前言在企业安全建设中,资产管理是许多安全工作的基础。数据资产管理可以帮助我们更准确地发现安全风险,实施更有效的管控措施,在数据安全体系建设中也发挥着举足轻重的作用。从数据安全角度出发,数据资产和价值数据资产管理的总体架构主要分为数据采集、数据整合与识别、数据使用三个部分。数据检索和访问权限控制,根据数据目录和数据所有者,建立控制流程,识别重要数据系统、接口,推进安全保护项目,包括数据加密、脱敏、认证、日志等。追溯、审计、提供基础数据和综合分析平台的数据资产采集数据一般静态存储在数据库和文件中,也通过应用程序和工具进行流转。1.采集数据类型及数据分布(1)内网网络扫描识别数据库服务器IP、端口、服务类型nmap-sP获取库存主机nmap-sV-iL[nmaptest.txt]数据库端口服务发现(2)DBA或运维申请数据库查询权限,如果DBA有管理平台或相关数据,也可以直接从集合中接收数据(3)获取数据结构和数据类型获取数据库名:$SQL='显示数据库';获取指示:SELECTtable_name获取指示FROMINFORMATION_SCHEMA.COLUMNS获取表结构(字段、数据类型、注释):SELECTCOLUMN_NAME列名、COLUMN_TYPE数据类型、DATA_TYPE字段类型、CHARACTER_MAXIMUM_LENGTH长度、IS_NULLABLE是否为空、COLUMN_DEFAULT默认值、COLUMN_COMMENT备注FROMINFORMATION_SCHEMA。COLUMNSwhere--db为数据库名,此时只需要修改为你要导出表结构的数据库--table_schema='db'(4)获取数据样本信息获取10-20条样本dataforeachdatabasetableselect*from[table]limit0,20获取20个样本,阈值也可以根据需要调整2.数据所属的应用,应用数据接口应用一般从CMDB或者公司的资产管理平台,应该注意的是,需要一个唯一的标识符来将应用程序与数据库相关联。应用数据接口可以通过网络流量分析得到流量中所有被访问的接口URL。提取URL和HOST加入资产列表:Request判断是否为敏感请求Resbonse判断是否为敏感请求数据分类分类一般企业分为四级分布,L1-L4。L1为私有信息,L2为机密信息(或内部公开),L3为机密信息,L4为绝密信息。为不同的数据类型设置保密级别,信息保密级别可能会根据公司情况不同:L4:如生物识别信息、密码、公司重大计划或战略数据等L3:如电话、地址、肖像、个人喜好等L2:如姓名、国籍、每日统计数据等L1:昵称、公众评论、发布的公告等数据资产管理中的阈值数据分类字典,如:敏感数据识别1.结构化data敏感数据标识基于关键字的敏感数据标记:传递字段名和评论信息基于常规敏感数据标记:基于机器学习的敏感数据标记通过样本数据:全表中的所有字段名,样本数据,以及与其他相似度表被训练。例如标记账号字段:vari=fieldName.toLowerCase().indexOf("user");varj=fieldName.toLowerCase().indexOf("id");vara=fieldDesc.indexOf("loginname");varb=fieldDesc.indexOf("用户名");varrexEmail=/[0-9a-zA-Z\_\.]{1,19}@[0-9a-zA-Z\_\.]{1,23}\.[com,cn,net,org,edu,gov,hk,tw]{1,3}/;varrexMobile=/((^1(3|8)\d{9})|(^(14(5|7|9)|17[0135678]|15[012356789]|19[89]|16[6])\d{8}))$/;返回((rexEmail.test(fieldValue)||rexMobile.test(fieldValue))&&(i!=-1||j!=-1))||(a!=-1||b!=-1);2.敏感数据接口识别从流量中获取数据包并处理响应的body内容数据分析:通过正则化提取是否包含批量敏感数据,如匹配***、手机号等。通过格式化正文内容和匹配关键字,可以进一步提高识别率和检测率。如果匹配敏感数据,可以通过适当调整匹配次数阈值,提取请求中的url加入敏感数据接口,获取域名、数据类型、统计访问量等信息,提高准确率。3、文件等数据利用DLP产品对文件系统、邮件系统、办公终端、移动终端等中的文件进行识别和审计数据资产应用场景场景一:敏感数据接口监控和日志审计:监控未授权访问、权限过高,高频数据采集建立人员行为画像,风险评分行为场景二:数据访问权限申请:在线系统/应用人际数据检索的访问控制。应用、DB、大数据平台人员访问/导出数据访问控制。场景三:数据泄露事件溯源:人员行为画像、系统数据画像分析、数据源数据接口访问日志/流量溯源通过数据资产分布追溯
