知己知彼，方能立于不败之地。

在上一篇知己篇-敏感数据定位难？听说这款产品贼拉好用（点击查看详情）中讲述了未知敏感数据如何定位和识别。知彼篇聚焦对敏感数据的管和控，从数据外泄渠道或方法等方面分析，从零到整地解析管控力度和技术手段。

小天：在说管控之前，我们要先了解下泄露风险点有哪些？先给自身来一个「把脉问诊」。

对，最近我看见一篇文章讲常见的泄露方式就有十几种，而且很多敏感信息都是在无意识中泄露的，真是防不胜防啊。

1.拍照录屏

在办公场景中，员工或外来人员通过手机或其他设备拍摄、录屏敏感数据，是常见数据泄露途径之一。尤其在信息化和移动化办公环境中，造成了企业数据难以控制的风险。

2.介质拷贝

敏感数据通过U盘、移动硬盘等介质进行拷贝，由于介质存储便携性强，容易导致数据在无意识或有意的情况下被带离企业内部环境。

3.非法外联

非法外联是指设备或系统通过未授权的网络连接与外界进行通信，从而将敏感数据传输至外部。黑客通过植入恶意代码，利用非法外联手段将数据窃取或远程控制受害者设备，常见于APT攻击中。

4.SQL注入

SQL注入攻击是黑客通过在输入字段中插入恶意SQL语句，绕过数据库认证，非法获取数据库中敏感数据。通常发生在输入验证不严的Web应用中。

5.API未经授权

API的广泛使用为数据交互带来便利，但未经授权的API调用可能导致敏感数据被非法获取。未进行身份验证和访问控制的API接口，容易被黑客利用。

6.数据库未经授权

数据库未经授权访问可能导致大量敏感数据的泄露。通常发生在数据库缺乏访问控制策略，或管理员凭证遭泄露的情况下。

7.账号接管（ATO）攻击

账号接管（Account Takeover, ATO）攻击指攻击者通过暴力破解、凭证填充等手段，获取合法用户的账号权限，并进行恶意操作，如窃取敏感数据、发起金融交易等。

8.网络钓鱼攻击

网络钓鱼是通过伪装成合法网站、邮件、短信等形式，引诱受害者泄露账号密码、个人隐私或下载恶意软件的攻击方式。极易导致敏感数据泄露，并进一步引发其他安全威胁。

9.电磁泄漏

电磁泄漏是通过采集设备电磁波形而窃取数据的技术手段。尽管这一技术在普通商业环境中使用频率不高，但在涉及国家安全等高度敏感的信息环境中，电磁泄漏依然是一种严重威胁。

10.刻录打印泄露

敏感数据通过刻录光盘、打印文件等方式泄露是传统数据泄露途径之一。在刻录或打印过程中，数据被截取或员工在未授权情况下擅自复制敏感信息，可能导致严重泄露事件。

11.供应链攻击

供应链攻击是指通过供应商、合作伙伴等第三方的安全漏洞或安全缺陷，攻击者间接入侵企业内部网络并窃取数据。随着企业业务复杂化和全球化，供应链攻击逐渐成为数据泄露的重要途径。

12.敏感数据未加密或脱敏

在数据备份、数据传输和大数据分析场景中，敏感数据未进行加密或脱敏处理，在传输和存储过程中容易被截取或非法访问。

小天：是的，从全盘来看可以分为三大方面即：暴露面、攻击面和脆弱面。我们今天从技术角度概述这三方面的风险点。

暴露面是指在网络中可被外部访问的部分。通常是组织向外部开放的资源，如公开的IP地址、网络服务和API接口。

攻击面是指一个系统中所有潜在的攻击入口，包括网络、应用程序和用户接口等，涵盖了所有可能被攻击者利用的组件。

脆弱面是指系统中存在的安全漏洞或弱点，极易被怀有不良意图的攻击者所察觉并加以利用，一旦被利用就很有可能引发各类安全事件。

说得通用点，最好是可以直接落地的那种。

小天：好的，简言之，这三个方面是指我们的业务有哪些对外访问接口或服务？目前数据资产部署位置及周边环境可靠嘛？业务系统有没有漏洞或者弱点？

针对以上多方面数据安全管控技术不外乎以下两大维度：由于数据流转和调取的技术方式太多，对应管控的覆盖面就需要足够的广。数据按需调取的业务需求繁杂，对应防护的管控粒度要足够丰富才能满足不同业务数据流转需求。

对，在保证数据“能用”、“可用”业务基础上，哪些技术能实现多方面的“管”和“控”呢？

小天：好的。那我从以下两点展开来讲：

管控维度的全面性

从物理逻辑管控一般分为网络端、终端（包括终端检测系统和探针等）。实际对应就是技术方式多样化：串联模式、代理模式、旁路模式、探针模式、网端联动模式等，覆盖多维度应用场景。

如针对业务侧越来越多API接口调用的监管，一般通过串接或者旁路模式接入API安全审计系统、API网关等，做到API接口可识别、API接口调用可监控，实现API接口违规访问行为管控。

另外，针对客户业务数据上云，可通过引流结合网端管控系统等方式部署安全系统，如数据库审计与防护系统，实现云内数据的流转监控。

管控粒度的丰富性

一般目前业界常见控制的技术手段：分类分级、阻断、加密、脱敏、水印、审计、告警、备份等。

● 分类分级：依据数据的性质、用途、敏感程度等因素，对数据进行合理地类别划分与级别设定。

● 阻断：通过技术手段直接对访问行为予以拦截，或者断开相应的访问链接。

● 加密：针对重要数据运用可靠的加密技术进行加密处理。

● 脱敏：针对数据中敏感字段，采用遮蔽、替换、加密等专业技术手段进行处理。

● 水印：通过在数据上添加明水印或者暗水印的方式，实现有效溯源。

● 审计：全面监控数据在流转以及调取过程中的所有路径，细致记录每一个关键节点与操作。

● 告警：当监测到出现数据外泄或者存在违规操作行为时，及时发出告警提醒。

● 备份：采用异地容灾备份方式，保障数据泄露、丢失后的及时恢复。

各种业务场景下，防护需求呈现出多样性，这就需求根据具体业务特点分析，「对症下药」实施针对性地防护措施。例如，某企业需要提供数据给第三方机构，用于新业务系统对接测试，此时，着重要做好外发数据中敏感信息的防护工作，这就需要用到数据脱敏相关技术。

嗯，理论知识很丰富啊。那落到实际中呢？

小天：在今年初，我们接到一个客户需求说要升级改造业务系统，提升内部服务器区域核心监管，助力智能业务建设，保障基础数据使用安全。整体实践依照客户网络架构图分区进行：在多个核心业务区分别部署备份一体机；在业务服务区前端，部署数据库审计系统、数据库审计与防护系统；在网络出口等关键路径，部署网络数据防泄漏系统。

那这些设备都能做什么啊？

小天：部署在核心业务区的备份一体机，主要针对核心业务数据进行实时备份。部署在业务服务区的数据库审计、数据库审计与防护系统通过对数据库协议的识别和解析，并进一步实现对数据库操作行为的识别、审计、管控、阻断、告警等，做到敏感数据的实时监控，实现事中防控、事后溯源。

数据脱敏系统可利用多种脱敏算法实现敏感信息的脱敏处理，满足不同业务部门对不同数据的使用要求，同时防止了敏感信息外泄。网络数据防泄漏系统基于UEBA技术，对多场景进行统一用户行为分析，有效防止用户核心数据被内部人员通过网络传输方式非法窃取或意外泄露，保障数据生命周期使用过程中安全可控。

通过部署数据库审计与防护系统、数据脱敏系统、网络数据防泄漏系统、备份一体机等产品，实现敏感数据实时监控、细粒度管控、事后溯源，让数据在发挥更大效力的同时用得更放心！

有这样的干货你藏着掖着，害人啊！我这就回去汇报去！

小天：嘻嘻，干货已经奉上！

另外温馨提示：数据泄露途径多种多样，随着技术发展和攻击手段不断进化，企业和组织面临的数据安全威胁也在不断增多。“知己知彼，方能立于不败之地”大家要牢记。最后，有关数据安全的三句话小天再给大家叨叨下。

1、综合防御很重要！

数据安全防护不应局限于某一方面，而应是综合防御体系。企业应当根据自身业务特征和数据敏感程度建立完善的安全防护体系，加强系统各个环节的保护。

2、数据安全挑战与时俱进！

数据安全风险是动态变化的，管理和防范措施也应随之调整。定期进行安全评估和优化，确保防护措施的最新性和有效性。

3、提升员工安全意识！

随着技术发展，数据安全挑战不断涌现。企业和个人需时刻保持警惕，安全意识培训应贯穿全体员工，形成“网络安全靠大家”的企业文化，关注最新安全态势，持续加强安全防护能力。