正文

专栏特辑 | 开发安全铁三角纵横谈(六)

admin
admin V管理员 /0 评论 /322 阅读
0805
此篇文章发布距今已超过844天,您需要注意文章的内容或图片是否可用!


开发安全铁三角

为了能更好地理解今天所讲,请大家先回顾一下之前“开发安全铁三角纵横谈”内容:


今天我们聊聊从数据安全角度如何全面地进行安全设计。
在微软SDL中,有个STRIDE分析,包含Spoofing(假冒),Tampering(篡改),Repudiation(否认),Information Disclosure(信息泄漏),Denial of Service(拒绝服务),Elevation of Privilege(提升权限)。STRIDE是一种划分已知威胁影响的分类方法。如下英文首字母代表:
数据安全角度对STRIDE六类威胁的理解如下表:
虽然稍有些牵强,但确实各种威胁最终体现到数据威胁上,所以数据安全的设计其实是整体安全的体现。

1.4  数据安全

1.4.1  保护数据说明 //系统重要数据清单,数据的分类分级,保护目标

1.4.2  数据的全生命周期描述,存储分布 //数据的产生,转移,存储,分发、下载、删除等

1.4.3  数据转移和数据存储的安全保护 //数据转移过程中的秘密性、完整性保护,数据存储过程中的访问控制和安全防护

1.4.4  数据操作的权限控制  //数据操作的权限控制,包括应用级的操作,数据库级的操作,数据备份文件的操作等

1.4.5  敏感数据的脱敏规则和脱敏位置   //有些敏感数据在一些操作中会使用脱敏的保护手段,说明脱敏的数据类型、脱敏规则,和在什么位置实现脱敏

广义来说,数据是数据,程序也是数据,数据安全覆盖面其实非常广。从数据安全角度来整合整体安全设计,能够把安全措施与最终效果有效联系起来,保证设计的有效性。
确定数据资产清单和保护对象,这个肯定是最基础的,但并不容易。在这个清单里,用户的个人信息算一条清单,还是用户的姓名算一条,性别算一条?分得太粗,后面写保护措施的时候会无法下手;分得太细,工作量太大。
所以,某种程度上,并不是先确定数据清单再分类分级,而是先把数据分类分级好了,再来写清单,这样清单的条目就合理了。
怎么样的分类分级颗粒度最合适?要考虑你的保护手段。
对于一般的应用程序,数据保护大概是4个档次。

第一档次,数据完全不需要保护,甚至希望广而告之。比如主页的url,url带的参数名称啥的。这种数据都不需要列到数据资产清单中去,因为他们不影响安全。

第二档次,数据泄露了其实关系不大,但最好也别泄露。一般存在数据库里,正常访问限制就好。比如用户信息中,个人头衔,教育经历等;

第三档次,数据比较重要或比较隐私,不能泄露。一般有完整的保护计划,比如个人的银行卡号、身份证号等。

第四档次,数据很重要,很隐私,绝对不能泄露。对内部操作人员都要严格控制,让他们无法泄露,要考虑纵深防护方案,比如数据库整个被别人攻击了,仍然有第二层保护保障数据不会泄露,例如用户密码等。

当你的保护手段大概是4个层次,你的数据分级自然也就4个层次。在一些特别重要的系统中,还有更高层次,可以划为第五档次,但比较少而且数据一般比较宏观,保护也是综合手段防护,光靠安全设计是不够的,这里就不讨论了。
这样根据上面保护的手段,数据分4级,从1级到4级,越来越重要。具体分级方法,可以学习JR/T0197-2020《金融数据安全 数据安全分级指南》,这虽然是面向金融的,但对数据的理解和实际操作经验,可以全行业借鉴。尤其是附录A,这个可能比正文帮助还大。
把附录A的第一部分,个人信息分类拷贝给大家看看,大家可能一下就全懂了。
这个附录告诉我们,光个人信息都有这么多分类,哪些是属于4级,哪些是属于2级,通过这个对个人数据的分级尺度,能指导我们对所有数据进行合理分级。
做完第一部分:保护数据说明之后,现在要进入第二部分:数据的全生命周期描述,存储分布。
好多开发人员说到数据安全,想的就是数据库中的数据,自己感觉保护得好好的,却不知道可能包含数据的EXCEL正漫天飞,可能备份了所有数据的备份文件随便看。因此,对数据的分布、存储、共享没有严谨规划,数据安全就是空中楼阁。
对于二级以上的数据,数据从哪里产生,初始存储位置在哪,在这以后,数据的每一次分享、传输、复制都必须心里有数,包括数据备份,数据恢复等等。如果无法清晰描述出数据的分布,数据安全就无从谈起。
数据分布说清楚了,数据的安全防护和数据操作的安全防护是自然的。对数据的防护本质上只有2种手段,一个是加密,一个是访问控制。要么能接触到数据,破解不了,要么就不让无权限的人接触数据。
最后一个是数据脱敏。数据脱敏是一种特殊的数据分享办法,把分享的需求碎片化,把其中大多数的分享需求替换为脱敏后的数据分享需求,脱敏后的数据处于2级甚至更低,对防护要求很低,是一种平衡数据防护和共享的好办法。
数据脱敏的算法并不难,但最好在机构内部统一。在安全设计的时候,必须要考虑到本机构的脱敏规范,哪些数据属于脱敏范围,脱敏规则是什么,什么应用场景进行脱敏,优先按照机构规范进行设计,没有规范的地方自行设计,并争取下一步变成规范。
以上就是数据安全的全部内容,下一节我们来聊聊业务连续性。

拓展阅读






专栏特辑 | 开发安全铁三角纵横谈(六)


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网-ZhouSa.com