本篇从数据安全场景出发，基于API等资产来解析常见的资产脆弱性风险、敏感数据暴露面风险、业务行为安全性风险三类风险。本篇主要介绍敏感数据暴露面风险。

数据暴露面风险，是数据安全中常见的一级风险类型，牵扯到的风险安全策略，可以涵盖敏感数据泄露安全策略、接口API数据安全策略、数据安全合规策略等，与企业的高价值业务紧密相关，具有非常高的安全战略意义，是数据安全体系建设不可忽视的一环。

一、什么是数据暴露面风险

数据暴露面风险，关注的对象和资产脆弱性、业务行为安全性不同，主要关注数据本身，将数据作为安全监测对象，针对数据违规存储/传输等数据生命周期阶段导致的涉敏数据暴露在外形成的潜在风险，进行安全监测。对数据暴露面风险的安全能力建模，需要有一定的前置依赖，如敏感数据的主动扫描以获取元数据信息、通过分类分级来获取其业务信息等等。数据本身的各类属性或附属描述信息越多，数据暴露面风险的覆盖面和策略规则细节就越丰富，也越能精准的根据经济业务和安全业务需要，来制定符合企业的暴露面风险检测策略。当然，在此，我们仅仅从通用型的安全业务需求出发，来探讨敏感数据暴露面风险到底该如何落地。

二、数据暴露面中的“数据”

数据暴露面风险，首先要对所要保护的数据进行定义，目前可给出的通用数据资产定义，包括敏感数据、重要数据、核心数据、一般数据。

1、敏感数据：目前可分为企业内部自己定义的业务敏感数据，以及个人信息保护法定义的个人信息及敏感个人信息。具体可根据自身实际情况界定。敏感个人信息可参考《个人信息保护法》；

2、重要数据：与国家安全、经济发展，以及社会公共利益密切相关的数据。具体请参考《重要数据识别指南（征求意见稿）》；

3、核心数据：主要从国家经济、文化、军事等战略层方面定义的数据，本文不赘述，请参考《工业和信息化领域数据安全管理办法（实行）》。

4、一般数据：从数据安全角度来看，一般数据定义相对更加模糊，是对重要数据和核心数据的补充。但作者认为又区别于企业的敏感数据。因为一般数据、重要数据、核心数据都是上位法从宏观层面对数据做出的定义；而敏感数据更多从企业视角出发，结合企业业务情况进行定义。

三、数据暴露面风险能力模型

结合上图来看，整个数据暴露面风险可以分为四步，包含了对数据资产的定义/识别（Identify）、检测（Detect）、评估（Assess）、响应（Response/Recovering）；基本符合常见的风险管理模型。

1、数据资产管理

在这里，我们将数据资产管理作为定义和识别的落地能力，其中包括了对数据的扫描、采集、分类定级、业务关联、数据流转测绘等方面内容，核心在于对所要保护的数据能够根据安全和业务需求进行管理性的建模，并相对准确的定义、识别出敏感数据、一般数据、重要数据、核心数据等数据主体内容。另外可根据需要，将承载数据的网络资产纳入到数据资产管理的范围内，如接口、数据库、文件服务、邮件服务、网络服务等，以数据为中心纳管数据网络资产。

2、暴露面检测

数据暴露面的检测从2个视角看待。

（1）暴露渠道

这里数据暴露渠道和泄露渠道要稍作区分。暴露本身客观无意识的，是潜在风险隐患，可引发泄露事件，但不一定会百分百引发泄露。这其中还存在暴露面本身的价值和数据范围的考量，即后续的暴露面评估。低价值、小范围的暴露，一般不会引发大规模泄露，或者即使泄露了，从安全管理的性价比来讲，可能也无须投入过多资源查溯处置。

常见的暴露渠道类型及对应的风险隐患如下：

• 隐蔽传输通道暴露：例如通过被业务遗弃的失活接口API、一些通信会话协议（如telnet）等，来非法传输一些敏感数据。
• 内网数据交互暴露：一般内网环境，很多业务系统的数据是通过http协议传输的，没有通过加密手段进行保护。例如HR、CRM、OA等业务系统，里面存储了大量候选人个人敏感信息、公司高管人员职务及个人家庭信息、客户个人/商业信息等数据。又由于企业内部的一些自用系统都是自建的，在开发时就存在安全不规范的问题，如接口开发时，允许通过get方式向后台请求传输敏感信息、接口URL中存在一些可供遍历的敏感参数、大数据BI和运维常见下数据未脱敏/伪脱敏传输等等，又增加了数据暴露面的范围。
• 对外接口传输暴露：BD时代下，数据经济价值的另一种体现在于数据交换或外部交互，使得数据在不同场景下或融合其他数据后，产生更高的价值增益效果。

在这个过程中，数据必然会对外传输交互，一般常见的是以对外接口的形式体现。如向子公司、跨省的合作业务部门、渠道/合作商、SASS服务的甲方提供数据交互服务等等。这个过程中就可能存在敏感数据暴露的风险。常见的风险包括，对外传输数据时，传输了禁止传输的敏感数据（合规向）、对外传输或外部请求数据时没有进行数据量限制（刑法规定泄露500条以上个人信息即可定罪量刑）、外部请求数据的类型或内容不符合其权限范围（越权情况）等等，都会形成对外传输的数据暴露面。

• 跨境传输暴露：和对外接口传输不同，跨境传输暴露侧重于跨国敏感传输的数据安全风险，而非单纯的境内不同数据处理企业主体之间的数据传输交换。跨境传输面临的暴露风险，除了来自明文敏感数据暴露问题之外，还面临合规性数据传输暴露的风险。即不允许出境的敏感、重要、核心数据，由于安全管理规范疏忽或恶意人为等原因，以隐秘的方式将数据输出境外，形成了国家战略或监管层面的暴露面（暴露给境外势力）。同时反过来，监管侧也可能利用跨境传输暴露面来形成对企业数据跨境传输的合规性检查。因此有必要在企业内部完成跨境传输暴露面风险检测和梳理。

（2）暴露面类型

本文按照敏感生产信息和敏感业务数据，从数据属性本身来定义暴露面类型。

• 敏感生产信息暴露：更多指的是存储、承载传输交换的业务系统、IT系统的账号密码信息、业务开发的标签/标识信息、角色权限信息等。这里可以粗略归类到一般数据的类别中。这些信息的明文传输或暴露，可直接引起大规模的数据泄露事件发生，因此也需要企业将其定义为暴露面类型的一种，来合理制定对应的暴露面风险检测策略。
• 敏感业务数据暴露：敏感业务数据广义来看，可囊括敏感数据、重要数据、核心数据三大方面，一般如果企业又重要数据、核心数据的话，其本身也带有一定的业务属性；从狭义来看，可直接按照敏感数据进行定义。

3、暴露面评估

暴露面评估从暴露的范围，即影响面和暴露数据价值两个方面进行评估。

（1）影响面评估：

影响面评估依赖于第一点中数据资产管理能力模型。在数据资产中，既定义了数据资产，又定义了数据网络资产，可从静态和动态两个方面进行评估。

• 数据资产暴露评估：可通过数据元数据信息、数据血缘、数据知识图谱等，进行静态数据关系网的测绘，通过对暴露数据关系网来界定暴露数据的影响范围；
• 数据网络资产暴露评估：可通过数据的三层关联（前台访问-应用服务-数据库）、敏感数据荧光标记测绘（精确测绘敏感数据流经的节点和流向）等技术，将暴露数据的动态流转节点和流向情况进行描述，界定出暴露数据在网络/业务拓扑中的影响范围。

除了在范围上进行界定，还可以通过数据量（敏感数据条数、敏感数据大小等）进行量化评估其影响范围，从而使得暴露影响面评估更加科学、有理有据。

（2）价值评估：

暴露的数据价值评估主要依赖于企业对暴露数据的分类分级模型，以及数据网络资产的分类分级模型。分类分级本身包含了经济业务价值的评价过程，因此通过不同类型的权重值和等级权重值，根据企业自身制定对应的价值评估模型，来计算出暴露的数据价值大小，可作为暴露面评估的主要依据之一。

4、暴露面风险响应

数据暴露面风险风险响应包括了形成风险事件前的主动分析预测响应和事中事后性响应。

（1）主动分析预测响应：

之前提到，数据暴露面本身可能是客观存在且尚未被恶意利用产生泄漏的。因此，当发现这些暴露面时且未发生明显的泄漏事件前，可通过主动分析及风险事件预测来及时补漏修复。可执行的响应包括：

• 暴露面风险成因分析：包括对暴露数据资产及暴露数据网络资产进行暴露成因分析。一般成因涵盖了开发安全不规范（如允许get向后台传递敏感参数）、IT系统建设对应安全机制不健全（如未脱敏）、人为原因形成暴露面（如发送包含各类IT服务root账号密码的邮件）等。需要具体问题具体分析。但分析的前提，最好可将不同来源的数据以统一格式汇总，利用人工聚类、基线、机器学习等现成技术进行处理分析。
• 暴露面风险处置及报告：对于未形成风险事件的暴露面风险，需要带入上文提到的暴露面评估模型中，输出评估报告，并跟进成因分析进行处置修复，作为结果内容，连同评估报告共同汇报上级，并备案归档。

（2）事中事后溯源及封堵

这个比较好理解。可以利用通用的风险事件事中事后处置方式。事前建立好应急预案，根据暴露面产生的泄漏评估情况，选择对应的应急预案即可；该封堵的封堵，该断某个IP或账号访问的进行拦截阻断等等。除此之外，进行事后溯源是必不可少的。尤其是当前数据安全法、个人信息保护法等上位法，都明确给出了事件责任主体及对应的责罚责任，不仅要更精确的定位出暴露源，还要定位出对应的可疑泄漏人员及暴露的数据业务/安全主体责任人。

这里用到的主要是数据溯源能力，有条件的可以选择对全量敏感数据访问日志或流量进行存储备份，供溯源使用；条件不足的，可以按需丢弃一部分不太重要的数据访问内容。无论如何，事件处置结果和溯源结果，也要作为风险事件报告进行输出汇报（不同于事前的潜在暴露面风险报告，事前暴露面风险报告更偏运营侧报告内容）。

四、总结

作者一直强调一个理念，数据安全问题相比网络信息安全，更多是系统性的整体问题，往往需要统筹多个单点能力联动起来才能发挥作用，形成良效的数据安全能力体系；数据暴露面风险作为数据安全中的一个具体安全场景，也不例外。需要系统性的安全策略和处置分析能力来进行应对。单纯想依赖某一款安全产品就想达到理想效果，是不现实的。

写在最后，本次数据暴露面风险的数据安全场景仅供各位看官参考，还是需要结合自身业务特征和网络架构体系，走出自己的数据安全建设之路才是王道。