數(shù)據(jù)中臺之?dāng)?shù)據(jù)安全系列風(fēng)險篇

數(shù)據(jù)中臺被譽(yù)為大數(shù)據(jù)的下一站，由互聯(lián)網(wǎng)巨頭提出，核心思想是數(shù)據(jù)共享。

數(shù)據(jù)中臺是聚合和治理跨域數(shù)據(jù)，將數(shù)據(jù)抽象封裝成服務(wù)，提供給前臺以業(yè)務(wù)價值的邏輯概念。數(shù)據(jù)中臺距離業(yè)務(wù)更近，可以為業(yè)務(wù)提供速度更快的服務(wù)。數(shù)據(jù)中臺可以建立在數(shù)據(jù)倉庫和數(shù)據(jù)平臺之上，將數(shù)據(jù)生產(chǎn)為一個個數(shù)據(jù)API 服務(wù)，以更高效的方式提供給業(yè)務(wù)，是加速企業(yè)從數(shù)據(jù)到業(yè)務(wù)價值的過程的中間層。從強(qiáng)調(diào)效率的需求出發(fā)，數(shù)據(jù)中臺天然具有開放性和高效性的特點(diǎn)，而開放性和高效性同樣帶來了不容忽視的數(shù)據(jù)安全隱患。

數(shù)據(jù)中臺數(shù)據(jù)安全風(fēng)險現(xiàn)狀

在數(shù)據(jù)中臺中，數(shù)據(jù)全生命周期涉及到的安全風(fēng)險涵蓋了數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、交換共享使用五個環(huán)節(jié)。此外，數(shù)據(jù)中臺還存在著通用安全風(fēng)險的痛點(diǎn)。從以上五個環(huán)節(jié)一個痛點(diǎn)出發(fā)，我們來詳細(xì)分析一下數(shù)據(jù)中臺的數(shù)據(jù)安全風(fēng)險現(xiàn)狀。

一、數(shù)據(jù)采集側(cè)

1）數(shù)據(jù)保護(hù)措施與敏感級別不匹配

數(shù)據(jù)分類分級既是數(shù)據(jù)治理的基礎(chǔ)，也是開展數(shù)據(jù)安全工作的前提。我國相關(guān)法律法規(guī)也要求對不同安全級別的數(shù)據(jù)需采取不同的安全保護(hù)措施與手段。

舉例來說，若政務(wù)大數(shù)據(jù)平臺中的數(shù)據(jù)未進(jìn)行分類分級，則會按照政務(wù)網(wǎng)數(shù)據(jù)默認(rèn)敏感等級進(jìn)行安全保護(hù)，從而造成以下問題：首先，進(jìn)行安全防護(hù)工作需要投入更大量的人力物力財力；其次，未分類數(shù)據(jù)中敏感級別低于默認(rèn)敏感級別的數(shù)據(jù)會被過度保護(hù)，存在安全資源過度投入，防護(hù)過度也會導(dǎo)致系統(tǒng)運(yùn)作效率的降低；另外，被默認(rèn)級別保護(hù)的數(shù)據(jù)中還將含有大量敏感級別高于默認(rèn)級別的數(shù)據(jù)，從而出現(xiàn)高敏感數(shù)據(jù)保護(hù)不足的風(fēng)險。對于企業(yè)來說也存在同樣的問題。

2）統(tǒng)一訪問控制機(jī)制存在短板

大數(shù)據(jù)資源池包括關(guān)系型數(shù)據(jù)庫、大規(guī)模并行數(shù)據(jù)倉庫、分布式大數(shù)據(jù)，其中每類數(shù)據(jù)庫均有自己的賬號和權(quán)限體系。如果要應(yīng)用全局安全策略，則需要對每一類數(shù)據(jù)庫分別進(jìn)行設(shè)置，必然會導(dǎo)致工作量成倍增加的問題。

每類數(shù)據(jù)庫對訪問控制的粒度以及標(biāo)準(zhǔn)存在不一致的支持度。假設(shè)當(dāng)前需要進(jìn)行字段級粒度的訪問控制，而某些組件只能對表級粒度進(jìn)行訪問控制。因此，訪問控制能力的差異必然會導(dǎo)致制定全局安全策略變得困難。

“工作量增加”與“全局策略制定困難”成為了“統(tǒng)一訪問控制機(jī)制”的短板。

3）運(yùn)營/運(yùn)維人員拖庫撞庫風(fēng)險

運(yùn)維人員使用數(shù)據(jù)庫賬號進(jìn)行運(yùn)維管理，該賬號的權(quán)限有可能超出實(shí)際運(yùn)維管理所需要的標(biāo)準(zhǔn)。如果對其缺少訪問行為控制管理，運(yùn)維人員技術(shù)層面上就可以進(jìn)行與運(yùn)維任務(wù)無關(guān)的操作。在好奇心或某些利益驅(qū)動下，運(yùn)維人員完全可以執(zhí)行拖庫撞庫操作，以獲取其感興趣的數(shù)據(jù)，導(dǎo)致數(shù)據(jù)大量泄漏。

二 )、數(shù)據(jù)存儲側(cè)

1）權(quán)限失控風(fēng)險

大數(shù)據(jù)資源池中每種數(shù)據(jù)庫都有超級管理員賬號，超級用戶是數(shù)據(jù)庫創(chuàng)建過程中的缺省用戶，可以認(rèn)為是數(shù)據(jù)庫中的“造物主”，他們就像Unix系統(tǒng)的root用戶或Windows的Adminstrator用戶，有著至高無上的權(quán)力。當(dāng)然，為了安全一般這種超級用戶的口令都被掌握在極少數(shù)人手里，但是過度集中的權(quán)力同樣也會帶來問題，當(dāng)超級用戶擁有最高權(quán)力的情況下，意味著他可以做任何想做的事，并且不留下任何痕跡。因此，大數(shù)據(jù)資源池中還存在權(quán)限失控風(fēng)險。

此外，在數(shù)據(jù)存儲環(huán)節(jié)，同樣存在著統(tǒng)一訪問控制機(jī)制的短板和運(yùn)營/運(yùn)維人員拖庫撞庫的風(fēng)險，這里不再進(jìn)行贅述。

三、數(shù)據(jù)處理側(cè)

1）處理過程中的惡意操作

數(shù)據(jù)治理行為通過執(zhí)行治理腳本實(shí)現(xiàn)，治理腳本含有各種數(shù)據(jù)源操作命令。如果未對操作命令進(jìn)行有效管控，就可能會出現(xiàn)惡意命令。惡意命令一旦被執(zhí)行，數(shù)據(jù)源就有被破壞的風(fēng)險，以及導(dǎo)致其他不可預(yù)知的安全問題。

2）缺少命令自動審批機(jī)制

雖然采用審批方式可以治理腳本自身風(fēng)險，但審批環(huán)節(jié)除了要判斷治理腳本本身風(fēng)險外，還要判斷治理腳本影響的庫表是否與申請信息一致，從而確保治理腳本業(yè)務(wù)的正確性。因此針對不同的目標(biāo)對象，治理腳本需進(jìn)行差異化的審批策略。

若采用人工審批方式，在審批完成之前，若不能阻止未審批通過的腳本執(zhí)行，則存在未授權(quán)執(zhí)行風(fēng)險。另外，人工審批高度依賴個人經(jīng)驗(yàn)，對含有大量操作命令的腳本可能存在誤判。因此，還存在高危腳本被審批通過的風(fēng)險。另一方面，人工審批機(jī)制無法保證足夠的時效性，對于數(shù)據(jù)中臺的整體效率是一塊短板。

3）治理流程脫管

數(shù)據(jù)治理通過執(zhí)行治理腳本完成。治理腳本通過治理平臺執(zhí)行時，執(zhí)行過程、執(zhí)行結(jié)果都會被治理平臺管控。另外，治理腳本也可以通過手動執(zhí)行，手動執(zhí)行的過程、結(jié)果不能同步給治理平臺，治理平臺無法管控，從而導(dǎo)致數(shù)據(jù)治理流程脫離管控。

執(zhí)行治理腳本，會直接操作原始庫，若脫離管控的治理腳本被執(zhí)行操作，還將可能導(dǎo)致數(shù)據(jù)被破壞。

4）隱私泄密風(fēng)險

異常的數(shù)據(jù)治理行為（例如非法執(zhí)行數(shù)據(jù)查詢腳本）會導(dǎo)致隱私泄漏。如果沒有分析審計手段，當(dāng)異常行為發(fā)生時不能及時告警，異常行為發(fā)生后也無法追查取證。

四、 數(shù)據(jù)交換共享使用側(cè)

1）數(shù)據(jù)泄漏風(fēng)險

數(shù)據(jù)需求方會向數(shù)據(jù)中臺請求批量數(shù)據(jù)進(jìn)行分析，中臺提供批量數(shù)據(jù)時，由于對業(yè)務(wù)分析指標(biāo)不了解，會存在過度提供數(shù)據(jù)的情況。

例如，某應(yīng)用需要分析本年度每月結(jié)婚數(shù)量，該應(yīng)用會申請本年度所有結(jié)婚人口信息，包括姓名、住址、聯(lián)系方式等。其實(shí)統(tǒng)計每月數(shù)量僅需要時間信息準(zhǔn)確即可，姓名、住址、聯(lián)系方式等敏感信息都沒有提供的必要性。數(shù)據(jù)中臺在不了解分析內(nèi)容時，會提供本年度結(jié)婚的完整人口信息，過度提供數(shù)據(jù)從而導(dǎo)致敏感信息泄漏。

2）非法應(yīng)用服務(wù)器接入風(fēng)險

數(shù)據(jù)資源管理平臺通過接口方式對應(yīng)用提供數(shù)據(jù)服務(wù)，如果接口缺少應(yīng)用服務(wù)器的可信認(rèn)證機(jī)制就不能分辨應(yīng)用服務(wù)器的合法性，存在非法應(yīng)用服務(wù)器接入的風(fēng)險。

非法應(yīng)用服務(wù)器接入后，可以直接訪問數(shù)據(jù)資源平臺提供的所有接口，存在極大的安全風(fēng)險。

3）數(shù)據(jù)泄露不可追溯

數(shù)據(jù)服務(wù)平臺有時要提供批量數(shù)據(jù)給數(shù)需方，同一份數(shù)據(jù)也可能會同時提供給多個數(shù)需方。

假設(shè)發(fā)生了數(shù)據(jù)泄漏事件，并且泄漏的數(shù)據(jù)是數(shù)據(jù)服務(wù)平臺曾經(jīng)提供給了多個數(shù)需方的情況下，泄漏渠道可能是其中一個或多個數(shù)需方，也可能是數(shù)據(jù)中臺自身泄漏，很難準(zhǔn)確判斷泄漏途徑，存在數(shù)據(jù)泄漏不可追溯風(fēng)險，難以歸責(zé)。

4）違規(guī)使用數(shù)據(jù)風(fēng)險

數(shù)據(jù)在正常流程之外的對外發(fā)布操作都屬于異常行為。例如數(shù)需方請求超出其實(shí)際需要的數(shù)據(jù)屬于異常行為，未經(jīng)授權(quán)的人員使用發(fā)布的數(shù)據(jù)也屬于異常行為。以上對發(fā)布數(shù)據(jù)異常使用的行為，均會導(dǎo)致數(shù)據(jù)違規(guī)使用的風(fēng)險。

若沒有異常行為監(jiān)控手段，當(dāng)異常行為發(fā)生時不能及時告警，異常行為發(fā)生后也無法追查取證。

五、通用安全風(fēng)險方面

1）缺少數(shù)據(jù)訪問分析手段

安全策略的優(yōu)化依賴于對當(dāng)前數(shù)據(jù)安全狀態(tài)的掌握程度。對當(dāng)前數(shù)據(jù)安全狀態(tài)了解越充分，對后續(xù)的安全策略優(yōu)化提供的支撐則越充足。

數(shù)據(jù)一般會經(jīng)歷采集、處理、存儲、交換共享、使用、銷毀等過程，若缺少過程的聯(lián)動分析，就無法形成數(shù)據(jù)流動的整體態(tài)勢，難以對當(dāng)前數(shù)據(jù)安全狀態(tài)進(jìn)行整體掌握，也就無法為后續(xù)的數(shù)據(jù)安全決策提供有效支撐。

2）缺少安全事件異常告警機(jī)制

當(dāng)發(fā)生安全事件時，需要及時的告警反饋，才能進(jìn)入應(yīng)急響應(yīng)流程。如果缺少安全事件異常告警機(jī)制，發(fā)生安全事件時就無法及時采取措施。安全事件越晚被發(fā)現(xiàn)，造成的損失也將越大。

3）敏感信息泄漏風(fēng)險

采集平臺與治理平臺的腳本開發(fā)完成后，需要測試腳本的有效性、穩(wěn)定性等。開發(fā)測試人員須有數(shù)據(jù)庫操作權(quán)限才能進(jìn)行腳本測試，該權(quán)限會涉及敏感信息，因此該環(huán)節(jié)存在敏感信息泄漏的風(fēng)險。

其他業(yè)務(wù)平臺后續(xù)也會進(jìn)行定制開發(fā)，其過程跟采集平臺、治理平臺類似，開發(fā)和測試環(huán)節(jié)都可能會導(dǎo)致敏感信息泄漏。

綜上所述，從數(shù)據(jù)的生命周期考量，數(shù)據(jù)中臺存在著以上多種形式的安全風(fēng)險，后面我們將以此場景針對性介紹對應(yīng)防護(hù)方案。