数据库安全技术
数据脱敏
数据脱敏更具体的来说,是为了去标识化、匿名化。
为什么要数据脱敏?
近年来APP、小程序有非常多,存在过度收集用户个人信息,甚至未经授权收集用户信息。海量数据被存储和处理,大量有价值敏感信息存在泄露风险。
数据脱敏的目的
-
满足合规合法要求
-
保护敏感信息
-
保证数据可用性以及可挖掘性
合规合法,合规依据
2017年发布的《网络安全法》第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
2021年发布的《数据安全法》第二十七条:开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。
2021年发布的《个人信息保护法》第五十一条:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相应的加密、去标识化等安全技术措施。
数据脱敏三个阶段
- 识别数据库中敏感字段信息
- 脱敏
- 对脱敏后数据集进行评价
脱敏技术
脱敏主要有静态数据脱敏和动态数据脱敏
- 静态数据脱敏:将数据脱敏完毕后放入非生产环境,所以这种脱敏是与生产环境脱离的,通常用于非实时场景
- 动态数据脱敏:实时进行脱敏,并且分为不同级别的脱敏,根据不同角色和权限进行分等级脱敏
脱敏用到的一些方式:
数据脱敏厂家
- 国外:Informatica
- 国内:比特信安、美创、安华、神州数码
由于敏感数据的重要性以及特殊性,一般不建议使用国外产品。
数据库漏扫
又叫数据库安全评估系统
漏扫对象
- DBMS脆弱点:已知的DBMS自身存在的漏洞
- 弱口令
- 缺省口令:初始密码
- 配置缺陷
- 补丁
- 易受攻击代码
- 程序后门:存储在数据库中的可执行程序
- 敏感数据
漏扫方式
- 授权扫描(白盒检测):已知账户密码
- 非授权扫描(黑盒检测)
- 弱口令扫描
- 渗透检测
黑盒检测
模拟攻击者行为,尝试发现漏洞(已知漏洞,所以黑盒漏洞扫描工具的内置漏洞库很重要)
只需要知道对外提供的接口和功能
黑盒工具
Nessus、OpenAVS
步骤
1.收集信息,IP、URL、端口、web服务器类型(Windows IIS、Apache、Nginx、Tomcat)
2.发现漏洞
3.分析结果
黑盒核心技术
- 漏洞库
- 请求构造:构造恶意请求,发送到被扫描对象
- 静态代码分析
- 调用链分析:跟踪应用程序的调用链,分析发现问题
- 检测能力
- 扫描速度
数据库漏扫的厂家,我目前所了解到的就是安华金和。