知己知彼，方能立于不敗之地。

在上一篇知己篇-敏感數據定位難？聽說這款產品賊拉好用（點擊查看詳情）中講述了未知敏感數據如何定位和識別。知彼篇聚焦對敏感數據的管和控，從數據外泄渠道或方法等方面分析，從零到整地解析管控力度和技術手段。

小天：在說管控之前，我們要先了解下泄露風險點有哪些？先給自身來一個「把脈問診」。

對，最近我看見一篇文章講常見的泄露方式就有十幾種，而且很多敏感信息都是在無意識中泄露的，真是防不勝防啊。

1.拍照錄屏

在辦公場景中，員工或外來人員通過手機或其他設備拍攝、錄屏敏感數據，是常見數據泄露途徑之一。尤其在信息化和移動化辦公環境中，造成了企業數據難以控制的風險。

2.介質拷貝

敏感數據通過U盤、移動硬盤等介質進行拷貝，由于介質存儲便攜性強，容易導致數據在無意識或有意的情況下被帶離企業內部環境。

3.非法外聯

非法外聯是指設備或系統通過未授權的網絡連接與外界進行通信，從而將敏感數據傳輸至外部。黑客通過植入惡意代碼，利用非法外聯手段將數據竊取或遠程控制受害者設備，常見于APT攻擊中。

4.SQL注入

SQL注入攻擊是黑客通過在輸入字段中插入惡意SQL語句，繞過數據庫認證，非法獲取數據庫中敏感數據。通常發生在輸入驗證不嚴的Web應用中。

5.API未經授權

API的廣泛使用為數據交互帶來便利，但未經授權的API調用可能導致敏感數據被非法獲取。未進行身份驗證和訪問控制的API接口，容易被黑客利用。

6.數據庫未經授權

數據庫未經授權訪問可能導致大量敏感數據的泄露。通常發生在數據庫缺乏訪問控制策略，或管理員憑證遭泄露的情況下。

7.賬號接管（ATO）攻擊

賬號接管（Account Takeover, ATO）攻擊指攻擊者通過暴力破解、憑證填充等手段，獲取合法用戶的賬號權限，并進行惡意操作，如竊取敏感數據、發起金融交易等。

8.網絡釣魚攻擊

網絡釣魚是通過偽裝成合法網站、郵件、短信等形式，引誘受害者泄露賬號密碼、個人隱私或下載惡意軟件的攻擊方式。極易導致敏感數據泄露，并進一步引發其他安全威脅。

9.電磁泄漏

電磁泄漏是通過采集設備電磁波形而竊取數據的技術手段。盡管這一技術在普通商業環境中使用頻率不高，但在涉及國家安全等高度敏感的信息環境中，電磁泄漏依然是一種嚴重威脅。

10.刻錄打印泄露

敏感數據通過刻錄光盤、打印文件等方式泄露是傳統數據泄露途徑之一。在刻錄或打印過程中，數據被截取或員工在未授權情況下擅自復制敏感信息，可能導致嚴重泄露事件。

11.供應鏈攻擊

供應鏈攻擊是指通過供應商、合作伙伴等第三方的安全漏洞或安全缺陷，攻擊者間接入侵企業內部網絡并竊取數據。隨著企業業務復雜化和全球化，供應鏈攻擊逐漸成為數據泄露的重要途徑。

12.敏感數據未加密或脫敏

在數據備份、數據傳輸和大數據分析場景中，敏感數據未進行加密或脫敏處理，在傳輸和存儲過程中容易被截取或非法訪問。

小天：是的，從全盤來看可以分為三大方面即：暴露面、攻擊面和脆弱面。我們今天從技術角度概述這三方面的風險點。

暴露面是指在網絡中可被外部訪問的部分。通常是組織向外部開放的資源，如公開的IP地址、網絡服務和API接口。

攻擊面是指一個系統中所有潛在的攻擊入口，包括網絡、應用程序和用戶接口等，涵蓋了所有可能被攻擊者利用的組件。

脆弱面是指系統中存在的安全漏洞或弱點，極易被懷有不良意圖的攻擊者所察覺并加以利用，一旦被利用就很有可能引發各類安全事件。

說得通用點，最好是可以直接落地的那種。

小天：好的，簡言之，這三個方面是指我們的業務有哪些對外訪問接口或服務？目前數據資產部署位置及周邊環境可靠嘛？業務系統有沒有漏洞或者弱點？

針對以上多方面數據安全管控技術不外乎以下兩大維度：由于數據流轉和調取的技術方式太多，對應管控的覆蓋面就需要足夠的廣。數據按需調取的業務需求繁雜，對應防護的管控粒度要足夠豐富才能滿足不同業務數據流轉需求。

對，在保證數據“能用”、“可用”業務基礎上，哪些技術能實現多方面的“管”和“控”呢？

小天：好的。那我從以下兩點展開來講：

管控維度的全面性

從物理邏輯管控一般分為網絡端、終端（包括終端檢測系統和探針等）。實際對應就是技術方式多樣化：串聯模式、代理模式、旁路模式、探針模式、網端聯動模式等，覆蓋多維度應用場景。

如針對業務側越來越多API接口調用的監管，一般通過串接或者旁路模式接入API安全審計系統、API網關等，做到API接口可識別、API接口調用可監控，實現API接口違規訪問行為管控。

另外，針對客戶業務數據上云，可通過引流結合網端管控系統等方式部署安全系統，如數據庫審計與防護系統，實現云內數據的流轉監控。

管控粒度的豐富性

一般目前業界常見控制的技術手段：分類分級、阻斷、加密、脫敏、水印、審計、告警、備份等。

● 分類分級：依據數據的性質、用途、敏感程度等因素，對數據進行合理地類別劃分與級別設定。

● 阻斷：通過技術手段直接對訪問行為予以攔截，或者斷開相應的訪問鏈接。

● 加密：針對重要數據運用可靠的加密技術進行加密處理。

● 脫敏：針對數據中敏感字段，采用遮蔽、替換、加密等專業技術手段進行處理。

● 水?。和ㄟ^在數據上添加明水印或者暗水印的方式，實現有效溯源。

● 審計：全面監控數據在流轉以及調取過程中的所有路徑，細致記錄每一個關鍵節點與操作。

● 告警：當監測到出現數據外泄或者存在違規操作行為時，及時發出告警提醒。

● 備份：采用異地容災備份方式，保障數據泄露、丟失后的及時恢復。

各種業務場景下，防護需求呈現出多樣性，這就需求根據具體業務特點分析，「對癥下藥」實施針對性地防護措施。例如，某企業需要提供數據給第三方機構，用于新業務系統對接測試，此時，著重要做好外發數據中敏感信息的防護工作，這就需要用到數據脫敏相關技術。

嗯，理論知識很豐富啊。那落到實際中呢？

小天：在今年初，我們接到一個客戶需求說要升級改造業務系統，提升內部服務器區域核心監管，助力智能業務建設，保障基礎數據使用安全。整體實踐依照客戶網絡架構圖分區進行：在多個核心業務區分別部署備份一體機；在業務服務區前端，部署數據庫審計系統、數據庫審計與防護系統；在網絡出口等關鍵路徑，部署網絡數據防泄漏系統。

那這些設備都能做什么??？

小天：部署在核心業務區的備份一體機，主要針對核心業務數據進行實時備份。部署在業務服務區的數據庫審計、數據庫審計與防護系統通過對數據庫協議的識別和解析，并進一步實現對數據庫操作行為的識別、審計、管控、阻斷、告警等，做到敏感數據的實時監控，實現事中防控、事后溯源。

數據脫敏系統可利用多種脫敏算法實現敏感信息的脫敏處理，滿足不同業務部門對不同數據的使用要求，同時防止了敏感信息外泄。網絡數據防泄漏系統基于UEBA技術，對多場景進行統一用戶行為分析，有效防止用戶核心數據被內部人員通過網絡傳輸方式非法竊取或意外泄露，保障數據生命周期使用過程中安全可控。

通過部署數據庫審計與防護系統、數據脫敏系統、網絡數據防泄漏系統、備份一體機等產品，實現敏感數據實時監控、細粒度管控、事后溯源，讓數據在發揮更大效力的同時用得更放心！

有這樣的干貨你藏著掖著，害人??！我這就回去匯報去！

小天：嘻嘻，干貨已經奉上！

另外溫馨提示：數據泄露途徑多種多樣，隨著技術發展和攻擊手段不斷進化，企業和組織面臨的數據安全威脅也在不斷增多?！爸褐?，方能立于不敗之地”大家要牢記。最后，有關數據安全的三句話小天再給大家叨叨下。

1、綜合防御很重要！

數據安全防護不應局限于某一方面，而應是綜合防御體系。企業應當根據自身業務特征和數據敏感程度建立完善的安全防護體系，加強系統各個環節的保護。

2、數據安全挑戰與時俱進！

數據安全風險是動態變化的，管理和防范措施也應隨之調整。定期進行安全評估和優化，確保防護措施的最新性和有效性。

3、提升員工安全意識！

隨著技術發展，數據安全挑戰不斷涌現。企業和個人需時刻保持警惕，安全意識培訓應貫穿全體員工，形成“網絡安全靠大家”的企業文化，關注最新安全態勢，持續加強安全防護能力。