担心敏感数据泄露？如何做好数据安全体系？

引言

数字经济时代，数据正在成为重要的生产要素与生产资料，数据安全也逐渐引起各方重视。「TVP技术夜未眠」第二期，我们邀请到了微智云科技 CEO、腾讯云 TVP 张虎，与腾讯云鼎实验室数据安全总监 姬生利做客 TVP 直播间，与大家共同探讨数据安全的有关话题。

（因公众号限制无法上传高清图片，

关注公众号「腾讯云TVP」，回复「数据安全」即可获取高清思维导图）

话题讨论

除了删库跑路，

还有哪些环境容易发生安全问题？

姬生利：很多环节都会存在安全隐患，我们按照环境不同来划分，总结了以下四类场景中常见的安全问题：

第一是办公环境。主要是员工通过网盘或聊天软件等导致的传播或泄露，办公账号泄露、钓鱼诱骗等都是常见的问题，包括手机、电脑等办公设备丢失也是存在比较大的安全隐患。

第二是开发环境。也是企业比较容易疏忽的一个环节，例如代码或配置文件敏感配置没有脱敏就上传到 GitHub 等平台，常见的问题还有现在我们做系统开发时使用开源软件，也会涉及到供应链攻击的问题。

第三是运维环境。会存在运维的基础设施不够完善，缺乏审计或有效的技术措施保护等问题。例如员工的误操作或恶意操作、特权账号管理不当等导致信息泄露或者越权访问。

第四是线上生产的环境。很多是比较低级的问题，例如云上数据端口暴露，服务存在 Web 漏洞，敏感数据没有加密，敏感数据对外提供时没有脱敏等。

张虎：任何环境都有可能发生安全问题。我们的系统中的软件、硬件、网络、人员，甚至包括流程，它是整体有机的组成。我们说这个系统里面有安全漏洞，应该考虑到系统漏洞、网络漏洞、人员漏洞、流程漏洞等等。

从删库跑路的角度理解它里面存在的问题。不能单纯归因为密码太简单。其中权限的管理，流程的管理，还有人员权限之间的隔离，包括数据的备份等都是有问题的。

数据安全问题可能会引发哪些连锁反应？

给企业和个人带来怎样危害？

张虎：以现在整个数据的挖掘能力，如果是个人数据被窥视，基本可以从好几百个数据点中挖掘到个人的身份信息、资产信息、日常行程等，从而画出非常精准的个人画像。所造成后果的严重程度也因人而异。

对企业来说所造成的影响是全方位的。最直接的是会面临高额罚款、商业机密被窥探等。例如被拖库，用户信息被别人盗走，则会导致用户流失、面临信任危机，甚至需要承担法律责任。

数字领域的价值越来越高，就意味着我们在安全上的投入也应该越来越高。比如我们在一个保险箱里面放了一颗珠宝，保险箱的安全级别就要跟珠宝是对称的，如果是放了几十颗、上百颗珠宝，显然是要更相应地提升安全级别。现在的攻击已经从业余的系统攻击变成了有组织的数字攻击，我们企业的老板、中层领导，对数字安全的认知也应该相应地提高。

企业的数据安全该如何做？

有哪些建议？

姬生利：很多客户面临比较大的问题是数据安全从何下手，我们内部也总结了一些最佳实践，供大家参考。

第一步是必须要有组织架构的保障。需要有数据安全的负责人和相应的团队，统一制定数据安全的战略，根据业务自身的特点找到适合的数据安全治理的框架或方式，制定企业的各类数据安全规范和标准。

第二步需要做资源的梳理和风险的评估。如果把所有数据加固保护，那样成本和效率无法承受。我们可以根据企业的诉求对关键业务数据进行分类分级，针对敏感数据有的放矢，以数据分类分级为基础，综合进行数据安全风险评估。

第三是对数据安全管控的措施。主要包括数据是否要加密，对外提供时是否要脱敏，运维管控和审计是否做到位，做数据分析是否应该去标识化来保护个人隐私等。这一环节就需要借助各类数据安全产品和工具来支持业务。

最后的环节是要有审计溯源和应急响应的能力，数据安全紧急事件发生了，要能够及时地通过审计发现或者能及时的溯源，及时地去响应。

张虎：姬老师总结得非常专业和系统，我也从一个企业管理者的角度做一些补充。我从业多年以来遇到的很多客户都会忽视安全问题。

假设做一个系统花费几十亿，安全只花几十万，那这个安全几乎不可能做好。因为这种量级的系统会涉及很多人员、机器和软件模块。所以我们无论是作为一个企业、机构首先要树立一个观念。系统花费多少钱，相应的安全要花多少钱，能达到什么安全级别，系统能防御到什么程度，这涉及到预算问题应该要有一个标准。

安全一旦发生问题，后果可能是很严重的，成本也非常高。所以大家都对安全足够重视，认为这方面的投入是很重要的。我们在人员、流程、技术选型上才可能会有一个整体的方案提供。

人、技术、流程三个层面哪个

最容易产生安全问题？如何避免？

张虎：先谈一下系统为什么会被攻击，我一直以来的看法是，一个系统得多大程度才值得专业团队来攻击，价值非常高的系统其实是少数，很多小型的公司的系统价值其实是不大的。

一些专业团队可能是用广撒网的方式，粗暴地去尝试常见的端口和密码。一些数据库上来就是 root/123456 ，不做网络隔离，没有考虑黑名单、白名单、IP 地址，还长期不换密码，这样很容易就会“中招”。

回到这个我们的问题上，很多安全问题都是人为造成的，不涉及技术或流程的问题。再往上走就是对流程、对技术选型、内部人员等需要非常谨慎，这里面其实也有很多漏洞是想象不到的。例如内部人员可以有目的地被钓鱼，控制了某一个人的电脑，就可以连上他的 VPN 了。

这里的安全其实不是在某一个点堵一下就能解决的问题。所以真正到一个层次以上之后，无论是技术、人员、流程全部是要整体地去看，才能比较好地把安全做好。

姬生利：我非常赞同张老师的观点，我看过的一些数据报告也显示人为因素占安全问题的大部分比例，也遇到过比如一些员工把敏感的凭据或者 AccessKey 泄露到 GitHub 上。这其实是员工安全意识的问题。还有是人员开发能力的问题，例如一段代码有一百行，里面有两个漏洞是他不知道的。所以首先还是人的问题。

再往上就是涉及到流程帮助人避免这些问题，例如可以做安全意识培训、安全技术培训等，告诉开发人员怎么做才是安全。

另外技术上可以实现安全左移（将安全程序（代码审查、分析、测试等等）移动到软件开发生命周期（SDLC）早期阶段，从而防止缺陷产生和尽早找出漏洞的过程），用 DataSecOps 的模式把安全检查的机制嵌入到研发的各个流程，例如代码提交时进行静态的代码扫描，或者做动态的代码扫描、漏洞的检测，通过这些技术手段来去弥补人所带来的问题。

张虎：姬老师的数据也印证了我的一些印象。安全是一个分阶层、分阶段的事情，刚开始是人员，后面是整体的流程。流程制定的水平，其实也是和管理人员的水平相关。国内的很多公司可能到中层或中层以上的领导，他干了五年、七年、十年之后，其实还是不太懂技术的，如果是他们来制定流程，我觉得这里面会有很多问题。所以真正你要把安全这个事情做得很好的话，各个方面都要有一个提升才行，挑战还是挺大的。

常见的攻击手段有哪些？

如何做好防御？

姬生利：我们企业的数据安全也包括上云后的云上数据的安全，它会面临几个风险面。

第一个是外部攻击的风险，我们给终端的用户或是第三方合作伙伴提供一些服务时，会受到一些黑客攻击，如 DDoS、通过漏洞窃取数据等，这是来自外部的安全风险。

第二是来自内部的风险。包括员工的误操作、恶意操作，员工和公司存在矛盾，或者是权限管理不完善，内部员工越权去获取数据，这也是常见的问题。

第三是与第三方合作的风险。包括几个维度，一是企业找外包公司协助开发时，会涉及到代码安全、敏感数据的安全。二是和第三方的数据交换共享也存在比较大的风险。

第四是数据上云后，云服务提供商的体量很大，受到的攻击也会更多，以及对用户对云平台的信任问题。

第五是合规和法律的风险。主要有数据出境是否合法，采集用户数据是是否经过用户的单独同意，有没有过度做用户采集等可能面临的风险。

现在的新技术、新架构日新月异，也给我们的数据安全带来很多挑战。当然云计算在我们数据上云之后，可能和用户传统的部署模式有比较大的差异，所以在云上也应该去考虑如何给用户提供云原生的数据安全的解决方案，来帮助用户解决这些困难。

张虎：这其实是一个很有意思的哲学，你的东西越容易被获得，也意味着别人也越容易获得；你的网络越方便，别人攻击你也越方便；你的系统越复杂，意味着你的漏洞也越多。

做好安全必须要有一套自己的方法和体系，首先要了解有哪些可能的攻击的角度，然后有目的地去做。如果没有很体系的去看这个事情，那个漏洞的级别可能是你完全没有想象到的，所面临的多样的攻击手段，也可能是你没有想象到的。一个系统如果非常重要，预算很高，涉及的人员也很多，就一定要有一个预算体系的去做这个事情。包括新技术的引入、原来的技术的认证、隔离等各种各样的问题。

健康码的系统可能存在哪些

安全问题，是如何解决的？

姬生利：我们从整个数据的生命周期来看。第一步就是需要收集个人信息，这里会涉及到有没有过度采集，有没有经过用户单独同意，所做用途是否超过了防疫的范围等问题。

第二个阶段就是数据的传输，很多企业非常缺乏的一点是传输应用层的数据加密，所以也是存在安全的问题。

第三个阶段就是数据的存储，数据存储的问题往往会涉及到数据加密的存储，我们接触到很多客户密码应用的普及度和海外相比还是差得很多的。另外有一个比较典型的问题是密码技术用得不对，密钥管理不当，钥匙管理不当，那这个锁锁上了也没有什么用。

第四个阶段是数据的使用，主要涉及是否过度挖掘个人信息、是否用在了防疫以外的场景、做数据交互时是否脱敏、做大数据分析是否去标识化等问题。

第五个阶段是当用户授权过期，这个数据是不是正确地永久性地做删除。

在疫情刚开始的时候，腾讯也在负责很多健康码的项目，在非常紧急的情况下，我们需要快速的业务上线，带来一个问题是数据安全风险怎么解决。当时正好我们有一款数据安全加密的产品叫做 CASB，云访问安全代理。我们在健康码项目第一个上线这套加密系统，用了不到一周，当然中间包括很多测试的过程，对业务来说是没有感知的，就实现了对几亿人民的个人信息的保护。

张虎：健康码包含了我们很多重要的信息，包括核酸检测数据、行程数据等，价值是非常大的，可能会被当做数据攻击的目标，因为被盗取后它的价值也很大。

健康码使用频率非常高，到处都需要亮码，所以要求很高的并发。也涉及到各种各样的数据整合，它其实还涉及到公安系统的读取。如果做这个过程要做好安全肯定要加很多东西，显然是也会对并发能力造成影响，而且要把这个系统的安全做到可以让专业人员可以接受的程度，这里面的挑战非常大。

很多企业做了安全防护但效果欠佳，

通常是哪些环节没做到位？

姬生利：我个人感觉很多企业在做数据安全的时候还是有一种头痛医头、脚痛医脚的感觉。一个是对购买的设备如堡垒机、硬件密码机，到底有没有真正地用起来，还有就是不同的数据安全产品有没有实现联动，帮助企业更好地发现和防护安全。

第二是不够体系化、系统化。刚才也提到了一旦数据泄露对企业会造成各方面的非常大的影响。所以企业客户更多的是想要知道怎么去做数据安全，我们为用户提供数据安全中心，包括数据分类分级和风险评估等就是要告诉用户该如何着手。

张虎：一个中小型企业想要系统地解决数据安全的问题确实非常困难，这里我也提一个我的想法，最终是希望能让客户以比较低的成本，达到基本的安全水准。

我们的安全从业人员可以考虑提供一个安全容器，里面有许多默认的安全行为，业务部署进去容器时需要审核是否达到要求的安全等级，例如文件、数据库的用户名和密码等，如果没有达到则会反馈一份安全报告。包括数据通讯、网络通讯等行为都会做一个审计。

还有数据库，可能就直接提供一个 service，用户就直接在我们提供的 service 里面去托管数据。技术设施你们都有做一些常规的或者标准的数据安全在里面。这可能是一个方向。

姬生利：张老师说得非常好，我们也在努力往这个方向去走，可以举一下典型的场景的案例。我们知道，如果是从业务做数据库加密的话，改动量非常大，所以上云最大的一个优势是基于云原生的架构，可以给用户做到一键开启的功能，比如我们通过虚拟化的方式，把密码机通过虚拟化的方式给用户降低使用成本，云上提供 Kms，我们云上的一些数据库如 Mysql、TDSQL 和 Kms 做对接，实现表空间级的加密。用户需要做的事情就一键开启这个加密的功能，然后云平台就可以提供最基础的透明加密的能力。例如刚才提到的 CASB 也能够很好地实现业务免改造的数据加密。

我们后面也会继续把原生的安全产品的能力打通，包括整体的数据安全治理的思路，会提供数据安全中心，做整个数据安全治理的平台，主要作用是告诉用户怎么做数据安全，风险在哪里。然后是做数据安全管控的产品，包括网络安全的产品或者基础安全的产品，真正的让它能够用起来、用好。

我们还是一贯的思路，让用户尽量少去改造，充分的去借助云平台的能力，就像健康码的场景，能够快速的实现数据安全的防护。

近年来的网络安全有哪些变化趋势，

网络安全防御该用什么新思路去建设？

张虎：这个年代我们说数据安全、系统安全都是离不开网络安全的。现在数据获取全都是通过网络，它非常便捷，但也意味着别人也容易偷你的数据。几乎所有的数据是通过网络被偷走。所以我就想顺便聊一聊我对这个东西的观察。

很多东西只是个人觉得安全，但其实它的漏洞也是非常的多。例如 Linux 系统，java 语言里面有多少漏洞也没人说得清楚，应用层的框架，自己写的应用，运维的工具，所有的东西只要连上网，都是有可能会被利用的。所以网络安全能做的点非常多，难度也很大，所以会有很多机构、去组织力量做这个事情。

网络安全怎么做好，第一点是要做好隔离。哪些权限能访问哪些网络，能访问哪些磁盘、资源，可以通过相对能够控制访问者行为的容器把它包起来，这样会相对安全一点。当然容器本身也可能不安全，这里面有很多问题是需要安全团队来继续完善的。

在保证基础是安全的前提下，在技术上我们先去做隔离，在隔离的技术上再去做规则。比如授权和用户认证。登录的身份验证原来可能是简单的用户名和密码，现在可能就是要更复杂的系统，例如定位、IP 地址、登录设备都要做二次确认。确认身份后，可以访问哪些数据，这就是授权问题了。

所以基本的逻辑就是从基础去做隔离，然后做好身份认证，相应地有哪些访问权限。

假设我们做了一个大系统，里面几十亿条数据，做好了所有能做的安全措施，但是它还是有可能会被攻破。网络安全非常复杂，你想做到万无一失几乎是不可能的。所以我们要假设它就是不安全的，然后再去通过某一个手段发现。甚至可以把每一个网络通讯的数据包都存下来，从海量的数据里面筛选出来一些可能是异常的数据包。那些异常的数据包很有可能就是有人来偷你的数据。当然我们还要不停地去迭代我们的手段，这是一个持续的问题。

互动提问

如何保护配置文件中的敏感信息？

如数据库密码

业界其实有非常标准的解决方案，在云上我们看 AWS 、谷歌和 腾讯云 都有一款产品叫 secrets Manager ，SSM，核心在于我们通过和 KMS 对接来加密我们这些敏感的账号密码，然后在业务端通过集成 SDK，通过一个标识、一个索引来动态的去获取我们的数据库账号密码。这是业界比较通用的方案，也可以推荐给大家了解一下。

怎么选择适合自身业务的加密算法？

第一个原则是一定不能自己去写密码算法，因为没有经过工业级的验证，它都是很不安全的。

第二个原则是从AES、RSA这套国际的密码体系和国密之间做一个选择，你要不要去考虑密评，要不要考虑国产密码测评这条认证的路线，未来考虑这个密评就选国密算法，比如AES对应的SM4算法，或者RSA对应的SM2。

我们通常给用户的建议是如果业务服务于国内的用户，在国内我们建议直接用国密算法，不用去纠结。如果是海外的市场，建议还是AES、RSA这套体系。我们云上给租户提供的KMS或者是云密码机，我们都是默认国密的算法。

密钥保存在专人才有权管理

的服务器上是安全的吗？

不建议把密钥保存到服务器上的，通常业界的做法还是要托管在密码机，是专业的密码设备。密码机跟普通的服务器相比，它是专注在密钥管理的领域做了非常深入的研究和安全加固。所以我们还是建议密钥的托管在 KMS 或者直接云加密机的方式去托管。

在数据使用中有哪些好的安全方案？

这也是我们面临的比较大的挑战，前几年是通过密码学的方式去解决，但近几年新的技术是我们基于硬件 TEE 去解决计算环境的安全问题，英特尔 SGX 是其中一种技术，但是提供的一些驱动和 SDK，但都非常难用。

我们也在思考怎么样降低技术的门槛，让用户把它用起来。所以我们今年三月份也发布了一款产品叫 CCP，机密计算平台，我们的思路是给用户提供一套工具，把用户现在的应用或者你现在的服务、现在的容器镜像经过一系列转换后，在机密计算的容器里面跑起来。它的内存也是受 CPU 保护的，这点我们也做过各种验证。

优势是可以支持通用的场景，从性能来看，不同的应用的性能损耗不太一样，性能基本上能控制在 10% 或者 20% 以内，它相比同态加密的方案在性能上是一个质的飞跃，大家感兴趣也可以尝试。

结语

数据泄露事件并不少见，一旦数据泄露将会给企业带来巨大的损失。企业需要重视数据安全问题，并将数据安全做成体系，因为仅依靠单点防护难以达到真正安全的防护效果，构建全生命周期的安全防护是做好数据安全的必然选择。