如何有效地保護(hù)敏感數(shù)據(jù)，成為了當(dāng)下產(chǎn)業(yè)發(fā)展的重要命題。

在數(shù)據(jù)時(shí)代，數(shù)據(jù)安全無(wú)疑是最受人們關(guān)注的。互聯(lián)網(wǎng)興起以來(lái)，數(shù)據(jù)安全就一直是熱點(diǎn)話題，頻頻出現(xiàn)在各大新聞?lì)^條。從國(guó)家機(jī)構(gòu)、金融行業(yè)，到互聯(lián)網(wǎng)行業(yè)，數(shù)據(jù)安全涉及廣泛的領(lǐng)域。企業(yè)一旦遭遇數(shù)據(jù)泄漏，或許會(huì)帶來(lái)營(yíng)收下降、聲譽(yù)受損、高額經(jīng)濟(jì)處罰、訴訟等后果，對(duì)任何企業(yè)而言都可能是致命打擊。

目前，市面上的數(shù)據(jù)防泄漏的相關(guān)產(chǎn)品（DLP）從傳統(tǒng)的管控型、行為監(jiān)察型，逐步向內(nèi)容感知型發(fā)展。盡管如此，這些產(chǎn)品仍然以被動(dòng)防護(hù)為主，主動(dòng)防護(hù)能力不足，特別是針對(duì)隱藏?cái)?shù)據(jù)的可逃避性追蹤。那么，究竟是否有一種行之有效的方法，可以彌補(bǔ)這一弊端呢？

敏感數(shù)據(jù)是指未經(jīng)授權(quán)訪問(wèn)的信息，一旦泄漏可能會(huì)給社會(huì)或個(gè)人造成嚴(yán)重后果的數(shù)據(jù)。比如：個(gè)人隱私數(shù)據(jù)，如姓名、身份證號(hào)碼、住址、電話、銀行賬號(hào)、郵箱、密碼、醫(yī)療信息、教育背景等; 也包括企業(yè)或社會(huì)機(jī)構(gòu)不宜公布的數(shù)據(jù)，如企業(yè)的經(jīng)營(yíng)情況、網(wǎng)絡(luò)結(jié)構(gòu)、 IP 地址列表等。應(yīng)該通過(guò)在數(shù)據(jù)安全性和信息安全性方面實(shí)施足夠的措施限制對(duì)敏感數(shù)據(jù)的訪問(wèn)，因而防止敏感信息在未經(jīng)授權(quán)情況下被披露。

黑客竊取敏感信息，通常是利益所驅(qū)。據(jù)中消協(xié)組織開(kāi)展的“App 個(gè)人信息泄露情況”問(wèn)卷調(diào)查顯示，超八成受訪者曾遭遇個(gè)人信息泄露問(wèn)題。最令人擔(dān)憂的問(wèn)題是個(gè)人信息被用來(lái)從事欺詐活動(dòng)，占 70.5％；其次是被出售或交換給第三方，約占 52.4％。黑客可以將敏感數(shù)據(jù)出售給他人，購(gòu)買者可以利用他人的信息或數(shù)據(jù)達(dá)到非法牟利或犯罪的目的。例如，使用受害者的信用卡或以他們的名義借貸；或者黑客用竊取來(lái)的數(shù)據(jù)用于針對(duì)網(wǎng)絡(luò)釣魚、攻擊和勒索；某些黑客也可以針對(duì)企業(yè)，盜取其商業(yè)機(jī)密等。

世界各國(guó)政府都在為此陸續(xù)出臺(tái)相關(guān)法律政策。在中國(guó)，全國(guó)人大常委會(huì)法工委共同起草了《數(shù)據(jù)安全法》草案，已經(jīng)提請(qǐng)十三屆全國(guó)人大常委會(huì)第二十次會(huì)議審議。而在歐洲，GDPR 將歐盟數(shù)據(jù)保護(hù)法的范圍擴(kuò)展至所有處理歐盟居民數(shù)據(jù)的外國(guó)公司，要求所有公司：提供數(shù)據(jù)泄漏的通知、任命一名數(shù)據(jù)保護(hù)官、需獲取用戶同意方能進(jìn)行數(shù)據(jù)處理、匿名化數(shù)據(jù)以保護(hù)隱私。Cyber??security Ventures 預(yù)測(cè)，從 2017 年到 2021 年的五年內(nèi)，全球在網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)上的支出累計(jì)將超過(guò) 1 萬(wàn)億美元（https://www.ibm.com/security/data-breach）。如此龐大的數(shù)字，可見(jiàn)無(wú)論是金融、運(yùn)營(yíng)商、生態(tài)系統(tǒng)，還是運(yùn)營(yíng)類 APP，各個(gè)行業(yè)平臺(tái)對(duì)數(shù)據(jù)安全的重視和投入都成增長(zhǎng)趨勢(shì)。如何有效地保護(hù)敏感數(shù)據(jù)顯然變成了當(dāng)務(wù)之急。

有了國(guó)家層面的立法保障，我們也看到近年來(lái)，數(shù)據(jù)防泄漏的相關(guān)產(chǎn)品（DLP）從傳統(tǒng)的管控型、行為監(jiān)察型，逐步發(fā)展到內(nèi)容感知型。但目前市面上的 DLP 產(chǎn)品仍存在不足之處。主要體現(xiàn)在這些 DLP 產(chǎn)品還停留在被動(dòng)式防護(hù)的邏輯上，主動(dòng)防護(hù)能力不足，特別是針對(duì)隱藏?cái)?shù)據(jù)的可逃避性追蹤。市面上各類應(yīng)用程序本身存在的漏洞正在被第三方濫用。國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布的《2019 年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》（圖1）報(bào)告指出，按安全漏洞所影響對(duì)象分類，有近 80% 的漏洞對(duì)象是發(fā)生在應(yīng)用程序與 web 應(yīng)用程序。

因此，對(duì)于敏感數(shù)據(jù)泄漏的安全防護(hù)應(yīng)該從源頭抓起，提升軟件源代碼的安全管控能力，特別是對(duì)軟件代碼中敏感數(shù)據(jù)去向的管控，以及是否存在安全隱患、被第三方惡意竊取、工程師的無(wú)意識(shí)泄漏等問(wèn)題。通過(guò)對(duì)軟件代碼進(jìn)行深度的靜態(tài)代碼分析（SAST）能有效解決以上的問(wèn)題，原因在于：

SAST 在軟件開(kāi)發(fā)與集成的早期階段就能主動(dòng)找出潛在的安全隱患。

由于 DLP 不能識(shí)別訪問(wèn)私有數(shù)據(jù)的威脅，及對(duì)網(wǎng)站的 SQL 注入。使用代碼掃描技術(shù)時(shí)，可以更容易地識(shí)別出此缺陷。

公司內(nèi)部的 IT 安全專業(yè)人員是 DLP 等解決方案的專家，但無(wú)法識(shí)別可能導(dǎo)致數(shù)據(jù)泄露的軟件代碼錯(cuò)誤。

要在源頭上實(shí)現(xiàn)敏感數(shù)據(jù)泄漏安全主動(dòng)防護(hù)，可通過(guò)程序開(kāi)發(fā)或運(yùn)營(yíng)方主動(dòng)標(biāo)記敏感數(shù)據(jù)字段，并對(duì)程序執(zhí)行需要調(diào)用的系統(tǒng) API 接口進(jìn)行檢查，包括系統(tǒng)打印、文件存儲(chǔ)、IPC pipe、IPC socket 等，確保敏感數(shù)據(jù)不被主動(dòng)或者被動(dòng)地泄漏給第三方，從而幫助企業(yè)經(jīng)營(yíng)管理的數(shù)據(jù)合規(guī)、有效降低數(shù)據(jù)泄漏風(fēng)險(xiǎn)。鑒釋的SAST工具，能夠主動(dòng)地發(fā)現(xiàn)可能導(dǎo)致數(shù)據(jù)泄漏或數(shù)據(jù)泄漏的缺陷，幫助從源頭解決問(wèn)題。

另一個(gè)值得關(guān)注的問(wèn)題，是企業(yè)對(duì)于信息安全方面的支出和預(yù)測(cè)不足。美國(guó)最頂尖的網(wǎng)絡(luò)安全專家之一Eric Cole 博士指出，隨著網(wǎng)絡(luò)攻擊的增加，企業(yè)不斷在安全方面付出高昂成本，但確經(jīng)常把錢花在錯(cuò)誤的地方。大部分與信息安全有關(guān)的支出，未被計(jì)為與信息安全有關(guān)（https://www.inc.com/joseph-steinberg/why-cybersecurity-spending-is-much-higher-than-reported.html）。不得不說(shuō)，發(fā)生此類現(xiàn)象，IT 安全官有無(wú)法推卸的責(zé)任。大部分時(shí)候，這是由于 IT 安全官忽視與程序員的溝通，而只關(guān)注協(xié)議和網(wǎng)絡(luò)級(jí)別的安全問(wèn)題。

除了有相關(guān)法律法規(guī)的保障作為前提，數(shù)據(jù)安全解決方案也應(yīng)滿足不同行業(yè)對(duì)數(shù)據(jù)安全的需求，提供全面的保障。靜態(tài)分析可以對(duì)源代碼進(jìn)行深度檢測(cè)與掃描，在軟件開(kāi)發(fā)、持續(xù)集成、持續(xù)交付的各個(gè)階段，引導(dǎo)安全編碼的早期介入。如此一來(lái)，可以主動(dòng)防止敏感數(shù)據(jù)泄漏，從而有效地保障個(gè)人隱私與企業(yè)經(jīng)營(yíng)的數(shù)據(jù)安全。我們很高興地看到，鑒釋來(lái)自不同領(lǐng)域的合作伙伴，都將靜態(tài)代碼掃描作為企業(yè)網(wǎng)絡(luò)安全的第一步，把對(duì)源代碼的安全視為一項(xiàng)重要的戰(zhàn)略投資。相比市面上大多數(shù)缺乏主動(dòng)防御機(jī)制的 DLP 解決方案，靜態(tài)代碼掃描的解決方案無(wú)疑可以填補(bǔ)這一空白。而更重要的是，數(shù)據(jù)安全不僅僅是 IT 安全官或數(shù)據(jù)隱私官的責(zé)任，也是開(kāi)發(fā)人員共同的責(zé)任。

作者簡(jiǎn)介

肖琳杰，鑒釋解決方案工程師，主要負(fù)責(zé)軟件開(kāi)發(fā)生命周期（SDLC）流程自動(dòng)化、軟件質(zhì)量管理與優(yōu)化、軟件數(shù)據(jù)安全。

關(guān)于鑒釋

鑒釋的使命是通過(guò)創(chuàng)建簡(jiǎn)單操作的工具來(lái)協(xié)助開(kāi)發(fā)人員構(gòu)建并調(diào)配安全可靠的代碼。鑒釋成立于2018年，由擁有數(shù)十年開(kāi)發(fā)經(jīng)驗(yàn)的世界級(jí)軟件專家創(chuàng)辦，并在深圳、北京、上海和香港設(shè)立了辦事處。鑒釋提高了代碼的審計(jì)、評(píng)估和缺陷檢測(cè)的速度和準(zhǔn)確性。我們通過(guò)使用高級(jí)靜態(tài)分析技術(shù)幫助客戶降低成本，提高生產(chǎn)力，并確保其軟件開(kāi)發(fā)人員具備相應(yīng)的能力以開(kāi)發(fā)更好、更可靠的軟件。

最后，記得關(guān)注微信公眾號(hào)：鎂客網(wǎng)（im2maker），更多干貨在等你！