數(shù)據(jù)安全，始于數(shù)據(jù)資產(chǎn)梳理。數(shù)據(jù)資產(chǎn)梳理是數(shù)據(jù)庫安全治理的基礎(chǔ)，通過對數(shù)據(jù)資產(chǎn)的梳理，可以確定敏感性數(shù)據(jù)在系統(tǒng)內(nèi)部的分布、確定敏感數(shù)據(jù)是如何被訪問的、確定當(dāng)前的賬號和授權(quán)的狀況。

（1）靜態(tài)梳理技術(shù)

靜態(tài)梳理是完成對敏感數(shù)據(jù)的存儲分布狀況的摸底，從而幫助安全管理人員掌握系統(tǒng)的數(shù)據(jù)資產(chǎn)分布情況。

靜態(tài)梳理可以分為結(jié)構(gòu)化數(shù)據(jù)梳理和非結(jié)構(gòu)化數(shù)據(jù)梳理。

對于結(jié)構(gòu)化數(shù)據(jù)的梳理，通過靜態(tài)的掃描技術(shù)可以獲得數(shù)據(jù)的以下基本信息：

A、通過端口掃描和特征發(fā)現(xiàn)，可以得到系統(tǒng)網(wǎng)段內(nèi)存在的數(shù)據(jù)庫列表，以及所分布的IP，從而獲得數(shù)據(jù)庫資產(chǎn)清單；

B、根據(jù)所定義的企業(yè)內(nèi)不同敏感數(shù)據(jù)的特征，以及預(yù)先定義的這些數(shù)據(jù)的類別和級別，通過對表中的數(shù)據(jù)進(jìn)行采樣匹配，獲得不同的列、表和庫中的數(shù)據(jù)所對應(yīng)的級別和類別；

對于非結(jié)構(gòu)化數(shù)據(jù)，通過磁盤掃描技術(shù)，根據(jù)預(yù)先定義的數(shù)據(jù)特征，對于CSV、HTML、XML、PDF、Word、Excel和PPT等文檔中的內(nèi)容進(jìn)行掃描，獲得這些文件中所具有的信息的類別和級別。

無論是結(jié)構(gòu)化還是非結(jié)構(gòu)化，都要建立對應(yīng)的敏感數(shù)據(jù)資產(chǎn)清單。

（2）動態(tài)梳理技術(shù)

動態(tài)梳理技術(shù)是基于對網(wǎng)絡(luò)流量的掃描，實(shí)現(xiàn)對系統(tǒng)中的敏感數(shù)據(jù)的訪問狀況的梳理，包括：敏感數(shù)據(jù)的存儲分布、敏感數(shù)據(jù)的系統(tǒng)訪問狀況、敏感數(shù)據(jù)的批量訪問狀況、敏感數(shù)據(jù)的訪問風(fēng)險(xiǎn)。

通過動態(tài)梳理技術(shù)可以獲得數(shù)據(jù)的以下基本信息：

哪些IP（數(shù)據(jù)庫主機(jī)）是數(shù)據(jù)的來源；

哪些IP（業(yè)務(wù)系統(tǒng)或運(yùn)維工具）是數(shù)據(jù)的主要訪問者；

敏感數(shù)據(jù)是如何被業(yè)務(wù)系統(tǒng)訪問的（時(shí)間、流量、操作類型、語句）；

敏感數(shù)據(jù)是如何被運(yùn)維人員訪問的（IP、用戶、操作）；

動態(tài)梳理同樣要分為對結(jié)構(gòu)化數(shù)據(jù)訪問網(wǎng)絡(luò)流量的掃描，以及非結(jié)構(gòu)化數(shù)據(jù)訪問的網(wǎng)絡(luò)流量的掃描。結(jié)構(gòu)化數(shù)據(jù)的網(wǎng)絡(luò)流量，主要是對各種RDBMS、NOSQL、MPP數(shù)據(jù)庫的通訊協(xié)議的流量監(jiān)控；非結(jié)構(gòu)化數(shù)據(jù)主要是對Mail協(xié)議、HTTP、FTP等協(xié)議的監(jiān)控和解析。

（3）數(shù)據(jù)狀況的可視化呈現(xiàn)技術(shù)

通過可視化技術(shù)將靜態(tài)資產(chǎn)和動態(tài)資產(chǎn)梳理技術(shù)梳理出的信息以可視化的形式呈現(xiàn)；比如敏感數(shù)據(jù)的訪問熱度、資產(chǎn)在組織內(nèi)不同部門或業(yè)務(wù)系統(tǒng)內(nèi)的分布、系統(tǒng)的賬號和權(quán)限圖、敏感數(shù)據(jù)的范圍權(quán)限圖。

（4）數(shù)據(jù)資產(chǎn)存儲系統(tǒng)的安全現(xiàn)狀評估

安全現(xiàn)狀評估是將已定位、梳理的數(shù)據(jù)庫資產(chǎn)進(jìn)行全面檢測評估，評估項(xiàng)包括：口令和賬戶、弱安全策略、權(quán)限寬泛、權(quán)限提升漏洞、日志、補(bǔ)丁升級等，評估是否存在安全漏洞。通過安全風(fēng)險(xiǎn)檢查讓數(shù)據(jù)資產(chǎn)管理員全面了解數(shù)據(jù)庫資產(chǎn)運(yùn)行環(huán)境是否存在安全風(fēng)險(xiǎn)。

通過安全現(xiàn)狀評估能有效發(fā)現(xiàn)當(dāng)前數(shù)據(jù)庫系統(tǒng)的安全問題，對數(shù)據(jù)庫的安全狀況進(jìn)行持續(xù)化監(jiān)控，保持?jǐn)?shù)據(jù)庫的安全健康狀態(tài)。

安全現(xiàn)狀評估的價(jià)值：

（1）提升數(shù)據(jù)庫使用安全系數(shù)：檢測出數(shù)據(jù)庫的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補(bǔ)丁未升級等問題。對檢測出的問題進(jìn)行有針對性的修復(fù)，整體提升數(shù)據(jù)庫使用安全系數(shù)。

（2）降低數(shù)據(jù)庫被黑客攻擊風(fēng)險(xiǎn)：檢測出數(shù)據(jù)庫使用過程中由于人為疏忽造成的諸多安全隱患，例如：低安全配置、弱口令、高危程序代碼、權(quán)限寬泛等。對上述安全隱患進(jìn)行針對性處理后可有效降低黑客攻擊風(fēng)險(xiǎn)。

（3）滿足政策檢測要求：在進(jìn)行安全現(xiàn)狀評估后，數(shù)據(jù)庫管理人員可針對數(shù)據(jù)庫漏洞、風(fēng)險(xiǎn)使用等方面的風(fēng)險(xiǎn)進(jìn)行改進(jìn)，滿足相關(guān)政策對數(shù)據(jù)庫安全使用的檢測要求。

根據(jù)本單位的數(shù)據(jù)價(jià)值和特征，梳理出本單位的核心數(shù)據(jù)資產(chǎn)，對其分級分類，在此基礎(chǔ)之上針對數(shù)據(jù)的安全管理才能確定更加精細(xì)的措施。

數(shù)據(jù)資產(chǎn)梳理能夠有效地解決企業(yè)對資產(chǎn)安全狀況摸底及資產(chǎn)管理工作；改善以往傳統(tǒng)方式下企業(yè)資產(chǎn)管理和梳理的工作模式，提高工作效率，保證了資產(chǎn)梳理工作質(zhì)量。合規(guī)合理的梳理方案，能做到對風(fēng)險(xiǎn)預(yù)估和異常行為評測，很大程度上避免了核心數(shù)據(jù)遭破壞或泄露的安全事件。