关于系统日志中信息加密和脱敏的讨论 | 总第246周

文化   科技   2024-05-21 23:29   江西  
‍‍

‍‍


0x1本周话题

题:大家在系统的日志里面的个人信息加密或者脱敏了吗?

A1:一般脱敏。因为生产日志还是有可能会去看的。脱敏比较合适,适中。目前其实还是主要针对客户个人信息进行脱敏。

Q:这个要脱敏怎么搞?都是日志留存大量的流水信息方便排障用。

A2:要脱肯定可以脱,主要是运维查日志的时候脱敏了没法查问题了。

A3:这个说法不对的。还是规范标准没有建立好。定下脱敏标准规范啊。然后强制要求开发脱敏。比如客户信息,可以看客户号来查询日志的。为什么一定要通过客户手机号,身份证号来定位日志,这个是偷懒做法。但是会造成数据泄露隐患。

A4:就是个人信息脱敏以后定位问题很麻烦。按道理运维只有有工单的时候才能查日志。所以按道理算做过授权。

Q:搞肯定要搞,但这个是主要矛盾吗?又或者说,成本收益对称吗?

A5:很多日志是存在库表里面的。如果脱敏了。很多唯一属性就没了,sql语句都没法写。

A6:安全与业务的平衡很重要,我就问过监管,监管也没明确一定要怎么做,如果妨碍的了业务发展肯定是不行的。

A7:以上都不是问题,明确日志输出规范,用内部ID替换客户敏感信息,客户敏感信息字段实在替换不了就脱敏输出和展示。监管检查必查点。

A8:可以开发一个脱敏类包,让应用引入后就可以对日志中的个人信息进行脱敏,脱敏规则可以灵活些,按照业务分析和排障需求脱就行。

A9:这个是主动脱敏框架。最大的坑点就是性能不一定可以保障。

Q:为啥不脱敏?排障找流水号、找traceid去,咋可能直接找客户信息?

A10:如果是标准日志还好处理,很多时候敏感内容都在应用层报文里,都是业务自己定义的,识别哪些字段是敏感字段比较费劲。

A11:直接上平台搜日志检查。监管就是这么来搞的。我们每天自动扫描,自动通知开发整改的。

Q:用正则表达式吗?手机号、身份证号?覆盖哪些敏感字段?

A12:这个看各公司的标准。扫描主要是正则和关键字。严格来说,保单号可能都要脱敏。取决于各自的业务。企业数据分类分级做完之后,按照定义做检测。

A13:有些老爷系统,日志都是系统产品级的。敢不敢改都是个问题。很多系统是规范出来以前建的,重新整改会疯掉啊。

A14:那没办法,我们自己要有明确思路,报告领导,先解决什么,有个体系的规划,然后暴露出问题,数据安全监管要求一样,但是大行城商行,每家的条件不一样。

A15:日志系统、可观测系统、以及其他监控系统,个人觉得本质上是应用在运行形态的数字孪生,因为发展方向是越来越全面、越来越精细、和实际系统运行越来越一致。对应用系统、数据平台的数字孪生或对等系统做脱敏,意义和性价比可能不是太大。我在想,是否能换个视角,日志、观测、监控等系统,现在也越来越集中了,发展方向是否是和应用、数据对应的保障级别、保障措施渐趋一致。

A16:这个赞同,不是一刀切,监管最大的问题自己不搞,他们只管提要求,我们业务需要的那就做好保障措施。主要是有很多理想化的东西。

A17:另外,监管要求系统脱敏,但他没脱敏,为什么客户来付钱?就像监管要求汽车安装安全带,但汽车厂商没装,现在安全事故频发,汽车厂商不得免费召回维修或更换吗?

A18:监管要求你脱敏,你找软件开发商解决。不脱敏,软件开发商不负责,是你担责。需求不提,法律就站他那边。

A19:运维或其他研发辅助系统本来是IT的自留地,也是技术条线少有的自研出彩的机会。如果提高级别,进行定级备案,然后暴露给监管、审计、等保、攻防,各类检查,先是IT领导想不想,之后才是能不能、做不做、怎么做的问题。脱敏,肯定是快思考的第一个答案。

A20:这个问题你问法务,需求没提人家就只承担经济责任,以法律为准,而且偏向保护弱势,即乙方,你没有胜算。

A21:监管如果对产品提要求要脱敏,否则不发销售许可证,那产品肯定能满足,卖到甲方之后,你发现他没满足,要求他整改,也会积极配合。如果监管只是甲方提要求,而没有对乙方提要求。甲方要求乙方整改,乙方收费合理,甲方抱怨监管也合理,挨罚也合理。不过一般和乙方搞好关系,这一单送了,下一单多买点的事。

Q:这个产品是标品吗?

A22:不是标品,日志格式都统一不了。现在的标准就是管理要求,还没变成出厂要求销售标准,甲方你也可以自己干。不过久了就能成标品了,因为一旦有这个强制规范,甲方会要求交付就有这个东西。大不了合同加一条泛一点的。符合等保要求。

A23:监管应该很难去设立一套标准出来。不过监管应该要求产品研发厂商,落实安全要求。

Q:等保那边我印象中没这个要求。是不是可以加到那边去?

A24:一样的,比如等保要求双因素,你买的软件不支持双因素,你没提要求,他交付了,你后来检查不通过要加需求,那就是合同变更,人家不愿意就可以要求加钱.这跟怎么要求没关系,因为要求的是甲方,而不是乙方,除非是销售标准,那才跟乙方有关系,而且也不现实。

0x2 群友分享

【安全资讯】

SuperBench大模型综合能力评测报告

【深度】一文讲透SWIFT到底是个啥?

GPT-4化身黑客搞破坏,成功率87%!OpenAI要求保密提示词,网友复现ing

为什么 Windows 的安全性不如 Linux
--------------------------------------------------------------------------
由于微信修改了推送规则,需读者经常留言或点“在看”“点赞”,否则会逐渐收不到推送!如果你还想看到我们的推送,请点赞收藏周报,将君哥的体历加为星标或每次看完后点击一下页面下端的“在看”“点赞”。
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
关于勒索病毒演练融入HW及资产与网络安全的讨论 | 总第245周
关于开源许可实施与管理的讨论与思考 | 总第244周
数据库管理与防护及开源软件使用策略探讨 | 总第243周

如何进群?

如何下载群周报完整版?
请见下图:

君哥的体历
闲暇时间,逼迫自己,记录分享体验与经历,不求正确统一,但求真、善、美。
 最新文章