

整體架構與價值

數據資產管理主要分為三部分：數據采集，數據整合與識別，數據使用。

• 數據調取，訪問的權限管控，根據數據目錄，數據負責人，建立管控流程
• 識別重要數據系統，接口，推進安全防護項目，包括數據加密，脫敏，認證，日志等改造
• 數據泄露事件的告警，溯源，審計，提供基礎數據和綜合分析平臺

數據資產收集

數據一般在數據庫，文件中靜態存儲，也通過應用，工具等方式進行流轉。

1. 數據類型和數據分布的收集

(1) 全內網網絡掃描識別數據庫服務器IP、端口、服務類型

nmap -sP 獲取存貨主機

nmap -sV -iL [nmaptest.txt]  數據庫端口服務發現 

(2) DBA或者運維申請數據庫查詢權限，如DBA有管理平臺或相關數據，也可以直接對接收集數據

(3) 獲取數據結構和數據類型

獲取庫名：

$SQL = 'show databases'; 

獲取表明：

SELECT  
   table_name    獲取表明 
FROM 
 INFORMATION_SCHEMA.COLUMNS 

獲取表結構(字段，數據類型，注釋)：

SELECT 
  COLUMN_NAME 列名, 
  COLUMN_TYPE 數據類型, 
  DATA_TYPE 字段類型, 
 CHARACTER_MAXIMUM_LENGTH 長度, 
  IS_NULLABLE 是否為空, 
  COLUMN_DEFAULT 默認值, 
  COLUMN_COMMENT 備注 
FROM 
 INFORMATION_SCHEMA.COLUMNS 
where 
-- db為數據庫名稱，到時候只需要修改成你要導出表結構的數據庫即可 
-- table_schema ='db' 

(4)數據樣本信息獲取

每個庫表獲取10-20條樣本數據

select * from [table] limit 0,20  

獲取20條樣本，也可以根據需要調整閾值

2. 數據所屬應用，應用數據接口

應用一般從CMDB或公司的資產管理平臺中獲取，注意的是需要有一個唯一標識將應用和數據庫進行關聯。

應用數據接口可以通過網絡流量分析獲取流量中所有被訪問接口URL。

提取URL和HOST加入資產列表：

Request判斷是否是敏感請求

Resbonse判斷是否是敏感請求

數據分級分類

等級劃分一般企業為四級分發，L1-L4級。L1為***息，L2位秘密信息(或內部公開)，L3為保密信息，L4為絕密信息。

針對不同的數據類型設定密級，根據公司情況信息密級可能不同：

• L4：如生物識別信息，密碼，公司重大計劃或戰略數據等
• L3：如電話，住址，畫像，個人喜好等
• L2：如姓名，國籍，日常統計數據等
• L1：昵稱，公開評論，已發布公告等

數據資產管理中閾值數據分級分類字典，如：

敏感數據識別

1. 結構化數據敏感數據識別

• 基于關鍵字的敏感數據打標：通過字段名稱，注釋信息
• 基于正則的敏感數據打標：通過樣本數據
• 基于機器學習的敏感數據打標：整個表中所有字段名，樣本數據，與其他表的相似度進行訓練

如對賬號字段打標：

var i= fieldName.toLowerCase().indexOf("user");  
 var j = fieldName.toLowerCase().indexOf("id");  
 var a = fieldDesc.indexOf("登錄名");  
 var b = fieldDesc.indexOf("用戶名");  
 var rexEmail =/[0-9a-zA-Z\_\.]{1,19}@[0-9a-zA-Z\_\.]{1,23}\.[com,cn,net,org,edu,gov,hk,tw]{1,3}/;  
 var rexMobile = /((^1(3|8)\d{9})|(^(14(5|7|9)|17[0135678]|15[012356789]|19[89]|16[6])\d{8}))$/;  
 return ((rexEmail.test(fieldValue) || rexMobile.test(fieldValue)) && (i != -1 ||j != -1))||(a!= -1 ||b != -1); 

2. 敏感數據接口識別

從流量中獲取數據包對response的body內容進行數據解析：

• 通過正則提取是否含有批量敏感數據，如匹配***，手機號等。
• 通過格式化body內容，并匹配關鍵字可以進一步提升識別率和檢出率。

如果匹配到敏感數據，提升準確率可適當調證匹配個數閾值，提取request中的url加入敏感數據接口，并獲取域名，數據類型，統計訪問量等信息。

3. 文件等數據

采用DLP產品對文件進行識別和審計

文件系統，郵件系統，辦公終端，移動終端等。

數據資產應用場景

場景一：敏感數據接口監控和日志審計：

• 監控非授權訪問，過度權限，高頻獲取數據
• 建立人員行為畫像，對行為進行風險評分

場景二：數據訪問權限申請：

• 線上系統/應用間數據調取的權限控制
• 人員從應用內，DB，大數據平臺訪問/導出數據的權限控制

場景三：數據泄露事件溯源：

• 人員行為畫像，系統數據畫像分析數據源
• 數據接口的訪問日志/流量溯源
• 通過數據資產分布溯源